Vastus
| Dokumendiregister | Justiitsministeerium |
| Viit | 8-1/5574-8 |
| Registreeritud | 07.08.2025 |
| Sünkroonitud | 08.08.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Haiglate Liit |
| Saabumis/saatmisviis | Eesti Haiglate Liit |
| Vastutaja | Guido Pääsuke (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Dokument on kokkuvõtte tegemiseks liiga mahukas
(17705 tm).
Failid
Digiallkirjad
Allkirjade kehtivust ei ole
kontrollitud.
URMAS SULE
PNOEE-36310062728
2025-08-07 08:47:25
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 27.06.2025 nr 8-1/5574-1 Meie: 07.08.2025 nr 154-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule (edaspidi EHL) kooskõlastamiseks ja arvamuse avaldamiseks Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu.
Olles eelnõuga tutvunud, edastame EHLi liikmete tagasiside.
Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu (edaspidi määruse) ja eelkõige selle lisa 1, on sõnastatud viisil, mis jätab selles sätestatud nõuete sisu tõlgendamise liiga avatuks ning laialivalguvaks. Sõnastuste ebaselgus raskendab nõuete üheselt mõistetavat rakendamist ning tekitab õigusselguse puudumist, eriti arvestades, et tegemist on siduvate ja võimalike järelevalvemeetmete aluseks olevate kohustustega. Tõhusa ja proportsionaalse rakendamise huvides peame oluliseks, et nõuded oleksid selgelt piiritletud, tehniliselt rakendatavad ning üheselt mõistetavad nii haigla kui elutähtsa teenuse osutaja kui ka järelevalveasutuste jaoks.
Määruses (seletuskirjas) ei ole piisavalt selgitatud ega ole arusaadav, miks on määruse täiendamisel §-ga 51 vajalik kehtestada määruse lisa näol täiendav „esmaste turvameetmete“ loetelu kõikidele teenuse osutajatele. Kehtiv Eesti Infoturbestandard (E-ITS) ja rahvusvaheline standard ISO/IEC 27001 juba käsitlevad neid teemasid süsteemselt. Seetõttu leiame, et määruse lisa, milles sätestatakse esmased turvameetmed, peaks kohalduma üksnes nendele asutustele ja ettevõtetele, keda eesmärk otseselt puudutab, et nende võrgu- ja infosüsteemidele rakendatud meetmeid saaks lugeda piisavalt vastavuses olevaks küberturvalisuse seadusega. Samas peaks nimetatud lisa kohaldumist välistama nende teenuse osutajate suhtes, kes on kohustatud rakendama E-ITS, sh tervishoiuteenuse osutajad kui elutähtsa teenuse osutajad. Määruse seletuskirjas ei ole piisava selgusega lahti kirjeldatud lisa 1 nõuded selliselt, et neist oleks võimalik üheselt aru saada ja nõuete täitmist valideerida.
Määrus ja selle lisa tekitavad olulise erinevuse E-ITS kohaldamises tervishoiuteenuse osutaja kui elutähtsa teenuse osutaja poolt. E-ITSi kohaselt valib teenuse osutaja enda tegevuse suhtes kohased turvameetmed, arvestades turbe eesmärke, määratud kaitsetarvet ning standardis sätestatud põhimõtteid. Määruse muudatuse jõustudes senine valikuline ja teenuse osutaja kaalutlusest lähtuv protsess muutub ning rakendub kohustus rakendada vähemalt määruse lisas toodud „esmased turvameetmed“. Selline muutus toob kaasa ka muudatuse küberturvalisuse seadusega ettenähtud teenuse osutaja kohustuste mahus.
Määrus ja selle lisa ei ole läbivalt terminoloogiliselt ühtsed. Sageli kasutatakse sarnase või sama tähendusega mõisteid erinevas sõnastuses. Näiteks kasutatakse üheaegselt mõisteid „võrgu- ja infosüsteemide turvareeglid“ (p 1.2.) ja „infoturbereeglid“ (p 2.1.) või selliseid mõisteid nagu „infotehnoloogiavarad“ (p 1.4.), „infotehnoloogiaseade“ (p 1.5.) või „infotehnoloogiavahend“ (p 2.2.). Viimaste osas on tegemist mõistetega, millel puuduvad legaaldefinitsioonid, nt ka mõistel „küberhügieen“ (p 2.1). Määruses ja selle lisas on väljutud küberturvalisuse seaduses, Vabariigi Valitsuse määruses „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning E-ITSis kasutatavatest mõistetest ning kasutusele võetud uued mõisted. Kui E-ITS määratleb turvameetmeid kui põhi-, standard- või kõrgturvameetmeid, siis määruses on kasutatud mõisteid „esmased turvameetmed“ ja „lisaturvameetmed“.
Määruse ja selle lisa osas esineb süstemaatilist ja sõnastuslikku ebaselgust. Määruse seletuskirjas on selgitatud, et § 51 lisamise eesmärk on kehtestada teenuse osutajale kohustus rakendada määruse lisas toodud „esmaseid turvameetmeid“. Samas sõnastuslikult kohustab määrus teenuse osutajat üksnes „esmaste turvameetmete rakendamiseks“ ette nägema üksikasjalikke meetmeid sättes mainitud turbevaldkondades. Seega määruses kasutatud sõnastuses puudub eesmärgina seatav kohustus rakendada määruse lisas nimetatud „esmaseid turvameetmeid“.
Määruses ja selle lisas esitatud nõuete osas on kaheldav esitatud nõuete vastavus hea õigusloome tavadele, eeskätt õigusselguse, proportsionaalsuse ja rakendatavuse põhimõtetele. Kohustused on mitmel juhul sõnastatud üldsõnaliselt, ilma piisava määratletuseta, mis ei võimalda normi adressaadil – tervishoiuteenuse osutajal kui elutähtsa teenuse osutajal – mõistlikul viisil hinnata, milline tegevus oleks nõuetele vastav ning milliste meetmete rakendamine tagaks tervishoiuteenuse osutajale seatud kohustuste täitmise. Nõuded on esitatud liiga üldiselt ega võimalda aru saada, millisel viisil ja milliseid meetmeid kasutades on sätestatud nõuded täidetud ja saavutatud sätte eesmärgiga kooskõlas olev käitumine. Minimaalselt tuleb täiendada seletuskirja ning lahti kirjutada määruses ja selle lisas esitatud nõuete sisu ning vajadusel see varustada näitlikustatud soovitava käitumise kirjeldusega.
Vastavalt määruse § 2 on määrus ja selle lisa kavavandatud jõustuma 1.septembril 2025. Määrus ei näe ette määruse rakendumise erinevust määruse jõustumisest. Selline lühike jõustumise ja rakendamise aeg alahindab kavandatavate kohustuslike turvameetmete mõju ja rakendamise keerukust. Seejuures puudub analüüs määruse ja selle lisa rakendamisega kõikidele teenuse osutajatele kaasneva märkimisväärse täiendava halduskoormuse kohta.
Arvestades, et meetmed on valdavalt sõnastatud liiga üldiselt, on selliselt sõnastatud nõuete täitmiseks mõeldud meetmete hulk vastavuses sellise üldistuse astmega - mida üldisemad on nõuded, seda suurem on nende täitmiseks vajalike turvameetmete hulk. See ei võimalda hoomata turvameetme rakendamise kulu suurust, et tagada sellise üldise nõudega kaasnevate kohustuste eesmärgipärane täitmine ja võimekus vastavaid kulusid kanda.
Tervishoiuteenuste osutamisel peab tervishoiuteenuse osutamisega kaasnevad täiendavad kulud, sh küberturvalisuse saavutamiseks tervishoiuteenuse osutajale kohustuslikuks rakendamiseks ettenähtud meetmete rakendamise kulu olema tervishoiuteenuse osutajale eelarveliste vahenditena tagatud. Tervisekassa poolt eraldatavad rahalised vahendid ei arvesta tervishoiuteenuse osutajatele kehtestatud kohustuste täitmise kuluga, sh määruse ja selle lisa kohaste turvameetmete rakendamise ja käigushoiu kuludega.
Määrus ja selle lisa sisaldavad mitmeid nõudeid, mille praktiline rakendatavus on küsitav, mille tegelik mõju turvalisuse tasemele jääb ebamääraseks või mis dubleerivad juba olemasolevaid õigusakte. Näiteks ruumides tuleohutuse tagamise nõue on juba piisavalt ja detailselt reguleeritud tuleohutuse seadusega ning isikuandmete töötlemist ja kaitset reguleerib Euroopa Liidu isikuandmete kaitse üldmäärus ja isikuandmete kaitse seadus. Selliste korduvate või ebamääraselt sõnastatud nõuete lisamine võib vähendada määruse terviklikkust ja tekitada segadust nende kohaldamisel, ilma et see looks sisulist lisaväärtust küberturvalisuse tagamisel.
Järgnevalt esitame EHLi ettepanekud Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ lisa täiendamiseks ja muutmiseks.
