Küberturvalisuse seaduse ja avaliku teabe seaduse muutmise seadus

EELNÕU

27.01.2021

Küberturvalisuse seaduse ja avaliku teabe seaduse muutmise

seadus

§ 1. Küberturvalisuse seaduse muutmine

Küberturvalisuse seaduses tehakse järgmised muudatused:

1) paragrahvi 9 lõige 2 muudetakse ja sõnastatakse järgmiselt:

„(2) Käesoleva paragrahvi lõikes 1 nimetatud süsteemi turvalisuse tagamiseks kehtestab võrgu-

ja infosüsteemide infoturbe haldussüsteemi Vabariigi Valitsus määrusega.“;

2) paragrahvi 9 lõikes 3 asendatakse sõna „turvanõuded“ sõnadega „turvameetmete kirjelduse“.

§ 2. Avaliku teabe seaduse muutmine

Avaliku teabe seaduses tehakse järgmised muudatused:

1) paragrahvi 439 lõike 1 punkt 4 tunnistatakse kehtetuks;

2) paragrahvi 439 täiendatakse lõikega 11 järgmises sõnastuses:

„(11) Andmekogude turvalisuse kindlustamisel järgitakse küberturvalisuse seaduse § 9 lõike 2

alusel kehtestatud määrust.“;

3) paragrahvi 439 lõike 3 teist lauset muudetakse ja sõnastatakse järgmiselt:

„Käesoleva seaduse § 433 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva

paragrahvi lõike 1 punktides 1, 2 ja 6 ning lõikes 11 nimetatud kindlustavad süsteemid.“;

4) paragrahvi 531 lõige 1 muudetakse ja sõnastatakse järgmiselt:

„(1) Riigi Infosüsteemi Amet teostab haldus- ja riiklikku järelevalvet infosüsteemide

andmevahetuskihiga liitumise üle.“;

5) paragrahvi 531 täiendatakse lõikega 11 järgmises sõnastuses:

„(11) Käesoleva seaduse § 439 lõike 11 täitmise üle teostab haldus- ja riiklikku järelevalvet Riigi

Infosüsteemi Amet küberturvalisuse seaduses sätestatud pädevuse piires.“.

Riigikogu esimees Henn Põlluaas

Tallinn „…“ ……… 2021. a

Algatab Vabariigi Valitsus

„…“ …………….… 2021. a

1

27.01.2021

Küberturvalisuse seaduse ja avaliku teabe seaduse muutmise

seaduse eelnõu seletuskiri

1. Sissejuhatus

1.1 Sisukokkuvõte

Küberturvalisuse seaduse (edaspidi KüTS) ja avaliku teabe seaduse (edaspidi AvTS) muutmise

seaduse eelnõuga tunnistatakse AvTS-s kehtetuks Vabariigi Valitsuse määruse andmise

volitusnorm ning KüTS-is luuakse volitusnorm Vabariigi Valitsuse määruse kehtestamiseks.

Muudatuste käigus viiakse asjakohase Vabariigi Valitsuse määruse volitusnorm AvTS-st

KüTS-i. Volitusnormi üle viimisega kaasajastatakse ning viiakse infoturbe tagamine

andmekogude põhiselt lähenemiselt võrgu- ja infosüsteemide põhisele lähenemisele. Muudatus

omakorda võimaldab aegunud kolmeastmelise etalonturbesüsteemi (edaspidi ISKE)

turvameetmete süsteemi asendada uue väljatöötamisel oleva Eesti infoturbestandardiga

(edaspidi E-ITS).

Eelnõuga ei kaasne olulist õiguslikku muudatust, vaid õigusnorme korrastatakse vastavalt

uuenenud infoturbe tagamisele. Praegu on AvTS § 439 lõike 1 punktis 4 volitusnorm, mis

võimaldab Vabariigi Valitsusel kehtestada andmekogude1 pidamiseks määruse „Infosüsteemide

turvameetmete süsteem“. Kõnealusest määrusest tuleneb riigi infosüsteemi kuuluvate

andmekogude pidamiseks turvameetmete süsteemi rakendamise kohustus vastavalt ISKE-le.

