| Dokumendiregister | Rahandusministeerium |
| Viit | 1.1-11/3035-3 |
| Registreeritud | 23.07.2025 |
| Sünkroonitud | 25.07.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.1 ÜLDJUHTIMINE JA ÕIGUSALANE TEENINDAMINE |
| Sari | 1.1-11 Ettepanekud ja arvamused ministeeriumile kooskõlastamiseks saadetud õigusaktide eelnõude kohta |
| Toimik | 1.1-11/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Virge Aasa (Rahandusministeerium, Kantsleri vastutusvaldkond, Personali- ja õigusosakond) |
| Originaal | Ava uues aknas |
Suur-Ameerika 1 / 10122 Tallinn / 611 3558 / [email protected] / www.rahandusministeerium.ee
registrikood 70000272
Justiits- ja Digiministeerium
Vabariigi Valitsuse 9. detsembri
2022. a määruse nr 121
„Võrgu- ja infosüsteemide
küberturvalisuse nõuded“
muutmise eelnõu kooskõlastamine
Austatud proua Pakosta
Rahandusministeerium kooskõlastab Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121
„Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu järgmiste märkustega.
1. Võttes arvesse direktiivi eesmärki ning NIS 2 direktiivi lisades välja toodud valdkondade
väikeste ja mikroettevõtete mõju üldisele tarneahela ja ühiskonna infoturbe tasemele ning
asjaolu, et määruse muudatusega ettevõtte ja organisatsiooni vastutus ei vähene, teeme
ettepaneku VKE määratluse asemel kasutada sarnaselt Maksu- ja Tolliameti lähenemisele
käibe piirmäärana 40 000 eurot aastas. See on ka karistusseadustikus toodud määr, millest
alates võib ettevõtte poolne rikkumine kaasa tuua reaalse valdkonna süüteo menetluse. Sellest
lähtuvalt oleks ettevõtte enda huvides, et tal oleks olemas tõenduspõhist sisendit võimaldav ja
rikkumisi ärahoidev küberturvalisuse seadusele vastav infoturbe halduse süsteem.
2. Eelnõus (seletuskirjas) ei ole piisavalt selgitatud ega ole arusaadav, miks on vajalik määruse
täiendamisel §-ga 51 vajalik kehtestada ja rakendada määruse lisa kujul täiendav „esmaste
turvameetmete“ loetelu kõikidele teenuseosutajatele, arvestades, et kehtiv E-ITS ja
rahvusvaheline standard ISO/IEC 27001 juba käsitlevad neid teemasid süsteemselt.
Seletuskirjas ei selgitata, miks ei piirduta olemasolevate standardite lihtsustatud
rakendamisega eelnõuga lisatavas § 3 lõikes 21 nimetatud isikutele, vaid pannakse täiendav
kohustus kõigile.
Seega tekib küsimus, miks kohaldatakse lisa nõudeid ühtmoodi kõikidele teenuseosutajatele,
kuigi määruse eelnõu eesmärgi kohaselt on selgelt märgitud, et eelnõu fookus on mikro- ja
väikeettevõtjate ning kohaliku omavalitsuse hallatavate asutuste haldus- ja töökoormuse
vähendamisel. Leiame, et sel juhul peaks määruse lisa, milles sätestatakse esmased
turvameetmed, rakenduma üksnes nendele asutustele ja ettevõtetele, keda eesmärk otseselt
puudutab, et nende võrgu- ja infosüsteemidele rakendatud meetmeid saaks lugeda piisavalt
vastavuses olevaks küberturvalisuse seadusega.
Teie 27.06.2025 nr 8-1/5574-1:
JDM/25-0715/-1K
Meie 23.07.2025 nr 1.1-11/3035-3
2
2. Selgelt on alahinnatud mitme kavandatava turvameetme mõju ja rakendamise keerukus.
Seejuures puudub lisa rakendamisega kõikidele teenuseosutajatele pandava mastaapse
täiendava halduskoormuse analüüs.
3. Hindamata on määruse mõjud eelarvele, sh ei ole hinnatud millist töömahtu ja kulusid toob
kaasa esmaste turvameetmete kasutusele võtmine ja edaspidine rakendamine. Samuti mõju
kõigile teenuseosutajatele paralleelsete nõuete jälgimise või võrdluses olemasoleva ja
kehtivate standarditega. Ehk määruse seletuskirjas ei ole analüüsitud määruse lisa
rakendamise tegelikke kulusid ega hinnatud selle mõju teenuseosutajatele, kes on juba E-ITS-
i rakendanud.
4. Valla või linna ametiasutuse puhul tuleb vaadata osutatavaid teenuseid ning teenistujate
ligipääsu andmekogudele. Praegune seletuskirjas (lk 6, teine lõik) sisalduv selgitus „kui
tegemist ei ole andmekogu vastutava töötlejaga või volitatud töötlejaga“ ei ole piisav ja on
segadusse ajav, kuna tihti ei pea asutused ja teenistujad end andmekogusid kasutades ja isikute
andmeid töödeldes töötlejateks, vaid kasutajateks.
Hallatavate asutuste osas kokkuhoiu saavutamiseks on lihtsam käsitleda neid KOV osana ja
nõuda, et KOV rakendaks neile enda infoturbe halduse süsteemi.
Lugupidamisega
(allkirjastatud digitaalselt)
Jürgen Ligi
rahandusminister
Virge Aasa 58851493
Kristi Müürsepp 5885 1397
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|