| Dokumendiregister | Siseministeerium |
| Viit | 1-7/18-1 |
| Registreeritud | 19.01.2021 |
| Sünkroonitud | 21.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1 Ministeeriumi töö korraldamine. Juhtimine. Planeerimine. Aruandlus |
| Sari | 1-7 Siseministeeriumile kooskõlastamiseks saadetud siseriiklikute õigusaktide eelnõud |
| Toimik | 1-7/2021 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Majandus- ja Kommunikatsiooniministeerium |
| Saabumis/saatmisviis | Majandus- ja Kommunikatsiooniministeerium |
| Vastutaja | sisejulgeolekupoliitika osakond |
| Originaal | Ava uues aknas |
EELNÕU
29.12.2020
VÄLISKAUBANDUS- JA INFOTEHNOLOOGIAMINISTER
MÄÄRUS
Küberintsidentide registri põhimäärus
Määrus kehtestatakse küberturvalisuse seaduse § 13 lõike 3 alusel.
1. peatükk
Üldsätted
§ 1. Andmekogu asutamine ja selle nimetus
Määrusega asutatakse andmekogu nimetusega „Küberintsidentide register“ (edaspidi register).
§ 2. Registri pidamise eesmärk
Registri eesmärk on küberintsidentide üle arvestuse pidamine küberintsidentide tuvastamiseks,
analüüsimiseks, lahendamiseks, ohuteadete edastamiseks ja järelevalve teostamiseks.
§ 3. Registri vastutav töötleja
Registri vastutav töötleja on Riigi Infosüsteemi Amet (edaspidi vastutav töötleja).
§ 4. Andmete õiguslik tähendus
Registri andmetel on informatiivne tähendus.
§ 5. Registri pidamine
Registrit peetakse ja andmeid säilitatakse elektroonilisel kujul.
§ 6. Registri turvalisus
Registri turvaklass on K1T1S2 ja turbeaste on M.
2. peatükk
Andmete koosseis ja andmete esitamine registrisse
§ 7. Registri andmete koosseis
(1) Registrisse kantakse andmed küberintsidendi ja andmeandja kohta.
(2) Küberintsidendi kohta kantakse registrisse järgmised andmed:
1) mõjutatud võrgu- ja infosüsteemi haldaja;
2) mõju ulatus;
3) avastamise, eeldatava tekkimise ja lahendamise aeg;
4) loetelu võrgu- ja infosüsteemidest, mida küberintsident mõjutab või võib mõjutada;
5) tekkepõhjuste kirjeldus;
6) andmeandja ja lahendaja;
7) lahendamiseks kulunud aeg ja rakendatud turvameetmete kirjeldus;
8) tuvastamiseks, analüüsimiseks ning lahendamiseks edastatud lingid, failid ja logid.
(3) Andmeandja ja lahendaja kohta kantakse registrisse:
1) juriidilise isiku nimi või nimetus, tema esindaja ees- ja perenimi ning kontaktandmed;
2) füüsilise isiku nimi ja kontaktandmed.
§ 8. Andmeandja
Registrisse esitab andmeid:
1) teenuse osutaja küberturvalisuse seaduse tähenduses;
2) riigi- või kohaliku omavalitsuse üksuse asutus;
3) muu isik, kes esitab vastutavale töötlejale teabe küberintsidendist.
§ 9. Andmete registrisse kandmine
Andmed kannab registrisse vastutav töötleja andmeandja edastatud teavituse või raporti
alusel.
3. peatükk
Andmete kaitse
§ 10. Juurdepääs andmetele
(1) Vastutav töötleja määrab isikud, kellel on õigus töödelda registriandmeid töö- või
teenistusülesannete täitmiseks ning nende õiguste ulatuse.
(2) Vastutav töötleja peab arvestust kellele, millisel eesmärgil, millal, millisel viisil ja
missuguseid andmeid registrist väljastatakse.
