Majandus- ja Kommunikatsiooniministeeriumi ettepanekud Euroopa Liidu digiõiguse omnibusi kohta
Digiomnibusi üldeelnõu, millega nähakse ette EL andmealase õigusraamistiku, isikuandmete kaitse üldmääruse (IKÜM) ja küberintsidentidest teavituste muudatused (KOM(2025) 837)
1. Seisukoht: Peame oluliseks vähendada EL digiõiguse lihtsustamispaketiga halduskoormust nii ettevõtjatele kui avalikule sektorile.
Selgitus: EL õigusaktidest tuleneva koormuse vähendamine on olnud Eesti kauaaegne prioriteet. EL digiomnibusi eelnõuga soovitakse muuhulgas koondada andmeid puudutavad ELi õigusaktid ühtseks raamistikuks andmemääruses ning koondada ka küberintsidentidest teavitamise protsessi.
2. Seisukoht: Peame oluliseks lisada küberturvalisuse 2. direktiivi ehk NIS2 kohaldamisalasse kosmose valdkond ning sealjuures peab see hõlmama kõiki kosmosetaristu komponente.
Selgitus: Euroopa Komisjon esitas 25. juunil 2025. aastal Euroopa kosmosemääruse (EUSA). EUSA aruteludes nõukogu kosmosetöörühmas on keskendutud küberturvalisuse ja kerksusnõuetele, mis peavad arvestama valdkonna eripärasid, olema proportsionaalsed ning vältima dubleerimist ja liigset halduskoormust. Eesti peab vajalikuks küberturvalisuse valdkonnas horisontaalset lähenemist, seega tuleks eelistada mistahes erivajaduse esinemisel küberturvalisuse 2 direktiivi kohaldamist, sealhulgas erisätetega täiendamist. Sellega välditakse nõuete dubleerimist ja täiendava halduskoormuse teket ehk vajadust tõestada oma tegevuse kooskõla erinevate õigusaktidega. Kuna ettevõtjate tegevus ei piirdu sageli ühe tegevussektoriga ja pakutavad teenused on kasutatavad erinevates sektorites, võivad sektorite dubleerivad nõuded luua juurde bürokraatiat. Näiteks küberturvalisuse 2. direktiivi lisa 1 punkt 11 kohaselt on kriitilise tähtsusega sektor „kosmos“ ja hõlmatud üksused on liikmesriikide või eraõiguslike isikute omandis olevad, hallatavad või käitatavad maapealsete taristute operaatorid, kes toetavad kosmosepõhiste teenuste osutamist.
Kuigi komisjon on eelnõu koostamisel põhjendanud, et küberturvalisuse 2. direktiiv (direktiiv (EL) 2022/2555) ehk NIS2 ja elutähtsa teenuse osutajate toimepidevuse direktiiv (EL) 2022/2557 ehk CER direktiiv ei pruugi olla piisavad, kuna nende kohaldamisala ei hõlma kõiki kosmosetaristu komponente, eriti väiksemaid operaatoreid, siis Eesti ei nõustu sellega. Nimelt nii NIS2 kui ka CER direktiivi nõuded võivad laieneda väiksematele operaatoritele. Näiteks võib Eesti eripära arvestades elutähtsa teenuse osutajaks mikro- või väikeettevõtja.
Komisjon on muuhulgas välja toonud, et kosmose valdkonnas tuleb luua riskijuhtimise raamistik, mis hõlmab küberturvalisust ja füüsilist turvalisust nii satelliitide kui ka maapealse taristu puhul. Seatakse kohustuslikud turvameetmed, intsidentide käsitlemise reeglid ja aruandlusmehhanismid. Kuid leiame, et seda on võimalik teha olemasolevat õigusraamistikku ära kasutades ja vajadusel täiendades.
Kosmosega seotud küberturvalisuse osas tuleb ära kasutada olemasolevat ekspertiisi, sh EL asutuste kompetentsi. Euroopa Liidu Küberturvalisuse Amet (ENISA) peab jääma küberturvalisuse teemadel, sh kosmose küberturvalisus, valdkonna koordineerijaks ning liikmesriikide kontaktpunktiks. Näiteks peame vajalikuks et Riigi Infosüsteemi Ametile ei tekiks uut küberteemalist kontaktasutust. Mis tahes uus kontaktasutus võib tekitada info dubleerimist ja võib luua vajaduse täiendavaks töökohaks.
Kübervaldkonnas on kasvamas uus turg Eesti küberturvalisuse ettevõtetele, luues võimalusi innovatsiooniks ja teenuste arendamiseks. Näiteks Euroopa komsosemääruse artiklis 88 ette nähtud kohustuslik ohuteabel põhinev läbistustestimine (Threat Led Penetration Testing, TLPT) võib pakkuda võimalusi kosmose küberturbeharjutusväljaku (Space Cyber Range) sarnastele algatustele.
Eesti soovib saada peamiseks küberturbeteenuste tarnijaks EL kosmoseprogrammile ning koostöös Eesti ettevõtlusega ja ESA-ga töötame selles suunas. EUSA rakendamine võib luua selgemad tingimused ja võimalused Eesti tööstusele.
3. Seisukoht: Toetame andmete pseudonüümimise ja anonüümimise toimimise täpsustamist Euroopa Komisjoni poolt selgete kriteeriumide määratlemise teel
Selgitus: Tehnoloogia arenedes on ettevõtetele üha suuremaks väljakutseks kujunenud isikuandmete ja muude andmete vahel erisuse tegemine, kuna seni on puudunud selged tehnilised kriteeriumid. Seepärast toetame ettepanekut täiendada isikuandmete üldkaitse määrust (EL) 2016/679 uue artikliga 41a, mis annaks Euroopa Komisjonile volituse võtta vastu rakendusmääruseid täpsustamaks andmete pseudonüümimisega seotud meetmeid ja kriteeriume. Selline harmoniseerimine tagab suurema kindluse nii ettevõtetele kui ka pädevatele asutustele ning aitab maandada ebaõige klassifitseerimisega seotud riske.
4. Seisukoht: Toetame Euroopa Parlamendi ja nõukogu määruse (EL) 2019/1150, mis käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks, kehtetuks muutmist. Õigusselguse tagamise eesmärgil saame toetada määruse valitud sätete kehtimist kuni neile viitavate EL õigusaktide muutmiseni, seda tähtajaga hiljemalt 31. detsember 2032.
Selgitus: Määrus (EL) 2019/1150 (lühidalt P2B määrus) jõustus 2020. aastal. Euroopa komisjoni hilisem mõjuhindamine ja Eesti kogemus on näidanud määruse nõuete piiratud mõju, mida kinnitab muuhulgas veebipõhiste vahendusteenuste ärikasutajate madal kaebuste arv. Hilisem EL digiteenuste määrus (DSA) sisaldab nõudeid, mis kattuvad olulisel määral P2B põhisätetega. Mõlemad määrused seavad infoühiskonna vahendusteenuse osutajatele kohustused seoses teenusetingimuste läbipaistvuse; teenuse piiramise, peatamise ja lõpetamise tingimuste; sisu järjestuse läbipaistvuse ning ettevõtte sisese kaebuste menetlemise süsteemi loomise ja haldamisega. P2B määrus seab küll kohati täpsemad nõuded kohustuste kohaldumisele suhetes ärikasutajatega, kuid leiame, et nende nõuete lisandväärtus on kokkuvõttes pigem madal.
Lisaks on P2B määruse kehtimise järgselt jõustunud Euroopa Parlamendi ja nõukogu määrus (EL) 2022/1925, mis käsitleb konkurentsile avatud ja õiglaseid turge digisektoris (lühidalt DMA), mille eesmärgiks on tagada digiturgude nn. pääsuvalitsejate teenuste ärikasutajatele võrdsemad konkurentsitingimused. Eelmainitud asjaolusid arvestades leiame, et DSA ja DMA tagavad piisava läbipaistvuse ja tasakaalustatuse veebipõhiste vahendusteenuste osutajate ja ärikasutajate vahelistes suhetes, mistõttu toetame ettepanekut muuta määrus (EL) 2019/1150 kehtetuks. Eraldi P2B määruse kaotamine vähendab ka võimalusi järelevalvealasteks konfliktideks tulenevalt P2B ja DSA määruste kohati erinevatest järelevalvemudelitest ning toetab eesmärki muuta EL õigusraamistik ühtlasemaks ja selgemaks. Õigusselguse eesmärgil saame toetada määruse valitud sätete pikemat kehtimist kuni nendele viitavate EL õigusaktide muutmiseni, seda lõpptähtajaga 31. detsember 2032.
Tehisintellekti määrusega seotud digiomnibus, millega nähakse ette ELi tehisintellekti määruse muudatused (KOM(2025) 836)
5. Seisukoht: Toetame tehisintellekti määruse (EL) 2024/1689 muutmist eesmärgiga anda üldotstarbeliste tehisintellektimudelite ja väga suurtel digiplatvormidel või otsingumootorites rakendatavate tehisintellektisüsteemide järelevalve ülesanne Euroopa tehisintellektiametile.
Selgitus: Arvestades eelnimetatud tehisintellektisüsteemide laialdast kasutust ja mõju, saame toetada muudatusi, mis tsentraliseerivad selliste süsteemide järelevalve. Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu (EL digiteenuste määrus, edaspidi DSA), kehtestas väga suurte digiplatvormide (VLOP) või otsingumootorite (VLOSE) pakkujatele võrreldes teiste teenuseosutajatega rangemad kohustused, nõudes neilt muuhulgas oma teenustega kaasnevate süsteemsete riskide hindamist ja maandamist. DSA alusel on nende ettevõtete järelevalvajaks Euroopa Komisjon. Arvestades, et paljud VLOPid ja VLOSEd rakendavad oma teenustes tehisintellektil põhinevaid süsteeme, mille puhul kehtivad riskimaandamiskohustused nii DSA kui ka tehisintellekti määruse alusel, leiame, et on asjakohane ühtlustada nende ettevõtete järelevalvet. Oleme arvamusel, et selline muudatus tagab tõhusama järelevalve ning vähendab nii liikmesriikide kui puudutatud ettevõtete halduskoormust.
6. Seisukoht: Toetame tehisintellekti määruses (EL) 2024/1689 teatud väikese ja keskmise suurusega ettevõtetele (VKEdele) ettenähtud lihtsustusmeetmete laiendamist väikese ja keskmise turukapitulatsiooniga ettevõtetele (VKTKE – inglise keeles small-mid caps), et vähendada halduskoormust ja toetada nende konkurentsivõimet.
Selgitus: Eelnõuga tehakse ettepanek laiendada tehisintellekti määruses hetkel VKEdele ettenähtud lihtsustusmeetmeid, mis puudutab nt tehnilisele dokumentatsioonile ja kvaliteedihaldussüsteemi loomisele kehtivaid nõudeid, ka VKTKEdele. Seejuures viitab eelnõu komisjoni soovitusele (EL) 2025/1099, mille kohaselt loetakse VKTKEdeks ettevõtted, millel on kuni 750 töötajat ja mille aastakäive ei ületa 150 miljonit eurot või aastane bilansimaht ei ületa 129 miljonit eurot.
Eestis on küll ligi 99,9% ettevõtjatest VKEd, kuid eelnõuga lihtsustuksid ka teatud tegevused nii-öelda kasvufaasis olevatele ettevõtetele (Eestis on suurettevõtteid, millel on üle 250 töötaja 2024. a andmetel 187, neist osa moodustavad VKTKEd, mis on kasvavad ja kasvupotentsiaaliga ettevõtted). Kuigi muudatused mõjutaksid vaid väikest arvu ettevõtteid Eestis, saame leevendusmeetmete laiendamist siiski toetada, kuna VKTKEde halduskoormuse kergendamine toetab nende konkurentsivõimet ning vähendab takistusi VKEde kasvamisel VKTKEdeks.
7. Seisukoht: Toetame tehisintellekti määrusega (EL) 2024/1689 kõrge riskiga tehisintellektisüsteemide pakkujatele kehtestatud nõuete edasilükkamist, et anda täiendavat aega standardite ja juhiste väljatöötamiseks. Seejuures leiame, et prognoositavuse eesmärgil tuleks paindlike tähtaegade asemel kehtestada kindlad rakendustähtajad.
Selgitus: Harmoneeritud standardite, tehniliste kirjelduste ja juhiste olemasolu on tehisintellektisüsteeme pakkuvatele ja kasutavatele ettevõtetele väga oluline, kuna see lihtsustab nõuete täitmist ja võimaldab seda teha kulutõhusal viisil, samuti aitavad standardid tagada süsteemide kvaliteedi ja usalduse nende vastu. Kuna antud määrusega seotud standardite jm tehniliste materjalide väljatöötamine on võtnud planeeritust kauem aega, toetame kõrge riskiga tehisintellektisüsteemide pakkujatele seatud kohustuste kohaldumisaja edasilükkamist.
Tehisintellekti omnibussi ettepanek näeb ette, et kohustused rakenduksid 6-12 kuu jooksul pärast Komisjoni otsust, mis kinnitab nõuete täitmist toetavate meetmete valmimist, kuid mitte hiljem kui 02.12.2027 või 02.08.2028, vastavalt süsteemi määrusest tulenevale kuuluvusele. Leiame, et prognoositavuse ja õigusselguse eesmärgil tuleks paindlike tähtaegade asemel kehtestada kindlad tähtajad kohustuste rakendumisele. Hetkel ei ole täielikku selgust Komisjoni kinnitusprotsessi toimimise osas ning rakendustähtaegade prognoosimatus raskendab nõueteks valmistumist nii ettevõtetele kui ka pädevatele asutustele. Kindlate kuupäevaliste tähtaegade olemasolu lahendaks need probleemid.