| Dokumendiregister | Justiitsministeerium |
| Viit | 8-1/5574-7 |
| Registreeritud | 07.08.2025 |
| Sünkroonitud | 08.08.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti EsmatasandiTervisekeskuste Liit |
| Saabumis/saatmisviis | Eesti EsmatasandiTervisekeskuste Liit |
| Vastutaja | Guido Pääsuke (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere
edastame ETTKLi arvamuse Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 “Võrgu- ja infosüsteemide küberturvalisuse nõuded” muutmise eelnõu kohta.
Lugupidamisega
Lp justiits- ja digiminister pr Liisa-Ly Pakosta 7. august 2025 Justiits- ja digiministeerium [email protected] Arvamus määruse eelnõu kohta
Eesti Esmatasandi Tervisekeskuste Liit (ETTKL) tänab võimaluse eest avaldada arvamust Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 “Võrgu- ja infosüsteemide küberturvalisuse nõuded” muutmise eelnõu kohta.
ETTKL väljendab heameelt, et eelnõus on arvestatud meie varasemate ettepanekutega ning väikese ja keskmise suurusega ettevõtjate (VKE) jaoks on loodud realistlikum ja jõukohasem lähenemine küberturvalisuse nõuete täitmisele. Toetame täielikult muudatust, millega:
● täiendatakse määruse § 3 lõikega 21, mille kohaselt ei kohaldata standardite järgimise ja auditi nõudeid teenuseosutajatele, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ning aastane käive või bilansimaht ei ületa 10 miljonit eurot (vastavalt Euroopa Komisjoni soovitusele 2003/361/EÜ);
● tunnistatakse kehtetuks § 4 lõike 4 punkt 1, millega seni vabastati auditi kohustusest ainult mikroettevõtjad.
Eelnõuga kavandatud muudatus kujutab endast sisulist ja arvestavat edasiminekut kehtiva määruse ülesehituses, muutes senise auditipõhise lähenemise selgemaks ja paindlikumaks.
Täiendavad tähelepanekud ja küsimused
1. Esmased turvameetmed
Mõistame, et kõigile teenuseosutajatele, sealhulgas VKEdele, kohalduvad edaspidi määruse lisas sätestatud esmased turvameetmed. Kuigi üldpõhimõttena on nende kohaldumine mõistetav ja aktsepteeritav, palume täpsustada järgmist:
● Kas VKE-l on lubatud turvameetmete täitmist osaliselt delegeerida, näiteks teenusepakkuja või liitlahenduste kaudu?
● Millisel vormis on oodatud turvameetmete järgimise tõendamine järelevalve käigus (nt logid, protseduuri kirjeldused, riskihinnangud)?
● Kas on kavandatud juhendmaterjalide koostamine, mis aitaksid VKEdel esmaseid turvameetmeid rakendada praktiliselt ja mõistetaval viisil?
2. Logide pidamise kohustus (töö turvalisus)
Tervisekeskused sõltuvad logide kogumisel ja säilitamisel suurel määral IT-teenuse pakkujatest (nt Medisoft, Telia). Praktikas ei pruugi kõik IT-teenuse pakkujad võimaldada lõppkasutajal logidele ligipääsu ega nende eksporti. Palume seetõttu täpsustada:
● Millises ulatuses ja mahus kehtib logide säilitamise kohustus VKE tasandil? ● Kas ja kuidas võetakse järelevalve hindamisel arvesse teenusepakkuja tehnilisi
piiranguid ja valmisolekut?
3. Küberturbeintsidentidest teavitamine (§ 7 ja määruse lisa)
Palume täpsustada:
● Millised intsidendid kvalifitseeruvad teavitamiskohustust käivitavateks? ● Millistest kriteeriumidest peaks VKE lähtuma intsidentide käsitlemisel? ● Kas määruses on ette nähtud proportsionaalne lähenemine olukordades, kus viivitamine
teavitamisel on tingitud heausksest eksimusest või vähesest teadlikkusest? ● Millised sanktsioonid võivad kaasneda teavitamisega viivitamisel?
Kokkuvõte
ETTKL toetab esitatud muudatusi ning peab eelnõuga kavandatud lähenemist tasakaalustatuks, arvestades VKE-de tegelikke ressursse ja võimekust. Samas rõhutame, et määruse rakendamiseks on oluline tagada suurem õigusselgus teatud tehniliste detailide osas, et vältida ebamõistlikku halduskoormust ning toetada nõuete mõistlikku ja järk-järgulist täitmist.