1. Lisa punkt 1.5 kohaselt peab teenuse osutaja määrama igale infotehnoloogiaseadmele vastutava kasutaja.
Ettepanek muuta sõna „igale“ sõnaks „kõikidele“, kuna sõna „kõikidele“ kasutamine võimaldab seadmetele vastutajaid määrata ka grupeeritult. Samuti teeme ettepaneku eemaldada mõiste „kasutaja“ ning sõnastada punkt 1.5 järgmiselt: „Määrama kõikidele infotehnoloogiaseadmetele vastutajad.“
2. Lisa punkt 2.6 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas hoidma pääsuks vajalikke vahendeid teistele kättesaamatuna, sealhulgas salasõnad ja räsid.
Ettepanek asendada sõna „teistele“ sõnadega „volitamata isikutele“ ja sõnastada punkt 2.6 järgmiselt: „Hoidma pääsuks vajalikke vahendeid, sealhulgas salasõnu ja räsisid, volitamata isikutele kättesaamatuna.“
3. Lisa punkt 2.7 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama võrgu- ja infosüsteemis vaid kontrollitud ning arvele võetud andmekandjaid ning keelama kontrollimata või tundmatute infotehnoloogiavahendite kasutamise.
Ettepanek jätta ära nõue „kontrollimata“, kuna kontrollimise mõistet pole defineeritud. Asendada mõiste „andmekandjaid“ mõistega „irdandmekandjaid“ ning „tundmata“ mõistega „volitamata“.
Ettepanek sõnastada punkt 2.7 järgmiselt: „Kasutama võrgu- ja infosüsteemis ainult arvele võetud irdandmekandjaid ning keelama volitamata infotehnoloogiavahendite kasutamise.“
4. Lisa punkt 2.8 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama infotehnoloogiaseadmeid ja andmekandjaid heaperemehelikult ning mitte jätma neid järelevalveta.
Meie hinnangul ei loo see punkt selle määruse ja infoturbe kontekstis lisaväärtust ning sõna „järelevalve“ on liiga kitsatähenduslik. Soovitame kaaluda selle punkti eemaldamist määrusest.
5. Lisa punkt 3.4 kohaselt peab teenuse osutaja andmeturbe valdkonnas eelistama digitaalset allkirjastamist olulise teabe kinnitamiseks.
Punkti sisu on arusaamatu ja põhjendamatu. Teeme ettepaneku selgitada, millistel juhtudel ja millist digitaalset allkirjastamist on punktis mõeldud või punkt määrusest eemaldada.
6. Lisa punkt 4.1 kohaselt peab teenuse osutaja tarnijate ja väliste teenuste osutajate halduse valdkonnas tundma oma tarnijaid ja väliste teenuste osutajaid ning nende tausta kogu tarneahela ulatuses ning rakendama meetmeid lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest tarnijate kohta.
Ettepanek sõnastada punkt ümber vähem absolutiseerivas sõnastuses. Mõiste „tundma“ on ebaselge ning võimatu on nõuet täita kogu tarneahela ulatuses.
Ettepanek sõnastada punkt 4.1 järgmiselt: „Omama ülevaadet oma olulistest tarnijatest ja väliste teenuste osutajatest ning nende taustast. Saadud teabe põhjal tuleb rakendada asjakohaseid turvameetmeid, lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest.“
7. Lisa punkt 6.1 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas kasutama turvalist ja ajakohastatud veebibrauserit.
Nõue on liiga üldistav. Oleme nõus ajakohastatud veebibrauseri kasutamise nõudega, kuid mõiste „turvaline veebibrauser“ on määruses defineerimata, mistõttu tuleks kaaluda nõudest sellisel kujul loobumist või täpsustada, milline on turvaline veebibrauser.
8. Lisa punkt 6.3 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas järgima turvalise e-kirjavahetuse põhimõtteid ja vältima tundmatute manuste või hüperlinkide avamist.
Haiglate hinnangul ei sobi see nõue seadusloome tasandile, vaid on pigem organisatsioonide sisekordade reguleerida. Tundmatute manuste ja hüperlinkide avamist ei ole võimalik täielikult vältida. Teeme ettepaneku loobuda nõudest määruse tasandil.
9. Lisa punkt 6.5 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas eristama ja vältima ebaturvaliste veebilehtede ja rakendusliideste kasutamist.
Haiglate hinnangul ei ole võimalik seda nõuet täita, kuna ei ole defineeritud, milline on ebaturvaline veebileht või rakendusliides ning nende täielik vältimine ei ole organisatsiooniliselt ega tehniliselt võimalik.
10. Lisa punkt 7.3 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas pidama arvestust kasutatava tarkvara, tarkvara nõrkuste ja litsentside üle ning uuendama litsentse õigel ajal.
Ettepanek asendada mõiste „nõrkuste“ mõistega „haavatavuste“ (vulnerability) ning asendada „õigel ajal“ sõnaga „õigeaegselt“.
Ettepanek sõnastada punkt 7.3 järgmiselt: „Pidama arvestust kasutatava tarkvara, selle haavatavuste ja litsentside üle ning uuendama litsentse õigeaegselt.“
11. Lisa punkt 7.4 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas kasutama turvalist, usaldusväärset ja kehtiva toega tarkvara, sealhulgas eemaldama infotehnoloogiaseadmetest ja telefonidest tarkvara, mis on aegunud või mida ei kasutata.
Haiglates on kliiniliselt kasutusel meditsiiniseadmeid, mis töötavad aegunud tarkvaraga. Nende väljavahetamine ei ole alati tehniliselt (seadme tootja ei toeta tarkvarauuendusi) ja finantsiliselt võimalik ega otstarbekas, sest kulud võivad ulatuda kümnetesse või sadadesse miljonitesse eurodesse. Selliste seadmete turvaliseks kasutamiseks rakendatakse lisaturvameetmeid vastavalt riskianalüüsile. Telefonidest tarkvara eemaldamise nõue on liiga absoluutne ja ilma keskhalduslahenduseta tekitaks ebaproportsionaalselt suure halduskoormuse.
Ettepanek sõnastada nõue selliselt, et loobutakse meditsiiniseadmete (vms seadmed) puhul sellest nõudest, kui seadmete turvaliseks kasutamiseks rakendatakse riskianalüüsist tulenevaid lisaturvameetmeid.
12. Lisa punkt 7.7 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas krüpteerima olulist teavet töötleva seadme kõvaketta ja teavet sisaldavad välised kõvakettad ajakohast krüptograafilist meedet kasutades.
Nõue on liiga absoluutne. Nõustume, et teatud tööjaamades kasutatavad ja kaasaskantavad salvestusseadmed vajavad krüpteerimist, kuid kõigi salvestusseadmete krüpteerimine ei ole teostatav. Selline nõue suurendab riske toimepidevusele ning tekitab asutustele märkimisväärse administratiivkoormuse ja investeerimisvajaduse.
Teeme ettepaneku lubada asutustel lähtuda oma riskihinnangutest krüpteerimise rakendamise vajaduse määramisel.
13. Lisa punkt 7.12 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama asjakohaseid lisaturvameetmeid oma serveri kaitsmiseks.
Jääb selgusetuks, millised on turvameetmed, millised on rakendamist vajavad lisaturvameetmed ja millised neist on asjakohased.
Ettepanek loobuda nõudest sellisel kujul või täpsustada, milliseid meetmeid peab rakendama.
14. Lisa punkt 7.13 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama automaatika- või muu andmesideühendusega seadme kasutamise korral lisaturvameetmeid või keelama seadmes andmeside kasutamise, sealhulgas kaughalduse.
Jääb arusaamatuks, mis on automaatikasideühendus ja mis on muu andmesideühendus. Samuti on selgusetu, millised on lisaturvameetmed ja millal tuleb andmeside kasutamine keelata.
15. Lisa punkt 8.2 kohaselt peab teenuse osutaja sideühenduste ja võrgu kaitse valdkonnas piirama juurdepääsu avalikust võrgust sisevõrgus olevatele seadmetele, sealhulgas kasutama tulemüüri.
Ettepanek sõnastada nõue selgemalt ja arusaadavamalt ning vältida mõistete „avalik võrk“ ja „sisevõrk“ kasutamist.
Teeme ettepaneku sõnastada punkt 8.2 järgmiselt: „Piirama volitamata juurdepääsu infosüsteemidele ja seadmetele väliste võrkude kaudu, kasutades tulemüüri või samaväärset turvalahendust.“
16. Lõpetuseks esitame tagasiside määruse lisa punktide 3.2, 3.3, 3.5, 3.6, 3.7, 6.2, 7.7, 7.8 ja 7.11 osas.
Nimetatud punktides ei ole täpsustatud, milliseid andmeid või teavet soovitakse reguleerida, mistõttu hõlmavad need kõike, sealhulgas avalikku teavet ja avalikke andmeid.
Haiglate hinnangul ei ole nõuded sellisel kujul otstarbekad. Juurdepääsuga andmed ja teave on juba reguleeritud isikuandmete kaitse seaduses.
Teeme ettepaneku täpsustada sõnastust, milliste andmete ja teabe osas nõudeid tuleb täita, või kaaluda määruses nõuetest sellisel kujul loobumist.
Täname veelkord võimaluse eest anda tagasisidet Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõule ja palume esitatud ettepanekuid arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 27.06.2025 nr 8-1/5574-1 Meie: 07.08.2025 nr 154-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule (edaspidi EHL) kooskõlastamiseks ja arvamuse avaldamiseks Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu.
Olles eelnõuga tutvunud, edastame EHLi liikmete tagasiside.
Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu (edaspidi määruse) ja eelkõige selle lisa 1, on sõnastatud viisil, mis jätab selles sätestatud nõuete sisu tõlgendamise liiga avatuks ning laialivalguvaks. Sõnastuste ebaselgus raskendab nõuete üheselt mõistetavat rakendamist ning tekitab õigusselguse puudumist, eriti arvestades, et tegemist on siduvate ja võimalike järelevalvemeetmete aluseks olevate kohustustega. Tõhusa ja proportsionaalse rakendamise huvides peame oluliseks, et nõuded oleksid selgelt piiritletud, tehniliselt rakendatavad ning üheselt mõistetavad nii haigla kui elutähtsa teenuse osutaja kui ka järelevalveasutuste jaoks.
Määruses (seletuskirjas) ei ole piisavalt selgitatud ega ole arusaadav, miks on määruse täiendamisel §-ga 51 vajalik kehtestada määruse lisa näol täiendav „esmaste turvameetmete“ loetelu kõikidele teenuse osutajatele. Kehtiv Eesti Infoturbestandard (E-ITS) ja rahvusvaheline standard ISO/IEC 27001 juba käsitlevad neid teemasid süsteemselt. Seetõttu leiame, et määruse lisa, milles sätestatakse esmased turvameetmed, peaks kohalduma üksnes nendele asutustele ja ettevõtetele, keda eesmärk otseselt puudutab, et nende võrgu- ja infosüsteemidele rakendatud meetmeid saaks lugeda piisavalt vastavuses olevaks küberturvalisuse seadusega. Samas peaks nimetatud lisa kohaldumist välistama nende teenuse osutajate suhtes, kes on kohustatud rakendama E-ITS, sh tervishoiuteenuse osutajad kui elutähtsa teenuse osutajad. Määruse seletuskirjas ei ole piisava selgusega lahti kirjeldatud lisa 1 nõuded selliselt, et neist oleks võimalik üheselt aru saada ja nõuete täitmist valideerida.
Määrus ja selle lisa tekitavad olulise erinevuse E-ITS kohaldamises tervishoiuteenuse osutaja kui elutähtsa teenuse osutaja poolt. E-ITSi kohaselt valib teenuse osutaja enda tegevuse suhtes kohased turvameetmed, arvestades turbe eesmärke, määratud kaitsetarvet ning standardis sätestatud põhimõtteid. Määruse muudatuse jõustudes senine valikuline ja teenuse osutaja kaalutlusest lähtuv protsess muutub ning rakendub kohustus rakendada vähemalt määruse lisas toodud „esmased turvameetmed“. Selline muutus toob kaasa ka muudatuse küberturvalisuse seadusega ettenähtud teenuse osutaja kohustuste mahus.
Määrus ja selle lisa ei ole läbivalt terminoloogiliselt ühtsed. Sageli kasutatakse sarnase või sama tähendusega mõisteid erinevas sõnastuses. Näiteks kasutatakse üheaegselt mõisteid „võrgu- ja infosüsteemide turvareeglid“ (p 1.2.) ja „infoturbereeglid“ (p 2.1.) või selliseid mõisteid nagu „infotehnoloogiavarad“ (p 1.4.), „infotehnoloogiaseade“ (p 1.5.) või „infotehnoloogiavahend“ (p 2.2.). Viimaste osas on tegemist mõistetega, millel puuduvad legaaldefinitsioonid, nt ka mõistel „küberhügieen“ (p 2.1). Määruses ja selle lisas on väljutud küberturvalisuse seaduses, Vabariigi Valitsuse määruses „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning E-ITSis kasutatavatest mõistetest ning kasutusele võetud uued mõisted. Kui E-ITS määratleb turvameetmeid kui põhi-, standard- või kõrgturvameetmeid, siis määruses on kasutatud mõisteid „esmased turvameetmed“ ja „lisaturvameetmed“.
Määruse ja selle lisa osas esineb süstemaatilist ja sõnastuslikku ebaselgust. Määruse seletuskirjas on selgitatud, et § 51 lisamise eesmärk on kehtestada teenuse osutajale kohustus rakendada määruse lisas toodud „esmaseid turvameetmeid“. Samas sõnastuslikult kohustab määrus teenuse osutajat üksnes „esmaste turvameetmete rakendamiseks“ ette nägema üksikasjalikke meetmeid sättes mainitud turbevaldkondades. Seega määruses kasutatud sõnastuses puudub eesmärgina seatav kohustus rakendada määruse lisas nimetatud „esmaseid turvameetmeid“.
Määruses ja selle lisas esitatud nõuete osas on kaheldav esitatud nõuete vastavus hea õigusloome tavadele, eeskätt õigusselguse, proportsionaalsuse ja rakendatavuse põhimõtetele. Kohustused on mitmel juhul sõnastatud üldsõnaliselt, ilma piisava määratletuseta, mis ei võimalda normi adressaadil – tervishoiuteenuse osutajal kui elutähtsa teenuse osutajal – mõistlikul viisil hinnata, milline tegevus oleks nõuetele vastav ning milliste meetmete rakendamine tagaks tervishoiuteenuse osutajale seatud kohustuste täitmise. Nõuded on esitatud liiga üldiselt ega võimalda aru saada, millisel viisil ja milliseid meetmeid kasutades on sätestatud nõuded täidetud ja saavutatud sätte eesmärgiga kooskõlas olev käitumine. Minimaalselt tuleb täiendada seletuskirja ning lahti kirjutada määruses ja selle lisas esitatud nõuete sisu ning vajadusel see varustada näitlikustatud soovitava käitumise kirjeldusega.
Vastavalt määruse § 2 on määrus ja selle lisa kavavandatud jõustuma 1.septembril 2025. Määrus ei näe ette määruse rakendumise erinevust määruse jõustumisest. Selline lühike jõustumise ja rakendamise aeg alahindab kavandatavate kohustuslike turvameetmete mõju ja rakendamise keerukust. Seejuures puudub analüüs määruse ja selle lisa rakendamisega kõikidele teenuse osutajatele kaasneva märkimisväärse täiendava halduskoormuse kohta.
Arvestades, et meetmed on valdavalt sõnastatud liiga üldiselt, on selliselt sõnastatud nõuete täitmiseks mõeldud meetmete hulk vastavuses sellise üldistuse astmega - mida üldisemad on nõuded, seda suurem on nende täitmiseks vajalike turvameetmete hulk. See ei võimalda hoomata turvameetme rakendamise kulu suurust, et tagada sellise üldise nõudega kaasnevate kohustuste eesmärgipärane täitmine ja võimekus vastavaid kulusid kanda.
Tervishoiuteenuste osutamisel peab tervishoiuteenuse osutamisega kaasnevad täiendavad kulud, sh küberturvalisuse saavutamiseks tervishoiuteenuse osutajale kohustuslikuks rakendamiseks ettenähtud meetmete rakendamise kulu olema tervishoiuteenuse osutajale eelarveliste vahenditena tagatud. Tervisekassa poolt eraldatavad rahalised vahendid ei arvesta tervishoiuteenuse osutajatele kehtestatud kohustuste täitmise kuluga, sh määruse ja selle lisa kohaste turvameetmete rakendamise ja käigushoiu kuludega.
Määrus ja selle lisa sisaldavad mitmeid nõudeid, mille praktiline rakendatavus on küsitav, mille tegelik mõju turvalisuse tasemele jääb ebamääraseks või mis dubleerivad juba olemasolevaid õigusakte. Näiteks ruumides tuleohutuse tagamise nõue on juba piisavalt ja detailselt reguleeritud tuleohutuse seadusega ning isikuandmete töötlemist ja kaitset reguleerib Euroopa Liidu isikuandmete kaitse üldmäärus ja isikuandmete kaitse seadus. Selliste korduvate või ebamääraselt sõnastatud nõuete lisamine võib vähendada määruse terviklikkust ja tekitada segadust nende kohaldamisel, ilma et see looks sisulist lisaväärtust küberturvalisuse tagamisel.
Järgnevalt esitame EHLi ettepanekud Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ lisa täiendamiseks ja muutmiseks.
1. Lisa punkt 1.5 kohaselt peab teenuse osutaja määrama igale infotehnoloogiaseadmele vastutava kasutaja.
Ettepanek muuta sõna „igale“ sõnaks „kõikidele“, kuna sõna „kõikidele“ kasutamine võimaldab seadmetele vastutajaid määrata ka grupeeritult. Samuti teeme ettepaneku eemaldada mõiste „kasutaja“ ning sõnastada punkt 1.5 järgmiselt: „Määrama kõikidele infotehnoloogiaseadmetele vastutajad.“
2. Lisa punkt 2.6 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas hoidma pääsuks vajalikke vahendeid teistele kättesaamatuna, sealhulgas salasõnad ja räsid.
