| Dokumendiregister | Siseministeerium |
| Viit | 1-7/125-1 |
| Registreeritud | 31.05.2023 |
| Sünkroonitud | 21.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1 Ministeeriumi töö korraldamine. Juhtimine. Planeerimine. Aruandlus |
| Sari | 1-7 Siseministeeriumile kooskõlastamiseks saadetud siseriiklikute õigusaktide eelnõud |
| Toimik | 1-7/2023 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Majandus- ja Kommunikatsiooniministeerium |
| Saabumis/saatmisviis | Majandus- ja Kommunikatsiooniministeerium |
| Vastutaja | sisejulgeolekupoliitika osakond |
| Originaal | Ava uues aknas |
1
EELNÕU
26.05.2023
MAJANDUS- JA INFOTEHNOLOOGIAMINISTER
MÄÄRUS
Küberintsidentide registri põhimäärus
Määrus kehtestatakse küberturvalisuse seaduse § 13 lõike 3 alusel.
1. peatükk
Üldsätted
§ 1. Andmekogu asutamine ja selle nimetus
Määrusega asutatakse andmekogu nimetusega küberintsidentide register (edaspidi register).
§ 2. Registri pidamise eesmärk
Registri eesmärk on küberintsidentide üle arvestuse pidamine küberintsidentide tuvastamiseks,
analüüsimiseks, lahendamiseks, ohuteadete edastamiseks ja järelevalve teostamiseks.
§ 3. Registri vastutav töötleja
Registri vastutav töötleja on Riigi Infosüsteemi Amet (edaspidi vastutav töötleja).
§ 4. Andmete õiguslik tähendus
Registri andmetel on informatiivne tähendus.
§ 5. Registri pidamine
Registrit peetakse ühetasandilise digitaalse andmekoguna.
§ 6. Registri turvalisus
Registri turvaklass on K1T1S2 ja turbeaste on M.
2. peatükk
Andmete koosseis ja andmete esitamine registrisse
§ 7. Registriandmete koosseis
2
(1) Registrisse kantakse küberintsidendi kohta järgmised andmed nende olemasolul:
1) küberintsidendist mõjutatud võrgu- ja infosüsteemi haldaja nimi;
2) teave avastamise, eeldatava tekkimise ja lahendamise aja kohta;
3) teave mõju ulatuse kohta;
4) teave võrgu- ja infosüsteemide, mida küberintsident mõjutab või võib mõjutada, kohta;
5) teave tekkepõhjuse kohta;
6) teave andmeandja ja lahendaja kohta;
7) teave lahendamiseks kulunud aja ja rakendatud turvameetmete kohta;
8) küberintsidendi tuvastamiseks, analüüsimiseks ning lahendamiseks edastatud veebiaadress,
fail ja süsteemi logi või muu manus.
(2) Lõike 1 punktis 6 sätestatud teave on:
1) küberintsidendist teavitanud juriidilise isiku nimi, esindaja ees- ja perenimi, telefoninumber
ning e-postiaadress;
2) küberintsidenti lahendava juriidilise isiku nimi, esindaja ees- ja perenimi, telefoninumber
ning e-postiaadress;
3) küberintsidendist teavitanud füüsilise isiku ees- ja perenimi, telefoninumber ning e-
postiaadress.
§ 8. Andmeandja
Andmeandjaks on:
1) teenuse osutaja küberturvalisuse seaduse § 3 lõike 1 tähenduses;
2) teenuse osutajaga võrdsustatud isik küberturvalisuse seaduse § 3 lõike 4 tähenduses;
3) küberintsidendist teavitamise kohustuseta isik, kes teavitas küberintsidendist Riigi
Infosüsteemi Ametit.
§ 9. Registritoimingud
(1) Registritoimingud on:
1) andmete registrisse kandmine;
2) andmete muutmine;
3) andmete vaatamine;
4) andmete edastamine;
5) andmete kustutamine.
(2) Registritoiminguid teeb vastutav töötleja.
(3) Registritoimingu kohta kogutakse järgmisi andmeid:
1) toimingu tegija andmed;
2) toimingu tegemise sisu, kuupäev ja kellaaeg.
(4) Lõikes 3 sätestatud teavet säilitatakse üks aasta.
3
§ 10. Registriandmete õigsus
(1) Andmeandja vastutab tema poolt vastutavale töötlejale edastatud andmete õigsuse eest.
(2) Registriandmetes vea tuvastamisel või veast teadasaamisel parandab vastutav töötleja vea.
3. peatükk
Juurdepääs registriandmetele ja andmete säilitamine
§ 11. Juurdepääs registriandmetele
(1) Register on piiratud juurdepääsuga ja registriandmed on mõeldud asutusesiseseks
kasutamiseks.
(2) Registri toimingute tegemise õigus on Riigi Infosüsteemi Ameti ametnikul ja töötajal
küberturvalisuse seadusest tulenevate ülesannete täitmiseks.
(3) Registriandmeid võib väljastada:
1) andmeandjale tema esitatud teabe osas;
2) andmekaitse järelevalveasutusele, kui küberintsident puudutab isikuandmeid, põhjustades
töödeldavate isikuandmete juhusliku või ebaseadusliku kaotsimineku, hävitamise, muutmise
või loata avalikustamise või neile juurdepääsu;
3) riigi julgeoleku tagamisega seotud ülesannete täitmiseks;
4) süütegude menetlemiseks;
5) kui see on vajalik suure mõjuga küberintsidendi lahendamiseks ja teabe edastamine on
ettenähtud seadusega või rahvusvahelise lepinguga;
6) kui õigus saada teavet tuleneb seadusest, rahvusvahelisest lepingust või muust õigusaktist ja
teave on vajalik asutusele või isikule õigusaktiga pandud ülesannete täitmiseks.
(4) Vastutav töötleja otsustab registriandmete väljastamise või sellest keeldumise ja andmete
väljastamise ulatuse 30 päeva jooksul taotluse saamisest arvates. Vastutaval töötlejal on enne
andmete väljastamist õigus küsida taotluse esitajalt lisateavet.
(5) Lõike 3 punktides 2 ja 5 sätestatud juhul võib vastutav töötleja väljastada registriandmeid
omal initsiatiivil, kui registriandmete väljastamine on ettenähtud seadusega või rahvusvahelise
lepinguga või registriandmete väljastamine on vajalik andmekaitse järelevalveasutusele
isikuandmete kaitse nõuete järelevalveks.
(6) Vastutav töötleja registreerib registriandmete väljastamise.
§ 12. Registriandmete säilitamise tähtaeg
(1) Registriandmeid säilitatakse viis aastat alates intsidendi lahendamisest.
4
(2) Säilitamise tähtaja saabumisel registriandmed kustutatakse.
4. peatükk
Registri rahastamine ja likvideerimine
§ 13. Registri rahastamine
Registri pidamise kulu kaetakse vastutavale töötlejale riigieelarvest eraldatud vahenditest.
§ 14. Registri likvideerimine
(1) Registri likvideerimise otsustab valdkonna eest vastutav minister.
(2) Register likvideeritakse kooskõlas arhiiviseadusega.
Tiit Riisalo
Majandus- ja infotehnoloogiaminister
Ahti Kuningas
Kantsler
1
Majandus- ja infotehnoloogiaministri määruse
„Küberintsidentide registri põhimäärus“ eelnõu
seletuskirja lisa
Märkuste tabel
Märkus Märkusega arvestamine
Siseministeerium
15.02.2021 nr 1-7/18/5
1. Määruse §-s 7 sätestatud andmekoosseis
on teoorias üsna põhjalik ja ulatuslik.
Eelnõu § 6 on välja toodud registri ISKE
turvaklass K1T1S2 ja turbeaste M.
Siseministeeriumi hinnangul ei ole see
turvatase piisav. Esiteks juhime
tähelepanu, et koondina on see
informatsioon väga tundlik ning seda on
vaja proportsionaalsete meetmetega
kaitsta. Teiseks on eelnõu § 8 loetletud
andmeandjate hulgas on ka
Siseministeerium ning tema hallatavad
asutused ning riigisaladuse ja salastatud
välisteabe seaduse (RSVS) § 10 lg 1 ja lg
9 koosmõjus võib antud asutuste poolt
edastatud küberintsidente käsitlev teave
ning selle kogumina hoidmine RSVS
mõistes infrastruktuuri ja teabe
riigisaladus, mida tuleb salastada kas
konfidentsiaalsel või madalamal tasemel
kuni 30 aastat. Kolmandaks kattuvad
osaliselt eelnõu § 2 välja toodud registri
eesmärgid ja eelnõu § 7 lg 2 loetletud
registrisse kantavad andmed riigisaladuse
ja salastatud välisteabe kaitse korra
(RSVKK) § 8 lg 1 p 32 nimetatud Riigi
Infosüsteemide Ameti (RIA) poolt
kogutava teabega, milline salastatakse
piiratud tasemel 10 aastaks. Riigisaladuse
esinemisel tuleb registrile kohaldada
RSVKK § 39 lg 2 p 3 ehk arvutite ja
Antud selgitus
Küberturvalisuse seaduse (KüTS)
jõustumisest (mai 2018) saadik ei
kohaldata KüTS-i sätteid muu hulgas
riigisaladuse ja salastatud välisteabe
töötlemisele. Seega ei ole vajadus registri
turvataset muuta. Kuna küberintsidentide
registris ei kajastata riigisaladusega
hõlmatud teavet, ei kohaldata ka registri
pidamisele arvutite ja kohtvõrkude kaitse
nõuete määrust (AKKN).
Turvaklassi ja turbeastme muutmist ei ole
vaja.
2
kohtvõrkude kaitse nõuete määrust
(AKKN).
2. Eelnevaga seoses palume RIA-l
täiendavalt hinnata peetava registri
eesmärki. Probleem tuleneb eelnõu
seletuskirja §-st 12, milles selgitatakse, et
registris kajastuvad ka mõjuta intsidendid
ehk „õngitsuskirjad, mille ohvriks ei ole
keegi langenud“. See selgitus ei haaku
KüTS intsidendi definitsiooniga, mis on
selgitatud ka seletuskirjas § 12 all.
Ebaõnnestunud õngitsuskirjad, mida
saabub nii avaliku- kui erasektori
meiliaadressidele üleriigiliselt tuhandeid,
siia sellisel kujul ei kvalifitseeru.
Siseministeerium ei väida, et sellist infot ei
oleks vajalik süstematiseerida, vaid peab
vajalikuks see eelnõus ja seletuskirjas
selgemalt eristada.
Antud selgitus
RIA soosib ja ei piira küberintsidentidest
teavitamist. Üksikjuhtumina mõjuta
küberintsident annab aga kogumis teistega
olulist teavet aktuaalsete trendide,
vektorite ja sihtmärkide osas ehk on
panuseks otseselt KüTS § 12 ülesannete
täitmiseks ehk küberintsidendi ennetuse ja
lahendamise koordineerimiseks.
Õngitsuskirjad ja ka muud mõjuta
küberintsidendid kantakse
küberintsidentide registrisse samadel
alustel teiste küberintsidentidega. Mõju
puudumisel märgitakse nad koheselt
lahendatuks. Teavet õngitsuskirjadest
säilitatakse sarnaselt muule teabele 5
aastat alates selle küberintsidendi
lahendatuks lugemisest.
3. Eelnevast kahest märkusest lähtuvalt teeb
Siseministeerium ettepaneku kajastada
registris üksnes intsidentide arvestust,
kaitstes seda seejuures rangemate ISKE
nõuetega, kui K1T1S2. Selline lähenemine
võimaldab kajastada intsidentide
tundlikumat informatsiooni eraldi
süsteemis, mis oleks kooskõlas ka
riigisaladuse kaitse nõuetega, kui
intsidendiga seotud haavatavus ja
intsidendi koondanalüüs seda nõuavad.
Juhul, kui RIA registri pidajana siiski
soovib registris käsitleda oluliselt
sisulisemat informatsiooni (nagu
sätestatud eelnõu §-s 7, mh piiratud
tasemel riigisaladust), peab register
vastama ka AKKN nõuetele.
Antud selgitus
Eelnõus tehtud muudatused vastavalt
KüTS-i nõuetele ning registris ei kajastata
riigisaladusega kaitstud teavet. Seega
käesoleva registri kooskõla AKKN
nõuetega ei ole vajalik. Riigisaladust
puudutava töötlemine toimub selleks
ettenähtud eraldi süsteemis.
Eelnõu seletuskirjas on märgitud, et
registri loomisega kulusid ei kaasne.
Antud selgitus
3
Siseministeerium näeb vajadust registri
tervikliku eesmärgi täpsustamisega seoses
täiendavalt üle hinnata ka kulud.
Registri asutamisega ei kaasne uue
elektroonilise andmebaasi loomist vaid
jätkatakse olemasoleva tehnilise lahendi
kasutamist, mistõttu andmekogu
asutamisega arendamise kulu ei teki.
4. Eelnõu § 5 sätestab registri pidamise
elektroonilisel kujul. Eelnõus ei ole
ettenähtud, et loodav register oleks
liidestatud infosüsteemide
andmevahetuskihiga (edaspidi X-tee). Ka
eelnõu seletuskirjas ei ole selgitatud, miks
ei ole peetud vajalikuks, et loodav register
oleks riigi infosüsteemi kuuluv
andmekogu, st andmekogu, mis
registreeritakse riigi infosüsteemi halduse
infosüsteemis (RIHA) ning liidestatakse
X-teega. Sellega seoses palub
Siseministeerium selgitusi, miks ei ole X-
teega liidestamist peetud vajalikuks.
Antud selgitus
Register on mõeldud ametkondlikuks
kasutamiseks ehk eelkõige RIA ülesannete
täitmiseks. Tegemist on töövahendiga, mis
lihtsustab RIA ülesannete täitmist,
mistõttu selle X-teega liidestamine ei ole
vajalik.
5. Eelnõu § 10 sätestab andmetele
juurdepääsu. Siseministeeriumi hinnangul
ei ole õiguslikult üheselt selge, kas eelnõu
§ 10 võimaldab vastutaval töötlejal ehk
RIA-l anda juurdepääse iseseisvalt.
Siseministeeriumi haldusalas omavad
kindlasti ligipääsuvajadust Politsei- ja
Piirivalveameti Keskkriminaalpolitsei
(PPA) ning Kaitsepolitseiamet (KAPO).
PPA tegeleb intsidentide menetlemisega
ning KAPO teeb järjepidevalt tööd Eesti
riiklikku julgeolekut ohustavate
küberrünnete tuvastamisel ja tõkestamisel.
Sellest tulenevalt teeb Siseministeerium
ettepaneku sätestada eelnõu §-s 10
konkreetsed asutused, kellele on
juurdepääs õiguslikult tagatud või
sõnastada asutuste ja isikute juurdepääs
läbi seadusest tulenevate ülesannete
täitmise pädevuse
Arvestatud
Eelnõus sätestatud julgeolekuasutuste ja
politseiasutuste õigus saada registris
teavet päringute põhiselt, kui teave on
vajalik nende ülesannete täitmiseks.
4
6. KüTS § 8 sätestab teenuse osutajate
kohustuse teavitada Riigi Infosüsteemide
Ametit intsidentidest. Sama paragrahvi
lõige 8 annab õigusliku aluse kehtestada
küberintsidentidest teavitamise kord ja
raporti vorm. Siseministeeriumi hinnangul
oleks asjakohane registri loomisel kaaluda
ka ühise edastamise korra ja intsidendi
vormi kehtestamist, et tagada intsidentide
andmete ühetaolisus ja selgem struktuur.
Võetud teadmiseks
Käesoleval ajal on teavitamise korra ja
raporti vormi volitusnormi kohane
määrusega sisustamata jätmine teadlik
otsus. RIA jaoks on eelkõige oluline saada
viivitamatult esmane teave
küberintsidendist olenemata kanalist.
Olulist teavet, küsib RIA juurde vastavalt
vajadusele.
Lisaks sellele märgime, et seoses Euroopa
Parlamendi ja nõukogu direktiiviga (EL)
2022/2555 ehk NIS2-ga on tolle direktiivi
artikli 23 lõike 11 kohaselt Euroopa
Komisjonil võimalik võtta vastu
rakendusakte, et täpsustada NIS2-s
reguleeritud rikkumisteadete edastamise
teaveliiki, -vormingut ja esitamise korda.
Seetõttu puudub ka hetkel otsene vajadus
Eesti õiguses kommentaaris viidatud
määrust sisustada.
Eesti Infotehnoloogia ka Telekommunikatsiooni Liit
02.02.2021 nr 6.1-2/9-1
7. Eelnõuga edasi liikumiseks tuleb meie
hinnangul lahendada järgmised
küsimused:
1) Eelnõuga loodaval küberintsidentide
registril (edaspidi: register) on oluline
mõju kõigile isikutele ja asutustele, kelle
edastatud andmeid seal hoidma
plaanitakse hakata, mistõttu on äärmisel
oluline tagada registris olevate andmete
turvalisus ja konfidentsiaalsus. Eelnõus on
hetkel selles osas mitmeid puudusi.
Kindlasti tuleb silmas pidada, et
kavandatud mahus andmete kokku
koondamisega suureneb oht
andmelekkeks, mistõttu on eriti tähtis
vältida olukorda, kus Eesti
Arvestatud
1) Küberintsidentide registrit ei ühendata
X-tee kaudu riigi infosüsteemi ning
kandeid registrisse saab teha vaid vastutav
töötleja;
2) Juurdepääsuõigusega isikud ja
juurdepääsu eeldus on sätestatud eelnõus
ja selgitatud seletuskirjas;
3) Riigisaladusega kaitstud teavet
registrisse ei kanta.
Küberintsidendist teavitanud teenuse
osutaja saab eelkõige registriandmete
põhjal loodavaid isikustamata analüüse ja
ohuteateid. Samas toetab RIA soovi korral
5
küberhaavatavused ründe tagajärjel
avalikuks saavad.
2) Vajalik on saada selgus küsimuses, kas
register on mõeldud töövahendiks Riigi
Infosüsteemi Ametile (edaspidi: RIA) või
saavad selles sisalduvatele andmetele
juurdepääsu ka küberintsidentidest
teavitavad teenuse osutajad. Igal juhul on
vajalik oluliselt täpsemalt määratleda
kasutajate õigustega seonduv.
3) Hetkel ei ole üheselt arusaadav, kas
registrisse on mõeldud kanda ka
riigisaladust puudutavad andmed.
Kavandatavate turvanõuete tõttu tundub,
et ei ole, aga samas vastavalt riigisaladuse
ja salastatud välisteabe seaduse § 10
punktile 9 on küberturvalisuse
järelevalvetoimingute käigus
infosüsteemide kriitilise haavatavuse
kohta kogutud teave teatud tingimustel
piiratud tasemega riigisaladus.
teavitajat küberintsidendi lahendamisel.
Ulatuslike küberintsidentide
lahendamiseks on võimalik kaasata ka nn
küberreservi, mis koosneb RIA-st, kuuest
riigi IT-majast ning Kaitseliidu
vabatahtlikest liikmetest.
8. Registri eesmärgi mittevastavus
volitusnormile
1.1. Eelnõu §-s 2 sätestatakse registri
pidamise eesmärk, mis mõnevõrra erineb
kõnealuse andmekogu asutamiseks ja
pidamiseks ette antud volitunormist.
Nimelt sedastab küberturvalisuse seaduse
(KüTS) § 13 lõige 1 registri pidamiseks
kaks eesmärki: a. ühelt poolt pidada
küberintsidentide üle arvestust ning b.
teisalt analüüsida küberintsidente nende
lahendamiseks, ohuteadete edastamiseks
ja järelevalvetoimingute tegemiseks.
Erinevalt eelnõu §-s 2 sätestatust viidatud
volitusnorm küberintsidentide tuvastamise
tegevust ei hõlma. Hea õigusloome ja
normitehnika eeskirja (RT I, 29.12.2011,
228, HÕNTE) § 53 kohaselt peab aga
määruse eelnõu sisu olema kooskõlas
seaduses sätestatud volitusnormi piiride,
mõtte ja eesmärgiga ning määruse eelnõu
ei tohi kitsendada ega laiendada volitava
seaduse sätteid. Seejuures jääb meile
Antud selgitus
Registrisse kogutakse teavet
küberintsidendi kohta. Tagamaks, et
kogutud teave oleks kättesaadav RIA
ennetusega tegelevatele ametnikele
nähakse eelnõuga ette ka õigus anda
vaatlejana juurdepääs RIA ametnikele,
kelle ametikoha järgne ülesanne on
analüüsida küberintsidente, ohuteadete
edastamine, sündmuste lahendamine või
järelevalve. Küberintsidentide
tuvastamine on esmalt oluline kõikidest
järgnevateks tegevusteks, sh arvestuse
pidamiseks, ohuteadete loomiseks ja
edastamiseks ja lahendamise
koordineerimiseks. Teiseks toetab register
täiendavate küberintsidentide tuvastamist.
Näiteks läbi selgunud ründevektorite või
trendide, mis võimaldab RIA-l KüTS § 12
lõike 2 kohast Eesti internetiprotokolli
aadressiruumis olevate ning Eesti
maatunnusega seotud domeenide vaatlust
6
selgusetuks, kuidas saab andmekogu
pidamine küberintsidentide tuvastamist
praktiliselt toetada. Ka see vajab
täiendavat selgitamist, kuidas aitab
register küberintsidente lahendada. Kui
täna peab teenuse osutaja KüTS § 7
kohaselt rakendama meetmeid
küberintsidentide ennetamiseks ja
lahendamiseks, siis küberintsidentide
register saab olema mõnes mõttes
tagasivaade intsidentidele ning selleks
ajaks on juba teenuse osutaja võtnud
tarvitusele meetmed selliste juhtumite
kordumise ennetamiseks. Seetõttu on
raske aru saada registri väärtusest
küberintsidentide lahendamise mõttes.
täpsemalt sihtida ja kavandada, tuvastades
seega ka küberintsidente, millest aktiivselt
teavitatud ei ole.
Samuti on levivad trendid, ohuvektorid ja
teave varasematest küberintsidentidest
oluliseks sisendiks uute küberintsidentide
lahendamise koordineerimiseks, st.
lahendava isiku juhendamisel ja
nõustamisel.
9. Teeme ettepaneku kirjutada registri
eesmärgi selgituseks paremini lahti, mida
kogutud andmetega tehakse ning lisada ka,
milline on analüüside tulemusest saadav
võit andmete esitajale
Seletuskirja täpsustatud
Andmete esitaja saab võimalusel ja
põhjendatud juhul, ehk kui andmete esitaja
on ise küberintsidendist mõjutatud subjekt
ning RIA-l on asjakohast teavet, esmase
tagasiside küberintsidendist teavitamise
järgselt nõuannete ja soovituste näol,
kuidas võimalusel küberintsidendi mõju
vähendada, küberintsidenti lahendada või
milliseid samme tuleks järgmisena
kindlasti kaaluda või ette võtta. Samuti on
kõikide andmete esitajate saadavaks
kasuks kogumis tekkiva teabe pinnalt
tehtud üldistatud analüüside tulemused
ehk teavitused ja ohuteated, mis suunavad
küberintsidente ennetama, mõjusid
vähendavaid tegevusi ette võtma ja
küberintsidendi toimumisel seda
lahendama.
10. Registri turvalisuse ebapiisav tase
2.1. Eelnõu ei võta arvesse seda, et
vastavalt riigisaladuse ja salastatud
välisteabe seaduse § 10 punktile 9 on RIA
küberturvalisuse riskianalüüsid, seireteave
Antud selgitus
RSVS § 10 punkt 9 teave on riigisaladus
üksnes juhul, kui sellise teabe avalikuks
7
ja järelevalvetoimingute käigus
infosüsteemide kriitilise haavatavuse
kohta kogutud teave niivõrd, kuivõrd need
sisaldavad tehnilist teavet põhiseaduslike
institutsioonide, valitsusasutuste, nende
hallatavate asutuste, elutähtsa teenuse
osutajate ning Eestis paiknevate ja Eesti
poolt tagatava julgeolekuga
rahvusvaheliste organisatsioonide
infosüsteemide kriitilise haavatavuse
kohta ja mille teatavaks saamine
kõrvalistele isikutele tekitab
turvaintsidendi tekke ohu nendes
valdkondades, piiratud tasemega
riigisaladus ja salastatakse kuni 10 aastaks.
Sellest tulenevalt ei tohiks koguda
kriitilise tähtsusega infot oluliste
infosüsteemide haavatavuste ja
turvameetmete kohta registrisse, mille
turbeaste on M nagu näeb ette eelnõu § 6.
See on ebapiisav tase nii oluliste andmete
kaitseks.
Juhime tähelepanu, et ka ISKE
rakendusjuhend (8.00 p 1.1) sätestab, et
ISKE ei ole mõeldud riigisaladust
käitlevate infosüsteemide turbeks. Oleme
seisukohal, et kui tegemist on ISKE S2
konfidentsiaalsustasemega andmekoguga
(M), siis ei ole aktsepteeritav sellises
andmekogus säilitada infosüsteemide
loetelu, rakendatud kaitsemeetmeid ning
logi- jms tõendeid intsidendi kohta, mis
kirjeldavad võimalikke nõrkusi
teenusepakkujate juures. Seega ei saa meie
hinnangul registrile kohaldada turbeastet
M, vaid register peab olema kõrgema
turbeklassiga
tulek kahjustaks Eesti Vabariigi
julgeolekut.
Eelnõu arvestab KüTS-i nõudeid, sh ei
sisalda registris olev teave riigisaladust.
11. Kahtleme ka selles, kas eelnõu §-s 6
nimetatud K1 käideldavusklass on piisav,
selleks et tagada võimalus registreerida
küberintsident esimesel võimalusel, nagu
KÜTS seda teenuse osutajatelt eeldab.
Antud selgitus
Registri käideldavuse puudumisel on
häiritud teataval määral analüüsi- ja
ennetusosakonna töö, kelle töö
(küberintsidentide ja pahavara leviku
8
kohta raportite koostamine) põhiliseks
sisendiks on küberintsidentide register.
Samas ei mõjuta registri käideldavuse
kadu oluliselt CERT-EE tööd seni, kuni
säilib e-posti ja interneti teenus. Teenuse
kvaliteet võib kannatada, kuid töö jätkub.
Tegemist on asutuse sisemise tööriistaga,
mis hõlbustab avaliku ülesande täitmist.
12.
Eelnõu § 10 sätestab andmetele
juurdepääsu. § 10 lg 1 kohaselt määrab
vastutav töötleja isikud, kellel on õigus
töödelda registriandmeid töö- või
teenistusülesannete täitmiseks. Eelnõu
seletuskiri ei pööra piisava põhjalikkusega
tähelepanu juurdepääsu tingimustele ja
registris sisalduvate andmete
kasutamisele. Seletuskirja lk 2
sedastatakse, et „registriandmed on
mõeldud asutusesiseseks kasutamiseks
lähtudes eelkõige avaliku teabe seaduse §
35 lõike 1 punktides 2 ning 9-12 sätestatud
juurdepääsupiirangute alustest.
Registriandmed võivad sisaldada teavet
poolelioleva järelevalvemenetluse,
turvasüsteemide või turvameetmete
kirjelduse või tehnoloogiliste lahenduste
kohta. Samuti võib registrisse kantud teave
sisaldada isikuandmeid. Olenevalt
küberintsidendi asjaoludest võib olla
juurdepääsupiirangu seadmine
põhjendatud ka muudel alustel kooskõlas
avaliku teabe seadusega. Kuna tegemist on
piiratud juurdepääsuga registriga, on
juurdepääs registriandmetele teatud
kindlatel kasutajate gruppidel, kellel on
selleks seadusest või seaduse alusel antud
õigusaktist tulenev õigus ja õigustatud
huvi.” Viimane lause avab meie hinnangul
selle registri väga laiale kasutajaskonnale.
Eelnõu seletuskirja kohaselt (lk 3)
määratakse nende isikute kasutajakonto
õiguste klass ning reeglina saadakse
lihtkasutaja õigused, kuid kindlatel
Antud selgitus
KüTS § 13 lõike 2 kohaselt on
küberintsidentide registris olev teave
mõeldud asutusesiseseks kasutamiseks.
Seega teavet kasutaval RIA ametnikul või
töötajal peab teabe kasutamiseks olema
teadmisvajadus.
Teadmisvajadus tuleneb eelkõige isiku
ametijuhendist või töölepingust või muust
RIA sisemisest korrast, mis peab
sisaldama viidet RIAle KüTSist tulenevate
ülesandega seonduva töö- või
teenistusülesande kohta, mille eelduseks
on küberintsidentide registris oleva teabe
kasutamine. Sellisel juhul peab vastutava
töötleja ülesandeid täitev RIA
struktuuriüksus või ametnik enne
juurdepääsuõiguse andmist veenduma, et
isikul on töö- või teenistusülesannetest
tulenev teadmisvajadus. Isiku ülesannete
muutumisel hinnatakse teabele
juurdepääsu vajadus uuesti üle ning
vajadusel registrile juurdepääs
lõpetatakse.
Detailsemalt reguleeritakse RIA sisene
juurdepääsuõiguste andmise kord
asutusesisese korra alusel.
Asutuseväliste osapoolte poolt tehtud
päringute osas vt ka eelmiste punktide
selgitusi.
9
isikutel on ka eeliskasutaja õigused.
Seletuskirjast ei nähtu, mida need õigused
endast kujutavad. Oleme seisukohal, et kui
register hakkab sisaldama sedavõrd
tundlikku informatsiooni nii
kaitsemeetmete kui intsidentide olemuse
üle, on vaja täpsemalt aru saada, mida
nende andmetega tehakse ja kes neile ligi
saab. Keeruline on nõustuda, et „vastutav
töötleja määrab isikud“. Teeme ettepaneku
need põhimääruse tasemel kirja panna
koos õigusliku alusega („volitatud
töötlejad“) ning lahti mõtestada, mida
tähendab õigustatud huvi. Eelnõu
praegune sõnastus annab õigustatud huvi
piiritlemise osas väga laia
tõlgendamisruumi, mis ei ole lubatav,
kuna registris olevad andmed on tundlikud
ja ka riigisaladusena käsitletavad.
Seega tuleb eelnõus väga selgelt ära
defineerida, kas ja mis juhtudel üldse
väljastpoolt RIA-t keegi sellele süsteemile
ligi saab. Meie ettepanek on lisada
eelnõusse ammendav loetelu nendest
isikutest ja kui peale nende veel keegi
soovib registris olevale infole ligi pääseda,
siis saab seda teha vaid RIA kaudu.
Soovitame seejuures võtta näiteks teiste
olemasolevate andmekogude
põhimäärused, kus on andmekoosseisu,
juurdepääsude ja tehtavate
(registri)toimingute kirjeldamiseks
kasutatud vastavasisulisi peatükke.
13. Juhime tähelepanu ka sellele, et eelnõust ja
selle seletuskirjast jääb selgusetuks, kas
vastutaval töötlejal on lubatud esitada
päringuid ka teistele riigi või kohaliku
omavalitsuse andmekogudele ja saada
neist andmeid või siis edastada registri
andmeid teistesse andmekogudesse (ehk
siis andmete ristkasutuse lubatavus).
Antud selgitus
Registrit ei ühendata X-teega. Register ei
tee päringuid teistesse andmekogudesse
ning ei anna teavet teistele
andmekogudele. Registri kande algatab
vastutav töötleja edastatud teabe alusel.
10
14. Eelnõu § 12 reguleerib registrisse kantud
andmete säilitamise tähtaegasid ja normi
sõnastuse kohaselt säilitatakse neid kas
viis aastat alates intsidendi lahendamisest
või siis viis aastat alates intsidendi
registreerimisest, kui intsidendil pole
mõju. Mõlemal juhul on andmete
säilitamise 5-aastase tähtaja kulgema
hakkamine seotud eeltingimusega, et
intsident on "ilma mõjuta". Viimase puhul
on oluline aga juhtida tähelepanu
küberintsidendi legaalmõistele, mis on
avatud KüTS § 2 punktis 3 ning mille
kohaselt on küberintsident süsteemis
toimuv sündmus, mis ohustab või
kahjustab süsteemi turvalisust. Ehkki võib
vaid oletada, et eelnõu koostajad on "ilma
mõjuta intsidendi" puhul silmas pidanud
sündmust, mis võib KüTS-i tähenduses
süsteemi turvalisust ohustada ja millega ei
kaasne ebasoodne tagajärg, siis olukorras,
kus eelnõu toob küberintsidendi
määratlemiseks sisse täiendava termini,
võib see määruse rakendamisel põhjustada
lubamatut ebaselgust. Seega teeme
ettepaneku "ilma mõjuta intsidendi"
mõiste kas eelnõust välja jätta või siis
alternatiivselt see määruse tähenduses
siiski määratleda. Selguse huvides on hea,
kui kirjutatakse selgelt ka lahti, milliste
kriteeriumite põhjal fikseeritakse see, et
küberintsident on mõjuga.
Arvestatud
Eelnõu ja seletuskirja muudetud.
Säilitamisele nähakse ette 5 aastane
tähtaeg, sõltumata küberintsidendi mõjust.
Säilitamise tähtaega arvestatakse
küberintsidendi lahendatuks lugemisest,
seejuures märgitakse mõjuta
küberintsident lahendatuks
küberintsidendi osas kande tegemisel.
15. Terminite osas väärib märkimist veel
"logi". Elektroonilise side seaduse § 113 lg
5 määratleb logifaili nimetades, et see
sisaldab toimingu aega, liiki, objekti ja
numbrit. Teeme ettepaneku logi sarnaselt
terminiga "mõjuta intsident" määruse
eelnõus avada või alternatiivselt loetleda
ammendavalt andmed, mida logi määruse
mõttes sisaldab. Vastasel juhul jääb akt
andmete töötlemise seisukohast mitmeti
Arvestatud sisuliselt
Eelnõus ettenähtud millist teavet
küberintsidentide registri toimingute
kohta kogutakse. Teavet hoitakse 1 aasta.
11
tõlgendatavaks nii normi adressaatidele
kui ka määruse rakendajatele.
16. Eelnõus on § 12 mõistetavus andmete
säilitustähtaja kulgema hakkamise osas
problemaatiline, sest selles sisalduvad
alternatiivsed koosseisud. Näiteks võib
ühe küberintsidendi kohta saadav/loodav
teave (mis usutavasti registris
registreeritakse, kui tegemist pole
riigisaladuseks kvalifitseeruva teabega)
hõlmata sündmuse nii algusaega kui ka
selle lahendamist, milleks kuluvat aega
pole aga võimalik ette teada ja määratleda.
Samuti nähakse säilitustähtaja osas ette
erisus sõltuvalt sellest, kas küberintsident
on mõjuga või ilma mõjuta, aga arvestama
peab ka seda, et mõju olemasolu saab
hinnata mingil ajahetkel, mis ei pruugi
ühtida küberintsidendist teatamise ajaga
Arvestatud
Säilitamise tähtajad ühtlustatud.
Säilitamisetähtaega arvestatakse
küberintsidendi lahendatuks lugemisest.
(vt. ka eelmiste punktide selgitusi)
17. Lisaks ei selgu eelnõu seletuskirjast,
millele on eelnõu ettevalmistajad andmete
ja logi säilitustähtaegade määramisel
tuginenud. Seejuures tuleb veel arvestada,
et küberintsidendi kohta käiv andmestik
võib sageli sisaldada muu hulgas ka
isikuandmeid (sh ka nt intsidendist
teavitaja andmeid, kes ei ole KüTS mõttes
teenuse osutaja) ning mida pikem on
selliste andmete säilitamise aeg, seda
ulatuslikum on riive inimese eraelule.
Seega tuleb eelnõu seletuskirjas andmete
säilitamise 5-aastase tähtaja relevantsust ja
proportsionaalsust kindlasti põhjalikumalt
käsitleda.
Arvestatud ja seletuskirja täiendatud
18. Mõjud. Leiame, et eelnõu seletuskirjast on
puudu piisav mõjude analüüs. Nimelt
sisaldub seletuskirjas lk 5 napp viide, et
„Ebasoovitavate mõjude risk: väike, kuna
negatiivset mõju andmete esitamisega ei
kaasne.“ ITL-i jaoks on üllatav niivõrd
lihtsustatud lähenemine. Elutähtsa teenuse
Antud selgitus
Ettevõtjate kohustus esitada teavet tuleneb
seadusest ja selle mõjusid on hinnatud
seaduseelnõu menetluse raames, mistõttu
selle uuesti esitamine käesoleva eelnõu
juures ei ole vajalik.
12
osutajate, riigi ja teiste ettevõtete ja
asutuste tundlike andmete taolise
kogumina hoidmine on juba risk
iseenesest ja see tuleb vähemalt
seletuskirja tasemel piisava
põhjalikkusega teadvustada.
1
26.05.2023
Majandus- ja infotehnoloogiaministri määruse „Küberintsidentide registri põhimäärus“
eelnõu seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Määruse eelnõu kohaselt asutatakse riigi infosüsteemi mitte kuuluv andmekogu ametliku
nimetusega küberintsidentide register (edaspidi ka register) ning kehtestatakse selle pidamise
põhimõtted.
Määrus kehtestatakse küberturvalisuse seaduse (edaspidi KüTS) § 13 lõike 3 alusel.
KüTS § 13 kohaselt on küberintsidentide register Riigi Infosüsteemi Ameti peetav andmekogu,
kuhu kantakse küberintsidenti kirjeldavad andmed eesmärgiga pidada küberintsidentide üle
arvestust nende tuvastamiseks, analüüsimiseks, lahendamiseks, ohuteadete edastamiseks ja
järelevalve teostamiseks. Küberintsidentide register koondab endas informatiivset teavet Eesti
arvutivõrkudes toimuvate ja Riigi Infosüsteemi Ametile edastatud või Riigi Infosüsteemi Ameti
poolt võrgu- ja infosüsteemides tuvastatud küberintsidentide kohta, sh ka teistest eriseaduste
alusel Riigi Infosüsteemi Ametile tehtavaid teavitusi1.
1.2. Ettevalmistajad
Ettepaneku määruse eelnõu ja seletuskirja koostamiseks esitas Riigi Infosüsteemi Ameti
õigusnõunik Silver Lusti ([email protected]). Eelnõu valmistas ette Majandus- ja
Kommunikatsiooniministeeriumi riikliku küberturvalisuse osakonna küberturvalisuse
õigusnõunik Guido Pääsuke ([email protected]). Eelnõule tegi õiguslikke ettepanekuid
Majandus- ja Kommunikatsiooniministeeriumi õigusosakonna õigusnõunik Ave Henberg
([email protected]). Eelnõu on keeleliselt toimetanud Majandus- ja
Kommunikatsiooniministeeriumi riikliku küberturvalisuse osakonna küberturvalisuse
õigusnõunik Raavo Palu ([email protected]).
Eelnõu ei ole seotud muu menetluses oleva eelnõuga. Eelnõu saadetakse kooskõlastamisele
teistkordselt, eelmise kooskõlastuse toimik eelnõude infosüsteemis on 21-0078.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb 14-st paragrahvist, mis jaotuvad nelja peatüki vahel
Eelnõu 1. peatükis on üldsätted.
Paragrahvis 1 nähakse ette andmekogu asutamine. Registri nimetus on vastavalt KüTS §-le 13
küberintsidentide register.
1 Näiteks E-identimise ja e-tehingute usaldusteenuste seaduse (edaspidi EUTS) § 4 kohased teated
turvaintsidentidest ja elektroonilise side seaduse (edaspidi ESS) §87² lõike 2 kohased teavitused sidevõrgu ja –
teenuse turvalisuse ning terviklikkuse tagamist ohustavatest juhtumitest.
2
Paragrahvis 2 tuuakse välja registri pidamise eesmärk. Registri pidamisel ja andmete
töötlemisel lähtutakse avaliku teabe seaduse (edaspidi AvTS) §-s 431 ja KüTS §-s 13 sätestatud
eesmärgist, mille kohaselt on küberintsidentide registri puhul tegemist Riigi Infosüsteemi
Ameti peetava ja infosüsteemis töödeldava korrastatud andmete kogumiga, kuhu kantakse
küberintsidenti kirjeldavad andmed, eesmärgiga pidada küberintsidentide üle arvestust ning
analüüsida neid nende lahendamiseks, ohuteadete edastamiseks ja järelevalvetoimingute
läbiviimise toetamiseks. Küberintsident käesoleva põhimääruse mõistes on vastavalt KüTS § 2
punktile 3 võrgu- ja infosüsteemis toimuv sündmus, mis ohustab või kahjustab võrgu- ja
infosüsteemi turvalisust.
Registri pidamine aitab kaasa näiteks uute küberintsidentide tuvastamisele, kui registrisse on
kantud ründevektorid või muud indikaatorid pahavara liigi või metoodika osas, kuivõrd
võimaldab tuvastada samalaadseid olukordi ka muudes võrgu- ja infosüsteemides.
Lahendamisele aitab kaasa registrisse kogutud teave võrgu- ja infosüsteemide nõrkuste kohta,
sh näiteks kuidas nõrkuseid kõrvaldada. Sellise teabe kogumine võimaldab seda jagada ka
teistega, et nõrkuste kõrvaldamine oleks kiire ja efektiivne. Teabe jagamise all peetakse silmas
KüTS § 12 lõike 3 kohaseid ohuteateid. Ohuteated on tuvastatud intsidentide analüüsi
tulemusena valminud isikustamata kujul esitatavad juhised näiteks ohtudest või levinud
nõrkustest ja lahendustest nende nõrkuste kõrvaldamiseks.
Paragrahvis 3 sätestatakse registri vastutav töötleja ehk registripidaja, kelleks on Riigi
Infosüsteemi Amet. Vastavalt AvTS § 434 lõikele 1 korraldab vastutav töötleja andmekogu
kasutusele võtmist ja andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja
andmekogu arendamise eest. KüTS § 13 lõike 1 kohaselt on tegemist Riigi Infosüsteemi Ameti
peetava andmekoguga. Andmekogu kasutatakse üksnes organisatsiooni sisemise töökorralduse
vajadusteks oma avalike ülesannete täitmiseks ehk tegemist on riigi infosüsteemi mittekuuluva
andmekoguga ja andmevahetuskihiga seda ei liideta. Riigi Infosüsteemi Amet majutab
küberintsidentide registrit ise ning korraldab registri teenuste ja tehnoloogilise keskkonna
haldamise. Registril ei ole volitatud töötlejaid.
Paragrahvis 4 kohaselt on andmekogusse kantud andmetel informatiivne tähendus.
Paragrahvis 5 tuuakse välja, et tegemist on ühetasandilise digitaalse registriga. Andmed
töödeldakse nii automatiseeritult kui ka automatiseerimata.
Paragrahvis 6 sätestatakse registri turvaklass ja turbeaste. Registri turvaklass ja turbeaste on
määratud vastavalt Vabariigi Valitsuse 09. detsembri 2022. a määrusele nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded”. Turvaosaklassid on määratud järgnevalt: (i) andmete
käideldavuse alusel K1, kuivõrd töökindlus peab olema tagatud vähemalt 90% ulatuses.
Registri käideldavuse kadu ka rohkem kui 10% olulisel määral asutuse funktsioonide täitmist
ei mõjuta. Häiritud oleks näiteks ennetustöö tarbeks analüüside tegemine; (ii) terviklikkuse
alusel T1, kuivõrd info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad
ning info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ning vastavalt vajadusele; (iii)
konfidentsiaalsuse alusel S2, info asutusesiseseks kasutamiseks, info kasutamine on lubatud
ainult teatud kindlatele kasutajate gruppidele ja juurdepääs teabele on lubatav juurdepääsu
taotleva isiku teadmisvajaduse korral. Lähtuvalt KüTS § 12 lõikest 5 sisaldab register
muuhulgas andmeid ettevõtete ärisaladuse kohta ja Riigi Infosüsteemi Amet on kohustatud seda
teavet kaitsma kolmandate isikute eest. Registri turbeaste on seetõttu määratud vastavalt
3
Vabariigi Valitsuse 09. detsembri 2022. a määrusele nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded” § 8 lõikele 2 keskmine (M).
Registri turbeaste on määratud lähtuvalt asjaolust, et register on üksnes asutusesiseseks
kasutamiseks mõeldud. Registri käideldavuse probleemide korral on võimalik talletada
sissetulevat teave küberintsidentide kohta ajutiselt alternatiivsetes kanalites (nt
dokumendihaldussüsteem) ning teabe vahetus, sh ohuteadete edastamine jt asutuse
funktsioonid, sellest ei sõltu.
Eelnõu 2. peatükis on reguleeritud andmete koosseis ja andmete esitamine registrisse.
Paragrahv 7 lõige 1 sätestab milliseid andmeid registrisse kantakse küberintsidendi kohta.
Küberintsidendi teada saamisel võib esineda olukordi, kus küberintsidendiga seotud teave ei
ole kohe või terviklikult kättesaadav, seetõttu võib küberintsidendist teada saamisel vastutav
töötleja kanda registrisse küberintsidenti puudutava teabe osaliselt.
Registrisse kantakse küberintsidendi kohta järgmised andmed:
1) küberintsidendist mõjutatud võrgu- ja infosüsteemi haldaja nimi;
2) intsidendi mõju ulatus;
3) intsidendi avastamise, eeldatava tekkimise ja lahendamise aeg;
4) loetelu võrgu- ja infosüsteemidest, mida küberintsident mõjutab või võib mõjutada;
5) intsidendi tekkepõhjuse kirjeldus;
6) intsidendist teavitanud isik (andmeandja) ja intsidenti lahendav isik (lahendaja);
7) intsidendi lahendamiseks kulunud aeg ja rakendatud turvameetmete kirjeldus;
8) intsidendi tuvastamiseks, analüüsimiseks ning lahendamiseks edastatud lingid, failid ja logid.
Ülalnimetatud teave on vajalik, et hinnata küberintsidendist tulenevat ohtu ja selle lahendamist.
Tegemist on ühe küberintsidendiga seotud võimalikest andmetest, mis aitavad kaasa
reageerimisele ning lahendamisele. Loetelus olevat teavet tuleb vaadata võimalikult avaralt ehk
näiteks mõju ulatuse all peetakse silmas muuhulgas ka piiriülese mõju olemasolu. Samas ei ole
kõigi loetelus olevate andmeväljade täitmine kohustuslik, kuna alati ei pruugi küberintsidendi
kohta olla iga loetelus oleva punkti kohta teavet ning see teave ei pruugi igal üksikul juhul olla
vajalik registri eesmärgi täitmiseks. Samas on kogutav teave vajalik küberintsidendi
lahendamiseks Riigi Infosüsteemi Ameti poolt või ka intsidendist täpsema teabe saamiseks,
sündmustest ülevaate saamiseks ning vajadusel ka ennetusmeetmete planeerimiseks.
Küberintsidendist mõjutatud võrgu- ja infosüsteemi haldaja andmetena käsitletakse võrgu- ja
infosüsteemi haldava (sh omanik) juriidilise isiku või füüsilise isiku nime.
Lõikes 2. täpsustakse millist teavet kogutakse küberintsidendi teavitaja ja lahendaja kohta.
Küberintsidendid puudutavad erinevaid võrgu- ja infosüsteeme, siis eelduslikult on
küberintsidendist teavitaja juriidiline isik. Juriidilise isiku all mõeldakse ka esinevaid riigi- ja
kohaliku omavalitsuse asutusi. Selleks, et vajadusel saada lisaks küberintsidendist teavitusele
esitatule teavet küberintsidentist endast või selle lahendamisest, kantakse registrisse ka teave
küberintsidenti lahendava juriidilise isiku kontaktisiku kohta (ees- ja perenimi ning
kontaktandmed (nt telefoninumber ja e-postiaadress)) Küberintsidendist teavitaja võib olla ka
rahvusvaheline organisatsioon või välisriigi asjaomane ametiasutus või ka välisriigis tegutsev
juriidiline isik (nt Meta Platforms Inc.)
Lisaks küberintsidendist teavitaja andmetele kantakse registrisse ka teave küberintsidendi
lahendaja kohta. Lahendav asutus/isik ei pruugi olla sama, mis teavitanud asutus/isik, mistõttu
4
on vajalik ka nende eristamine. Sarnaselt teavitusele kantakse registrisse ka lahendava
juriidilise isiku esindaja andmed, kellega saab vajadusel võtta kontakti.
Kolmandana kantakse registrisse ka teave füüsiliste isikute kohta, kes võivad vabatahtlikult
esitada teavitusi küberintsidentidest. Ka nende puhul kantakse registrisse ees- ja perenimi ning
kontaktaadress. Füüsiliste isikute poolt laekub teavet näiteks õngitsuskirjade kohta või siis ka
võimalike arvutiviiruse kohta või vihjeid võrgu- ja infosüsteemide turvaaukude kohta.
Paragrahvis 8 sätestatakse küberintsidentide kohta vastutavale töötlejale teavet esitavate
isikute ehk andmeandjate ring. Andmeandjateks ehk küberintsidendist teatajaks on teenuse
osutaja KüTS-i § 3 lõike 1 tähenduses ehk isik, kes kasutab võrgu- ja infosüsteemi järgmiselt:
1) hädaolukorra seaduses sätestatud elutähtsa teenuse osutaja elutähtsa teenuse osutamisel;
2) raudteeseaduses sätestatud raudtee-ettevõtja, kes majandab avalikku raudteeinfrastruktuuri
või kelle kaubaveo või reisijateveo turuosa on vähemalt 20 protsenti kaubaveo või reisijateveo
turuosast avaliku raudtee toimimise ning raudteeveo ja avaliku reisijateveo toimimise teenuse
osutamisel;
3) lennundusseaduses sätestatud lennuvälja käitaja, kelle käitatav lennuväli on avatud
rahvusvaheliseks regulaarseks lennuliikluseks, samuti Tallinna lennuinfopiirkonnas
lennuliikluse teenindamist tagav aeronavigatsiooniteenuse osutaja lennuvälja toimimise ja
aeronavigatsiooni toimimise teenuse osutamisel;
4) sadamateenuse osutaja, kes on sadamaseaduse tähenduses sellise sadama pidaja või sellise
sadamarajatise valdaja, mis teenindab 500-se ja enama kogumahutavusega laevu või
rahvusvahelises meresõidus sõitvaid reisilaevu sadama toimimise teenuse osutamisel;
5) elektroonilise side seaduses sätestatud sideettevõtja, kes osutab kaabelleviteenust, mida
tarbib vähemalt 10 000 lõppkasutajat, ja ringhäälinguvõrgu teenuse osutaja kaabelleviteenuse
või ringhäälinguvõrgu teenuse osutamisel;
6) tervishoiuteenuste korraldamise seaduses sätestatud haiglavõrku kuuluvate piirkondliku
haigla ja keskhaigla pidaja statsionaarse eriarstiabi osutamisel ja kiirabibrigaadi pidaja kiirabi
osutamisel;
7) tervishoiuteenuste korraldamise seaduses sätestatud perearst üldarstiabi osutamisel;
8) Eesti maatunnusega seotud tipptaseme domeeninimede registri haldaja registri pidamiseks
kasutatava süsteemi ja tipptaseme nimeserveri teenuse osutamisel;
9) kriitilise tähtsusega side-, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja
elektroonilise side seaduse tähenduses nende teenuste osutamisel;
10) Eesti Rahvusringhääling Eesti Rahvusringhäälingu seaduse § 5 lõike 1 punktis 10 sätestatud
ülesande täitmisel.
Lisaks eeltoodud teenustele kogutakse andmeid või osutatakse küberkeskkonnas avalikke
teenuseid ka riigi- ja kohaliku omavalitsuse üksuste poolt. Ka sellised avalikud teenused on
võimalike küberrünnete sihtmärgid, kui ründaja eesmärgiks on saada näiteks teavet avaliku
sektori toimimisest või saada enda valdusesse asutusele avaldatud isikuandmeid, mistõttu KüTS
§ 3 lõike 4 kohaselt kohaldatakse ka osadele avaliku sektori asutustele KüTSis teenuse osutaja
kohta sätestatut. Sellest tulenevalt on küberintsidendist teavitamise kohustus:
1) (riigi- või kohaliku omavalitsuse) andmekogu vastutava töötlejal ja volitatud töötlejal;
2) Arenguseire Keskusel;
3) Eesti Pangal;
4) kohaliku omavalitsuse üksusel ja kohaliku omavalitsuse üksuste liidul;
5) kohtuasutusel;
6) riigi valimisteenistusel;
7) Riigikogu Kantseleil;
5
8) Riigikontrollil;
9) Riigimetsa Majandamise Keskusel;
10) seaduse alusel asutatud avalik-õiguslikule juriidilisele isikul;
11) Vabariigi Presidendi Kantseleil;
12) valitsusasutusele ja valitsusasutuse hallataval riigiasutusel;
13) valla või linna ametiasutusel, valla või linna ametiasutuse hallataval asutusel, osavallal,
linnaosal, osavalla või linnaosa ametiasutusel, osavalla või linnaosa ametiasutuse hallataval
asutusel ning kohaliku omavalitsuse üksuste ühisametil ja -asutusel;
14) Õiguskantsleri Kantseleil.
KüTS § 8 lõike 1 kohaselt teavitatakse Riigi Infosüsteemi Ametit viivitamata, kuid hiljemalt
24 tundi pärast teada saamist küberintsidendist:
1) millel on süsteemi turvalisusele või teenuse toimepidevusele oluline mõju;
2) mille oluline mõju süsteemi turvalisusele või teenuse toimepidevusele ei ole ilmne, kuid
seda võib mõistlikult eeldada.
KüTS § 8 lõike 4 kohaselt on ettevõtjatel ja asutustel õigus teavitada Riigi Infosüsteemi Ametit
küberintsidendist, millel ei ole sätestatud olulist mõju.
Teavituskohustust ei ole KüTS § 1 lõikest 2 tulenevalt, kui küberintsident on seotud:
1) riigisaladuse ja salastatud välisteabe töötlemisele ning sellise teabe töötlussüsteemide
pidamisega;
2) Kaitseministeeriumi valitsemisalas rahvusvaheliseks sõjaliseks koostööks ja riigi sõjalise
kaitse ettevalmistamiseks vajalike võrgu- ja infosüsteemide pidamisega.
Lisaks kohustuslikule esitamisele KüTS-i tähenduses teenuse osutajate ja avaliku sektori
asutuste poolt võib teavitusi küberintsidendist laekuda ka muudelt isikutelt, kellele KüTS-iga
ei ole pandud kohustust Riigi Infosüsteemi Ametit teavitada. Muu isiku all peetakse silmas nii
tuvastamata kolmandaid isikuid (nt Riigi Infosüsteemi Ametile saadetud e-kiri, mille tegelik
esitaja ei ole teada), kui ka E-identimise ja e-tehingute usaldusteenuste seadus tähenduses
usaldusteenuse osutajaid ja elektroonilise side seaduse tähenduses sideettevõtjaid, kes ei kuulu
KüTS-i teenuse osutajate hulka. Küberintsidendist teatanud isik ei pruugi tingimata olla ise
küberintsidendist mõjutatud isik (võrgu- ja infosüsteemi haldaja). Andmeandjaks saab pidada
ka Riigi Infosüsteemi Ametit (vastutav töötleja), kui küberintsident on tuvastatud oma avaliku
ülesande täitmise raames, näiteks Eesti internetiprotokolli aadressiruumis olevate ning Eesti
maatunnusega seotud domeenide vaatlusel ehk kui küberintsidentide ennetamiseks teostatava
seire tulemusena tuvastatakse küberintsident. Muu isikuna võib olla käsitletud ka KüTS-i
subjekt, kuid kui teavitus puudutab teiste isikute võrgu- ja infosüsteeme, siis ei ole tegemist
seadusest tuleneva kohustusega (KüTS subjekti tarneahelas avastatud küberintsident). Näiteks
võib esineda olukorda, kus riigiasutus teavitab kahtlusest, et elutähtsa teenuse osutaja võrgu- ja
infosüsteem võib olla kahjustatud, või teavitajaks on hoopis rahvusvaheline organisatsioon või
välisriigi äriühing.
Paragrahv 9 käsitleb registritoimingute tegemist.
Lõike 1 kohaselt on tehtavateks registritoiminguteks andmete registrisse kandmine, andmete
muutmine, andmete vaatamine, andmete edastamine ja andmete kustutamine.
- Andmete registrisse kandmisena mõistetakse küberintsidendi kohta kande avamist
registris. Kande avamine toimub kas Riigi Infosüsteemi Ameti enda poolt avastatud
küberintsidendi kohta teabe registrisse kandmisega või kui ametini jõuab sama teave
6
elektroonilisi kanaleid (nt e-postiaadressi [email protected] või veebivormi
https://raport.cert.ee/ kaudu) ning selle alusel avatakse kanne. Pärast teavituse alusel kande
avamist tehtavad kandega seotud muudatusi käsitletakse andmete muutmisena. Muutmine
on nii täiendava teabe lisamine intsidendi kohta või ka siis teabe parandamine.
