| Dokumendiregister | Siseministeerium |
| Viit | 1-7/20-1 |
| Registreeritud | 20.01.2026 |
| Sünkroonitud | 21.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1 Ministeeriumi töö korraldamine. Juhtimine. Planeerimine. Aruandlus |
| Sari | 1-7 Siseministeeriumile kooskõlastamiseks saadetud siseriiklikute õigusaktide eelnõud |
| Toimik | 1-7/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | sisejulgeoleku osakond |
| Originaal | Ava uues aknas |
MINISTRI MÄÄRUSE EELNÕU MINISTRI MÄÄRUS Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord1 Määrus kehtestatakse küberturvalisuse seaduse § 8 lõike 8 alusel. § 1. Teavitamisel esitatavad andmed ja teavitamise kord (1) Esmases teates esitatakse võimaluse korral järgmine teave: 1) teave olulise mõjuga küberintsidendi sisu ja põhjuse kohta, sealhulgas asjakohasel juhul teave turvarikkemärgi kohta koos selgitusega, kas olulise mõjuga küberintsidendi eeldatavaks põhjuseks on ebaseaduslik või pahatahtlik tegevus; 2) hinnang olulise mõjuga küberintsidendile, sealhulgas selle raskusastmele ja mõjule; 3) teave olulise mõjuga küberintsidendi piiriülese mõju kohta; 4) teave olulise mõjuga küberintsidendi lahendamiseks ettevõetavate tegevuste kohta. (2) Intsidenditeates esitatakse lõikes 1 nimetatud teave. (3) Vahearuandes esitatakse lõikes 1 nimetatud teave ja asjakohasel juhul Riigi Infosüsteemi Ameti taotletud lisateave. (4) Lõppraport sisaldab järgmist teavet: 1) küberintsidendi põhjus; 2) küberintsidendi suhtes rakendatud abinõu; 3) küberintsidendi raskusaste ja mõju, sealhulgas asjakohasel juhul piiriülene mõju. § 2. Määrus jõustub 1. veebruaril 2026. a. 1 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152). Liisa-Ly Pakosta justiits- ja digiminister Tiina Uudeberg kantsler
1
13.01.2026
Justiits- ja digiministri määruse „Küberintsidendist teavitamisel esitatavad
andmed ja teavitamise kord“ eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine,
eelnõu 739 SE (edaspidi 739 SE)).1 Selle seletuskirja aluseks oleva eelnõu eesmärk on võtta üle
ainult NIS2-direktiivi artikli 23 lõige 4 osas, mida ei reguleerita küberturvalisuse seadusega ega
muude õigusaktidega. Konkreetsemalt sätestatakse kavandatava määrusega, mis on
küberintsidendist teavitamisel esitatavate teadete sisu (st teave). Nendeks teadeteks on esmane
teade, intsidenditeade, vahearuanne ja lõppraport.
Kuna nii 739 SE kui ka kavandatava määruse eelnõu kohaselt – viimase puhul väga vähesel
määral – halduskoormus kasvab (küberturvalisuse seadust täiendatakse uute subjektidega, kes
peavad täitma seaduses, sh ka määruses ette nähtavaid nõudeid), nähti halduskoormuse
tasakaalustamine ette Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ muudatustega.2 Nimetatud määruse kohaselt
lihtsustati eelkõige mikro- ja väikeettevõtjate küberturvalisuse tagamise nõudeid, nähes
ettevõtjatele ette vaid esmaste turvameetmete täitmise kohustuse standardi järgimise asemel.
Need muudatused jõustusid 1. oktoobril 2025.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu on
keeleliselt toimetanud Justiits- ja Digiministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Inge Mehide ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga 739 SE.
Eelnõu kohaselt võetakse üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a direktiivi
(EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase
kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333,
27.12.2022, lk 80–152) (edaspidi ka NIS2-direktiiv), artikkel 23 lõige 4 osas, mida ei reguleerita
küberturvalisuse seaduse ega muude õigusaktidega.