Ettepanek asendada sõna „teistele“ sõnadega „volitamata isikutele“ ja sõnastada punkt 2.6 järgmiselt: „Hoidma pääsuks vajalikke vahendeid, sealhulgas salasõnu ja räsisid, volitamata isikutele kättesaamatuna.“
3. Lisa punkt 2.7 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama võrgu- ja infosüsteemis vaid kontrollitud ning arvele võetud andmekandjaid ning keelama kontrollimata või tundmatute infotehnoloogiavahendite kasutamise.
Ettepanek jätta ära nõue „kontrollimata“, kuna kontrollimise mõistet pole defineeritud. Asendada mõiste „andmekandjaid“ mõistega „irdandmekandjaid“ ning „tundmata“ mõistega „volitamata“.
Ettepanek sõnastada punkt 2.7 järgmiselt: „Kasutama võrgu- ja infosüsteemis ainult arvele võetud irdandmekandjaid ning keelama volitamata infotehnoloogiavahendite kasutamise.“
4. Lisa punkt 2.8 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama infotehnoloogiaseadmeid ja andmekandjaid heaperemehelikult ning mitte jätma neid järelevalveta.
Meie hinnangul ei loo see punkt selle määruse ja infoturbe kontekstis lisaväärtust ning sõna „järelevalve“ on liiga kitsatähenduslik. Soovitame kaaluda selle punkti eemaldamist määrusest.
5. Lisa punkt 3.4 kohaselt peab teenuse osutaja andmeturbe valdkonnas eelistama digitaalset allkirjastamist olulise teabe kinnitamiseks.
Punkti sisu on arusaamatu ja põhjendamatu. Teeme ettepaneku selgitada, millistel juhtudel ja millist digitaalset allkirjastamist on punktis mõeldud või punkt määrusest eemaldada.
6. Lisa punkt 4.1 kohaselt peab teenuse osutaja tarnijate ja väliste teenuste osutajate halduse valdkonnas tundma oma tarnijaid ja väliste teenuste osutajaid ning nende tausta kogu tarneahela ulatuses ning rakendama meetmeid lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest tarnijate kohta.
Ettepanek sõnastada punkt ümber vähem absolutiseerivas sõnastuses. Mõiste „tundma“ on ebaselge ning võimatu on nõuet täita kogu tarneahela ulatuses.
Ettepanek sõnastada punkt 4.1 järgmiselt: „Omama ülevaadet oma olulistest tarnijatest ja väliste teenuste osutajatest ning nende taustast. Saadud teabe põhjal tuleb rakendada asjakohaseid turvameetmeid, lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest.“
7. Lisa punkt 6.1 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas kasutama turvalist ja ajakohastatud veebibrauserit.
Nõue on liiga üldistav. Oleme nõus ajakohastatud veebibrauseri kasutamise nõudega, kuid mõiste „turvaline veebibrauser“ on määruses defineerimata, mistõttu tuleks kaaluda nõudest sellisel kujul loobumist või täpsustada, milline on turvaline veebibrauser.
8. Lisa punkt 6.3 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas järgima turvalise e-kirjavahetuse põhimõtteid ja vältima tundmatute manuste või hüperlinkide avamist.
Haiglate hinnangul ei sobi see nõue seadusloome tasandile, vaid on pigem organisatsioonide sisekordade reguleerida. Tundmatute manuste ja hüperlinkide avamist ei ole võimalik täielikult vältida. Teeme ettepaneku loobuda nõudest määruse tasandil.
9. Lisa punkt 6.5 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas eristama ja vältima ebaturvaliste veebilehtede ja rakendusliideste kasutamist.
Haiglate hinnangul ei ole võimalik seda nõuet täita, kuna ei ole defineeritud, milline on ebaturvaline veebileht või rakendusliides ning nende täielik vältimine ei ole organisatsiooniliselt ega tehniliselt võimalik.
10. Lisa punkt 7.3 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas pidama arvestust kasutatava tarkvara, tarkvara nõrkuste ja litsentside üle ning uuendama litsentse õigel ajal.
Ettepanek asendada mõiste „nõrkuste“ mõistega „haavatavuste“ (vulnerability) ning asendada „õigel ajal“ sõnaga „õigeaegselt“.
Ettepanek sõnastada punkt 7.3 järgmiselt: „Pidama arvestust kasutatava tarkvara, selle haavatavuste ja litsentside üle ning uuendama litsentse õigeaegselt.“
11. Lisa punkt 7.4 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas kasutama turvalist, usaldusväärset ja kehtiva toega tarkvara, sealhulgas eemaldama infotehnoloogiaseadmetest ja telefonidest tarkvara, mis on aegunud või mida ei kasutata.
Haiglates on kliiniliselt kasutusel meditsiiniseadmeid, mis töötavad aegunud tarkvaraga. Nende väljavahetamine ei ole alati tehniliselt (seadme tootja ei toeta tarkvarauuendusi) ja finantsiliselt võimalik ega otstarbekas, sest kulud võivad ulatuda kümnetesse või sadadesse miljonitesse eurodesse. Selliste seadmete turvaliseks kasutamiseks rakendatakse lisaturvameetmeid vastavalt riskianalüüsile. Telefonidest tarkvara eemaldamise nõue on liiga absoluutne ja ilma keskhalduslahenduseta tekitaks ebaproportsionaalselt suure halduskoormuse.
Ettepanek sõnastada nõue selliselt, et loobutakse meditsiiniseadmete (vms seadmed) puhul sellest nõudest, kui seadmete turvaliseks kasutamiseks rakendatakse riskianalüüsist tulenevaid lisaturvameetmeid.
12. Lisa punkt 7.7 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas krüpteerima olulist teavet töötleva seadme kõvaketta ja teavet sisaldavad välised kõvakettad ajakohast krüptograafilist meedet kasutades.
Nõue on liiga absoluutne. Nõustume, et teatud tööjaamades kasutatavad ja kaasaskantavad salvestusseadmed vajavad krüpteerimist, kuid kõigi salvestusseadmete krüpteerimine ei ole teostatav. Selline nõue suurendab riske toimepidevusele ning tekitab asutustele märkimisväärse administratiivkoormuse ja investeerimisvajaduse.
Teeme ettepaneku lubada asutustel lähtuda oma riskihinnangutest krüpteerimise rakendamise vajaduse määramisel.
13. Lisa punkt 7.12 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama asjakohaseid lisaturvameetmeid oma serveri kaitsmiseks.
Jääb selgusetuks, millised on turvameetmed, millised on rakendamist vajavad lisaturvameetmed ja millised neist on asjakohased.
Ettepanek loobuda nõudest sellisel kujul või täpsustada, milliseid meetmeid peab rakendama.
14. Lisa punkt 7.13 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama automaatika- või muu andmesideühendusega seadme kasutamise korral lisaturvameetmeid või keelama seadmes andmeside kasutamise, sealhulgas kaughalduse.
Jääb arusaamatuks, mis on automaatikasideühendus ja mis on muu andmesideühendus. Samuti on selgusetu, millised on lisaturvameetmed ja millal tuleb andmeside kasutamine keelata.
15. Lisa punkt 8.2 kohaselt peab teenuse osutaja sideühenduste ja võrgu kaitse valdkonnas piirama juurdepääsu avalikust võrgust sisevõrgus olevatele seadmetele, sealhulgas kasutama tulemüüri.
Ettepanek sõnastada nõue selgemalt ja arusaadavamalt ning vältida mõistete „avalik võrk“ ja „sisevõrk“ kasutamist.
Teeme ettepaneku sõnastada punkt 8.2 järgmiselt: „Piirama volitamata juurdepääsu infosüsteemidele ja seadmetele väliste võrkude kaudu, kasutades tulemüüri või samaväärset turvalahendust.“
16. Lõpetuseks esitame tagasiside määruse lisa punktide 3.2, 3.3, 3.5, 3.6, 3.7, 6.2, 7.7, 7.8 ja 7.11 osas.
Nimetatud punktides ei ole täpsustatud, milliseid andmeid või teavet soovitakse reguleerida, mistõttu hõlmavad need kõike, sealhulgas avalikku teavet ja avalikke andmeid.
Haiglate hinnangul ei ole nõuded sellisel kujul otstarbekad. Juurdepääsuga andmed ja teave on juba reguleeritud isikuandmete kaitse seaduses.
Teeme ettepaneku täpsustada sõnastust, milliste andmete ja teabe osas nõudeid tuleb täita, või kaaluda määruses nõuetest sellisel kujul loobumist.
Täname veelkord võimaluse eest anda tagasisidet Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõule ja palume esitatud ettepanekuid arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Edastame Eesti Haiglate Liidu tagasiside Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõule.
Lugupidamisega
Urmas Sule
Juhatuse esimees
From: [email protected] <[email protected]>
Sent: Saturday, June 28, 2025 5:41 PM
To: Finantsinspektsioon <[email protected]>; Eesti Pangaliit <[email protected]>; Eesti Turvaettevõtete Liit <[email protected]>; Eesti Haiglate Liit <[email protected]>; Eesti Arstide Liit <[email protected]>; Eesti Perearstide Selts <[email protected]>; Eesti Vee-ettevõtete Liit <[email protected]>; Eesti Kiirabi Liit <[email protected]>; Ravimitootjate Liit <[email protected]>; Eesti Ravimihulgimüüjate Liit <[email protected]>; Eesti Proviisorapteekide Liit <[email protected]>; Eesti Apteekrite Liit <[email protected]>; Eesti Proviisorite Koda <[email protected]>; Eesti Esmatasandi Tervisekeskuste Liit <[email protected]>; Eesti Elektritööstuse Liit <[email protected]>; Eesti Jõujaamade ja Kaugkütte Ühing <[email protected]>; Eesti Gaasiliit <[email protected]>; Eesti Transpordikütuste Ühing <[email protected]>; Eesti Infotehnoloogia ja Telekommunikatsiooni Liit <[email protected]>; Eesti Kaubandus-Tööstuskoda <[email protected]>; Eesti Põllumajandus-Kaubanduskoda <[email protected]>; Eesti Toiduainetetööstuse Liit <[email protected]>; Eesti Kaupmeeste Liit <[email protected]>
Subject: Eelnõu esitamine kooskõlastamiseks
|
Digiallkirjad
Allkirjade kehtivust ei ole
kontrollitud.
URMAS SULE
PNOEE-36310062728
2025-08-07 08:47:25
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 27.06.2025 nr 8-1/5574-1 Meie: 07.08.2025 nr 154-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule (edaspidi EHL) kooskõlastamiseks ja arvamuse avaldamiseks Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu.
Olles eelnõuga tutvunud, edastame EHLi liikmete tagasiside.
Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu (edaspidi määruse) ja eelkõige selle lisa 1, on sõnastatud viisil, mis jätab selles sätestatud nõuete sisu tõlgendamise liiga avatuks ning laialivalguvaks. Sõnastuste ebaselgus raskendab nõuete üheselt mõistetavat rakendamist ning tekitab õigusselguse puudumist, eriti arvestades, et tegemist on siduvate ja võimalike järelevalvemeetmete aluseks olevate kohustustega. Tõhusa ja proportsionaalse rakendamise huvides peame oluliseks, et nõuded oleksid selgelt piiritletud, tehniliselt rakendatavad ning üheselt mõistetavad nii haigla kui elutähtsa teenuse osutaja kui ka järelevalveasutuste jaoks.
Määruses (seletuskirjas) ei ole piisavalt selgitatud ega ole arusaadav, miks on määruse täiendamisel §-ga 51 vajalik kehtestada määruse lisa näol täiendav „esmaste turvameetmete“ loetelu kõikidele teenuse osutajatele. Kehtiv Eesti Infoturbestandard (E-ITS) ja rahvusvaheline standard ISO/IEC 27001 juba käsitlevad neid teemasid süsteemselt. Seetõttu leiame, et määruse lisa, milles sätestatakse esmased turvameetmed, peaks kohalduma üksnes nendele asutustele ja ettevõtetele, keda eesmärk otseselt puudutab, et nende võrgu- ja infosüsteemidele rakendatud meetmeid saaks lugeda piisavalt vastavuses olevaks küberturvalisuse seadusega. Samas peaks nimetatud lisa kohaldumist välistama nende teenuse osutajate suhtes, kes on kohustatud rakendama E-ITS, sh tervishoiuteenuse osutajad kui elutähtsa teenuse osutajad. Määruse seletuskirjas ei ole piisava selgusega lahti kirjeldatud lisa 1 nõuded selliselt, et neist oleks võimalik üheselt aru saada ja nõuete täitmist valideerida.
Määrus ja selle lisa tekitavad olulise erinevuse E-ITS kohaldamises tervishoiuteenuse osutaja kui elutähtsa teenuse osutaja poolt. E-ITSi kohaselt valib teenuse osutaja enda tegevuse suhtes kohased turvameetmed, arvestades turbe eesmärke, määratud kaitsetarvet ning standardis sätestatud põhimõtteid. Määruse muudatuse jõustudes senine valikuline ja teenuse osutaja kaalutlusest lähtuv protsess muutub ning rakendub kohustus rakendada vähemalt määruse lisas toodud „esmased turvameetmed“. Selline muutus toob kaasa ka muudatuse küberturvalisuse seadusega ettenähtud teenuse osutaja kohustuste mahus.
Määrus ja selle lisa ei ole läbivalt terminoloogiliselt ühtsed. Sageli kasutatakse sarnase või sama tähendusega mõisteid erinevas sõnastuses. Näiteks kasutatakse üheaegselt mõisteid „võrgu- ja infosüsteemide turvareeglid“ (p 1.2.) ja „infoturbereeglid“ (p 2.1.) või selliseid mõisteid nagu „infotehnoloogiavarad“ (p 1.4.), „infotehnoloogiaseade“ (p 1.5.) või „infotehnoloogiavahend“ (p 2.2.). Viimaste osas on tegemist mõistetega, millel puuduvad legaaldefinitsioonid, nt ka mõistel „küberhügieen“ (p 2.1). Määruses ja selle lisas on väljutud küberturvalisuse seaduses, Vabariigi Valitsuse määruses „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning E-ITSis kasutatavatest mõistetest ning kasutusele võetud uued mõisted. Kui E-ITS määratleb turvameetmeid kui põhi-, standard- või kõrgturvameetmeid, siis määruses on kasutatud mõisteid „esmased turvameetmed“ ja „lisaturvameetmed“.
Määruse ja selle lisa osas esineb süstemaatilist ja sõnastuslikku ebaselgust. Määruse seletuskirjas on selgitatud, et § 51 lisamise eesmärk on kehtestada teenuse osutajale kohustus rakendada määruse lisas toodud „esmaseid turvameetmeid“. Samas sõnastuslikult kohustab määrus teenuse osutajat üksnes „esmaste turvameetmete rakendamiseks“ ette nägema üksikasjalikke meetmeid sättes mainitud turbevaldkondades. Seega määruses kasutatud sõnastuses puudub eesmärgina seatav kohustus rakendada määruse lisas nimetatud „esmaseid turvameetmeid“.
Määruses ja selle lisas esitatud nõuete osas on kaheldav esitatud nõuete vastavus hea õigusloome tavadele, eeskätt õigusselguse, proportsionaalsuse ja rakendatavuse põhimõtetele. Kohustused on mitmel juhul sõnastatud üldsõnaliselt, ilma piisava määratletuseta, mis ei võimalda normi adressaadil – tervishoiuteenuse osutajal kui elutähtsa teenuse osutajal – mõistlikul viisil hinnata, milline tegevus oleks nõuetele vastav ning milliste meetmete rakendamine tagaks tervishoiuteenuse osutajale seatud kohustuste täitmise. Nõuded on esitatud liiga üldiselt ega võimalda aru saada, millisel viisil ja milliseid meetmeid kasutades on sätestatud nõuded täidetud ja saavutatud sätte eesmärgiga kooskõlas olev käitumine. Minimaalselt tuleb täiendada seletuskirja ning lahti kirjutada määruses ja selle lisas esitatud nõuete sisu ning vajadusel see varustada näitlikustatud soovitava käitumise kirjeldusega.
Vastavalt määruse § 2 on määrus ja selle lisa kavavandatud jõustuma 1.septembril 2025. Määrus ei näe ette määruse rakendumise erinevust määruse jõustumisest. Selline lühike jõustumise ja rakendamise aeg alahindab kavandatavate kohustuslike turvameetmete mõju ja rakendamise keerukust. Seejuures puudub analüüs määruse ja selle lisa rakendamisega kõikidele teenuse osutajatele kaasneva märkimisväärse täiendava halduskoormuse kohta.
Arvestades, et meetmed on valdavalt sõnastatud liiga üldiselt, on selliselt sõnastatud nõuete täitmiseks mõeldud meetmete hulk vastavuses sellise üldistuse astmega - mida üldisemad on nõuded, seda suurem on nende täitmiseks vajalike turvameetmete hulk. See ei võimalda hoomata turvameetme rakendamise kulu suurust, et tagada sellise üldise nõudega kaasnevate kohustuste eesmärgipärane täitmine ja võimekus vastavaid kulusid kanda.
Tervishoiuteenuste osutamisel peab tervishoiuteenuse osutamisega kaasnevad täiendavad kulud, sh küberturvalisuse saavutamiseks tervishoiuteenuse osutajale kohustuslikuks rakendamiseks ettenähtud meetmete rakendamise kulu olema tervishoiuteenuse osutajale eelarveliste vahenditena tagatud. Tervisekassa poolt eraldatavad rahalised vahendid ei arvesta tervishoiuteenuse osutajatele kehtestatud kohustuste täitmise kuluga, sh määruse ja selle lisa kohaste turvameetmete rakendamise ja käigushoiu kuludega.
Määrus ja selle lisa sisaldavad mitmeid nõudeid, mille praktiline rakendatavus on küsitav, mille tegelik mõju turvalisuse tasemele jääb ebamääraseks või mis dubleerivad juba olemasolevaid õigusakte. Näiteks ruumides tuleohutuse tagamise nõue on juba piisavalt ja detailselt reguleeritud tuleohutuse seadusega ning isikuandmete töötlemist ja kaitset reguleerib Euroopa Liidu isikuandmete kaitse üldmäärus ja isikuandmete kaitse seadus. Selliste korduvate või ebamääraselt sõnastatud nõuete lisamine võib vähendada määruse terviklikkust ja tekitada segadust nende kohaldamisel, ilma et see looks sisulist lisaväärtust küberturvalisuse tagamisel.
Järgnevalt esitame EHLi ettepanekud Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ lisa täiendamiseks ja muutmiseks.
1. Lisa punkt 1.5 kohaselt peab teenuse osutaja määrama igale infotehnoloogiaseadmele vastutava kasutaja.
Ettepanek muuta sõna „igale“ sõnaks „kõikidele“, kuna sõna „kõikidele“ kasutamine võimaldab seadmetele vastutajaid määrata ka grupeeritult. Samuti teeme ettepaneku eemaldada mõiste „kasutaja“ ning sõnastada punkt 1.5 järgmiselt: „Määrama kõikidele infotehnoloogiaseadmetele vastutajad.“
2. Lisa punkt 2.6 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas hoidma pääsuks vajalikke vahendeid teistele kättesaamatuna, sealhulgas salasõnad ja räsid.
Ettepanek asendada sõna „teistele“ sõnadega „volitamata isikutele“ ja sõnastada punkt 2.6 järgmiselt: „Hoidma pääsuks vajalikke vahendeid, sealhulgas salasõnu ja räsisid, volitamata isikutele kättesaamatuna.“
3. Lisa punkt 2.7 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama võrgu- ja infosüsteemis vaid kontrollitud ning arvele võetud andmekandjaid ning keelama kontrollimata või tundmatute infotehnoloogiavahendite kasutamise.
Ettepanek jätta ära nõue „kontrollimata“, kuna kontrollimise mõistet pole defineeritud. Asendada mõiste „andmekandjaid“ mõistega „irdandmekandjaid“ ning „tundmata“ mõistega „volitamata“.
Ettepanek sõnastada punkt 2.7 järgmiselt: „Kasutama võrgu- ja infosüsteemis ainult arvele võetud irdandmekandjaid ning keelama volitamata infotehnoloogiavahendite kasutamise.“
4. Lisa punkt 2.8 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama infotehnoloogiaseadmeid ja andmekandjaid heaperemehelikult ning mitte jätma neid järelevalveta.
Meie hinnangul ei loo see punkt selle määruse ja infoturbe kontekstis lisaväärtust ning sõna „järelevalve“ on liiga kitsatähenduslik. Soovitame kaaluda selle punkti eemaldamist määrusest.
5. Lisa punkt 3.4 kohaselt peab teenuse osutaja andmeturbe valdkonnas eelistama digitaalset allkirjastamist olulise teabe kinnitamiseks.
Punkti sisu on arusaamatu ja põhjendamatu. Teeme ettepaneku selgitada, millistel juhtudel ja millist digitaalset allkirjastamist on punktis mõeldud või punkt määrusest eemaldada.
6. Lisa punkt 4.1 kohaselt peab teenuse osutaja tarnijate ja väliste teenuste osutajate halduse valdkonnas tundma oma tarnijaid ja väliste teenuste osutajaid ning nende tausta kogu tarneahela ulatuses ning rakendama meetmeid lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest tarnijate kohta.
Ettepanek sõnastada punkt ümber vähem absolutiseerivas sõnastuses. Mõiste „tundma“ on ebaselge ning võimatu on nõuet täita kogu tarneahela ulatuses.
Ettepanek sõnastada punkt 4.1 järgmiselt: „Omama ülevaadet oma olulistest tarnijatest ja väliste teenuste osutajatest ning nende taustast. Saadud teabe põhjal tuleb rakendada asjakohaseid turvameetmeid, lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest.“
7. Lisa punkt 6.1 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas kasutama turvalist ja ajakohastatud veebibrauserit.
Nõue on liiga üldistav. Oleme nõus ajakohastatud veebibrauseri kasutamise nõudega, kuid mõiste „turvaline veebibrauser“ on määruses defineerimata, mistõttu tuleks kaaluda nõudest sellisel kujul loobumist või täpsustada, milline on turvaline veebibrauser.
8. Lisa punkt 6.3 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas järgima turvalise e-kirjavahetuse põhimõtteid ja vältima tundmatute manuste või hüperlinkide avamist.
Haiglate hinnangul ei sobi see nõue seadusloome tasandile, vaid on pigem organisatsioonide sisekordade reguleerida. Tundmatute manuste ja hüperlinkide avamist ei ole võimalik täielikult vältida. Teeme ettepaneku loobuda nõudest määruse tasandil.
9. Lisa punkt 6.5 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas eristama ja vältima ebaturvaliste veebilehtede ja rakendusliideste kasutamist.
Haiglate hinnangul ei ole võimalik seda nõuet täita, kuna ei ole defineeritud, milline on ebaturvaline veebileht või rakendusliides ning nende täielik vältimine ei ole organisatsiooniliselt ega tehniliselt võimalik.
10. Lisa punkt 7.3 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas pidama arvestust kasutatava tarkvara, tarkvara nõrkuste ja litsentside üle ning uuendama litsentse õigel ajal.
Ettepanek asendada mõiste „nõrkuste“ mõistega „haavatavuste“ (vulnerability) ning asendada „õigel ajal“ sõnaga „õigeaegselt“.
Ettepanek sõnastada punkt 7.3 järgmiselt: „Pidama arvestust kasutatava tarkvara, selle haavatavuste ja litsentside üle ning uuendama litsentse õigeaegselt.“
11. Lisa punkt 7.4 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas kasutama turvalist, usaldusväärset ja kehtiva toega tarkvara, sealhulgas eemaldama infotehnoloogiaseadmetest ja telefonidest tarkvara, mis on aegunud või mida ei kasutata.
Haiglates on kliiniliselt kasutusel meditsiiniseadmeid, mis töötavad aegunud tarkvaraga. Nende väljavahetamine ei ole alati tehniliselt (seadme tootja ei toeta tarkvarauuendusi) ja finantsiliselt võimalik ega otstarbekas, sest kulud võivad ulatuda kümnetesse või sadadesse miljonitesse eurodesse. Selliste seadmete turvaliseks kasutamiseks rakendatakse lisaturvameetmeid vastavalt riskianalüüsile. Telefonidest tarkvara eemaldamise nõue on liiga absoluutne ja ilma keskhalduslahenduseta tekitaks ebaproportsionaalselt suure halduskoormuse.
Ettepanek sõnastada nõue selliselt, et loobutakse meditsiiniseadmete (vms seadmed) puhul sellest nõudest, kui seadmete turvaliseks kasutamiseks rakendatakse riskianalüüsist tulenevaid lisaturvameetmeid.
12. Lisa punkt 7.7 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas krüpteerima olulist teavet töötleva seadme kõvaketta ja teavet sisaldavad välised kõvakettad ajakohast krüptograafilist meedet kasutades.
Nõue on liiga absoluutne. Nõustume, et teatud tööjaamades kasutatavad ja kaasaskantavad salvestusseadmed vajavad krüpteerimist, kuid kõigi salvestusseadmete krüpteerimine ei ole teostatav. Selline nõue suurendab riske toimepidevusele ning tekitab asutustele märkimisväärse administratiivkoormuse ja investeerimisvajaduse.
Teeme ettepaneku lubada asutustel lähtuda oma riskihinnangutest krüpteerimise rakendamise vajaduse määramisel.
13. Lisa punkt 7.12 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama asjakohaseid lisaturvameetmeid oma serveri kaitsmiseks.
Jääb selgusetuks, millised on turvameetmed, millised on rakendamist vajavad lisaturvameetmed ja millised neist on asjakohased.
Ettepanek loobuda nõudest sellisel kujul või täpsustada, milliseid meetmeid peab rakendama.
14. Lisa punkt 7.13 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama automaatika- või muu andmesideühendusega seadme kasutamise korral lisaturvameetmeid või keelama seadmes andmeside kasutamise, sealhulgas kaughalduse.
Jääb arusaamatuks, mis on automaatikasideühendus ja mis on muu andmesideühendus. Samuti on selgusetu, millised on lisaturvameetmed ja millal tuleb andmeside kasutamine keelata.
15. Lisa punkt 8.2 kohaselt peab teenuse osutaja sideühenduste ja võrgu kaitse valdkonnas piirama juurdepääsu avalikust võrgust sisevõrgus olevatele seadmetele, sealhulgas kasutama tulemüüri.
Ettepanek sõnastada nõue selgemalt ja arusaadavamalt ning vältida mõistete „avalik võrk“ ja „sisevõrk“ kasutamist.
Teeme ettepaneku sõnastada punkt 8.2 järgmiselt: „Piirama volitamata juurdepääsu infosüsteemidele ja seadmetele väliste võrkude kaudu, kasutades tulemüüri või samaväärset turvalahendust.“
16. Lõpetuseks esitame tagasiside määruse lisa punktide 3.2, 3.3, 3.5, 3.6, 3.7, 6.2, 7.7, 7.8 ja 7.11 osas.
Nimetatud punktides ei ole täpsustatud, milliseid andmeid või teavet soovitakse reguleerida, mistõttu hõlmavad need kõike, sealhulgas avalikku teavet ja avalikke andmeid.
Haiglate hinnangul ei ole nõuded sellisel kujul otstarbekad. Juurdepääsuga andmed ja teave on juba reguleeritud isikuandmete kaitse seaduses.
Teeme ettepaneku täpsustada sõnastust, milliste andmete ja teabe osas nõudeid tuleb täita, või kaaluda määruses nõuetest sellisel kujul loobumist.
Täname veelkord võimaluse eest anda tagasisidet Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõule ja palume esitatud ettepanekuid arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 27.06.2025 nr 8-1/5574-1 Meie: 07.08.2025 nr 154-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule (edaspidi EHL) kooskõlastamiseks ja arvamuse avaldamiseks Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu.
Olles eelnõuga tutvunud, edastame EHLi liikmete tagasiside.
Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõu (edaspidi määruse) ja eelkõige selle lisa 1, on sõnastatud viisil, mis jätab selles sätestatud nõuete sisu tõlgendamise liiga avatuks ning laialivalguvaks. Sõnastuste ebaselgus raskendab nõuete üheselt mõistetavat rakendamist ning tekitab õigusselguse puudumist, eriti arvestades, et tegemist on siduvate ja võimalike järelevalvemeetmete aluseks olevate kohustustega. Tõhusa ja proportsionaalse rakendamise huvides peame oluliseks, et nõuded oleksid selgelt piiritletud, tehniliselt rakendatavad ning üheselt mõistetavad nii haigla kui elutähtsa teenuse osutaja kui ka järelevalveasutuste jaoks.
Määruses (seletuskirjas) ei ole piisavalt selgitatud ega ole arusaadav, miks on määruse täiendamisel §-ga 51 vajalik kehtestada määruse lisa näol täiendav „esmaste turvameetmete“ loetelu kõikidele teenuse osutajatele. Kehtiv Eesti Infoturbestandard (E-ITS) ja rahvusvaheline standard ISO/IEC 27001 juba käsitlevad neid teemasid süsteemselt. Seetõttu leiame, et määruse lisa, milles sätestatakse esmased turvameetmed, peaks kohalduma üksnes nendele asutustele ja ettevõtetele, keda eesmärk otseselt puudutab, et nende võrgu- ja infosüsteemidele rakendatud meetmeid saaks lugeda piisavalt vastavuses olevaks küberturvalisuse seadusega. Samas peaks nimetatud lisa kohaldumist välistama nende teenuse osutajate suhtes, kes on kohustatud rakendama E-ITS, sh tervishoiuteenuse osutajad kui elutähtsa teenuse osutajad. Määruse seletuskirjas ei ole piisava selgusega lahti kirjeldatud lisa 1 nõuded selliselt, et neist oleks võimalik üheselt aru saada ja nõuete täitmist valideerida.
Määrus ja selle lisa tekitavad olulise erinevuse E-ITS kohaldamises tervishoiuteenuse osutaja kui elutähtsa teenuse osutaja poolt. E-ITSi kohaselt valib teenuse osutaja enda tegevuse suhtes kohased turvameetmed, arvestades turbe eesmärke, määratud kaitsetarvet ning standardis sätestatud põhimõtteid. Määruse muudatuse jõustudes senine valikuline ja teenuse osutaja kaalutlusest lähtuv protsess muutub ning rakendub kohustus rakendada vähemalt määruse lisas toodud „esmased turvameetmed“. Selline muutus toob kaasa ka muudatuse küberturvalisuse seadusega ettenähtud teenuse osutaja kohustuste mahus.
Määrus ja selle lisa ei ole läbivalt terminoloogiliselt ühtsed. Sageli kasutatakse sarnase või sama tähendusega mõisteid erinevas sõnastuses. Näiteks kasutatakse üheaegselt mõisteid „võrgu- ja infosüsteemide turvareeglid“ (p 1.2.) ja „infoturbereeglid“ (p 2.1.) või selliseid mõisteid nagu „infotehnoloogiavarad“ (p 1.4.), „infotehnoloogiaseade“ (p 1.5.) või „infotehnoloogiavahend“ (p 2.2.). Viimaste osas on tegemist mõistetega, millel puuduvad legaaldefinitsioonid, nt ka mõistel „küberhügieen“ (p 2.1). Määruses ja selle lisas on väljutud küberturvalisuse seaduses, Vabariigi Valitsuse määruses „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning E-ITSis kasutatavatest mõistetest ning kasutusele võetud uued mõisted. Kui E-ITS määratleb turvameetmeid kui põhi-, standard- või kõrgturvameetmeid, siis määruses on kasutatud mõisteid „esmased turvameetmed“ ja „lisaturvameetmed“.
Määruse ja selle lisa osas esineb süstemaatilist ja sõnastuslikku ebaselgust. Määruse seletuskirjas on selgitatud, et § 51 lisamise eesmärk on kehtestada teenuse osutajale kohustus rakendada määruse lisas toodud „esmaseid turvameetmeid“. Samas sõnastuslikult kohustab määrus teenuse osutajat üksnes „esmaste turvameetmete rakendamiseks“ ette nägema üksikasjalikke meetmeid sättes mainitud turbevaldkondades. Seega määruses kasutatud sõnastuses puudub eesmärgina seatav kohustus rakendada määruse lisas nimetatud „esmaseid turvameetmeid“.
Määruses ja selle lisas esitatud nõuete osas on kaheldav esitatud nõuete vastavus hea õigusloome tavadele, eeskätt õigusselguse, proportsionaalsuse ja rakendatavuse põhimõtetele. Kohustused on mitmel juhul sõnastatud üldsõnaliselt, ilma piisava määratletuseta, mis ei võimalda normi adressaadil – tervishoiuteenuse osutajal kui elutähtsa teenuse osutajal – mõistlikul viisil hinnata, milline tegevus oleks nõuetele vastav ning milliste meetmete rakendamine tagaks tervishoiuteenuse osutajale seatud kohustuste täitmise. Nõuded on esitatud liiga üldiselt ega võimalda aru saada, millisel viisil ja milliseid meetmeid kasutades on sätestatud nõuded täidetud ja saavutatud sätte eesmärgiga kooskõlas olev käitumine. Minimaalselt tuleb täiendada seletuskirja ning lahti kirjutada määruses ja selle lisas esitatud nõuete sisu ning vajadusel see varustada näitlikustatud soovitava käitumise kirjeldusega.
Vastavalt määruse § 2 on määrus ja selle lisa kavavandatud jõustuma 1.septembril 2025. Määrus ei näe ette määruse rakendumise erinevust määruse jõustumisest. Selline lühike jõustumise ja rakendamise aeg alahindab kavandatavate kohustuslike turvameetmete mõju ja rakendamise keerukust. Seejuures puudub analüüs määruse ja selle lisa rakendamisega kõikidele teenuse osutajatele kaasneva märkimisväärse täiendava halduskoormuse kohta.
Arvestades, et meetmed on valdavalt sõnastatud liiga üldiselt, on selliselt sõnastatud nõuete täitmiseks mõeldud meetmete hulk vastavuses sellise üldistuse astmega - mida üldisemad on nõuded, seda suurem on nende täitmiseks vajalike turvameetmete hulk. See ei võimalda hoomata turvameetme rakendamise kulu suurust, et tagada sellise üldise nõudega kaasnevate kohustuste eesmärgipärane täitmine ja võimekus vastavaid kulusid kanda.
Tervishoiuteenuste osutamisel peab tervishoiuteenuse osutamisega kaasnevad täiendavad kulud, sh küberturvalisuse saavutamiseks tervishoiuteenuse osutajale kohustuslikuks rakendamiseks ettenähtud meetmete rakendamise kulu olema tervishoiuteenuse osutajale eelarveliste vahenditena tagatud. Tervisekassa poolt eraldatavad rahalised vahendid ei arvesta tervishoiuteenuse osutajatele kehtestatud kohustuste täitmise kuluga, sh määruse ja selle lisa kohaste turvameetmete rakendamise ja käigushoiu kuludega.
Määrus ja selle lisa sisaldavad mitmeid nõudeid, mille praktiline rakendatavus on küsitav, mille tegelik mõju turvalisuse tasemele jääb ebamääraseks või mis dubleerivad juba olemasolevaid õigusakte. Näiteks ruumides tuleohutuse tagamise nõue on juba piisavalt ja detailselt reguleeritud tuleohutuse seadusega ning isikuandmete töötlemist ja kaitset reguleerib Euroopa Liidu isikuandmete kaitse üldmäärus ja isikuandmete kaitse seadus. Selliste korduvate või ebamääraselt sõnastatud nõuete lisamine võib vähendada määruse terviklikkust ja tekitada segadust nende kohaldamisel, ilma et see looks sisulist lisaväärtust küberturvalisuse tagamisel.
Järgnevalt esitame EHLi ettepanekud Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ lisa täiendamiseks ja muutmiseks.
1. Lisa punkt 1.5 kohaselt peab teenuse osutaja määrama igale infotehnoloogiaseadmele vastutava kasutaja.
Ettepanek muuta sõna „igale“ sõnaks „kõikidele“, kuna sõna „kõikidele“ kasutamine võimaldab seadmetele vastutajaid määrata ka grupeeritult. Samuti teeme ettepaneku eemaldada mõiste „kasutaja“ ning sõnastada punkt 1.5 järgmiselt: „Määrama kõikidele infotehnoloogiaseadmetele vastutajad.“
2. Lisa punkt 2.6 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas hoidma pääsuks vajalikke vahendeid teistele kättesaamatuna, sealhulgas salasõnad ja räsid.
Ettepanek asendada sõna „teistele“ sõnadega „volitamata isikutele“ ja sõnastada punkt 2.6 järgmiselt: „Hoidma pääsuks vajalikke vahendeid, sealhulgas salasõnu ja räsisid, volitamata isikutele kättesaamatuna.“
3. Lisa punkt 2.7 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama võrgu- ja infosüsteemis vaid kontrollitud ning arvele võetud andmekandjaid ning keelama kontrollimata või tundmatute infotehnoloogiavahendite kasutamise.
Ettepanek jätta ära nõue „kontrollimata“, kuna kontrollimise mõistet pole defineeritud. Asendada mõiste „andmekandjaid“ mõistega „irdandmekandjaid“ ning „tundmata“ mõistega „volitamata“.
Ettepanek sõnastada punkt 2.7 järgmiselt: „Kasutama võrgu- ja infosüsteemis ainult arvele võetud irdandmekandjaid ning keelama volitamata infotehnoloogiavahendite kasutamise.“
4. Lisa punkt 2.8 kohaselt peab teenuse osutaja kasutajate teadlikkuse ja koolituse valdkonnas kasutama infotehnoloogiaseadmeid ja andmekandjaid heaperemehelikult ning mitte jätma neid järelevalveta.
Meie hinnangul ei loo see punkt selle määruse ja infoturbe kontekstis lisaväärtust ning sõna „järelevalve“ on liiga kitsatähenduslik. Soovitame kaaluda selle punkti eemaldamist määrusest.
5. Lisa punkt 3.4 kohaselt peab teenuse osutaja andmeturbe valdkonnas eelistama digitaalset allkirjastamist olulise teabe kinnitamiseks.
Punkti sisu on arusaamatu ja põhjendamatu. Teeme ettepaneku selgitada, millistel juhtudel ja millist digitaalset allkirjastamist on punktis mõeldud või punkt määrusest eemaldada.
6. Lisa punkt 4.1 kohaselt peab teenuse osutaja tarnijate ja väliste teenuste osutajate halduse valdkonnas tundma oma tarnijaid ja väliste teenuste osutajaid ning nende tausta kogu tarneahela ulatuses ning rakendama meetmeid lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest tarnijate kohta.
Ettepanek sõnastada punkt ümber vähem absolutiseerivas sõnastuses. Mõiste „tundma“ on ebaselge ning võimatu on nõuet täita kogu tarneahela ulatuses.
Ettepanek sõnastada punkt 4.1 järgmiselt: „Omama ülevaadet oma olulistest tarnijatest ja väliste teenuste osutajatest ning nende taustast. Saadud teabe põhjal tuleb rakendada asjakohaseid turvameetmeid, lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest.“
7. Lisa punkt 6.1 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas kasutama turvalist ja ajakohastatud veebibrauserit.
Nõue on liiga üldistav. Oleme nõus ajakohastatud veebibrauseri kasutamise nõudega, kuid mõiste „turvaline veebibrauser“ on määruses defineerimata, mistõttu tuleks kaaluda nõudest sellisel kujul loobumist või täpsustada, milline on turvaline veebibrauser.
8. Lisa punkt 6.3 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas järgima turvalise e-kirjavahetuse põhimõtteid ja vältima tundmatute manuste või hüperlinkide avamist.
Haiglate hinnangul ei sobi see nõue seadusloome tasandile, vaid on pigem organisatsioonide sisekordade reguleerida. Tundmatute manuste ja hüperlinkide avamist ei ole võimalik täielikult vältida. Teeme ettepaneku loobuda nõudest määruse tasandil.
9. Lisa punkt 6.5 kohaselt peab teenuse osutaja pilveteenuste ja veebirakenduste kaitse valdkonnas eristama ja vältima ebaturvaliste veebilehtede ja rakendusliideste kasutamist.
Haiglate hinnangul ei ole võimalik seda nõuet täita, kuna ei ole defineeritud, milline on ebaturvaline veebileht või rakendusliides ning nende täielik vältimine ei ole organisatsiooniliselt ega tehniliselt võimalik.
10. Lisa punkt 7.3 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas pidama arvestust kasutatava tarkvara, tarkvara nõrkuste ja litsentside üle ning uuendama litsentse õigel ajal.
Ettepanek asendada mõiste „nõrkuste“ mõistega „haavatavuste“ (vulnerability) ning asendada „õigel ajal“ sõnaga „õigeaegselt“.
Ettepanek sõnastada punkt 7.3 järgmiselt: „Pidama arvestust kasutatava tarkvara, selle haavatavuste ja litsentside üle ning uuendama litsentse õigeaegselt.“
11. Lisa punkt 7.4 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas kasutama turvalist, usaldusväärset ja kehtiva toega tarkvara, sealhulgas eemaldama infotehnoloogiaseadmetest ja telefonidest tarkvara, mis on aegunud või mida ei kasutata.
Haiglates on kliiniliselt kasutusel meditsiiniseadmeid, mis töötavad aegunud tarkvaraga. Nende väljavahetamine ei ole alati tehniliselt (seadme tootja ei toeta tarkvarauuendusi) ja finantsiliselt võimalik ega otstarbekas, sest kulud võivad ulatuda kümnetesse või sadadesse miljonitesse eurodesse. Selliste seadmete turvaliseks kasutamiseks rakendatakse lisaturvameetmeid vastavalt riskianalüüsile. Telefonidest tarkvara eemaldamise nõue on liiga absoluutne ja ilma keskhalduslahenduseta tekitaks ebaproportsionaalselt suure halduskoormuse.
Ettepanek sõnastada nõue selliselt, et loobutakse meditsiiniseadmete (vms seadmed) puhul sellest nõudest, kui seadmete turvaliseks kasutamiseks rakendatakse riskianalüüsist tulenevaid lisaturvameetmeid.
12. Lisa punkt 7.7 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas krüpteerima olulist teavet töötleva seadme kõvaketta ja teavet sisaldavad välised kõvakettad ajakohast krüptograafilist meedet kasutades.
Nõue on liiga absoluutne. Nõustume, et teatud tööjaamades kasutatavad ja kaasaskantavad salvestusseadmed vajavad krüpteerimist, kuid kõigi salvestusseadmete krüpteerimine ei ole teostatav. Selline nõue suurendab riske toimepidevusele ning tekitab asutustele märkimisväärse administratiivkoormuse ja investeerimisvajaduse.
Teeme ettepaneku lubada asutustel lähtuda oma riskihinnangutest krüpteerimise rakendamise vajaduse määramisel.
13. Lisa punkt 7.12 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama asjakohaseid lisaturvameetmeid oma serveri kaitsmiseks.
Jääb selgusetuks, millised on turvameetmed, millised on rakendamist vajavad lisaturvameetmed ja millised neist on asjakohased.
Ettepanek loobuda nõudest sellisel kujul või täpsustada, milliseid meetmeid peab rakendama.
14. Lisa punkt 7.13 kohaselt peab teenuse osutaja infotehnoloogiaseadmete kaitse valdkonnas rakendama automaatika- või muu andmesideühendusega seadme kasutamise korral lisaturvameetmeid või keelama seadmes andmeside kasutamise, sealhulgas kaughalduse.
Jääb arusaamatuks, mis on automaatikasideühendus ja mis on muu andmesideühendus. Samuti on selgusetu, millised on lisaturvameetmed ja millal tuleb andmeside kasutamine keelata.
15. Lisa punkt 8.2 kohaselt peab teenuse osutaja sideühenduste ja võrgu kaitse valdkonnas piirama juurdepääsu avalikust võrgust sisevõrgus olevatele seadmetele, sealhulgas kasutama tulemüüri.
Ettepanek sõnastada nõue selgemalt ja arusaadavamalt ning vältida mõistete „avalik võrk“ ja „sisevõrk“ kasutamist.
Teeme ettepaneku sõnastada punkt 8.2 järgmiselt: „Piirama volitamata juurdepääsu infosüsteemidele ja seadmetele väliste võrkude kaudu, kasutades tulemüüri või samaväärset turvalahendust.“
16. Lõpetuseks esitame tagasiside määruse lisa punktide 3.2, 3.3, 3.5, 3.6, 3.7, 6.2, 7.7, 7.8 ja 7.11 osas.
Nimetatud punktides ei ole täpsustatud, milliseid andmeid või teavet soovitakse reguleerida, mistõttu hõlmavad need kõike, sealhulgas avalikku teavet ja avalikke andmeid.
Haiglate hinnangul ei ole nõuded sellisel kujul otstarbekad. Juurdepääsuga andmed ja teave on juba reguleeritud isikuandmete kaitse seaduses.
Teeme ettepaneku täpsustada sõnastust, milliste andmete ja teabe osas nõudeid tuleb täita, või kaaluda määruses nõuetest sellisel kujul loobumist.
Täname veelkord võimaluse eest anda tagasisidet Vabariigi Valitsuse 09. detsembri 2022 määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmise eelnõule ja palume esitatud ettepanekuid arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|