(3) Iga registrisse tehtud päringu või kande, andmete lisamise, muutmise, sulgemise või
kustutamise kohta säilitatakse vähemalt järgmised andmed:
1) päringu või kande tegija andmed;
2) päringu või kande tegemise sisu, kuupäev ja kellaaeg.
§ 11. Andmete õigsus
(1) Andmeandja vastutab tema poolt vastutavale töötlejale edastatud andmete õigsuse eest.
(2) Kui vastutav töötleja teeb kindlaks, et registris on ebaõiged andmed, võtab ta tarvitusele
vajalikud meetmed andmete parandamiseks.
§ 12. Andmete säilitustähtaeg
Registri andmeid säilitatakse viis aastat alates intsidendi lahendamisest või viis aastat alates
intsidendi registreerimisest, kui intsidendil pole mõju. Registri logisid säilitatakse üks aasta.
4. peatükk
Registri finantseerimine ja likvideerimine
§ 13. Registri finantseerimine
Registri pidamist rahastatakse riigieelarvest Riigi Infosüsteemi Ameti eelarve kaudu.
§ 14. Registri likvideerimine
Registri likvideerimine toimub seaduse alusel. Registri likvideerimisel otsustatakse andmete
teise andmekogusse või avalikku arhiivi üleandmine või andmete hävitamisele kuulumine ja
nende üleandmise või hävitamise tähtaeg.
(allkirjastatud digitaalselt)
Raul Siem (allkirjastatud digitaalselt)
väliskaubandus- ja infotehnoloogiaminister
Ando Leppiman
kantsler
1
29.12.2020
Väliskaubandus- ja infotehnoloogiaministri määruse „Küberintsidentide registri
põhimäärus“ eelnõu seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Määruse eelnõu kohaselt asutatakse riigi infosüsteemi mitte kuuluv andmekogu ametliku
nimetusega küberintsidentide register ning kehtestatakse selle pidamise põhimäärus.
Määrus kehtestatakse küberturvalisuse seaduse (edaspidi KüTS) § 13 lõike 3 alusel.
KüTS § 13 kohaselt on küberintsidentide register Riigi Infosüsteemi Ameti peetav andmekogu,
kuhu kantakse küberintsidenti kirjeldavad andmed eesmärgiga pidada küberintsidentide üle
arvestust nende tuvastamiseks, analüüsimiseks, lahendamiseks, ohuteadete edastamiseks ja
järelevalve teostamiseks. Küberintsidentide register koondab endas informatiivset teavet Eesti
arvutivõrkudes toimuvate ja Riigi Infosüsteemi Ametile edastatud või Riigi Infosüsteemi Ameti
tuvastatud võrgu- ja infosüsteemides küberintsidentide kohta.
Eelnõuga sätestatakse muu hulgas registri nimetus, eesmärk, registri vastutav töötleja, registri
andmed, registriandmete kaitse, registriandmete säilitamine, registri finantseerimine ja
likvideerimine.
1.2. Ettevalmistajad
Määruse eelnõu ja seletuskirja on koostanud ning keeletoimetuse teinud Riigi Infosüsteemi
Ameti õigusnõunik Silver Lusti ([email protected]) ning Majandus- ja
Kommunikatsiooniministeeriumi küberturvalisuse õigusnõunik Kea Kohv
([email protected]). Eelnõu juriidilise ekspertiisi teostas Majandus- ja
Kommunikatsiooniministeeriumi õigusosakonna õigusnõunik Ave Henberg.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb neljast peatükist ja 14-st paragrahvist.
Eelnõu 1. peatükis on üldsätted.
Paragrahvis 1 sätestatakse Riigi infosüsteemi Ameti loodava andmekogu nimetus, milleks on
„Küberintsidentide register“.
Paragrahvis 2 nähakse ette registri pidamise eesmärk. Registri pidamisel ja andmete
töötlemisel lähtutakse avaliku teabe seaduse (edaspidi AvTS) §-s 431 ja KüTS §-s 13 sätestatud
2
eesmärgist, mille kohaselt on küberintsidentide registri puhul tegemist Riigi Infosüsteemi
Ameti peetava ja infosüsteemis töödeldava korrastatud andmete kogumiga, kuhu kantakse
küberintsidenti kirjeldavad andmed, eesmärgiga pidada küberintsidentide üle arvestust ning
analüüsida neid nende lahendamiseks, ohuteadete edastamiseks ja järelevalvetoimingute
läbiviimise toetamiseks. Küberintsident käesoleva põhimääruse mõistes on vastavalt KüTS § 2
punktile 3 süsteemis toimuv sündmus, mis ohustab või kahjustab süsteemi turvalisust.
Paragrahvis 3 sätestatakse registri vastutav töötleja ehk registripidaja, kelleks on Riigi
Infosüsteemi Amet. Vastavalt AvTS § 434 lõikele 1 korraldab vastutav töötleja andmekogu
kasutusele võtmist ja andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja
andmekogu arendamise eest. KüTS § 13 lõike 1 kohaselt on tegemist Riigi Infosüsteemi Ameti
peetava andmekoguga. Riigi Infosüsteemi Amet majutab küberintsidentide registrit ning
korraldab registri teenuste ja tehnoloogilise keskkonna haldamise. Registril ei ole volitatud
töötlejat.
Paragrahvis 4 kohaselt on andmekogusse kantud andmetel informatiivne tähendus.
Paragrahvis 5 sätestatakse andmete säilitamise kord, millega nähakse ette registri pidamine ja
andmete säilitamine elektroonilisel kujul.
Paragrahvis 6 sätestatakse registri turvaklass ja turbeaste. Registri turvaklass ja turbeaste on
määratud vastavalt Vabariigi Valitsuse 20. detsembri 2007. a määrusele nr 252 „Infosüsteemide
turvameetmete süsteem”. Turvaosaklassid on määratud järgnevalt: andmete käideldavuse alusel
K1, kuivõrd töökindlus peab olema tagatud vähemasti 90% ulatuses; terviklikkuse alusel T1,
kuivõrd info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad;
konfidentsiaalsuse alusel S2, kuivõrd info kasutamine on lubatud ainult teatud kindlatele
kasutajate gruppidele ja juurdepääs teabele on lubatav üksnes juurdepääsu taotleva isiku
õigustatud huvi korral. Registri turbeaste on seega vastavalt ISKE rakendusjuhendile keskmine
(M).
Eelnõu 2. peatükis on reguleeritud andmete koosseis ja andmete esitamine registrisse.
Paragrahv 7 lõige 1 sätestab, et küberintsidentide registrisse kantakse andmed küberintsidendi
ja andmeandja kohta. Lõige 2 sätestab registris sisalduda võivate andmete loetelu. Tegemist on
ammendava loeteluga registris sisalduda võivatest andmetest. Samas ei ole kõik loetelus olevad
andmed kohustuslikud, kuna alati ei pruugi olla iga loetelus oleva punkti kohta informatsiooni.
Lõikes 3 sätestatakse registrisse sisestatav informatsioon küberintsidendi andmeandja ja
lahendaja kohta.
Paragrahvis 8 sätestatakse küberintsidentide kohta vastutavale töötlejale teavet esitavate
isikute ehk andmeandjate ring. Andmeandjateks ehk küberintsidendist teatajaks on teenuse
osutaja KüTS-i tähenduses või riigi- või kohaliku omavalitsuse üksus või muu isik, kes esitab
vastutavale töötlejale teavet küberintsidendi kohta. Küberintsidendist teatanud isik ei pruugi
tingimata olla ise mõjutatud isik. Andmeandjaks saab pidada ka Riigi Infosüsteemi Ametit
3
(vastutav töötleja), kelle poolt küberintsidentide ennetamiseks teostatav seire võib välja tuua
teavet küberintsidentide registri eesmärgipäraseks toimimiseks.
