Kiri

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Priit Põld vandeadvokaat COBALT Advokaadibüroo [email protected] Vastus selgitustaotlusele Saime Teie selgitustaotluse seoses 1. jaanuaril 2026. a kehtima hakanud küberturvalisuse seadusega, konkreetsemalt selle seaduse § 3 lõike 4 punkti 8 tõlgendamisega. Küberturvalisuse seaduse (edaspidi KüTS) § 3 lõike 4 punkti 8 tuleb tõlgendada nii nagu on kirjas seletuskirjas ehk „keskmise suurusega ettevõtja“ mõistet tuleb mõista kooskõlas Euroopa Komisjoni soovituse 2003/361/EÜ käsitlusest. See tähendab, et töötajate arvud ja finantsnäitajad ei ole kumulatiivsed nõuded. Näiteks piisab ka sellest, kui töötajate arvu nõue on täidetud (ettevõtjal on 60 töötajat), kuid finantsnäitajad ei ole täidetud (nii aastane bilansimaht kui aastakäive mõlemad on alla 10 miljoni euro), et tegemist oleks keskmise suurusega ettevõtjaga. Seda eeldusel, et need näitajad on kolme järjestikuse aasta puhul samad. Seda kõike selgitab Euroopa Komisjoni võrgulehel avaldatud suunis „VKEde määratlust käsitlev teatmik“, mis on kättesaadav siit: https://op.europa.eu/et/publication-detail/-/publication/756d9260-ee54-11ea-991b-01aa75ed71a1. Vastab tõele, et 9. detsembril 2024. a avaldatud KüTSi muutva eelnõu seletuskirjas oli vääralt esitatud need näiteid, millal mingi ettevõtja on keskmise suurusega ettevõtjaks või suurettevõtjaks. Ennekõike selles osas, et töötajate arvu ja finantsnäitajate osa peavad olema kumulatiivselt täidetud. Seetõttu pärast avalikku kooskõlastust parandati seletuskirja ning Riigikogule esitatud eelnõu seletuskirjas on sisuliselt ammendavalt esitatud näited, millal on mõni ettevõtja väikeettevõtja ning millal keskmise suurusega ettevõtja (vt 739 SE1 seletuskirja lk 35). Selles seletuskirjas ei ole märgitud, et tööjõu- ja finantsnäitajate puhul on tegemist kumulatiivsete nõuetega. Selgitame, et KüTS § 3 lõike 4 punktis 8 ei ole sõna „ja“ (vt tekstiosa „..majandusaasta jooksul 50 või rohkem töötajat ja kelle aastabilansimaht või aastakäive ületab 10 miljonit eurot..“) mõeldud kumulatiivse nõudena, vaid tegemist on alternatiivsete olukordadega – nii nagu on mõeldud komisjoni soovituses 2003/361/EÜ. Lisaks märgime, et eeltoodud selgitus ei kohaldu ainult seletuskirjas toodud punkti (KüTS § 3 lõike 4 punkt 8), vaid ka teiste sätete osas, milles on viidatud samale komisjoni soovitusele (vt KüTS § 2 punkti 8, lõike 3 sissejuhatavat lauset ning lõike 5 sissejuhatavat lauset). Seda, kas eelkirjeldatud sätteid on vaja täpsustada ning millises ulatuses tuleks seda teha, arutatakse edasiste arutelude käigus, mida peetakse Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu esindajate ja liikmetega.2

1 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-

seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/ 2 Samas, vt 01.12.2025 RIKK vastuskiri Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu pöördumistele

küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu

739 SE kohta.

Teie 19.01.2026

Meie 30.01.2026 nr 21-2/26/418-2

2

Lugupidamisega (allkirjastatud digitaalselt) Taavi Viilukas juhataja Lisaadressaat: Riigi Infosüsteemi Amet Raavo Palu [email protected]