| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/26/319-1 |
| Registreeritud | 26.01.2026 |
| Sünkroonitud | 27.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
1
MINISTRI MÄÄRUSE EELNÕU MINISTRI MÄÄRUS
Majandus- ja infotehnoloogiaministri 17. augusti 2023. a
määruse nr 53 „Küberintsidentide registri
põhimäärus“ muutmine Määrus kehtestatakse küberturvalisuse seaduse § 13 lõike 3 alusel. § 1. Majandus- ja infotehnoloogiaministri 17. augusti 2023. a määruses nr 53 „Küberintsidentide registri põhimäärus“ tehakse järgmised muudatused: 1) paragrahv 2 sõnastatakse järgmiselt: „§ 2. Registri pidamise eesmärk Registri eesmärk on pidada arvestust küberintsidentide, küberohtude ja turvahaavatavuste üle ning analüüsida registrisse esitatud teavet küberintsidentide, küberohtude ja turvahaavatavuse ennetamiseks või lahendamiseks, ohuteadete edastamiseks ning järelevalvetoimingute tegemiseks.“; 2) paragrahvi 5 lõike 1 punkti 1 ning lõike 2 punkte 1 ja 2 täiendatakse pärast sõna „küberintsidendist“ tekstiosaga „, küberohust või turvahaavatavusest“; 3) paragrahvi 5 lõike 1 punkte 2 ja 8 täiendatakse pärast sõna „küberintsidendi“ tekstiosaga „, küberohu või turvahaavatavuse“; 4) paragrahvi 5 lõike 1 punkti 4 ja § 9 lõike 3 punkti 2 täiendatakse pärast sõna „küberintsident“ tekstiosaga „, küberoht või turvahaavatavus“; 5) paragrahvi 5 lõike 1 punktis 6 asendatakse tekstiosa „ja lahendaja“ tekstiosaga „, lahendaja ja käsitleja“; 6) paragrahvi 5 lõike 2 punkti 2 täiendatakse pärast sõna „lahendava“ tekstiosaga „ning küberohtu või turvahaavatavust käsitleva“; 7) paragrahv 6 sõnastatakse järgmiselt: „§ 6. Andmeandja Andmeandjaks on: 1) teenuseosutaja; 2) muu isik kui teenuseosutaja.“; 8) paragrahvi 7 lõige 4 tunnistatakse kehtetuks; 9) paragrahv 10 sõnastatakse järgmiselt: „§ 10. Registriandmete ja registritoimingute andmete säilitamise tingimused Andmed, mis on registrisse kantud, kuid ei ole vajalikud küberintsidendi, küberohu või turvahaavatavuse analüüsimiseks, võib kustutada enne seaduses sätestatud tähtaja saabumist.“. § 2. Määrus jõustub 1. veebruaril 2026. a.
2
Liisa-Ly Pakosta justiits- ja digiminister Tiina Uudeberg kantsler
1
13.01.2026
Majandus- ja infotehnoloogiaministri 17. augusti 2023. a määruse nr 53
„Küberintsidentide registri põhimäärus“ muutmise määruse eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine,
eelnõu 739 SE (edaspidi 739 SE)).1
Määrusega täiendatakse küberintsidentide registri põhimäärust, kuna Riigi Infosüsteemi
Ametile esitatakse 739 SE kohaselt lisaks teabele küberintsidentide kohta ka teave
küberohtude ja turvahaavatavuste kohta, mis kantakse samasse registrisse. Seetõttu tehakse
muudatusi registri pidamise eesmärgis, registriandmete koosseisus ja andmekaitse
järelevalveasutusele edastatavates andmetes. Lisaks eeltoodule tehakse samas määruses ka
muid, tehnilisemaid muudatusi, kuna registriga seotud õigusnormid on viidud ka
küberturvalisuse seadusesse.
Siin kommenteeritav eelnõu halduskoormuse kasvu ette ei näe, tehtavad muudatused on
seotud ennekõike ühe ametiasutuse (Riigi Infosüsteemi Ameti) töökoormusega.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu on
keeleliselt toimetanud Justiits- ja Digiministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Inge Mehide ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga 739 SE. Selle eelnõuga võetakse üle
Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a direktiiv (EL) 2022/2555, mis käsitleb
meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega
muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse
kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk
80–152) (edaspidi ka NIS2-direktiiv).
Eelnõukohase määrusega muudetakse majandus- ja infotehnoloogiaministri 17. augusti 2023. a
määrust nr 53 „Küberintsidentide registri põhimäärus“ (edaspidi määrus nr 53) (RT I,
24.08.2023, 3).
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
1 1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogus olev eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/.
2
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „võtame Euroopa
Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute normide
muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja muuta need
vabatahtlikuks“.2 Eelnõu väljatöötamise alus on Vabariigi Valitsuse tegevusprogrammi 2023–
20273 ELi direktiivide valdkonna all olev ülesanne „Eelnõu direktiivi (EL) 2022/2555
ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kahest paragrahvist.
Paragrahviga 1 muudetakse majandus- ja infotehnoloogiaministri 17. augusti 2023. a määrust
nr 53 „Küberintsidentide registri põhimäärus“. Paragrahv koosneb üheksast punktist.
Paragrahvis 2 tehtavad muudatused on ennekõike seotud asjaoluga, et 739 SE muudatuste
tulemusena kantakse registrisse ka teave küberohtude ja turvahaavatavuste kohta. Seetõttu
tehakse muudatusi registri pidamise eesmärgis (eelnõu § 1 punkt 1), registriandmete koosseisus
(eelnõu § 1 punktid 2–6) ja andmekaitse järelevalveasutusele edastatavates andmetes (eelnõu
§ 1 punkt 4). Eelnõu § 2 punktides 5 ja 6 on lisatud asjakohastesse sätetesse sõna „käsitleja“
või „käsitleva“, kuna küberintsidente lahendatakse, kuid küberohte ja turvahaavatavusi
käsitletakse.
Paragrahvi 1 punktiga 7 muudetakse määruse nr 53 § 6 ehk andmeandja kohta käivat
sõnastust. 739 SE kohaselt kantakse registrisse küberintsidendist, küberohust või
turvahaavatavusest teataja andmed ning selle teataja kohta on kasutatud terminit „andmeandja“.
Samuti tuleb määruses nr 53 määrata kindlaks, kes on andmeandja. Selle kohta saab lugeda 739
SE kohase küberturvalisuse seaduse § 13 lõikest 11 ja lõike 4 punktist 2. Teenuseosutajana
mõistetakse 739 SE kohase küberturvalisuse seaduse § 3 lõigetes 2–5 nimetatud üksusi. Muude
isikute all mõeldakse neid isikuid (sh üksusi), kes ei pea edastama Riigi Infosüsteemi Ametile
küberintsidentide, küberohtude või turvahaavatavuse teavet. Selle kohta saab lugeda ka 739 SE
kohase küberturvalisuse seaduse § 81 sisu ja selgitusi.
Paragrahvi 1 punktiga 8 tunnistatakse määruse nr 53 § 7 lõige 4 kehtetuks, kuna
registritoimingute andmete säilitamise tähtaeg reguleeritakse 739 SE kohaselt küberturvalisuse
seaduse § 13 lõike 5 punktis 3. Selles punktis sätestatakse, et nende andmete säilitamise tähtaeg
on kolm aastat, mis vastab kehtetuks tunnistatavas punktis olevale tähtajale.
Paragrahvi 1 punktiga 9 muudetakse määruse nr 53 § 10 (registriandmete säilitamise tähtaeg)
sõnastust. Muudatuse põhjuseks on asjaolu, et registriandmete säilitamise tähtajad
reguleeritakse 739 SE kohaselt küberturvalisuse seaduse § 13 lõikes 5. Seetõttu hõlmab
määruse nr 53 uuendatud § 10 ainult neid aspekte, mida on määruse tasandil võimalik
täpsustada 739 SE kohase küberturvalisuse seaduse § 13 lõike 4 punkti 5 alusel (lauseosa
Käesoleva paragrahvi lõikes 3 nimetatud määruses sätestatakse .. 5) registritoimingute ja
registrisse kantud andmete säilitamise täpsemad tingimused). Kommenteeritava punktiga
muudetava paragrahvi sisu säilitab määruse nr 53 § 10 lõike 3 sisu (lause Teabe, mis on
registrisse kantud, kuid ei ole vajalik intsidendi analüüsimiseks, võib kustutada enne lõikes 1
sätestatud tähtaja saabumist). Registrisse kantavateks andmeteks on näiteks teave
küberintsidendi küberohu või turvahaavatavuse kohta. Küberintsidendi puhul on vastava
2 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025–2027 3 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf
3
teavituse sisu ette nähtud küberturvalisuse seaduse § 8 lõike 8 alusel kehtestatavas määruses.
Viidatud määruse eelnõu on hetkel ettevalmistamisel.
Siinse muudatusega ei säilitata määruse nr 53 § 10 lõike 2 sisu (lause Säilitamise tähtaja
saabumisel registriandmed kustutatakse), kuna vastav nõue on oma sisult olemas juba asjaolus,
et küberturvalisuse seadus määratleb andmete säilitamise tähtajad, mille saabudes tuleb need
kustutada. Sama nõue on isikuandmete puhul olemas näiteks isikuandmete kaitse üldmääruse
artikli 5 lõike 1 punktis b sätestatud säilitamise piirangu põhimõttes.
Paragrahviga 2 nähakse ette määruse jõustumise aeg, milleks on 1. veebruar 2026 (vt
seletuskirja punkti 6).
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu järgib õigusnormide loomisel NIS2-direktiivi. Eelnõu vastab NIS2-direktiivile ning
kuna direktiiv võeti ennekõike üle 739 SEga, on seaduseelnõu materjalide juures ka NIS2-
direktiivi vastavustabel. Määruse eelnõu on abiks seaduseelnõu rakendamisel.
4. Määruse mõjud
Eelnõuga tehtavad muudatused ei ole olulise mõjuga, kuna sisulisi muudatusi ei tehta. Riigi
Infosüsteemi Ameti töökoormusega seotud mõjud on leitavad seletuskirja punktist 5.
5. Määruse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Eelnõuga tulusid ei prognoosita.
Küberintsidentide registris ei ole kavandatud muudatuste jaoks lisaarendusi vaja teha, kuna
registri funktsionaalsus juba toetab neid muudatusi.
Kuna registri andmekoosseis muutub, peab Riigi Infosüsteemi Amet enne seda kooskõlastama
dokumentatsiooni avaliku teabe seaduse § 433 lõike 3 järgi ja sama paragrahvi lõike 5 alusel
kehtestatud määruse järgi riigi infosüsteemi haldussüsteemis4. Tegemist on ühekordse
ülesandega ning see ei kasvata ameti töökoormust.
6. Määruse jõustumine
Määrus jõustub 1. veebruaril 2026. Jõustumisaja puhul on lähtutud asjaolust, et see võimaldab
Riigi Infosüsteemi Ametil kooskõlastada eelnõu riigi infosüsteemi haldussüsteemis
paralleelselt siinse seletuskirjaga kaasneva kooskõlastusega.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
7.1. Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka siin kommenteeritava eelnõuga sätestatavate nõuete
kohta. Sellekohane tagasiside ja vastused on leitavad 739 SE dokumentide juurest. Samuti on
seletuskirjas asjakohasel juhul selgitatud märkusi, mis saabusid 739 SE kohta enne selle
esitamist Riigikogule.
7.2. Eelnõu esitatakse eelnõude infosüsteemi kaudu arvamuse avaldamiseks Riigi Infosüsteemi
Ametile, Andmekaitse Inspektsioonile, Statistikaametile, Maa- ja Ruumiametile ning
Rahvusarhiivile.
4 https://www.riha.ee/Infos%C3%BCsteemid/Vaata/Register
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Riigi Infosüsteemi Amet Andmekaitse Inspektsioon Statistikaamet Maa- ja Ruumiamet Rahvusarhiiv Majandus- ja infotehnoloogiaministri 17. augusti 2023. a määruse nr 53 „Küberintsidentide registri põhimäärus“ muutmine Saadame kooskõlastamiseks majandus- ja infotehnoloogiaministri 17. augusti 2023. a määruse nr 53 „Küberintsidentide registri põhimäärus“ muutmise määruse eelnõu. Ootame teie kooskõlastusi ja arvamusi hiljemalt 10 tööpäeva jooksul alates kirja kuupäevast. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad:
1. Ministri määruse eelnõu 2. Ministri määruse seletuskiri
Raavo Palu [email protected]
Meie 26.01.2026 nr 8-1/616-1