Kiri

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Rain Männik IT Ärianalüütik Baltic Restaurants Estonia [email protected] Vastus selgitustaotlusele Esitasite selgitustaotluse, milles soovite rohkem infot Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 ehk küberturvalisuse 2. direktiivi Eestis rakendamise kohta ja täpsemalt kohaldamise kohta konkreetses ettevõttes. Soovite teada saada, kas ja kuidas see täpsemalt kohalduks ning millised on täpsemad nõuded. Tolle direktiivi üle võtmisega seotud eelnõu koostamisega alustati Majandus- ja Kommunikatsiooniministeeriumis, kuid alates 01.01.2025 on selle eelnõu koostamise ülesanne Justiits- ja Digiministeeriumil, konkreetsemalt riikliku küberturvalisuse talitusel. Eelnõu oli avalikul kooskõlastusringil1 ning hetkel toimub tolle eelnõu sõnastuse viimistlemine, arvestades sellele saabunud tagasisidet. Too direktiiv võetakse üle ennekõike küberturvalisuse seadusesse, kuid teatavaid tehnilisi muudatusi tehakse ka muudes õigusaktides. Avalikul kooskõlastusel olnud eelnõus on selgitatud, kellele ja mis tingimustel direktiivist üle võetavad nõuded kohalduvad. Eelnõuga lisanduvad küberturvalisuse seadusesse uued subjektid (eelnõu mõttes „üksused“) kahel võimalikul viisil: 1) tegemist on küberturvalisuse 2. direktiivi I või II lisas loetletud tegevusvaldkonnas tegutseva ettevõtjaga, kes on vähemalt keskmise suurusega ettevõtja Euroopa Komisjoni soovituse 2003/361/EÜ kohaselt;2 või 2) tegemist on konkreetse tegevusvaldkonnas tegutseva ettevõtjaga, kelle puhul eelmainitud Euroopa Komisjoni soovituse kriteeriumit ei ole. Euroopa Komisjoni soovituse 2003/361/EÜ kohaselt on keskmise suurusega ettevõtjaga tegemist siis, kui ettevõtjal on a) vähemalt 50 töötajat ning b) tema aasta bilansimaht või aastakäive ületab 10 miljonit eurot. Mõlemad tingimused peavad olema täidetud. Üks näide lisanduvast sektorist on järgmine – tegemist on üksusega, kes vastab kõigile järgmistele tingimustele: - tal on majandusaasta jooksul vähemalt 50 või rohkem töötajat; - tema aasta bilansimaht või aastakäive ületab 10 miljonit eurot; ja - ta on Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 178/2002, millega sätestatakse

toidualaste õigusnormide üldised põhimõtted ja nõuded, asutatakse Euroopa Toiduohutusamet ja kehtestatakse toidu ohutusega seotud menetlused,3 artikli 3 punktis 2 määratletud toidukäitlemisettevõtja, kes tegeleb hulgimüügi ning tööstusliku tootmise ja töötlemisega.

1 Eelnõude infosüsteemi toimik 24-1266: https://eelnoud.valitsus.ee/main/mount/docList/c774c2e2- 0c3e-4137-b24b-b49d1249f326. 2 Euroopa Komisjoni soovitus 2003/361/EÜ: https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=CELEX%3A32003H0361&qid=1752490097061. Selle soovitusega koos tasub tutvuda komisjoni suunistega, mis aitavad selgitada komisjoni soovituse 2003/361/EÜ sisu ja kuidas selle alusel VKEsid määratleda https://op.europa.eu/et/publication-detail/-/publication/756d9260- ee54-11ea-991b-01aa75ed71a1/language-et. 3 Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 178/2002: https://eur-lex.europa.eu/legal- content/ET/TXT/?qid=1752491397087&uri=CELEX%3A02002R0178-20240701.

Teie 09.07.2025

Meie 15.07.2025 nr 21-2/25/5903-2

2

Sama eelnõu seletuskirja peatükis 2 on üldistatult selgitatud, milliseid nõudeid vastav üksus peab hakkama järgima. Tolle peatüki sisu ei ole pärast avalikku kooskõlastusringi oluliselt muutunud, mistõttu siinses vastuses ei hakata neid nõudeid kõiki siin välja tooma. Siiski saame mainida, et põhilisemateks nõueteks on: 1) üksus peab rakendama küberturvalisuse nõudeid; 2) üksuse juhatuse liikmed peavad läbima küberturvalisuse valdkonna koolitusi; ning 3) olulise mõjuga küberintsidentide korral tuleb neist teavitada Riigi Infosüsteemi Ametit. Loodame, et eeltooduga saite vastused enda küsimustele. Täiendavate küsimuste korral oleme valmis andma selgitusi. Lugupidamisega (allkirjastatud digitaalselt) Taavi Viilukas juhataja Raavo Palu [email protected]