Selgitustaotlus

Riigi Infosüsteemi Amet Tallinn

Pärnu maantee 139a 17. veebruar 2026. a.

Tallinn 15169 E-POSTI TEEL

Eesti [email protected]

KOOPIA

[email protected]

SELGITUSTAOTLUS

seoses 1. jaanuaril 2026. aastal jõustunud küberturvalisuse seaduse kohaldamisega

Euroopa Liidus registreeritud äriühingute Eesti filiaalidele

Lugupeetud Riigi Infosüsteemi Amet

Pöördume Teie poole taotlusega selgitada 1. jaanuaril 2026. a jõustunud kürvalisuse seaduse

(KüTS) kohaldumist Euroopa Liidus registreeritud äriühingute Eesti filiaalidele. Nimelt

palume seletada mis ulatuses kohalduvad KüTS’i nõuded, eeskätt teavitamiskohustus,

filiaalidele, ning kuidas toimub KüTS-järgne küberintsidendist teavitamine piiriülese tegevuse

kontekstis. Allpool kirjeldame KüTS’i muudatuste rakendamise raames tekkinud kitsaskohti,

meie arusaama õigusnormide rakendamisest ning esitame küsimusi, millele palume Riigi

Infosüsteemi Ametil (RIA) vastata.

PROBLEEM

KüTS’i uus redaktsioon võtab üle direktiivist (EL) 2022/2555 (NIS2) tulenevad kohustused,

mis lasuvad teatud infotehnoloogia, digitaalsete ja muude sarnaste teenuste osutajatel.

Võrreldes endiste nõuetega on uus küberturvalisuse regulatsioon põhjalikum ning

liikmesriikide tasandil suuremal määral ühtlustatud.

NIS2 valguses koostab RIA KüTS’i alusel nimekirja teenuseosutajatest, domeeninimede

registreerimise ning digitaalse teenuse osutajatest (kõik nagu defineeritud KüTS’is) vastavalt

KüTS §-dele 31 ja 4. Seaduses sätestatud teave tuleb RIA’le esitada kolme kuu jooksul

nimetatud isikute tunnustele vastavuse tekkimisest arvates. See tähendab, et hetkel tegutsevate

kohustatud isikute puhul saabub see tähtaeg 2026. a märtsi lõpus. Lisaks kaasnevad KüTS’i

nõuete rakendamisega muuseas juhatuse liikme erikohustused, kõrgendatud turvameetmete

kohustused ning küberintsidendist teavitamise kohustus.

Kuivõrd KüTS’i puhul on tegemist seaduse alles jõustunud sõnastusega, mille puhul juurdunud

praktikat hetkel veel ei ole, tekitab see segadust KüTS’i nõuete kohaldamisel ja rakendamisel

– antud juhul teiste liikmesriikide äriühingute Eesti filiaalide kontekstis. Ehkki KüTS ei sätesta

selgesõnaliselt, kas seadus kohaldub filiaalidele – mis ei ole Eesti õiguse kohaselt juriidilised

isikud, – leiame, et seadusandja tahe ei olnud jätta välja filiaalid KüTS’i kohaldamisalast. Küll

aga jääb arusaamatuks, mis ulatuses peab täitma KüTS’i nõudeid teise liikmesriigi

äriühingu Eesti filiaal olukorras, kus: 1) teise liikmesriigi äriühing on liikmesriigi vastava

NIS2-õigusakti kohustuslane; ning 2) filiaali poolt võib Eestis küll toimuda KüTS’iga

hõlmatud grupisiseste teenuste osutamine, kuid turvameetmeid käsitlevad otsused

tehakse valdavalt väljaspool Eestit.

Ühtlasi tekitab filiaalide kontekstis küsimusi KüTS §-s 8 sätestatud küberintsidendist

teavitamise kohustus. Sätte kohaselt peab teenuseosutaja teavitama RIA’t 24 tunni jooksul

Konfidentsiaalne Sorainen – 2/3 –

küberintsidendist, millel on (eelduslikult) süsteemi turvalisusele või teenuse toimepidevusele

oluline mõju. Nimelt jääb selgusetuks piiriülese tegevuse raames kas teise liikmesriigi

äriühingu Eesti filiaal peab teavitama RIA’t küberintsidendist, kui küberintsidendist

juba teavitatakse teise liikmesriigi äriühingu asukohajärgset NIS2-pädevat asutust.

OLUKORRA TÕLGENDAMINE NING PÕHJENDUSED

Olukorra ilmestamiseks toome näite. Saksamaal asutatud äriühing registreerib filiaali Eestis.

Filiaal täidab äriühingu grupi tugifunktsioone (sealhulgas IT-alaseid funktsioone), muud

äritegevust ega müüki filiaali kaudu ei toimu. Lisaks sellele ei täideta ühtegi kõnealust

tugifunktsiooni üksnes Eestis – tegevus on jaotatud eri riikide vahel. Turvameetmeid käsitlevad

otsused tehakse enamjaolt Saksamaalt ning Saksamaa äriühing on NIS2-õigusakti kohustuslane

Saksamaal koos vastava registreeringuga Saksamaa NIS2-päedeva asutuse juures (samaväärselt

KüTS §-dega 31 ja 4). Eesti filiaal ei ole ennast RIA juures registreerinud.

Kuigi me mööname, et KüTS kohaldub asjakohastes valdkondades tegutsevatele filiaalidele,

tasub pidada meeles, et filiaal ei ole Eesti õiguse kohaselt iseseisev juriidiline isik, vaid

välismaa äriühingu n-ö registreeringu vorm ning ka kõnealusel juhul on Eesti filiaali tegevus

(sealhulgas küberturvalisuse valdkonnas) omistatav filiaali kaudu tegutsevale Saksamaa

äriühingule.

Leiame, et antud juhul ei pea Eesti filiaal täitma teavitamiskohustust vastavalt KüTS §-dele 31

ja 4 eeldusel, et: 1) Saksmaa äriühing on täitnud samaväärse teavitamiskohustuse Saksamaal

ning täidab muid kohalikust NIS2-õigusaktist tulenevaid nõudeid; ja 2) turvameetmeid

käsitlevad otsused võetakse vastu valdavalt Saksamaal (või teises asjakohases liikmesriigis)

ning Eestis viiakse need üksnes täide. Mainimist väärib ka asjaolu, et KüTS § 31 lg 1 p 4 aga

ka NIS2 Artikli 3 punkti 3 alapunkti d) kohaselt tuleb teavitamiskohustuse raames teavitada

pädevale ametiasutusele ka loetelu liikmesriikidest, kus osutatakse NIS2 reguleerimisalasse

kuuluvad teenused. See tähendab, et täites teavitamiskohustuse Saksamaal ei jäeta tähelepanuta

asjaolu, et NIS2-teenuseid osutatakse grupisiseselt muuseas Eesti filiaali kaudu.

Vastupidine tõlgendus tekitaks topeltregistreeringu vajaduse mitmes liikmesriigis ega oleks

meie hinnangul kooskõlas NIS2 ning seeläbi KüTS’i põhieesmärgiga, milleks on

küberturvalisuse nõuete ühtlustamine ja tõhus kaitsmine liikmesriikides ning mitte ettevõtjale

halduskoormuse tekitamine. See on samuti tagatud KütTS §-ga 173, mis näeb ette liikmesriikide

NIS2-pädevate asutuste koostööd ja vastastikust abistamist. Ühtlasi sätestab KüTS § 1 lg 4

järgmist: „Kui teenuseosutaja võrgu- ja infosüsteemi pidamise ning küberintsidendist

teavitamise nõuded on samaväärselt käesolevas seaduses sätestatuga reguleeritud

välislepinguga, Euroopa Liidu õigusaktiga või muu seadusega, kohaldatakse käesolevat seadust

välislepingust, Euroopa Liidu õigusaktist või muust seadusest tulenevate erisustega.“ See

tähendab meie arusaamist mööda, et kui NIS2 nõuded on täidetud vastavalt Saksamaa

kohalikule NIS2-õigusaktile (sealhulgas ametiasutuse teavitamiskohustus) Saksamaa äriühingu

tasandil, ei pea äriühing täitma seda kohustust teistkordselt filiaali kaudu Eestis.

Jätkates eespool toodud näitega soovime teada, kuidas toimub KüTS § 8 alusel

küberintsidendist teavitamine Saksamaa äriühingu puhul, kes tegutseb Eestis filiaali kaudu.

Meie hinnangul kohaldub siin sama loogika – kui Saksamaa äriühing teavitab küberintsidendist

Saksamaa NIS2-pädevat asutust kooskõlas kohaliku NIS2-õigusaktiga, ei pea äriühing või selle

Eesti filiaal teavitama RIA’t KüTS § 8 korras. Seda sarnastel põhjustel, nimelt et

teavitamiskohustus lasub Saksamaa äriühingul Saksamaa NIS2-õigusaktist tulenevalt ning

vajaduse korral teavitatakse sellest RIA’t NIS2’ga loodud asutustevahelise koostöömehhanismi

raames. Küll aga võib äriühing või Eesti filiaal teavitada RIA’t küberintsidendist

omaalgatuslikult vastavalt KüTS §-ga 81 reguleeritud vabatahtlikule teavitamisele.

Konfidentsiaalne Sorainen – 3/3 –

Praktikas võib tekkida olukordi, kus rünne saab alguse ühes liikmesriigis (nt Saksamaal), kuid

mõjutab Eestis paiknevaid süsteeme või andmeid, või vastupidi. Seetõttu palume selgitada,

millistele konkreetsetele kriteeriumidele RIA tugineb hinnates, kas KüTS § 8 alusel lasub

teavitamiskohustus teise liikmesriigi äriühingul või selle Eesti filiaalil, ning millist kaalu RIA

neile kriteeriumidele annab. Asjakohasteks kriteeriumideks võivad olla muu hulgas ründe

lähtekoht, mõjutatud süsteemide ja/või andmete füüsiline asukoht, intsidendi avastamise koht,

intsidendi mõju ulatus ja olulisus. Õiguslik selgus aitaks nii teise liikmesriigi äriühingul kui ka

selle Eesti filiaalil paremini hinnata, millistel asjaoludel võib teavitamiskohustus piirduda

emaettevõtja vastavalt kohaliku NIS2-õigusakti alusel tehtud teavitusega ning millal võib

tekkida eraldiseisev kohustus teavitada RIA’t vastavalt KüTS’ile

KOKKUVÕTE JA KÜSIMUSED

Kokkuvõtvalt, meie hinnangul ei pea teises liikmesriigis registreeritud NIS2 nõudeid

täitev NIS2-kohustuslane täitma, tegutsedes Eestis filiaali kaudu, KüTS §-dest 31 ja 4

tulenevat teavitamiskohustust ega KüTS §-st 8 küberintsidendist teavitamise kohustust.

Seda põhjusel, et KüTS § 1 lg-st 4 tulenevalt tuleb KüTS-i nõudeid täita ulatuses, mis erineb

teise asjakohase õigusakti – antud juhul teise liikmesriigi NIS2-õigusakti – nõuetest. Kuivõrd

teabe esitamise kohustus ning küberintsidendist teavitamine on NIS2 puhul n-ö

tuumkohustused, sisalduvad need eelduslikult teiste liikmesriikide vastavates õigusaktides.

Lisaks räägib sellise tõlgenduse kasuks asjaolu, et liikmesriikide NIS2-pädevad asutused teevad

omavahel koostööd ning vahetavad omavahel olulist teavet. See tähendab omakorda, et NIS2-

kohustuslasi puudutav asjakohane info ei tohi jääda liikmesriigiti edasi andmata. Lõpuks ei

täidaks vastupidine lähenemine NIS2 eesmärke ning tekitaks NIS2-kohustuslastele

samaväärseid topeltkohustusi.

Palume kinnitada, kas eeltoodud käsitlus on Teie hinnangul aktsepteeritav, või jagada

täiendavaid juhiseid. Lisaks palume Teid parema arusaamise tekitamiseks vastata järgmistele

küsimustele:

1. Mis ulatuses peab täitma KüTS’i nõudeid teise liikmesriigi äriühingu Eesti filiaal olukorras,

kus: 1) teise liikmesriigi äriühing on liikmesriigi vastava NIS2-õigusakti kohustuslane; ning

2) filiaali poolt võib Eestis küll toimuda KüTS’iga hõlmatud grupisiseste teenuste

osutamine, kuid turvameetmeid käsitlevad otsused tehakse valdavalt väljaspool Eestit?

2. Kas teise liikmesriigi äriühingu Eesti filiaal peab teavitama RIA’t küberintsidendist, kui

küberintsidendist juba teavitatakse teise liikmesriigi äriühingu asukohajärgset NIS2-

pädevat asutust?

3. Milliseid aspekte (näiteks ründe lähtekoht, mõjutatud süsteemide või andmete füüsiline

asukoht, intsidendi mõju ulatus ja olulisus jms) RIA hindab ning millist kaalu neile

aspektidele antakse, kui RIA otsustab, kas teavitamiskohustus lasub üksnes teise

liikmesriigi äriühingul vastavalt selle riigi NIS2‑õigusaktile või võib tekkida eraldiseisev

teavitamiskohustus filiaalil vastavalt KüTS’ile?

Täname Teid ette Teie aja ja selgituste eest.

Lugupidamisega

Mihkel Miidla

Advokaadibüroo Sorainen partner,

vandeadvokaat

Vladislav Leiri

Advokaadibüroo Sorainen vandeadvokaat

Riigi Infosüsteemi Amet Tallinn

Pärnu maantee 139a 17. veebruar 2026. a.

Tallinn 15169 E-POSTI TEEL

Eesti [email protected]

KOOPIA

[email protected]

SELGITUSTAOTLUS

seoses 1. jaanuaril 2026. aastal jõustunud küberturvalisuse seaduse kohaldamisega

Euroopa Liidus registreeritud äriühingute Eesti filiaalidele

Lugupeetud Riigi Infosüsteemi Amet

Pöördume Teie poole taotlusega selgitada 1. jaanuaril 2026. a jõustunud kürvalisuse seaduse

(KüTS) kohaldumist Euroopa Liidus registreeritud äriühingute Eesti filiaalidele. Nimelt

palume seletada mis ulatuses kohalduvad KüTS’i nõuded, eeskätt teavitamiskohustus,

filiaalidele, ning kuidas toimub KüTS-järgne küberintsidendist teavitamine piiriülese tegevuse

kontekstis. Allpool kirjeldame KüTS’i muudatuste rakendamise raames tekkinud kitsaskohti,

meie arusaama õigusnormide rakendamisest ning esitame küsimusi, millele palume Riigi

Infosüsteemi Ametil (RIA) vastata.

PROBLEEM

KüTS’i uus redaktsioon võtab üle direktiivist (EL) 2022/2555 (NIS2) tulenevad kohustused,

mis lasuvad teatud infotehnoloogia, digitaalsete ja muude sarnaste teenuste osutajatel.

Võrreldes endiste nõuetega on uus küberturvalisuse regulatsioon põhjalikum ning

liikmesriikide tasandil suuremal määral ühtlustatud.

NIS2 valguses koostab RIA KüTS’i alusel nimekirja teenuseosutajatest, domeeninimede

registreerimise ning digitaalse teenuse osutajatest (kõik nagu defineeritud KüTS’is) vastavalt

KüTS §-dele 31 ja 4. Seaduses sätestatud teave tuleb RIA’le esitada kolme kuu jooksul

nimetatud isikute tunnustele vastavuse tekkimisest arvates. See tähendab, et hetkel tegutsevate

kohustatud isikute puhul saabub see tähtaeg 2026. a märtsi lõpus. Lisaks kaasnevad KüTS’i

nõuete rakendamisega muuseas juhatuse liikme erikohustused, kõrgendatud turvameetmete

kohustused ning küberintsidendist teavitamise kohustus.

Kuivõrd KüTS’i puhul on tegemist seaduse alles jõustunud sõnastusega, mille puhul juurdunud

praktikat hetkel veel ei ole, tekitab see segadust KüTS’i nõuete kohaldamisel ja rakendamisel

– antud juhul teiste liikmesriikide äriühingute Eesti filiaalide kontekstis. Ehkki KüTS ei sätesta

selgesõnaliselt, kas seadus kohaldub filiaalidele – mis ei ole Eesti õiguse kohaselt juriidilised

isikud, – leiame, et seadusandja tahe ei olnud jätta välja filiaalid KüTS’i kohaldamisalast. Küll

aga jääb arusaamatuks, mis ulatuses peab täitma KüTS’i nõudeid teise liikmesriigi

äriühingu Eesti filiaal olukorras, kus: 1) teise liikmesriigi äriühing on liikmesriigi vastava

NIS2-õigusakti kohustuslane; ning 2) filiaali poolt võib Eestis küll toimuda KüTS’iga

hõlmatud grupisiseste teenuste osutamine, kuid turvameetmeid käsitlevad otsused

tehakse valdavalt väljaspool Eestit.

Ühtlasi tekitab filiaalide kontekstis küsimusi KüTS §-s 8 sätestatud küberintsidendist

teavitamise kohustus. Sätte kohaselt peab teenuseosutaja teavitama RIA’t 24 tunni jooksul

Konfidentsiaalne Sorainen – 2/3 –

küberintsidendist, millel on (eelduslikult) süsteemi turvalisusele või teenuse toimepidevusele

oluline mõju. Nimelt jääb selgusetuks piiriülese tegevuse raames kas teise liikmesriigi

äriühingu Eesti filiaal peab teavitama RIA’t küberintsidendist, kui küberintsidendist

juba teavitatakse teise liikmesriigi äriühingu asukohajärgset NIS2-pädevat asutust.

OLUKORRA TÕLGENDAMINE NING PÕHJENDUSED

Olukorra ilmestamiseks toome näite. Saksamaal asutatud äriühing registreerib filiaali Eestis.

Filiaal täidab äriühingu grupi tugifunktsioone (sealhulgas IT-alaseid funktsioone), muud

äritegevust ega müüki filiaali kaudu ei toimu. Lisaks sellele ei täideta ühtegi kõnealust

tugifunktsiooni üksnes Eestis – tegevus on jaotatud eri riikide vahel. Turvameetmeid käsitlevad

otsused tehakse enamjaolt Saksamaalt ning Saksamaa äriühing on NIS2-õigusakti kohustuslane

Saksamaal koos vastava registreeringuga Saksamaa NIS2-päedeva asutuse juures (samaväärselt

KüTS §-dega 31 ja 4). Eesti filiaal ei ole ennast RIA juures registreerinud.

Kuigi me mööname, et KüTS kohaldub asjakohastes valdkondades tegutsevatele filiaalidele,

tasub pidada meeles, et filiaal ei ole Eesti õiguse kohaselt iseseisev juriidiline isik, vaid

välismaa äriühingu n-ö registreeringu vorm ning ka kõnealusel juhul on Eesti filiaali tegevus

(sealhulgas küberturvalisuse valdkonnas) omistatav filiaali kaudu tegutsevale Saksamaa

äriühingule.

Leiame, et antud juhul ei pea Eesti filiaal täitma teavitamiskohustust vastavalt KüTS §-dele 31

ja 4 eeldusel, et: 1) Saksmaa äriühing on täitnud samaväärse teavitamiskohustuse Saksamaal

ning täidab muid kohalikust NIS2-õigusaktist tulenevaid nõudeid; ja 2) turvameetmeid

käsitlevad otsused võetakse vastu valdavalt Saksamaal (või teises asjakohases liikmesriigis)

ning Eestis viiakse need üksnes täide. Mainimist väärib ka asjaolu, et KüTS § 31 lg 1 p 4 aga

ka NIS2 Artikli 3 punkti 3 alapunkti d) kohaselt tuleb teavitamiskohustuse raames teavitada

pädevale ametiasutusele ka loetelu liikmesriikidest, kus osutatakse NIS2 reguleerimisalasse

kuuluvad teenused. See tähendab, et täites teavitamiskohustuse Saksamaal ei jäeta tähelepanuta

asjaolu, et NIS2-teenuseid osutatakse grupisiseselt muuseas Eesti filiaali kaudu.

Vastupidine tõlgendus tekitaks topeltregistreeringu vajaduse mitmes liikmesriigis ega oleks

meie hinnangul kooskõlas NIS2 ning seeläbi KüTS’i põhieesmärgiga, milleks on

küberturvalisuse nõuete ühtlustamine ja tõhus kaitsmine liikmesriikides ning mitte ettevõtjale

halduskoormuse tekitamine. See on samuti tagatud KütTS §-ga 173, mis näeb ette liikmesriikide

NIS2-pädevate asutuste koostööd ja vastastikust abistamist. Ühtlasi sätestab KüTS § 1 lg 4

järgmist: „Kui teenuseosutaja võrgu- ja infosüsteemi pidamise ning küberintsidendist

teavitamise nõuded on samaväärselt käesolevas seaduses sätestatuga reguleeritud

välislepinguga, Euroopa Liidu õigusaktiga või muu seadusega, kohaldatakse käesolevat seadust

välislepingust, Euroopa Liidu õigusaktist või muust seadusest tulenevate erisustega.“ See

tähendab meie arusaamist mööda, et kui NIS2 nõuded on täidetud vastavalt Saksamaa

kohalikule NIS2-õigusaktile (sealhulgas ametiasutuse teavitamiskohustus) Saksamaa äriühingu

tasandil, ei pea äriühing täitma seda kohustust teistkordselt filiaali kaudu Eestis.

Jätkates eespool toodud näitega soovime teada, kuidas toimub KüTS § 8 alusel

küberintsidendist teavitamine Saksamaa äriühingu puhul, kes tegutseb Eestis filiaali kaudu.

Meie hinnangul kohaldub siin sama loogika – kui Saksamaa äriühing teavitab küberintsidendist

Saksamaa NIS2-pädevat asutust kooskõlas kohaliku NIS2-õigusaktiga, ei pea äriühing või selle

Eesti filiaal teavitama RIA’t KüTS § 8 korras. Seda sarnastel põhjustel, nimelt et

teavitamiskohustus lasub Saksamaa äriühingul Saksamaa NIS2-õigusaktist tulenevalt ning

vajaduse korral teavitatakse sellest RIA’t NIS2’ga loodud asutustevahelise koostöömehhanismi

raames. Küll aga võib äriühing või Eesti filiaal teavitada RIA’t küberintsidendist

omaalgatuslikult vastavalt KüTS §-ga 81 reguleeritud vabatahtlikule teavitamisele.

Konfidentsiaalne Sorainen – 3/3 –

Praktikas võib tekkida olukordi, kus rünne saab alguse ühes liikmesriigis (nt Saksamaal), kuid

mõjutab Eestis paiknevaid süsteeme või andmeid, või vastupidi. Seetõttu palume selgitada,

millistele konkreetsetele kriteeriumidele RIA tugineb hinnates, kas KüTS § 8 alusel lasub

teavitamiskohustus teise liikmesriigi äriühingul või selle Eesti filiaalil, ning millist kaalu RIA

neile kriteeriumidele annab. Asjakohasteks kriteeriumideks võivad olla muu hulgas ründe

lähtekoht, mõjutatud süsteemide ja/või andmete füüsiline asukoht, intsidendi avastamise koht,

intsidendi mõju ulatus ja olulisus. Õiguslik selgus aitaks nii teise liikmesriigi äriühingul kui ka

selle Eesti filiaalil paremini hinnata, millistel asjaoludel võib teavitamiskohustus piirduda

emaettevõtja vastavalt kohaliku NIS2-õigusakti alusel tehtud teavitusega ning millal võib

tekkida eraldiseisev kohustus teavitada RIA’t vastavalt KüTS’ile

KOKKUVÕTE JA KÜSIMUSED

Kokkuvõtvalt, meie hinnangul ei pea teises liikmesriigis registreeritud NIS2 nõudeid

täitev NIS2-kohustuslane täitma, tegutsedes Eestis filiaali kaudu, KüTS §-dest 31 ja 4

tulenevat teavitamiskohustust ega KüTS §-st 8 küberintsidendist teavitamise kohustust.

Seda põhjusel, et KüTS § 1 lg-st 4 tulenevalt tuleb KüTS-i nõudeid täita ulatuses, mis erineb

teise asjakohase õigusakti – antud juhul teise liikmesriigi NIS2-õigusakti – nõuetest. Kuivõrd

teabe esitamise kohustus ning küberintsidendist teavitamine on NIS2 puhul n-ö

tuumkohustused, sisalduvad need eelduslikult teiste liikmesriikide vastavates õigusaktides.

Lisaks räägib sellise tõlgenduse kasuks asjaolu, et liikmesriikide NIS2-pädevad asutused teevad

omavahel koostööd ning vahetavad omavahel olulist teavet. See tähendab omakorda, et NIS2-

kohustuslasi puudutav asjakohane info ei tohi jääda liikmesriigiti edasi andmata. Lõpuks ei

täidaks vastupidine lähenemine NIS2 eesmärke ning tekitaks NIS2-kohustuslastele

samaväärseid topeltkohustusi.

Palume kinnitada, kas eeltoodud käsitlus on Teie hinnangul aktsepteeritav, või jagada

täiendavaid juhiseid. Lisaks palume Teid parema arusaamise tekitamiseks vastata järgmistele

küsimustele:

1. Mis ulatuses peab täitma KüTS’i nõudeid teise liikmesriigi äriühingu Eesti filiaal olukorras,

kus: 1) teise liikmesriigi äriühing on liikmesriigi vastava NIS2-õigusakti kohustuslane; ning

2) filiaali poolt võib Eestis küll toimuda KüTS’iga hõlmatud grupisiseste teenuste

osutamine, kuid turvameetmeid käsitlevad otsused tehakse valdavalt väljaspool Eestit?

2. Kas teise liikmesriigi äriühingu Eesti filiaal peab teavitama RIA’t küberintsidendist, kui

küberintsidendist juba teavitatakse teise liikmesriigi äriühingu asukohajärgset NIS2-

pädevat asutust?

3. Milliseid aspekte (näiteks ründe lähtekoht, mõjutatud süsteemide või andmete füüsiline

asukoht, intsidendi mõju ulatus ja olulisus jms) RIA hindab ning millist kaalu neile

aspektidele antakse, kui RIA otsustab, kas teavitamiskohustus lasub üksnes teise

liikmesriigi äriühingul vastavalt selle riigi NIS2‑õigusaktile või võib tekkida eraldiseisev

teavitamiskohustus filiaalil vastavalt KüTS’ile?

Täname Teid ette Teie aja ja selgituste eest.

Lugupidamisega

Mihkel Miidla

Advokaadibüroo Sorainen partner,

vandeadvokaat

Vladislav Leiri

Advokaadibüroo Sorainen vandeadvokaat