Vabariigi Valitsuse määruse tõlgendamine

Pärnu mnt 139a / 15169 Tallinn / 663 0200 / [email protected] / www.ria.ee /

registrikood 70006317

hr Grünberg

Justiits- ja Digiministeerium

[email protected]

Meie 02.12.2025 nr 1.1-21/251971

Vabariigi Valitsuse määruse tõlgendamine

Austatud hr Grünberg

01.10.2025 jõustunud Vabariigi Valitsuse määruse nr 121 „Võrgu- ja infosüsteemide

küberturvalisuse nõuded“ § 3 lg 21 tõlgendamisel on tõusetunud küsimus, millisel määral mõjutab

Euroopa Komisjoni soovituse 2003/361/EÜ (edaspidi: soovitus 2003/361/EÜ) lisa artikli 3 lg 4

(avaliku sektori organisatsiooni kontroll) ettevõtete kohustusi turvameetmete osas.

Määruse § 3 lg 21 järgi ei kohaldata sama paragrahvi lõikeid 1 ja 2 (kohustust järgida Eesti

infoturbestandardit EITS või rahvusvahelist standardit ISO/IEC 27001) keskmiselt alla 50 töötaja

ja alla 10 miljoni euro suuruse aastase bilansimahu või aastakäibega ettevõtetele, arvestades

väikeettevõtjate määratlusi soovituses 2003/361/EÜ. Samas NIS2 direktiiv ja Vabariigi Valitsuse

poolt 25.09.2025 heaks kiidetud direktiivi ülevõtmiseks kavandatava küberturvalisuse seaduse

muutmise eelnõu järgi ei kohaldata soovituse 2003/361/EÜ lisa artikli 3 lõiget 4 (avaliku sektori

organisatsiooni kontroll) üksuse töötajate arvu, aastabilansimahu ja aastakäive kindlakstegemisel.

Seetõttu palume Justiits- ja Digiministeeriumi tõlgendust, kas Vabariigi Valitsuse määruse nr 121

§ 3 lg 21 järgi mõjutab avaliku sektori organisatsiooni kontroll ettevõtte õigust kohaldada vaid

esmaseid turvameetmeid. Lisaks palume õigusselguse tagamiseks täiendada Vabariigi Valitsuse

määrust nr 121 vastava täpsustusega.

Lugupidamisega

(allkirjastatud digitaalselt)

Gert Auväärt

peadirektori asetäitja küberturvalisuse alal

Lauri Kriisa

[email protected]