ETTKL on valmis vajadusel osalema juhendmaterjalide koostamises.
Lugupidamisega Kersti Esnar tegevjuht Eesti Esmatasandi Tervisekeskuste Liit [email protected]
Lp justiits- ja digiminister pr Liisa-Ly Pakosta 7. august 2025 Justiits- ja digiministeerium [email protected] Arvamus määruse eelnõu kohta
Eesti Esmatasandi Tervisekeskuste Liit (ETTKL) tänab võimaluse eest avaldada arvamust Vabariigi Valitsuse 9. detsembri 2022. aasta määruse nr 121 “Võrgu- ja infosüsteemide küberturvalisuse nõuded” muutmise eelnõu kohta.
ETTKL väljendab heameelt, et eelnõus on arvestatud meie varasemate ettepanekutega ning väikese ja keskmise suurusega ettevõtjate (VKE) jaoks on loodud realistlikum ja jõukohasem lähenemine küberturvalisuse nõuete täitmisele. Toetame täielikult muudatust, millega:
● täiendatakse määruse § 3 lõikega 21, mille kohaselt ei kohaldata standardite järgimise ja auditi nõudeid teenuseosutajatele, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ning aastane käive või bilansimaht ei ületa 10 miljonit eurot (vastavalt Euroopa Komisjoni soovitusele 2003/361/EÜ);
● tunnistatakse kehtetuks § 4 lõike 4 punkt 1, millega seni vabastati auditi kohustusest ainult mikroettevõtjad.
Eelnõuga kavandatud muudatus kujutab endast sisulist ja arvestavat edasiminekut kehtiva määruse ülesehituses, muutes senise auditipõhise lähenemise selgemaks ja paindlikumaks.
Täiendavad tähelepanekud ja küsimused
1. Esmased turvameetmed
Mõistame, et kõigile teenuseosutajatele, sealhulgas VKEdele, kohalduvad edaspidi määruse lisas sätestatud esmased turvameetmed. Kuigi üldpõhimõttena on nende kohaldumine mõistetav ja aktsepteeritav, palume täpsustada järgmist:
● Kas VKE-l on lubatud turvameetmete täitmist osaliselt delegeerida, näiteks teenusepakkuja või liitlahenduste kaudu?
● Millisel vormis on oodatud turvameetmete järgimise tõendamine järelevalve käigus (nt logid, protseduuri kirjeldused, riskihinnangud)?
● Kas on kavandatud juhendmaterjalide koostamine, mis aitaksid VKEdel esmaseid turvameetmeid rakendada praktiliselt ja mõistetaval viisil?
2. Logide pidamise kohustus (töö turvalisus)
Tervisekeskused sõltuvad logide kogumisel ja säilitamisel suurel määral IT-teenuse pakkujatest (nt Medisoft, Telia). Praktikas ei pruugi kõik IT-teenuse pakkujad võimaldada lõppkasutajal logidele ligipääsu ega nende eksporti. Palume seetõttu täpsustada:
● Millises ulatuses ja mahus kehtib logide säilitamise kohustus VKE tasandil? ● Kas ja kuidas võetakse järelevalve hindamisel arvesse teenusepakkuja tehnilisi
piiranguid ja valmisolekut?
3. Küberturbeintsidentidest teavitamine (§ 7 ja määruse lisa)
Palume täpsustada:
● Millised intsidendid kvalifitseeruvad teavitamiskohustust käivitavateks? ● Millistest kriteeriumidest peaks VKE lähtuma intsidentide käsitlemisel? ● Kas määruses on ette nähtud proportsionaalne lähenemine olukordades, kus viivitamine
teavitamisel on tingitud heausksest eksimusest või vähesest teadlikkusest? ● Millised sanktsioonid võivad kaasneda teavitamisega viivitamisel?
Kokkuvõte
ETTKL toetab esitatud muudatusi ning peab eelnõuga kavandatud lähenemist tasakaalustatuks, arvestades VKE-de tegelikke ressursse ja võimekust. Samas rõhutame, et määruse rakendamiseks on oluline tagada suurem õigusselgus teatud tehniliste detailide osas, et vältida ebamõistlikku halduskoormust ning toetada nõuete mõistlikku ja järk-järgulist täitmist.
ETTKL on valmis vajadusel osalema juhendmaterjalide koostamises.
Lugupidamisega Kersti Esnar tegevjuht Eesti Esmatasandi Tervisekeskuste Liit [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|