1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogus olev eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/. 2 https://eelnoud.valitsus.ee/main/mount/docList/7d3ea848-35b2-47d8-8eb8-fa2f735c3da6
2
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „võtame Euroopa
Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute normide
muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja muuta need
vabatahtlikuks“.3 Eelnõu väljatöötamise alus on Vabariigi Valitsuse tegevusprogrammi 2023–
20274 ELi direktiivide valdkonna all olev ülesanne „Eelnõu direktiivi (EL) 2022/2555
ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
Kuna 739 SE suurendab halduskoormust (KüTSi täiendatakse uute subjektidega, kes peavad
KüTSi nõudeid täitma), nähti halduskoormuse tasakaalustamine ette Vabariigi Valitsuse 9.
detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“
muudatustega, mis jõustusid 1. oktoobril 2025.
739 SE kohaselt lisandub küberturvalisuse seadusesse ka § 8 lõige 81, mis tekitab kavandatava
määruse puhul seose NIS2-direktiivi artikli 23 lõike 11 alusel antud Euroopa Komisjoni
rakendusaktiga. Selles rakendusaktis kehtestatakse nõuded küberintsidendi, sealhulgas olulise
mõjuga küberintsidendi kohta esitatava teate või raporti korrale ja vormile. Kui sedasorti
rakendusakt vastu võetakse, lähtuvad rakendusaktis nimetatud teenuseosutajad selles
rakendusaktis kehtestatud nõuetest. Ülejäänud küberturvalisuse seaduse 739 SE kohased
teenuseosutajad järgivad kavandatavat määrust. Euroopa Komisjon on digitaalse
koondmääruse ettepanekus5 selgitanud, et eelviidatud komisjoni rakendusakt võetakse vastu,
sealhulgas toimub tolle ettepaneku käigus ka ühtlustatakse erinevate õigusaktide alusel ette
nähtud teavituste vorme.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kolmest paragrahvist.
Paragrahviga 1 määratakse teavitamise sisu ja kord. Tegemist on NIS2-direktiivi artikli 23
lõike 4 ülevõtmisega. 739 SE määrab küberturvalisuse seaduse §-s 8 nii nende teavituste
esitamise ajavälbad kui ka muud üldisemad nõuded, kuid kõnealuses paragrahvis sätestatakse,
mis teave esmases teates, intsidenditeates, vahearuandes ja lõppraportis esitatakse.
Lõige 1 näeb ette, et esmases teates esitatakse võimaluse korral järgmine teave:
1) teave olulise mõjuga küberintsidendi sisu ja põhjuse kohta, sealhulgas asjakohasel juhul
teave turvarikkemärgi kohta koos selgitusega, kas olulise mõjuga küberintsidendi eeldatavaks
põhjuseks on ebaseaduslik või pahatahtlik tegevus;
2) hinnang olulise mõjuga küberintsidendile, sealhulgas selle raskusastmele ja mõjule;
3) teave olulise mõjuga küberintsidendi piiriülese mõju kohta;
4) teave olulise mõjuga küberintsidendi lahendamiseks ettevõetavate tegevuste kohta.
Esmase teate (NIS2-direktiivis sõnastuses „varajane hoiatus“) sisuga seoses on asjakohased
NIS2-direktiivi põhjenduse 102 laused 5 ja 6: Varajane hoiatus peaks sisaldama üksnes teavet,
mis on vajalik CSIRTi või, kui see on kohaldatav, pädeva asutuse olulisest intsidendist
teavitamiseks ja võimaldama asjaomasel üksusel vajaduse korral abi otsida. Selline varajane
3 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-2027 4 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf 5 https://digital-strategy.ec.europa.eu/et/library/digital-omnibus-regulation-proposal
3
hoiatus, kui see on kohaldatav, peaks näitama, kas on kahtlus, et olulise intsidendi põhjuseks
on ebaseaduslik või pahatahtlik tegevus, ning kas sellel on tõenäoliselt piiriülene mõju.
Termin „küberintsident“ on defineeritud 739 SE kohase küberturvalisuse seaduse § 2 punktis
18. Olulise mõjuga küberintsidendi kohta saab lugeda küberturvalisuse seaduse § 8 lõigetest 1
ja 2, sh ka 739 SE kohase seaduse § 8 lõikesse 2 lisanduvast punktist 6, mis omakorda viitab
Euroopa Komisjoni asjakohasele rakendusaktile6 ja selles kirjeldatud olukordadele, millal
küberintsident on käsitletav olulise mõjuga küberintsidendina küberturvalisuse seaduse
tähenduses. Turvarikkemärk on rikkumisele viitav asjaolu (igasugune tunnus, mis viitab
rikkumise toimumisele).
739 SE koostamise käigus hinnati korduvalt, mis on NIS2-direktiivi artikli 23 lõike 4 punkti a
minimaalne ülevõetav osa (st mis on esmase teate sisu) ning kuivõrd on direktiiviga ette nähtud
sõnastusliku miinimumiga võimalik täita pädevale asutusele, ennekõike Riigi Infosüsteemi
Ametile seatud ülesannet ja ootust, et asutus saaks anda teavituse esitajale abi ja tagasisidet
selle teabe põhjal, mis on esitatud esmase teatega. Sõnastusliku miinimumiga on siin mõeldud,
et olulise mõjuga küberintsidendi korral tuleb teada anda, kas 1) selle eeldatavaks põhjuseks on
ebaseaduslik või pahatahtlik tegevus ning kas 2) sellel on Eesti riigipiiri ületav mõju.
Lõpptulemusena jõuti järeldusele, et on otstarbekas sõnastada esmase teate sisu nii, nagu on
kõnealuses paragrahvis. Esmase teatega esitatakse see teave, mis on teate esitamise hetkel
olemas, sest praktikas võib esineda ka olukord, et mingi asjaolu ei ole veel teada (nt intsidendi
piiriülene mõju või hinnang olulise mõjuga küberintsidendi tõsiduse ja mõju kohta vms).
Seetõttu on kommenteeritavas lõikes kasutatud sõnastust „võimaluse korral“. See tekitab
tasakaalu nii küberintsidendist teavitamise kohustuse kui ka küberintsidendi käsitlemise
vaatest. See on ka põhjus, miks kommenteeritava lõike sisu hõlmab elemente, mis on NIS2-
direktiivi artikli 23 lõikes 4 ette nähtud nii varajasele hoiatusele (eelnõu tähenduses „esmane
teade“), intsidenditeatele (eelnõus samuti „intsidenditeade“), vahearuandele (eelnõus samuti
„vahearuanne“) kui ka lõpparuandele (eelnõus „lõppraport“). See võimaldab ka vältida, et tekib
kuni neli erinevat vormi, mida tuleks ühe küberintsidendi puhul täita – selle asemel on võimalik
kasutusele võtta üks vorm, mida saab vajaduse korral täiendada või parandada.
Lõike 1 punkt 1 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti a (lauseosa märgitakse (kui
see on kohaldatav), kas olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või
pahatahtlik tegevus), punkti b (lauseosa antakse esialgne hinnang olulisele intsidendile,
sealhulgas .. võimaluse korral ka rikkeindikaatoritele) ning punkti d alapunktide i (intsidendi,
sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus) ja ii (ohu liik või lähtepõhjus, mis
intsidendi tõenäoliselt põhjustas) ülevõtmisega. Sõnad „oluline intsident“ on määruse eelnõu
tähenduses „olulise mõjuga küberintsident“. Sõna „intsident“ on eelnõu tähenduses
„küberintsident“. Sõna „rikkeindikaator“ on eelnõu tähenduses „turvarikkemärk“.
Turvarikkemärk on rikkumisele viitav asjaolu ehk igasugune tunnus, mis viitab rikkumise
toimumisele.