Paragrahv 9 sätestab vastutava töötleja kohustuse kanda registrisse kõik temale esitatud
teavitused või raportid küberintsidentide kohta.
Teatiste ja raportite esitamise vorminõuet ei ole senini teadlikult sisustatud selleks, et kogu
vajalik teave küberintsidentide toimumise ja lahendamise osas jõuaks viivitamatult vastutava
töötlejani ning teatamise kohustuslik vorm takistuseks ei muutuks, näiteks juhtudel, kui
teatatakse telefoni või e-maili teel. Vastavalt KüTS § 8 lõikele 8 võib teavitamise korra ja
raporti vormi võib kehtestada valdkonna eest vastutav minister määrusega, kuid kehtestamine
pole kohustuslik.
Raporti esitamise kohustus tuleneb KüTS § 8 lõikest 7, mille järgi teenuse osutaja on olulise
mõjuga küberintsidendi lahendamisel kohustatud edastama Riigi Infosüsteemi Ametile raporti,
mis sisaldab informatsiooni küberintsidendi tekkepõhjuste, selle lahendamiseks kulunud aja ja
rakendatud abinõude ning küberintsidendi mõju kohta. Seega raportit eristab teavitusest see, et
raport esitatakse peale intsidendi lahendamist ja raportis peab sisalduma kindlasti informatsioon
tekkepõhjuste, lahendamiseks kulunud aja, rakendatud abinõude kohta ja küberintsidendi mõju.
Neid ei pruugita intsidendi alguses teada, kui küberintsidendist teavitatakse.
Registrisse kantakse kõik CERT-il jõudnud teave. Selline teave on registris oluline, et teha
laiapindsemaid järeldusi üht või teisti liiki intsidentide leviku osas
periooditi/regionaalselt/domeeni kaupa või mis iganes muul moel liigitatud kujul. See
võimaldab näiteks anda aimu sihitud rünnetest.
Eelnõu 3. peatükis sätestatakse registri andmete kaitse.
Registriandmed on mõeldud asutusesiseseks kasutamiseks lähtudes eelkõige avaliku teabe
seaduse § 35 lõike 1 punktides 2 ning 9-12 sätestatud juurdepääsupiirangute alustest.
Registriandmed võivad sisaldada teavet poolelioleva järelevalvemenetluse, turvasüsteemide
või turvameetmete kirjelduse või tehnoloogiliste lahenduste kohta. Samuti võib registrisse
kantud teave sisaldada isikuandmeid. Olenevalt küberintsidendi asjaoludest võib olla
juurdepääsupiirangu seadmine põhjendatud ka muudel alustel kooskõlas avaliku teabe
seadusega.
Kuna tegemist on piiratud juurdepääsuga registriga, on juurdepääs registriandmetele teatud
kindlatel kasutajate gruppidel, kellel on selleks seadusest või seaduse alusel antud õigusaktist
tulenev õigus ja õigustatud huvi.
Paragrahv 10 sätestab andmetele juurdepääsu. Lõike 1 kohaselt määrab vastutav töötleja
isikud, kellel on õigus töödelda registriandmeid töö- või teenistusülesannete täitmiseks. Samuti
määratakse nende isikute kasutajakonto õiguste klass. Reeglina saadakse lihtkasutaja õigused,
kuid kindlatel isikutel on ka eeliskasutaja õigused.
4
Lõige 2 sätestab vastutava töötleja kohustuse pidada arvestust registrist väljastatud andmete
üle, säilitades andmed kellele, millisel eesmärgil, millal, millisel viisil ja missuguseid andmeid
registrist väljastatakse.
Lõigk 3 kohaselt säilitades iga registrisse tehtud päringu või kande, andmete lisamise,
muutmise, sulgemise või kustutamise kohta vähemalt päringu või kande tegija andmed, päringu
või kande tegemise sisu, kuupäeva ja kellaaja kohased andmed.
Paragrahvis 11 sätestatakse lõikega 1, et andmeandjad vastutavad küberintsidentide registrisse
esitatud andmete õigsuse eest. Lõike 2 kohaselt võtab vastutav töötleja küberintsidentide
registris andmete ebaõigsuse kindlaks tegemisel kasutusele vajalikud meetmed ebaõigete
andmete parandamiseks.
Paragrahv 12 määrab andmete säilitamise tähtajaks viis aastat alates intsidendi lahendamisest
või viis aastat alates intsidendi tuvastamisest, kui intsidendil pole mõju. Mõjuta intsident on
sündmus, mille eesmärk on avaldada mõju süsteemi käideldavusele, terviklusele või
konfidentsiaalsusele, aga see ei ole õnnestunud. Näiteks õngitsuskirjad, mille ohvriks ei ole
keegi langenud. Registri logisid säilitatakse üks aasta.
Eelnõu 4. peatükk on reguleeritud registri finantseerimine ja likvideerimine.
Paragrahv 13 kohaselt rahastatakse registri pidamist riigieelarvest Riigi Infosüsteemi Ameti
eelarve kaudu. Tänaseni on registri arendus- ja hooldustöödeks kaasatud osaliselt
struktuurifondide (SF) või Euroopa ühendamise (CEF) rahastust, kuid pidades silmas registri
olulisust kogu riigi küberturvalisuse tagamise vaatest, on mõistlikum ja jätkusuutlikum
rahastada registri arendus- ja hooldustöid ning pidamist riigieelarvelistest vahenditest Riigi
Infosüsteemi Ameti eelarve kaudu.
Paragrahvis 14 sätestatu kohaselt toimub registri likvideerimine seaduse alusel.
Likvideerimisel tuleb otsustada andmete teise andmekogusse või avalikku arhiivi üleandmise
või andmete hävitamisele kuulumine ja nende üleandmise või hävitamise tähtaeg.
Seadusest tulenevalt teostab registri pidamise üle järelevalvet Andmekaitse Inspektsioon,
mistõttu seda määruses ei korrata.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on vastavuses Euroopa Liidu õigusega.
4. Määruse mõjud
Määruse kehtestamisega ei kaasne otsest sotsiaalset ega demograafilist mõju, olulist mõju riigi
julgeolekule ega välissuhetele, majanduslikku mõju ega mõju elu- ja looduskeskkonnale,
5
regionaalarengule, riigiasutuste ja kohaliku omavalitsuse korraldusele ega muud otsest ja
kaudset mõju. Eelnõu rakendamisega võib ette näha mõju riigiasutuste ja kohaliku omavalitsuse
korraldusele, täpsemalt Riigi Infosüsteemi Ametile.
Kaasnev mõju: mõju riigiasutuste ja kohaliku omavalitusese korraldusele
Sihtrühm: Riigi Infosüsteemi Ameti teenistujad
Mõju ulatus: Tuvastatud mõju on väike. Määrust rakendab Riigi Infosüsteemi Amet ehk
registripidaja. Märkimisväärseid muutusi töös ei toimu.
Mõju avaldumise sagedus: mõju avaldumise sagedus sõltub sellest, kui palju
küberintsidentidest teatatakse ja kui palju küberintsidente registripidaja ise tuvastab. Hetkel on
saadav ja tuvastatav küberintsidentide arv hallatav.
Ebasoovitavate mõjude risk: väike, kuna negatiivset mõju andmete esitamisega ei kaasne.
5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise
eeldatavad tulud
Määruse rakendamine ei too kaasa täiendavaid kulusid ega tulusid. Määrust rakendatakse
olemasolevate ressursside raames. Eelnõu ei puuduta registrite arendamist, kasutusele võtmist
või likvideerimist, mis tooksid kaasa rahalisi mõjusid.
6. Määruse jõustumine
Määrus jõustub üldises korras ehk kolmandal päeval pärast Riigi Teatajas avaldamist.
7. Määruse eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Määruse eelnõu saadetakse kooskõlastamiseks Kaitseministeeriumile, Siseministeeriumile,
Justiitsministeeriumile, Välisministeeriumile, Andmekaitse Inspektsioonile, Riigi Infosüsteemi
Ametile, Statistikaametile ning arvamuse andmiseks Eesti Infotehnoloogia ja
Telekommunikatsiooni Liidule ja Eesti Infoturbe Assotsiatsioonile.
Suur-Ameerika 1 / 10122 Tallinn / 625 6342 / [email protected] / www.mkm.ee
Registrikood 70003158
Kaitseministeerium
Siseministeerium
Välisministeerium
Justiitsministeerium
Andmekaitse Inspektsioon
Riigi Infosüsteemi Amet
Statistikaamet
Meie 19.01.2021 nr 2-1/20-0384/360
Väliskaubandus- ja infotehnoloogia ministri
määruse "Küberintsidentide registri
põhimäärus" eelnõu
Esitame kooskõlastamiseks ja arvamuse avaldamiseks väliskaubandus- ja infotehnoloogia ministri
määruse "Küberintsidentide registri põhimäärus" eelnõu.
Tagasisidet palume 10 tööpäeva jooksul.
Lugupidamisega
(allkirjastatud digitaalselt)
Raul Siem
väliskaubandus- ja infotehnoloogiaminister
Lisad: Ministri määruse eelnõu ja seletuskiri
Arvamuse andmiseks: Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Eesti Infoturbe Assotsiatsioon
Martin Sepp
EISi teade Eelnõude infosüsteemis (EIS) on algatatud kooskõlastamine. Eelnõu toimik: MKM/21-0078 - Küberintsidentide registri põhimäärus Kohustuslikud kooskõlastajad: Justiitsministeerium; Kaitseministeerium; Siseministeerium; Välisministeerium Kooskõlastajad: Arvamuse andjad: Riigi Infosüsteemi Amet Kooskõlastamise tähtaeg: 02.02.2021 23:59 Link eelnõu toimiku vaatele: https://eelnoud.valitsus.ee/main/mount/docList/8ad7d911-6771-41cd-9611-572a9ac4b7f1 Link kooskõlastamise etapile: https://eelnoud.valitsus.ee/main/mount/docList/8ad7d911-6771-41cd-9611-572a9ac4b7f1?activity=1 Eelnõude infosüsteem (EIS) http://eelnoud.valitsus.ee/main
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Justiits- ja digiministri määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu | 20.01.2026 | 1 | 1-7/20-1 | Sissetulev kiri | sisemin | Justiits- ja Digiministeerium |
| Vastuskiri | 10.02.2025 | 1 | 1-7/279-5 | Väljaminev kiri | sisemin | Justiits- ja Digiministeerium |
| Vastuskiri | 19.06.2023 | 947 | 1-7/125-4 | Väljaminev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| KaPo - Küberintsidentide registri põhimäärus | 13.06.2023 | 953 | 1-7/125-3 | Sissetulev kiri | sisemin | Kaitsepolitseiamet |
| PPA - Arvamus eelnõule | 12.06.2023 | 954 | 1-7/125-2 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |
| Küberintsidentide registri põhimäärus | 31.05.2023 | 966 | 1-7/125-1 | Sissetulev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| Vastuskiri | 15.02.2021 | 1801 | 1-7/18-5 | Väljaminev kiri | sisemin | Majandus- ja Kommunikatsiooniministeerium |
| SMIT - Küberintsidentide registri põhimääruse eelnõu | 04.02.2021 | 1812 | 1-7/18-4 | Sissetulev kiri | sisemin | Siseministeeriumi infotehnoloogia- ja arenduskeskus |
| KaPo - Arvamus | 03.02.2021 | 1813 | 1-7/18-3 🔒 | Sissetulev kiri | sisemin | Kaitsepolitseiamet |
| PPA - Arvamus väliskaubandus- ja infotehnoloogiaministri määruse "Küberintsidentide registri põhimäärus" eelnõule | 02.02.2021 | 1814 | 1-7/18-2 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |