| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/444-6 |
| Registreeritud | 03.02.2026 |
| Sünkroonitud | 04.02.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Saabumis/saatmisviis | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Vastutaja | Raavo Palu (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits-ja Digiministeerium Teie 20.01.2026 nr 8-1/444-1 Suur-Ameerika 1 10122 TALLINN Meie 3.02.2026 nr 6.1-2/6-1
Arvamus määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu kohta
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL) tänab Justiits- ja Digiministeeriumit kaasamise eest määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu (edaspidi: eelnõu) menetlusse.
Eelnõuga võetakse üle NIS2-direktiivi artikkel 23 lõige 4 osas, mida ei reguleerita küberturvalisuse seadusega ega muude õigusaktidega. Konkreetsemalt sätestatakse eelnõuga, milline on küberintsidendist teavitamisel esitatavate teadete sisu. Eelnõus toodud andmekoosseisude osas meil kommentaare ja ettepanekuid ei ole.
Eelnõu seletuskirjas viidatakse küberturvalisuse seaduse § 8 lõikele 81, mis tekitab eelnõu puhul seose NIS2-direktiivi artikli 23 lõike 11 alusel antud Euroopa Komisjoni rakendusaktiga. Samas on see kirjas ainult seletuskirjas ja hüpoteetilise tuleviku võimalusena (seletuskiri lk 2: „Kui sedasorti rakendusakt vastu võetakse, lähtuvad…“). Reaalsuses on vähemalt üks rakendusakt sellel alusel juba Euroopa Komisjoni poolt vastu võetud: Komisjoni rakendusmäärus (EL) 2024/2690, 17. oktoober 2024, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks.
2
Seetõttu teeme ettepaneku eelnõus viidata konkreetselt rakendusmäärusele (EL) 2024/2690 ning lahtiselt ka tulevastele rakendusaktidele. Vastasel juhul jääb eelnõu subjektidele segaseks, kas seda rakendusmäärust ei pea järgima või veel ei pea järgima, kuna küberturvalisuse seaduse muudatuste üleminekuaeg on 3 aastat. Nimetatud rakendusmääruses on sätestatud olulised täpsustavad tingimused. Eelnõu rakendajatele oleks õigusselguse huvides vajalik sellele määrusele viidata ning seletuskirjas rohkem selgitada erinevate õigusaktide omavahelist seost ja vahekorda.
Kindlasti vajab muutmist eelnõu jõustumisaeg, kuna see on juba minevikus.
Lisaks juhime tähelepanu, et eelnõu seletuskiri viitab küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõule 739 SE, mis oli eelnõu kooskõlastamisele saatmise ajaks juba Riigikogu poolt vastu võetud ja Riigi Teatajas avaldatud ning jõustunud. Seega oleks õigem öelda, et eelnõu on seotud 01.01.26 jõustunud küberturvalisuse ja teiste seaduste muutmise seadusega ning rääkida juba tehtud, mitte tulevastest muudatustest.
Loodame, et leiate võimaluse ITL-i ettepanekut arvestada. Ootame suure huviga küberturvalisuse seaduse teisi uusi ja muudetud rakendusakte. Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht Keilin Tammepärg, [email protected]
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Edastame Teile Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu 3.02.2026 kirja nr 6.1-2/6-1 „Arvamus määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu kohta“.
Lugupidamisega
Heleri Vahemäe
Büroojuht
Eesti Infotehnoloogia ja
Telekommunikatsiooni Liit
Lõõtsa 2B
11415 Tallinn
Mob 5115521
Tel 6177 145
Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits-ja Digiministeerium Teie 20.01.2026 nr 8-1/444-1 Suur-Ameerika 1 10122 TALLINN Meie 3.02.2026 nr 6.1-2/6-1
Arvamus määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu kohta
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL) tänab Justiits- ja Digiministeeriumit kaasamise eest määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu (edaspidi: eelnõu) menetlusse.
Eelnõuga võetakse üle NIS2-direktiivi artikkel 23 lõige 4 osas, mida ei reguleerita küberturvalisuse seadusega ega muude õigusaktidega. Konkreetsemalt sätestatakse eelnõuga, milline on küberintsidendist teavitamisel esitatavate teadete sisu. Eelnõus toodud andmekoosseisude osas meil kommentaare ja ettepanekuid ei ole.
Eelnõu seletuskirjas viidatakse küberturvalisuse seaduse § 8 lõikele 81, mis tekitab eelnõu puhul seose NIS2-direktiivi artikli 23 lõike 11 alusel antud Euroopa Komisjoni rakendusaktiga. Samas on see kirjas ainult seletuskirjas ja hüpoteetilise tuleviku võimalusena (seletuskiri lk 2: „Kui sedasorti rakendusakt vastu võetakse, lähtuvad…“). Reaalsuses on vähemalt üks rakendusakt sellel alusel juba Euroopa Komisjoni poolt vastu võetud: Komisjoni rakendusmäärus (EL) 2024/2690, 17. oktoober 2024, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks.
2
Seetõttu teeme ettepaneku eelnõus viidata konkreetselt rakendusmäärusele (EL) 2024/2690 ning lahtiselt ka tulevastele rakendusaktidele. Vastasel juhul jääb eelnõu subjektidele segaseks, kas seda rakendusmäärust ei pea järgima või veel ei pea järgima, kuna küberturvalisuse seaduse muudatuste üleminekuaeg on 3 aastat. Nimetatud rakendusmääruses on sätestatud olulised täpsustavad tingimused. Eelnõu rakendajatele oleks õigusselguse huvides vajalik sellele määrusele viidata ning seletuskirjas rohkem selgitada erinevate õigusaktide omavahelist seost ja vahekorda.
Kindlasti vajab muutmist eelnõu jõustumisaeg, kuna see on juba minevikus.
Lisaks juhime tähelepanu, et eelnõu seletuskiri viitab küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõule 739 SE, mis oli eelnõu kooskõlastamisele saatmise ajaks juba Riigikogu poolt vastu võetud ja Riigi Teatajas avaldatud ning jõustunud. Seega oleks õigem öelda, et eelnõu on seotud 01.01.26 jõustunud küberturvalisuse ja teiste seaduste muutmise seadusega ning rääkida juba tehtud, mitte tulevastest muudatustest.
Loodame, et leiate võimaluse ITL-i ettepanekut arvestada. Ootame suure huviga küberturvalisuse seaduse teisi uusi ja muudetud rakendusakte. Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht Keilin Tammepärg, [email protected]