Lõike 1 punkt 2 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti b (lauseosa antakse esialgne
hinnang olulisele intsidendile, sealhulgas selle tõsidusele ja mõjule) ülevõtmisega. Sõna
„tõsidus“ asemel on eelnõus kasutatud sõna „raskusaste“. Raskusaste on seotud võrgu- ja
infosüsteemi turvalisust ja selle toimepidevust mõjutavate ning küberintsidendi tekkimist
põhjustavate riskide loetelu koostamisega, mille käigus määratakse riskide realiseerumise
6 Rakendusakt jõustus 7. novembril 2024 ja on kättesaadav https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1730728447038. Lisainfo:
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-
reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en ja https://eur-
lex.europa.eu/legal-content/ET/TXT/?uri=PI_COM:Ares(2024)4640447&qid=1728309190768.
4
tagajärgede raskusaste ja kirjeldatakse riskijuhtimismeetmeid. Riskianalüüsi koostamise
kohustus on ette nähtud Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ § 5 lõikega 1, selle sisu täpsustatakse Vabariigi
Valitsuse määrusi muutva eelnõuga. Varem oli vastav nõue ette nähtud enne NIS2-direktiivi
vastuvõtmist kehtinud küberturvalisuse seaduses, konkreetsemalt selle § 7 lõike 2 punkti 1 kuni
31.12.2025 kehtinud sõnastuses. Seega pole riskianalüüsi koostamine, sh selle „raskusaste“,
uus tegevus ega käsitlus.
Lõike 1 punkt 3 on seotud nii NIS2-direktiivi artikli 23 lõike 4 punkti a (lauseosa milles
märgitakse (kui see on kohaldatav), kas [olulisel intsidendil] .. võib olla piiriülene mõju) kui
ka punkti d alapunkti iv (kui see on kohaldatav, intsidendi piiriülene mõju) ülevõtmisega.
Piiriülese mõju all mõeldakse, et küberintsidendi mõju avaldub lisaks Eesti Vabariigi
territooriumil oleva(te)le võrgu- ja infosüsteemi(de)le ka mõne muu riigi võrgu- ja
infosüsteemi(de)le.
Lõike 1 punkt 4 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti d alapunkti iii (juba
kohaldatud ja kohaldamisel olevad leevendusmeetmed) ülevõtmisega. Leevendusmeetmete all
mõeldaksegi ettevõetavaid tegevusi ehk neid meetmeid, mis on kasutusele võetud, sh
asjakohasel juhul ka tulevikus (näiteks kui üksus teeb rakendatud meetme üle mingi aja pärast
ise sisemist kontrolli).
Lõige 2 on seotud samade NIS2-direktiivi sätete ülevõtmisega, mis on viidatud siinse
paragrahvi lõike 1 asjakohastes punktides, sh on seotud NIS2-direktiivi artikli 23 lõike 4 punkti
b (lauseosa millega, kui see on kohaldatav, ajakohastatakse punktis a osutatud teavet ning
antakse esialgne hinnang olulisele intsidendile, sealhulgas selle tõsidusele ja mõjule ning
võimaluse korral ka rikkeindikaatoritele) ülevõtmisega. Kommenteeritav lõige näeb ette, et kui
tegemist on intsidenditeatega, siis esitatakse lõikes 1 nimetatud teave. Kui esmase teate puhul
esitatakse see teave, mis on esitamise hetkel olemas, siis intsidenditeate puhul esitatakse kogu
teave, mis on lõikes 1 välja toodud. Kui intsidenditeate puhul ei ole jätkuvalt mõne asjaolu
kohta teavet, mis tuleb esitada (näiteks ei ole veel teada, et tegemist on piiriülese mõjuga), saab
vastavas osas selgitada, et see info puudub või pole sel hetkel asjakohane.