ISKE rakendamise eesmärk on tagada riigi infosüsteemi kuuluvate andmekogude abil

töödeldavate andmete turvalisus, konfidentsiaalsus ja käideldavus.

Samas rakendatakse sama määrust KüTS § 9 lõike 2 alusel ka kõikidele riigi ja kohaliku

omavalitsuse üksuste võrgu- ja infosüsteemidele (edaspidi süsteem)2. KüTS § 9 lõige 2 ei sisalda

endas täiendavat volitusnormi, vaid viidet AvTS volitusnormile, mistõttu on andmekogude

turvalisuse tagamiseks mõeldud volitusnormi tegelikult rakendatud laiemalt kõikidele riigi ja

kohaliku omavalitsuse üksuste süsteemidele. Nende süsteemide hulka kuuluvad ka AvTS-i

tähenduses olevad andmekogud.

Eelnõuga korrastatakse riigi infosüsteemi kuuluvate riigi ja kohaliku omavalitsuse

andmekogude ning võrgu- ja infosüsteemide turvalisust reguleeriv õigusruum. Selleks lisatakse

võrgu- ja infosüsteemi infoturbe haldussüsteemi (edaspidi infoturbe haldussüsteem)

volitusnorm KüTS-i ning asendatakse senine volitusnorm AvTS-is viitega uuele volitusnormile

KüTS-is.

1 Andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva

eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse

seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. AvTS § 431

lg 1. 2 Võrgu- ja infosüsteem (edaspidi süsteem) – elektroonilise side võrk elektroonilise side seaduse § 2 punkti 8

tähenduses, seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne

programmi kohaselt digitaalsete andmete automaatne töötlemine, või digitaalsed andmed, mida salvestatakse,

töödeldakse, saadakse päringuga või edastatakse eelnimetatud komponentide poolt nende töö, kasutamise,

kaitsmise või hooldamise jaoks. KüTS § 2 p 1.

2

Infoturbe haldussüsteemi määruse volitusnormi paiknemine KütS-s ja selle rakendusaktides on

avaliku teabe töötlemist ja küberturvalisust reguleerivaid õigusakte, nende omavahelisi seoseid

ning struktuuri arvesse võttes mõistlik. Just KüTS-i eesmärgiks on ühiskonna toimimise

seisukohast oluliste riigi ja kohaliku omavalitsuse üksuste süsteemide turvalisuse tagamine ning

küberintsidentide ennetamise ja lahendamise koordineerimine.

Lisaks on praegu infosüsteemide turvameetmete süsteemi puudutav regulatsioon

Justiitsministeeriumi vastutusalas, kuigi küberturvalisus on Majandus- ja

Kommunikatsiooniministeeriumi valitsemisalas ning Majandus- ja

Kommunikatsiooniministeeriumi haldusalas tegutseva Riigi Infosüsteemi Ameti (RIA)

põhimääruse kohaselt on RIA üks põhiülesannetest korraldada infosüsteemide turvameetmete

süsteemi arendamist ja koordineerida infoturbemeetmete rakendamist.

Volitusnormi uuendamine võimaldab asendada tänaseks aegunud ISKE uue E-ITS-iga. ISKE

aluspõhimõtted, rakendamise loogika ning auditeerimise skeemid ei ole selle esmasest

avaldamisest aastal 2003 alates ehk 17 aasta jooksul muutunud. Uus E-ITS on äriprotsesside

põhine ning E-ITS-i volitusnorm peab olema laiem kui andmekogude põhine – see peab

lähtuma võrgu- ja infosüsteemidest ning kohalduma kõikidele süsteemidele (mille hulka on

arvestatud ka andmekogud). Sellest johtuvalt tuleb ka uus määrus teisiti nimetada võrgu- ja

infosüsteemide infoturbe haldussüsteemi määruseks. E-ITS-i määrus planeeritakse vastu võtta

aastal 2021, mistõttu on vajalik sellele eelnevalt volitusnormi uuendamine.

Lisaks ühtlustatakse KüTS-is olevaid mõisteid, asendades KüTS § 9 lõikes 3 oleva mõiste

„turvanõuded“ mõistega „turvameetmete kirjeldus“, mis on analoogne KüTS § 8 lõikes 4 oleva

volitusnormiga. Tegemist ei ole sisulise muudatusega, vaid terminite ühtlustamisega segaduse

vältimiseks.

1.2 Eelnõu ettevalmistaja

Eelnõu ja seletuskirja on koostanud Majandus- ja Kommunikatsiooniministeeriumi

küberturvalisuse õigusnõunik Kea Kohv (teenistussuhe peatunud), küberturvalisuse

õigusnõunik Raavo Palu ([email protected]) ning Riigi Infosüsteemi Ameti õigusosakonna

juhataja Kristiina Laanest ([email protected]) ja õigusnõunik Silver Lusti

([email protected]). Eelnõu juriidilise ekspertiisi teostas Majandus- ja

Kommunikatsiooniministeeriumi õigusosakonna õigusnõunik Ave Henberg

([email protected]).

1.3 Märkused

Eelnõu ei ole seotud muu menetluses oleva eelnõuga, Euroopa Liidu õiguse rakendamisega ega

Vabariigi Valitsuse tegevusprogrammiga.

Eelnõuga muudetakse küberturvalisuse seaduse redaktsiooni RT I, 22.05.2018, 1 ning avaliku

teabe seaduse redaktsiooni RT I, 15.03.2019, 11.

Eelnõu vajab seadusena Riigikogus vastuvõtmiseks koosseisu häälteenamust.

2. Seaduse eesmärk

3

2.1 Uuendada avaliku teabe seaduses ja küberturvalisuse seaduses andmekogudele

keskendunud volitusnorm võrgu- ja infosüsteemide põhiseks

„Infosüsteemide turvameetmete süsteem“ on Vabariigi Valitsuse määrus, mille volitusnorm on

AvTS-s andmekogudel põhinev, kuigi reaalsuses rakendatakse sama määrust kõigile riigi ja

kohaliku omavalitsuse võrgu- ja infosüsteemidele. Seetõttu on mõistlik muuta küberturvalisuse

seaduses olev norm, mis praegu viitab AvTS-i andmekogude põhisele volitusnormile, ise

volitusnormiks. Sellisel viisil on võimalik tulevikus Vabariigi Valitsuse määrust „Võrgu- ja

infosüsteemide infoturbe haldussüsteem“ sisustada nii andmekogude kui ka võrgu- ja

infosüsteemide kaitse seisukohalt.

2.2 Luua võimalus aegunud ISKE asendamiseks E-ITS-iga ehk andmekogude pidamiseks

kehtestatud turvameetmete süsteemilt üleminek avalike ülesannete täitmiseks loodud

äriprotsesside põhisele infoturbe haldussüsteemile

Seaduse eesmärk on uuendada riigi infosüsteemide turvameetmete volitusnormi, et võimaldada

vananenud andmekogudele keskendunud turvameetmete süsteemi ajakohastamine. Olukord,

mida soovitakse saavutada, võimaldaks ühtsetel põhimõtetel paindlikult ja rakendajatele

arusaadavalt rakendada tänapäevastele vajadustele vastavat turvameetmete süsteemi avalike

ülesannete täitmiseks loodud äriprotsessidele.

Eesti infoturbealases õigusruumis on probleemiks üksnes andmekogudele fokusseeritud

infoturbeparadigma, mis vajab lahendamist. Kehtiv regulatsioon on üles ehitatud andmekogude

põhisele infoturbe tagamise süsteemile. ISKE-t rakendatakse andmekogudes sisalduvate

andmete töötlemiseks kasutatavatele infosüsteemidele ja seega keskendub ISKE kitsalt

andmekogudes sisalduvate andmete kaitsmisele. See lähenemine on loonud olukorra, kus

turvameetmete rakendamisel on rakendaja perspektiiv sageli ebaproportsionaalselt kitsas, jättes

turvameetmed rakendamata paljude oluliste infosüsteemide osas, mis ei kujuta AvTS-i

tähenduses andmekogu.

Asutused on praktikas sageli jätnud ISKE rakendamata, kui võrgu- ja infosüsteemi

defineerimiseks oli võimalik leida mistahes muu definitsioon, kui „andmekogu“ AvTS-i

mõistes. KüTS-i jõustumine küll leevendas olukorda, tuues Eesti õigusesse oluliselt laiema

„võrgu- ja infosüsteemi (süsteemi)“ termini koos sellega kaasneva riskianalüüsi nõudega, kuid

KüTS süsteemide osas eriregulatsiooni kehtestamine AvTS-i määrusesse ei ole täna võimalik.

Õigusselguse ja infosüsteemide turvalisuse tagamise huvides on siiski erisused andmekogude

ning teiste süsteemide osas selgelt välja tuua ja korrektselt reguleerida.

Infoturbe rakendamata jätmine ei ole tänases küberturbereaalsuses riigi ja kohaliku

omavalitsuse üksuste süsteemide puhul aktsepteeritav. E-ITS loomisega soovitakse tänast

olukorda muuta, tõstes andmeid töötleva süsteemi asemel turvameetmete rakendamise

fookusesse avaliku ülesande täitmiseks loodud äriprotsessid, mille eesmärk on pakkuda

otseseid avalikke teenuseid ja tugiteenuseid. Andmekogude pidamiseks kehtestatud

turvameetmete süsteemilt üleminek avalike ülesannete täitmiseks loodud äriprotsesside

põhisele infoturbe haldussüsteemile tuleb sätestada ka õigusaktides.

Eelnevale tuginedes on vältimatult vajalik luua uus volitusnorm, mis asendaks tänast AvTS §

439 lõike 1 punkt 4 volitusnormi. Eelnõuga täiendatakse KüTS-i ning muudetakse AvTS-i, mis

loob eeldused ühtse ja ühetaolise süsteemide infoturbe haldussüsteemi rakendamiseks.

4

3. Eelnõu sisu ja võrdlev analüüs

Eelnõu koosneb kahest paragrahvist.

Eelnõu §-ga 1 muudetakse küberturvalisuse seadust.

Eelnõu § 1 punktiga 1 muudetakse KüTS § 9 lõiget 2 ja sõnastatakse see järgmiselt:

„Käesoleva paragrahvi lõikes 1 nimetatud süsteemi turvalisuse tagamiseks kehtestab võrgu- ja

infosüsteemide infoturbe haldussüsteemi Vabariigi Valitsus määrusega.“. Sellega lisatakse

KüTS-i volitusnorm Vabariigi Valitsuse määruse kehtestamiseks. See sisustatakse täna AvTS-

i alusel kehtestatud infosüsteemide turvameetmete süsteemi määrusega (ISKE määrus), kuid

tulevikus terviklikult muudetud kujul (E-ITS määrus).

Kehtiv infosüsteemide turvameetmete süsteemi määruse volitusnorm on AvTS § 439 lõike 1

punkt 4, mille kohaselt kehtestab Vabariigi Valitsus andmekogude pidamiseks määrusega

infosüsteemide turvameetmete süsteemi. See volitusnorm on uue E-ITS-i kehtestamiseks liiga

kitsas, kuna E-ITS kehtiks äriprotsessidele, mitte ainult andmekogude pidamisele. Kuna KüTS-

i § 2 punktis 1 sätestatud „võrgu- ja infosüsteemi“ mõiste hõlmab oma sisult ka AvTS-i § 431

lõikes 1 oleva „andmekogu“ mõistet, siis on kohasem, et Vabariigi Valitsuse määruse

volitusnorm tuleb AvTS-st KüTS-i.

Paragrahviga kaotatakse KüTS § 9 lõikes 2 sisalduv AvTS § 439 lõike 1 punktile 4 viitamine

ning muudetakse KüTS § 9 lõige 2 volitusnormiks.

Hetkel on infosüsteemide turvameetmete süsteemi puudutav regulatsioon Justiitsministeeriumi

vastutusalas, kuigi küberturvalisus on oma olemuselt Majandus- ja

Kommunikatsiooniministeeriumi valitsemisala teema. Ehk eelnõu ja E-ITS’ga seotud

temaatika on seotud mitme ministeeriumi valitsemisala valdkonnaga. Kehtiva infosüsteemide

turvameetmete süsteemi määruse on kehtestanud Vabariigi Valitsus, kuigi ta võib selle

kehtestamise õiguse üle anda asjaomasele ministrile (vt AvTS § 439 lg 2). Praktikas ei ole seda

volitust tehtud tolle määruse puhul. Eelnõu tulemusena kaob ka taoline võimalus, kuna KüTS-

s puudub AvTS § 439 lõikele 2 samaväärne säte. Samas ei ole sarnase volitust võimaldava sätte

tekitamine KüTS-i vajalik ning see poleks ka eesmärgipärane, kuna uus E-ITS’i määrus ei

kohalduks ainult ühe ministeeriumi valitsemisala süsteemidele, vaid kõigile riigi ja kohaliku

omavalitsuse üksustes olevatele süsteemidele. Seeläbi on E-ITS määrusel ka seos mitme

ministeeriumi valitsemisala valdkonnaga.

Eelnõu 1 punktiga 2 asendatakse KüTS paragrahvi 9 lõikes 3 sõna „turvanõuded“ sõnadega

„turvameetmete kirjelduse“. Muudatuse eesmärk on termineid segaduse vältimiseks ühtlustada.

Nimetatud mõiste „turvameetmed“ tegelik sisu on turvameetmete kirjeldus, mistõttu

muudetakse seda lõiget, et selle sõnastus oleks analoogne KüTS § 7 lõikes 4 oleva

volitusnormiga.

Eelnõu § 2 järgi muudetakse avaliku teabe seadust.

Eelnõu § 2 punktiga 1 tunnistatakse AvTS § 439 lõike 1 punkt 4 kehtetuks. Uus volitusnorm

samalaadse määruse sisustamiseks sätestatakse eelnõu § 1 kohaselt KüTS-i.

Eelnõu § 2 punktiga 2 täiendatakse AvTS § 439 lõikega 11, sõnastades see järgmiselt:

„Andmekogude turvalisuse kindlustamisel järgitakse küberturvalisuse seaduse § 9 lõike 2

alusel kehtestatud määrust.“. Uus lõige on vajalik, et viidata eelnõu § 1 kohaselt KüTS-i lisatud

5

volitusnormi alusel kehtestatavale määrusele. Kuigi kõik andmekogud on oma olemuselt

KüTS-i tähenduses süsteemid, siis selguse huvides on viide sellele määrusele andmekogude

turvalisust kindlustava süsteemina asjakohane.

Eelnõu § 2 punktiga 3 sõnastatakse AvTS § 439 lõike 3 teine lause järgmiselt: „Käesoleva

seaduse § 433 lõikes 4 nimetatud andmekogule on kohustuslikud käesoleva paragrahvi lõike 1

punktides 1, 2 ja 6 ning lõikes 11 nimetatud kindlustavad süsteemid.“. Kehtiv lause on sisuliselt

sama, kuid kuna eelnõu § 2 punktiga 1 tunnistatakse AvTS § 439 lõike 1 punkt 4 kehtetuks ja

eelnõu § 2 punktiga 2 lisatakse varasema punkti 4 asemele lõige 11, on tarvilik muuta ka vastava

lause sõnastust. Sama lõike esimest lauset ei muudeta, kuna vastasel juhul ei oleks riigi ja

kohaliku omavalitsuse andmekogude pidamisel edaspidiselt kohustuslik kasutada riigi

infosüsteemi kindlustavaid süsteeme (kehtestatud sama paragrahvi esimese lõike alusel).

Eelnõu § 2 punktiga 4 sõnastatakse AvTS § 531 lõige 1 järgmiselt: „Riigi Infosüsteemi Amet

teostab haldus- ja riiklikku järelevalvet infosüsteemide andmevahetuskihiga liitumise üle.“.

Kuna eelnõu § 2 punktiga 1 tunnistatakse kehtetuks AvTS § 439 lg 1 punkt 4, siis eemaldatakse

eelnõuga muudetavast lõikest fraas „infosüsteemide turvameetmete süsteemi rakendamise

ning“. Ümbersõnastus on vajalik, et AvTS-is oleks eristatud, mille üle on järelevalvepädevus

Andmekaitse Inspektsioonil, RIA-l ning Statistikaametil. Vt siin ka eelnõu § 2 punkti 5

selgitusi.

Eelnõu § 2 punktiga 5 täiendatakse AvTS § 531 lõikega 11 järgmises sõnastuses: „Käesoleva

seaduse § 439 lõike 11 täitmise üle teostab haldus- ja riiklikku järelevalvet Riigi Infosüsteemi

Amet küberturvalisuse seaduses sätestatud pädevuse piires.“ Kuna eelnõuga tunnistatakse

AvTS-s kehtetuks ISKE volitusnorm (eelnõu § 2 punkt 1) ning edaspidiselt on süsteemide

turvameetmete nõuded KüTS-s (eelnõu § 1 punkt 1), siis on vaja selgust, kuidas RIA kontrollib

andmekogude turvalisust kindlustava võrgu- ja infosüsteemide infoturbe haldussüsteemi nõuete

täitmist. Sellekohane järelevalve toimub KüTS-i 4. peatükis sätestatud korras. Taoline erisäte

on olemas ka näiteks tervishoiuteenuste korraldamise seaduse § 60 lõikes 2, hädaolukorra

seaduse § 45 lg 1 punktis 4, lennundusseaduse § 601 lõikes 5, raudteeseaduse § 143 lõikes 8 ning

sadamaseaduse § 42 lõikes 5. Ehk sisuliselt on sarnane sõnastus ka muudes õigusaktides.

4. Eelnõu terminoloogia

Senise „infosüsteemide turvameetmete süsteemi“ asemel kasutatakse uuendatud terminit

„võrgu- ja infosüsteemide infoturbe haldussüsteem“. „Infosüsteemide“ asemel on korrektne

kasutada fraasi „võrgu- ja infosüsteemid“ ehk süsteemid, mis on kooskõlas KüTS-is oleva

legaaldefinitsiooniga (KüTS § 2 p 1). „Turvameetmete süsteem“ asemel on korrektne kasutada

fraasi „infoturbe haldussüsteem“, kuna tegemist on nö reeglite kogumiga, mitte süsteemiga

KüTS legaaldefinitsiooni mõttes.

5. Eelnõu vastavus Euroopa Liidu õigusele

Euroopa Liidu õigus ei reguleeri otseselt viidatud probleeme riigisektoris. Võrgu- ja

infosüsteemide turvalisuse ühtlaselt kõrge taseme tagamiseks kehtestatud Euroopa parlamendi

ja nõukogu direktiiv 2016/1148 (NIS direktiiv) reguleerib üksnes ühiskondlikult oluliste

teenuste operaatoreid, kuid mitte avalikku sektorit.

6

6. Seaduse mõjud

Seaduse muutmise eelnõuga välja pakutud volitusnormil märkimisväärset õiguslikku mõju ei

ole. Küll aga võimaldab uue volitusnormi kohane määrus muuta rakendamise aluseid

selgemaks, tagada asjakohasema regulatsiooni olemasolu infoturbenõuete jõustamiseks ja

võimaldab pikemas perspektiivis tõsta õigusselgust.

Muudatusel on seega positiivne sotsiaalne mõju: asjaomase regulatsiooni põhjal on vastutavatel

isikutel parem võimalus mõista mida ja mis põhjusel infoturbe tagamiseks teha tuleb. See

omakorda viib kõigi kodanike andmete parema kaitseni ning efektiivsema

infoturberegulatsiooni tulemusel väheneb avaliku sektori haavatavus andmeleketele ja

küberrünnakutele.

Samuti ilmneb positiivne mõju riigi välissuhetele ja seda taaskord tänu seaduse muudatusele

võimalikuks saava määruse kaudu: loodav Eesti infoturbestandard E-ITS on maksimaalses

võimalikus osas kooskõlas rahvusvahelise standardi ISO 27001 nõuetega ning võimaldab

rakendajatel vajadusel lihtsamini minna üle ISO 27001 standardi kohasele infosüsteemide

infoturbe haldussüsteemile. See omakorda tagab vastastikuse mõistetavuse rahvusvahelises

keskkonnas nii olemasolevate kui tulevaste koostööpartnerite vaates. Muudatus võimaldab

innovaatilist õigusruumi presenteerida näidisena teistele riikidele ning potentsiaalselt edendab

ka e-riigi lahenduste eksporti. Loodava Eesti infoturbestandardi osas on rahvusvaheline

kogukond juba huvi üles näidanud.

Volitusnormi täpsustamise tulemusena kehtestatav määrus mõjutab positiivselt ka riigi

majandust, sest riik ei tegele muudatuste jõustumisel infoturbega enam reaktiivselt, vaid

süsteemselt rakendatud infosüsteemide infoturbe haldussüsteemi abil. See omakorda tagab

tõenäolisema laiapindse kaitse olulise mõjuga kulukate küberintsidentide eest, millega paraneks

avaliku sektori majanduslik tervis tervikuna.

Kui riik ja erasektor rakendavad samu standardeid, siis avarduvad ka riigi-era

infotehnoloogilised koostöövõimalused. Lisaks võimaldab ühtsete aluste loomine turgutada

majandussektorit, mis aitab standardeid rakendada ja jälgida (nt tööriistade loomine,

turunõudlus täiendavate audiitorite järele ja muu majandust elavdav). Kuna E-ITS on

rahvusvahelise standardiga ühilduv standard, siis on võimalik juba tehtud töö eksportida

rahvusvahelisele turule.

Seadusega laiema volituse andmine infoturbe haldussüsteemi sisustamiseks toetab igati ka

riigiasutuste ja KOV üksuste püüdlusi parema infoturbe suunas. Praktika on näidanud, et ilma

kohustava normita ei rakenda asutused vajalikul tasemel infoturbemeetmeid.

Infoturbemeetmete süsteemse tagamise kohustuse olemasolul võib eeldada, et ka

maapiirkondades säilivad IT-inseneri ja infoturbespetsialisti haridust nõudvad töökohad.

Ettevõtete ega kodanike halduskoormusele seaduse muutmisega olulist mõju ei ole.

Muudatustega luuakse eeldused jätkusuutlike teenuste osutamiseks ja avalike ülesannete

efektiivemaks täitmiseks.

7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad

kulud ja tulud

Eelnõuga ei kaasne täiendavaid kulusid.

7

8. Rakendusaktid

Seoses KüTS-i ja AvTS-i muutmisega tunnistatakse kehtetuks Vabariigi Valitsuse 20.12.2007.

a määrus nr 252 „Infosüsteemi turvameetmete süsteem“, et asendada tänaseks aegunud ISKE

uue E-ITS-iga.

Uuendatud volitusnorm võimaldaks kehtestada ISKE asemel avalike ülesannete täitmiseks

loodud äriprotsessidel (business process) põhineva turvameetmete süsteemi E-ITS. Vastava

määruse eelnõu on koostamisel.

9. Seaduse jõustumine

Seadus jõustub üldises korras.

10. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon.

Eelnõu esitati eelnõude infosüsteemi kaudu kooskõlastamiseks Kaitseministeeriumile,

Siseministeeriumile, Välisministeeriumile ja Justiitsministeeriumile ning arvamuse andmiseks

Eesti Infotehnoloogia ja Telekommunikatsiooni Liidule ning Eesti Infoturbe Assotsiatsioonile.

Algatab Vabariigi Valitsus

„…..“ …………………. 2021. a.

Suur-Ameerika 1 / 10122 Tallinn / 625 6342 / [email protected] / www.mkm.ee

Registrikood 70003158

Kaitseministeerium

Siseministeerium

Välisministeerium

Justiitsministeerium

01.02.2021 nr 2-2/17-0344/636

Küberturvalisuse seaduse ja avaliku teabe

seaduse muutmise seaduse eelnõu

Esitame kooskõlastamiseks ja arvamuse avaldamiseks küberturvalisuse seaduse ja avaliku teabe

seaduse muutmise seaduse eelnõu.

Tagasisidet palume 15 tööpäeva jooksul.

Lugupidamisega

(allkirjastatud digitaalselt)

Andres Sutt

ettevõtlus- ja infotehnoloogiaminister

Lisad: 1) seaduse eelnõu;

2) eelnõu seletuskiri.

Arvamuse andmiseks: Eesti Infotehnoloogia ja Telekommunikatsiooni Liit, Eesti Infoturbe

Assotsiatsioon

Raavo Palu

[email protected]