- Andmete vaatamine on vaid teabe vaatamine ilma sisu muutmata. Vaatamine võib olla ka
seotud Riigi Infosüsteemi Ameti vajadusega täita küberturvalisuse seaduses tulenevaid
muid ülesandeid.
- Andmete edastamine käib üksnes päringute alusel AvTS § 38 lõigete 3 ja 31 kohaselt
õigusliku aluse ja eesmärgi kirjelduse esitamisel.
- Kustutamise all mõeldakse küberintsidendi kande lõplikku kustutamist registrist.
Küberintsidenti puudutavate ebaõigete andmete kustutamise korral on tegemist andmete
muutmisega.
Lõike 2 kohaselt on kõikide toimingute tegemise õigus vastutaval töötlejal, kelleks on Riigi
Infosüsteemi Ameti teenistuja, kelle teenistusülesandeks on registri vastutava töötleja ülesande
täitmine. Sellisel juhul antakse neile juurdepääs vaid näiteks vaatamiseks. Toimingu tegemise
õiguste tase määratakse lähtuvalt tööülesannetest ja teadmisvajadusest, kusjuures õigusi
andmekogus toimingute tegemiseks võib määrata kasutajarühmade kaupa või isikupõhiselt.
Lõike 3 ja 4 kohaselt säilitatakse registris registritoimingu kohta toimingu tegija tuvastamist
võimaldavad andmed, toimingu tegemise kuupäev ja kellaaeg ning toimingu liik. Täpsem teave,
millised registritoimingute andmed säilitatakse, sätestatakse asutusese siseses töökorralduse
dokumendis, mis käsitleb muuhulgas registri juurdepääsuõiguste andmise, andmete töötlemise
jms põhimõtteid. Kõnealust teavet toimingu kohta säilitatakse üks aasta alates toimingu
tegemisest. Töötlemist käsitleva teabe säilitamise peaeesmärk on võimaldada andmete, sh
isikuandmete õiguspärase kasutamise kontroll.
Paragrahvis 10 lõikes 1 tuuakse välja, et andmeandjad vastutavad küberintsidentide registrisse
esitatud andmete õigsuse eest. Seega kannab vastutav töötleja e-postiaadressile [email protected]
edastatud teabe registrisse muutmata kujul
Lõikega 2 antakse vastutavale töötleja õigus küberintsidentide registris andmete ebaõigsuse
kindlaks tegemisel nende parandamiseks ehk muutmiseks. Parandamist võib vaja minna näiteks
olukorras, kus esmane teavitus täpsustub või saadakse teada uusi asjaolusid küberintsidendi
kohta jne.
Eelnõu 3. peatükis sätestatakse registrile juurdepääs ja andmete säilitamine.
Paragrahvis 11 kirjeldatakse andmekogule juurdepääsuõiguse andmist.
Lõige 1. Registriandmed on tunnistatud KüTS § 13 lõike 3 kohaselt asutusesiseseks
kasutamiseks ning seetõttu on ka selles olevale teabele piiratud juurdepääs, mis põhineb
teadmisvajadusel. Piirangud on kehtestatud eelkõige sellest, et registriandmed võivad sisaldada
teavet turvasüsteemide või turvameetmete kirjelduse või tehnoloogiliste lahenduste kohta.
Samuti võib registrisse kantud teave sisaldada isikuandmeid või ka KüTS-i tähenduses teenuse
osutajate kohta käivat teavet, mida soovitakse kaitsta avalikuks tuleku eest. Olenevalt
küberintsidendi asjaoludest võib olla juurdepääsupiirangu seadmine põhjendatud ka muudel
alustel kooskõlas avaliku teabe seadusega.
Lõike 2 kohaselt andmetele juurdepääsu registriandmetele Riigi Infosüsteemi Ameti
ametnikule ja töötajale oma töö- või teenistusülesannete täitmiseks. Tegemist on Riigi
7
Infosüsteemi Ameti töötajatega, kelle ülesandeks ei ole või ülesanne ei puuduta registri
vastutava töötaja ülesannete täitmist. Juurdepääsu andmine toimub antud juhul eelkõige
registrisse sisselogimise teel. Seejuures tuleb vastutaval töötlejal määrata nende isikute
kasutajakonto õiguste klass jne.
Lõike 3 kohaselt võib registriandmeid väljastada:
andmeandjale tema poolt esitatud teabe osas. Tegemist on isiku õigusega saada teavet
oma esitatud teabe kohta;
andmekaitse järelevalveasutusele, kui küberintsident on seotud katsega kätte saada
isikuandmeid või küberintsidendi tulemusel on isikuandmed kättesaadavaks saanud
selleks mitteõigustatud isikule. Küberintsidendid on sageli seotud sooviga saada enda
valdusesse isikuandmeid, sealhulgas eriliigilisi isikuandmeid. Sellest tulenevalt on
ennetusetegevuse ja järelevalve teostamiseks vajalik andmekaitseasutuste teavitamine.
Eestis näiteks on vajalik Andmekaitse Inspektsiooni teavitamine küberintsidendist, mis
on seotud katsega saada oma valdusesse isikuandmeid. Eelnõus esitatud tingimused on
välja toodud, et andmete valimatud edastamisega ei koormataks andmekaitseasutust.
Riigi julgeoleku tagamisega seotud ülesannete täitmiseks. Küberintsident võib olla
põhjustatud eesmärgiga saada kätte avalikku teavet või siis teavet Eesti elanike kohta.
Olulise mõjuga küberintsident võib põhjustada olulist kahju Eesti riigi julgeolekule ja
sõltumatusele, mistõttu on teave vajalik julgeolekuasutustele, et hinnata ohtusid ja
nende esinemist ning päritolu;
süütegude menetlemisel. Küberintsidentide kohta kogutud teave sh ründevektorid, IP-
aadressid jms võib olla olulise väärtusega küberkuritegude uurimiseks ja
menetlemiseks. Küberintsidendid võivad olla seotud ka muude süütegudega kui vaid
võrgu- ja infosüsteemi kahjustamine. Küberintsident võib olla seotud sooviga
omandada ebaseaduslikult isikute finantsvara või rahalisi vahendeid, mistõttu võib
intsidendi raames saadud teave olla olulise väärtusega süütegude lahendamisel;
kui see on vajalik suure mõjuga küberintsidendi lahendamiseks ja teabe edastamine on
ettenähtud seadusega või rahvusvahelise lepinguga. Eesti teeb koostööd teiste riikide ja
organisatsioonidega küberkeskkonna turvalisuse tagamiseks ja suure mõjuga
intsidentide ennetamiseks ning tõrjumiseks, mistõttu on vajalik vastastikune teabe
vahetus. Teabevahetus Euroopa Liidu liikmesriikide asjaomaste asutustega on
ettenähtud ka Euroopa Parlamendi ja Nõukogu 06.07.2016 direktiiviga (EL) 2016/1148
meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge
tase kogu liidus. Säte arvestab asjaoluga, et küberintsidenti puudutav teave võib olla
vajalik välisriigis kübeturvalisuse tagamisega seotud asutusele või Euroopa Liidu
Võrgu- ja Infoturbeametile (edaspidi ENISA) või muule rahvusvahelisele
organisatsioonile (nt EUROPOL);
lisaks eeltoodud peamistele võimalikele teabe tarbijatele võib esineda muid olukordi,
kus küberintsidendiga seotud teave on seotud avalik ülesande täitmisega. Eelkõige on
need valdkonnad seotud ohtude ennetamisega, korrakaitsega või õiguse mõistmisega.
Nii näiteks ei saa välistada, et registris olev teave on vajalik kohtumenetluse raames
ning kohus nõuab teabe välja. Või Finantsinspektsioon soovib oma menetluse raames
teavet hindamaks, kas finantsasutus on käitunud korrektselt sündmuste lahendamisel
või Riigikantselei vajab teavet üldise ohuennetuse raames. Lisaks arvestab säte, et
Euroopa Liidu ja Eesti tasemel on menetluses õigusaktide eelnõud, millega laiendatakse
kübervaldkonnas saadud teabe kasutamist üldiste ja avalike huvide kaitsemisel.
Lõike 4 sätestatakse vastutava töötleja õigused registriandmete väljastamisel.
Registriandmetele juurdepääsu saamiseks peab isik esitama põhistatud taotluse, millele
8
vastamiseks on vastutaval töötlejal aega 30 päeva. Vastutaval töötlejal on õigus ka küsida
lisateavet veendumaks isiku õiguses kasutada registriandmeid, sealhulgas teadmisvajaduses.
Isiku enda esitatud andmete korral teadmisvajadust ei kontrollita.
Lõikes 5 sätestatakse õigus väljastada registri andmed ka omal algatusel, kui selline kohustus
on sätestatud seadusega või rahvusvahelise lepinguga. Näiteks ENISA teavitamine piiriülese
mõjuga küberintsidendist KüTS § 12 lõike 4 alusel, eeldusel, et teabe edastamine ei kahjusta
riigi julgeolekut või kriminaalmenetlust.
Lõikes 6 sätestatakse vastutava töötleja kohustus pidada arvestust registrist väljastatud andmete
üle, säilitades andmed kellele, millisel eesmärgil, millal, millisel viisil ja missuguseid andmeid
registrist väljastatakse. Lõikes sätestatud arvepidamist võib teha näiteks dokumendihalduse
süsteemi kasutades. Registriandmete väljastamise täpsema arvestuse võib Riigi Infosüsteemi
Amet kehtestada oma sisemiste juhistega.
Paragrahvi 12 lõige 1 määrab andmete säilitamise tähtajaks viis aastat alates küberintsidendi
lahendamisest. Küberintsidendi lahendamiseks loetakse küberintsidentide registris vastutava
töötleja poolt vastava kande tegemist, millega loetakse juhtum lõpetatuks. Olulise mõjuta
küberintsidendi korral, kui võrgu- ja infosüsteemi käideldavusele, terviklusele või
konfidentsiaalsusele ei ole avaldunud mõju, võib küberintsidendi märkida lahendatuks juba
selle registrisse kandmisel. Näiteks on selliseks teateks teavitused õngitsuskirjadest, mille
ohvriks ei ole teadaolevalt keegi langenud.
Viie aastane säilitamise tähtaeg on oluline, et näha muu hulgas ajas muutuvaid trende ja
ründevormide arenguid, sh loomaks seoseid ajaliselt hiljem tehtud analüüside tulemite ja ajas
varasemalt aset leidnud intsidentide vahel. Viis aastat on piisavalt pikk aeg, et olulisemad
seosed võiksid välja tulla ning sellest teabest lähtuvalt saab anda täiendavaid ohuhinnanguid
või teha ohuteateid. Teabe esitanud isiku andmete säilitamisel on arvestatud vajadust saada
isikult täiendavat teavet sündmuse kohta, kui sündmuse juures tuvastatakse pikaajaline seos või
mingi muu oluline asjaolu, mis võimaldab sündmust või intsidendi eesmärki paremini mõista.
Lõike 2 kohaselt pärast säilitustähtaja saabumist andmeid ei arhiveerita vaid kustutatakse
registrist. Võib tekkida olukord, kus kustutatud teabe osas säilivad registri väliselt mingit teavet.
Näiteks registri andmete alusel tehtud isikustamata ülevaated ja analüüsid, mida töödeldakse
(sh säilitatakse ja kasutatakse) edasi.
Eelnõu 4. peatükis on reguleeritud registri rahastamine ja likvideerimine.
Paragrahv 13 kohaselt rahastatakse registri pidamist, sh arendus- ja hooldustöid riigieelarvest
Riigi Infosüsteemi Ametile eraldatud eelarvevahenditest. Osaliselt on registri arendus- ja
hooldustöödeks kaasatud struktuurifondide (SF) või Euroopa ühendamise (CEF) rahastust, kuid
see ei ole mõeldud registri pideva toimimise tagamiseks.
Paragrahvis 14 sätestatu kohaselt otsustab küberintsidentide registri likvideerimise valdkonna
eest vastutav minister. Likvideerimisel tuleb otsustada andmete teise andmekogusse või
avalikku arhiivi üleandmine või andmete hävitamine või nende üleandmine vastavalt
arhiiviseaduses või selle alusel antud õigusaktide sätestatule..
Seadusest tulenevalt teostab registri pidamise üle järelevalvet Andmekaitse Inspektsioon,
mistõttu seda määruses ei korrata.
9
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on vastavuses Euroopa Liidu õigusega. Eelnõu on kooskõlas Euroopa Parlamendi ja
Nõukogu 06.07.2016 direktiiviga (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja
infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus, mille kohaselt liikmesriigid tagavad
asjaomase asutuste teavitamise küberintsidentidest nii liikmesriigi siseselt kui ka liikmesriikide
üleselt. Samuti on eelnõu seotud vajadusega luua asjakohane teavitussüsteem ning tagada
vajalik teabevahetus. Teabevahetus peab tagama asjaomase teabe konfidentsiaalsuse ning
asjakohaste meetmete rakendamise oluliste teenuste operaatorite ja digitaalse teenuse osutajate
turvalisuse ja ärihuvide kaitse registrisse teabe edastamisel.
4. Määruse mõjud
Määruse rakendamisega ei kaasne otsest sotsiaalset ja demograafilist mõju, ega mõju
välissuhetele, majandusele ega mõju elu- ja looduskeskkonnale, regionaalarengule,
riigiasutuste ning kohaliku omavalitsuse korraldusele ega muud otsest ja kaudset mõju.
Määrusega seotud mõjud on toodud XIV Riigikogu menetluses olnud küberturvalisuse seaduse
597 SE juures. Eelnõu rakendamisega võib ette näha mõju riigiasutuste ja kohaliku
omavalitsuse korraldusele, täpsemalt Riigi Infosüsteemi Ametile.
Kaasnev mõju: mõju riigiasutuste ja kohaliku omavalitsusese korraldusele
Sihtrühm: Riigi Infosüsteemi Amet
Mõju ulatus: Määruse jõustumisel on võimalik Riigi Infosüsteemi Ametil süstematiseerida
küberintsidentide teavitused ja nende lahendamised. Korrastatud ülevaate tulemusel on
võimalik tõhustada ennetamist ja koordineerida või juhendada küberintsidentide lahendamist
ning anda soovitusi sündmustele reageerimiseks. Määrus mõjutab Riigi Infosüsteemi Ameti
ülesannete täitmist positiivselt ning võimaldab Riigi Infosüsteemi Ametil kiiremini reageerida
ohtudele ning analüüsida ja efektiivsemalt tagasisidestada võrgu- ja infosüsteemide kaitsega
seonduvat.
5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise
eeldatavad tulud
Määruse rakendamine ei too riigieelarvele kaasa täiendavat kulu ega tulu. Määruse
rakendamisega kaasnev kulu kaetakse iga-aastaselt riigieelarvest Riigi Infosüsteemi Ametile
eraldatud riigieelarveliste vahendite arvelt.
6. Määruse jõustumine
Määrus jõustub üldises korras ehk kolmandal päeval pärast Riigi Teatajas avaldamist.
7. Määruse eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Määruse eelmine versioon käis avalikul konsultatsioonil 2021. aasta alguses eelnõude
infosüsteemi vahendusel (toimik nr 21-0078). Saadud tagasiside ja vastused tagasisidele on
leitav seletuskirja lisast.
Määruse eelnõu saadetakse eelnõude infosüsteemi kaudu täiendavaks kooskõlastamiseks
ministeeriumitele, Riigikantseleile ning Eesti Linnade ja Valdade Liidule. Eelnõu saadetakse
10
arvamuse andmiseks Riigi Infosüsteemi Ametile, Andmekaitse Inspektsioonile,
Statistikaametile ning Infotehnoloogia ja Telekommunikatsiooni Liidule.
Suur-Ameerika 1 / 10122 Tallinn / 625 6342 / [email protected] / www.mkm.ee
Registrikood 70003158
Riigikantselei
Ministeeriumid
Meie 30.05.2023 nr 2-1/2023/2910
Eelnõu esitamine kooskõlastamiseks
Esitame kooskõlastamiseks majandus- ja infotehnoloogiaministri määruse „Küberintsidentide
registri põhimäärus“ eelnõu.
Lugupidamisega
(allkirjastatud digitaalselt)
Tiit Riisalo
Majandus- ja infotehnoloogiaminister
Lisad: 1) määruse eelnõu;
2) eelnõu seletuskiri;
3) seletuskirja lisa.
Lisaadressaadid: Eesti Linnade ja Valdade Liit
Riigi Infosüsteemi Amet
Andmekaitse Inspektsioon
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Statistikaamet
Guido Pääsuke
EISi teade Eelnõude infosüsteemis (EIS) on algatatud kooskõlastamine. Eelnõu toimik: MKM/23-0714 - Küberintsidentide registri põhimäärus Kohustuslikud kooskõlastajad: Haridus- ja Teadusministeerium; Justiitsministeerium; Kultuuriministeerium; Riigikantselei; Kaitseministeerium; Siseministeerium; Maaeluministeerium; Rahandusministeerium; Sotsiaalministeerium; Keskkonnaministeerium; Välisministeerium Kooskõlastajad: Arvamuse andjad: Kooskõlastamise tähtaeg: 14.06.2023 23:59 Link eelnõu toimiku vaatele: https://eelnoud.valitsus.ee/main/mount/docList/ebe28e78-db46-47cb-a4a9-88a37d507fb5 Link kooskõlastamise etapile: https://eelnoud.valitsus.ee/main/mount/docList/ebe28e78-db46-47cb-a4a9-88a37d507fb5?activity=1 Eelnõude infosüsteem (EIS) https://eelnoud.valitsus.ee/main
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Justiits- ja digiministri määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu | 20.01.2026 | 1 | 1-7/20-1 | Sissetulev kiri | sisemin | Justiits- ja Digiministeerium |
| Vastuskiri | 10.02.2025 | 1 | 1-7/279-5 | Väljaminev kiri | sisemin | Justiits- ja Digiministeerium |
| Vastuskiri | 19.06.2023 | 947 | 1-7/125-4 | Väljaminev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| KaPo - Küberintsidentide registri põhimäärus | 13.06.2023 | 953 | 1-7/125-3 | Sissetulev kiri | sisemin | Kaitsepolitseiamet |
| PPA - Arvamus eelnõule | 12.06.2023 | 954 | 1-7/125-2 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |
| Vastuskiri | 15.02.2021 | 1801 | 1-7/18-5 | Väljaminev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| SMIT - Küberintsidentide registri põhimääruse eelnõu | 04.02.2021 | 1812 | 1-7/18-4 | Sissetulev kiri | sisemin | Siseministeeriumi infotehnoloogia- ja arenduskeskus |
| KaPo - Arvamus | 03.02.2021 | 1813 | 1-7/18-3 🔒 | Sissetulev kiri | sisemin | Kaitsepolitseiamet |
| PPA - Arvamus väliskaubandus- ja infotehnoloogiaministri määruse "Küberintsidentide registri põhimäärus" eelnõule | 02.02.2021 | 1814 | 1-7/18-2 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |
| Küberintsidentide registri põhimäärus | 19.01.2021 | 1828 | 1-7/18-1 | Sissetulev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |