Vastus pöördumisele

Suur-Ameerika 1 / 10122 Tallinn / 626 9301 / [email protected] / www.sm.ee / registrikood 70001952

Justiits- ja Digiministeerium [email protected]

Teie 27.06.2025 nr 8-1/5574-1, JDM/25-0715/-1K/

Meie 01.08.2025 nr 1.2-3/1728-2

Vastus võrgu- ja infosüsteemide küberturvalisuse nõuete määruse muutmisele

Justiits- ja digiministeerium on edastanud kooskõlastamisele Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu. Toetame eelnõus kavandatavaid muudatusi ning teeme ühtlasi täiendava ettepaneku, muuta määruse § 4 selliselt, et auditeerimine oleks edaspidi vabatahtlik. Eelnõus kavandatud § 3 muudatus on hea näide väikeettevõtjaid (sh perearste) puudutavast lahendusest, mis vähendab halduskoormust. Selle valguses teeme ettepaneku muuta ka määruse § 4 vabatahtlikuks ja seda terves ulatuses. Kõik senised kogemused näitavad, et auditeerimise protsessi kulu ja sellesse pandav töömaht ei vasta protsessist saadavale kasule, mistõttu oleks mõistlik see ressurss suunata reaalsete meetmete rakendamisele. Neile asutustele, kes vajavad muudel põhjustel sõltumatut hindamist E-ITS meetmete rakendamisel, tasub võimalus vabatahtlikuna alles jätta. See tähendab, et kui teatud juhtudel on see vajalik, jääb see võimalusena alles – näiteks juhul, kui alternatiivina soovitakse rakendada ISO27001, mille üks kohustuslik osa on ka välise audiitori poolne auditeerimine, et saada sertifikaat. Ettepaneku mõte on kaotada liigne bürokraatia. Audit on kulukas ega loo lisaväärtust kui see ei ole vältimatult vajalik – näiteks neile, kes ei soovi ISO sertifikaati. Samuti lasub vastutus meetmete rakendamise eest ettevõttel ja asutusel, kes peab E-ITSi rakendama ja seda sõltumata sellest, kas auditit rakendati või mitte. Lugupidamisega (allkirjastatud digitaalselt) Karmen Joller sotsiaalminister Nele Nisu [email protected]