Lõige 3 on seotud samade NIS2-direktiivi sätete ülevõtmisega, mis on viidatud siinse
paragrahvi lõike 1 asjakohastes punktides, sh nii NIS2-direktiivi artikli 23 lõike 4 punkti c
(CSIRTi või, kui see on kohaldatav, pädeva asutuse taotlusel vahearuande vaatlusaluste asjade
seisu kohta) kui ka kaudselt punkti d ülevõtmisega. Nende punktide põhisisu võeti üle 739 SE
kohase seadusega, kuid seaduseelnõuga küberturvalisuse seaduses tehtavad muudatused ei
määra kindlaks, mis on lõpparuande (eelnõus lõppraporti) või vahearuande sisu. Kavandatavas
lõikes määratakse vahearuande sisu kindlaks: tegemist on olemuselt sama teabega, mis on
nimetatud sama paragrahvi lõikes 1.
Vahearuandega tuleb esitada ka see teave, mida Riigi Infosüsteemi Amet küsib vahearuande
esitajalt – seda siis, kui amet soovib mingi asjaolu kohta lisateavet saada. Lisateabe küsimine
toimub ennekõike esmases teates või intsidenditeates esitatud teabe põhjal. Sõnad „asjakohasel
juhul“ tähendavad, et ametil pole kohustust lisateavet küsida, kuid kui ta seda teeb, peab
teavituse tegija küsitud teabe esitama.
Lõige 4 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti d ülevõtmisega. Selles punktis on
määratud kindlaks lõpparuande (eelnõus lõppraporti) sisu. Lõike 4 punkt 1 on seotud NIS2-
direktiivi artikli 23 lõike 4 punkti d alapunkti ii (ohu liik või lähtepõhjus, mis intsidendi
tõenäoliselt põhjustas) ülevõtmisega. Lõike 4 punkt 2 on seotud NIS2-direktiivi artikli 23 lõike
5
4 punkti d alapunkti iii (juba kohaldatud ja kohaldamisel olevad leevendusmeetmed)
ülevõtmisega. Lõike 4 punkt 3 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti d alapunktide
i (intsidendi, sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus) ja iv (kui see on
kohaldatav, intsidendi piiriülene mõju) ülevõtmisega.
Paragrahvis 2 nähakse ette määruse jõustumise aeg, milleks on 1. veebruar 2026 (vt
seletuskirja punkti 6).
Määrusele lisatakse normitehniline märkus NIS2-direktiivi kohta.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõus järgitakse õigusnormide loomisel NIS2-direktiivi. Eelnõu vastab NIS2-direktiivile
ning kuna direktiiv võeti ennekõike üle 739 SE kohase seadusega, on seaduseelnõu materjalide
juures ka NIS2-direktiivi vastavustabel. Seletuskirja siinses osas tuuakse välja need väljavõtted
NIS2-direktiivi artikli 23 lõike 4 esimesest lõigust, mis on seotud siinse eelnõuga:
1) punkt a = määruse § 1 lg 1 p-d 1 ja 3;
2) punkt b = määruse § 1 lg 1 p-d 1–3 ning kaudselt ka lg 2;
3) punkt c = määruse § 1 lg 3 ning kaudselt ka lg 1;
4) punkti d alapunkt i = määruse § 1 lg 1 p 1 ja lg 4 p 3;
5) punkti d alapunkt ii = määruse § 1 lg 1 p 1 ja lg 4 p 1;
6) punkti d alapunkt iii = määruse § 1 lg 1 p 4 ja lg 4 p 2;
7) punkti d alapunkt iv = määruse § 1 lg 1 p 3 ja lg 4 p 3;
8) punkt e = määruse § 1 lg 3 ning kaudselt ka lg 1.
Iga tehtava muudatuse juures on võrreldud muudetava sätte vastavust Euroopa Liidu õigusele,
vajaduse korral on toodud ka võimalikud sõnastusalternatiivid.
Sätete puhul, mis lahendatakse teisiti, kui on sõnastatud NIS2-direktiiv, kohaldub ka NIS2-
direktiivi artikkel 5, mis näeb ette järgmist: [NIS2-direktiiv] ei takista liikmesriike tarbijate
kaitseks vastu võtmast või kehtima jätmast sätteid, millega tagatakse kõrgem küberturvalisuse
tase, tingimusel et sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud
liidu õiguses.
4. Määruse mõjud
Eelnõukohane määrus mõjutab neid üksusi, kes esitavad olulise mõjuga küberintsidendi kohta
teateid Riigi Infosüsteemi Ametile. Need üksused on nii avaliku kui ka erasektori taustaga. 739
SE seletuskirjas on hinnatud, kui palju üksusi see muudatus mõjutab. Muudatuse mõju on
seotud asjaoluga, mis teavet edaspidiselt esitatakse küberintsidendist teavitamise korral.
Määrusega tehtaval muudatusel ei ole neile üksustele olulist mõju, kuna olemasolevad
küberintsidendist teavitamise vormid on juba praegu üldjoontes samad ehk olulise mõjuga
küberintsidendist teavitav üksus ei pea esmase teate, intsidenditeate, vahearuande ega
lõppraporti edastamiseks uut laadi teavet koguma hakkama. Seda enam, et esmase teate puhul
on olemas ka paindlikkus valida, mis laadi andmeid esitada. Määruse muudatus omab
lühiajaliselt suuremat mõju neile üksustele, kes seni pole varem küberintsidendi teavitust teinud
(kas kohustuslikult või vabatahtlikult). Tegemist on lühiajalise mõjuga, kuna küberintsidendi
toimumisel ei pruugi too üksus kohe alguses teada ega aru saada, mis teavet küberintsidendi
kohta tuleb esitada, kuid siin aitabki vastava vormi kasutamine, mis on leitav asjakohaselt
veebilehelt (vt ka järgmist selgitust).
6
5. Määruse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Eelnõuga tulusid ei prognoosita.
Eelnõu määrusena jõustumise korral peab Riigi Infosüsteemi Amet üle vaatama nii enda
võrgulehel kui ka ettenähtud veebikeskkonnas olevad vormid, et need vastaksid määrusega
kindlaks määratud teadete sisule. Nende toimingute teostamine ei tekita märkimisväärset kulu.
6. Määruse jõustumine
Määrus jõustub 1. veebruaril 2026. Jõustumisaja puhul on lähtutud kuupäevast, mis võimaldab
eelnõu kooskõlastada ning Riigi Infosüsteemi Ametil asjakohased vormid üle vaadata.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
7.1. Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka siin kommenteeritava määruse eelnõuga sätestatavate
nõuete kohta. Sellekohane tagasiside ja vastused on leitavad 739 SE dokumentide juurest.
Samuti on seletuskirjas asjakohasel juhul selgitatud märkusi, mis saabusid 739 SE kohta enne
selle esitamist Riigikogule.
7.2. Eelnõu esitatakse eelnõude infosüsteemi kaudu kooskõlastamiseks ministeeriumitele,
Riigikantseleile ning Eesti Linnade ja Valdade Liidule.
7.3. Eelnõu saadetakse arvamuse avaldamiseks Andmekaitse Inspektsioonile, Eesti Pangale,
Riigi Infosüsteemi Ametile, Finantsinspektsioonile, Eesti Pangaliidule, Eesti Haiglate Liidule,
Eesti Arstide Liidule, Eesti Perearstide Seltsile, Eesti Vee-ettevõtete Liidule, Eesti Kiirabi
Liidule, Eesti Ravimihulgimüüjate Liidule, Ravimitootjate Liidule, Eesti Proviisorapteekide
Liidule, Eesti Apteekrite Liidule, Eesti Elektritööstuse Liidule, Eesti Jõujaamade ja Kaugkütte
Ühingule, Eesti Gaasiliidule, Eesti Transpordikütuste Ühingule, Eesti Infotehnoloogia ja
Telekommunikatsiooni Liidule, Eesti Kaubandus-Tööstuskojale, Eesti Põllumajandus-
Kaubanduskojale, Eesti Toiduainetööstuse Liidule ja Eesti Kaupmeeste Liidule.
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Riigikantselei Ministeeriumid Eesti Linnade ja Valdade Liit Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord Saadame kooskõlastamiseks Justiits- ja digiministri määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu. Ootame teie kooskõlastusi ja arvamusi hiljemalt 10 tööpäeva jooksul alates kirja kuupäevast. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad:
1. määruse eelnõu 2. määruse seletuskiri
Lisaadressaadid: Andmekaitse Inspektsioon Eesti Pank Riigi Infosüsteemi Amet Finantsinspektsioon Eesti Pangaliit Eesti Haiglate Liit Eesti Arstide Liit Eesti Perearstide Selts Eesti Vee-ettevõtete Liit Eesti Kiirabi Liit Eesti Ravimihulgimüüjate Liit
Meie 20.01.2026 nr 8-1/444-1
2
Ravimitootjate Liit Eesti Proviisorapteekide Liit Eesti Apteekrite Liit Eesti Elektritööstuse Liit Eesti Jõujaamade ja Kaugkütte Ühing Eesti Gaasiliit Eesti Transpordikütuste Ühing Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Eesti Kaubandus-Tööstuskoda Eesti Põllumajandus-Kaubanduskoda Eesti Toiduainetööstuse Liit Eesti Kaupmeeste Liit Raavo Palu [email protected]
EISi teade Eelnõude infosüsteemis (EIS) on algatatud kooskõlastamine. Eelnõu toimik: JDM/26-0082 - Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord Kohustuslikud kooskõlastajad: Majandus- ja Kommunikatsiooniministeerium; Haridus- ja Teadusministeerium; Kultuuriministeerium; Riigikantselei; Kaitseministeerium; Siseministeerium; Regionaal- ja Põllumajandusministeerium; Rahandusministeerium; Eesti Linnade ja Valdade Liit; Sotsiaalministeerium; Kliimaministeerium; Välisministeerium Kooskõlastajad: Arvamuse andjad: Kooskõlastamise tähtaeg: 03.02.2026 23:59 Link eelnõu toimiku vaatele: https://eelnoud.valitsus.ee/main/mount/docList/8b98bd74-37ac-4e64-af4f-9e3e3744b715 Link kooskõlastamise etapile: https://eelnoud.valitsus.ee/main/mount/docList/8b98bd74-37ac-4e64-af4f-9e3e3744b715?activity=1 Eelnõude infosüsteem (EIS) https://eelnoud.valitsus.ee/main
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastuskiri | 10.02.2025 | 1 | 1-7/279-5 | Väljaminev kiri | sisemin | Justiits- ja Digiministeerium |
| Vastuskiri | 19.06.2023 | 947 | 1-7/125-4 | Väljaminev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| KaPo - Küberintsidentide registri põhimäärus | 13.06.2023 | 953 | 1-7/125-3 | Sissetulev kiri | sisemin | Kaitsepolitseiamet |
| PPA - Arvamus eelnõule | 12.06.2023 | 954 | 1-7/125-2 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |
| Küberintsidentide registri põhimäärus | 31.05.2023 | 966 | 1-7/125-1 | Sissetulev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| Vastuskiri | 15.02.2021 | 1801 | 1-7/18-5 | Väljaminev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| SMIT - Küberintsidentide registri põhimääruse eelnõu | 04.02.2021 | 1812 | 1-7/18-4 | Sissetulev kiri | sisemin | Siseministeeriumi infotehnoloogia- ja arenduskeskus |
| KaPo - Arvamus | 03.02.2021 | 1813 | 1-7/18-3 🔒 | Sissetulev kiri | sisemin | Kaitsepolitseiamet |
| PPA - Arvamus väliskaubandus- ja infotehnoloogiaministri määruse "Küberintsidentide registri põhimäärus" eelnõule | 02.02.2021 | 1814 | 1-7/18-2 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |
| Küberintsidentide registri põhimäärus | 19.01.2021 | 1828 | 1-7/18-1 | Sissetulev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |