| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-18/26443 |
| Registreeritud | 06.03.2026 |
| Sünkroonitud | 09.03.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-18 Kirjavahetus ministeeriumitega (v.a MKM) |
| Toimik | 1.1-18/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Juhtimiskeskuse osakond |
| Originaal | Ava uues aknas |
1
26.02.2026
Majandus- ja infotehnoloogiaministri 17. augusti 2023. a määruse nr 53
„Küberintsidentide registri põhimäärus“ muutmise määruse eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine,
eelnõu 739 SE (edaspidi 739 SE)).1
Määrusega täiendatakse küberintsidentide registri põhimäärust, kuna Riigi Infosüsteemi
Ametile esitatakse 739 SE muudatuste tulemusena lisaks teabele küberintsidentide kohta ka
teave küberohtude ja turvahaavatavuste kohta, mis kantakse samasse registrisse. Seetõttu
tehakse muudatusi registri pidamise eesmärgis, registriandmete koosseisus ja andmekaitse
järelevalveasutusele edastatavates andmetes. Lisaks eeltoodule tehakse samas määruses ka
muid, tehnilisemaid muudatusi, kuna registriga seotud õigusnormid on viidud
küberturvalisuse seadusesse.
Siin kommenteeritav eelnõu halduskoormuse kasvu ette ei näe, tehtavad muudatused on
seotud ennekõike ühe ametiasutuse (Riigi Infosüsteemi Ameti) töökoormusega.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu on
keeleliselt toimetanud Justiits- ja Digiministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Inge Mehide ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga 739 SE. Selle eelnõuga võeti üle Euroopa
Parlamendi ja nõukogu 14. detsembri 2022. a direktiiv (EL) 2022/2555, mis käsitleb meetmeid,
millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust
(EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL)
2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152) (edaspidi ka
NIS2-direktiiv).
Eelnõukohase määrusega muudetakse majandus- ja infotehnoloogiaministri 17. augusti 2023. a
määrust nr 53 „Küberintsidentide registri põhimäärus“ (edaspidi määrus nr 53) (RT I,
24.08.2023, 3).
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogus olnud eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/.
2
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „võtame Euroopa
Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute normide
muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja muuta need
vabatahtlikuks“.2 Eelnõu väljatöötamise alus on Vabariigi Valitsuse tegevusprogrammi 2023–
20273 ELi direktiivide valdkonna all olev ülesanne „Eelnõu direktiivi (EL) 2022/2555
ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kahest paragrahvist.
Paragrahviga 1 muudetakse määrust nr 53. Paragrahv koosneb kümnest punktist.
Paragrahvis 2 tehtavad muudatused on ennekõike seotud asjaoluga, et 739 SE muudatuste
tulemusena kantakse registrisse ka teave küberohtude ja turvahaavatavuste kohta. Seetõttu
tehakse muudatusi registri pidamise eesmärgis (eelnõu § 1 punkt 1), registriandmete koosseisus
(eelnõu § 1 punktid 2–6) ja andmekaitse järelevalveasutusele edastatavates andmetes (eelnõu
§ 1 punkt 4). Eelnõu § 2 punktides 5 ja 6 on lisatud asjakohastesse sätetesse sõna „käsitleja“
või „käsitleva“, kuna küberintsidente lahendatakse, kuid küberohte ja turvahaavatavusi
käsitletakse.
Paragrahvi 1 punktiga 7 täiendatakse määruse nr 53 § 5 lõiget 2 uue punktiga 4.
Lisandunud punkt on seotud küberturvalisuse seaduse § 8 lõike 8 alusel kehtestatava määruse
kavandile4 tulnud tagasisidega5 Riigi Infosüsteemi Ametilt. Amet tegi tagasisides ettepaneku
lisada küberintsidendi kohta teavituse tegemisel ka selle kontaktisiku andmed, kellega toimub
edasine suhtlus seoses küberintsidendiga: „Ettepaneku eesmärk on tagada suhtluse operatiivsus.
Teavitusi ei tehta alati isiku poolt, kes peaks olema edasine kontaktisik. Vastava teabe esitamise
kohustus tagaks kiirema kontakti intsidendiga tegeleva isikuga.“ Ettepanek võeti arvesse, kuid
see tähendab, et on vaja ka määrust nr 53 muuta.
Mainitud kontaktisiku andmed võidakse esitada näiteks juriidiliste isikute puhul, kuid mainitud
kontaktisik võib olla muu isik kui juriidilise isiku seaduslik esindaja (juhatuse liige) või
küberintsidendi lahendamisse kaasatud juriidiline isik või tolle esindaja (vt määruse nr 53 § 5
lõike 1 punkti 6 ja lõike 2 punkti 2). Siinses punktis kommenteeritav kontaktisik võib olla
näiteks infoturbejuht või IT-juht. Kui küberintsidendi kohta esitatavas teates on selle
kontaktisiku andmed esitatud vastavas teates, kantakse need ka küberintsidentide registrisse.
Registrisse kantavad andmed on samad, mis on teiste osapoolte puhul (võrdle määruse nr 53 §
5 lõike 2 punkte 1–3).
Paragrahvi 1 punktiga 8 muudetakse määruse nr 53 § 6 ehk andmeandja kohta käivat
sõnastust. 739 SE kohaselt kantakse registrisse küberintsidendist, küberohust või
turvahaavatavusest teataja andmed ning selle teataja kohta on kasutatud terminit „andmeandja“.
Samuti tuleb määruses nr 53 määrata kindlaks, kes on andmeandja. Selle kohta saab lugeda 739
SE selgitustest küberturvalisuse seaduse § 13 lõike 11 ja lõike 4 punkti 2 kohta.
Teenuseosutajana mõistetakse küberturvalisuse seaduse § 3 lõigetes 2–5 nimetatud üksusi.
Muude isikute all mõeldakse neid isikuid (sh üksusi), kes ei pea edastama Riigi Infosüsteemi
Ametile küberintsidentide, küberohtude või turvahaavatavuse teavet. Nendega seonduvalt vt
739 SE selgitusi küberturvalisuse seaduse § 81 kohta.
2 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025–2027 3 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf 4 https://eelnoud.valitsus.ee/main/mount/docList/8b98bd74-37ac-4e64-af4f-9e3e3744b715 5 https://adr.rik.ee/jm/dokument/18375899
3
Paragrahvi 1 punktiga 9 tunnistatakse määruse nr 53 § 7 lõige 4 kehtetuks, kuna
registritoimingute andmete säilitamise tähtaeg reguleeriti 739 SE kohaselt küberturvalisuse
seaduse § 13 lõike 5 punktis 3. Selles punktis on sätestatud, et nende andmete säilitamise
tähtaeg on kolm aastat, mis vastab kehtetuks tunnistatavas punktis olevale tähtajale.
Paragrahvi 1 punktiga 10 muudetakse määruse nr 53 § 10 (registriandmete säilitamise
tähtaeg) sõnastust. Muudatuse põhjuseks on asjaolu, et registriandmete säilitamise tähtajad
reguleeriti 739 SE tulemusena küberturvalisuse seaduse § 13 lõikes 5. Seetõttu hõlmab määruse
nr 53 uuendatud § 10 ainult neid aspekte, mida on määruse tasandil võimalik täpsustada 739
SE järgse küberturvalisuse seaduse § 13 lõike 4 punkti 5 alusel (lauseosa Käesoleva paragrahvi
lõikes 3 nimetatud määruses sätestatakse .. 5) registritoimingute ja registrisse kantud andmete
säilitamise täpsemad tingimused; ..). Kommenteeritava punktiga muudetava paragrahvi sisu
säilitab määruse nr 53 § 10 lõike 3 sisu (lause Teabe, mis on registrisse kantud, kuid ei ole
vajalik intsidendi analüüsimiseks, võib kustutada enne lõikes 1 sätestatud tähtaja saabumist).
Registrisse kantavateks andmeteks on näiteks teave küberintsidendi küberohu või
turvahaavatavuse kohta. Küberintsidendi puhul on vastava teavituse sisu ette nähtud
küberturvalisuse seaduse § 8 lõike 8 alusel kehtestatavas määruses.6
Siinse muudatusega ei säilitata määruse nr 53 § 10 lõike 2 sisu (lause Säilitamise tähtaja
saabumisel registriandmed kustutatakse), kuna vastav nõue on oma sisult olemas juba asjaolus,
et küberturvalisuse seadus määratleb andmete säilitamise tähtajad, mille saabudes tuleb need
kustutada. Sama nõue on isikuandmete puhul olemas näiteks isikuandmete kaitse üldmääruse
artikli 5 lõike 1 punktis b sätestatud säilitamise piirangu põhimõttes.
Paragrahviga 2 nähakse ette määruse jõustumise aeg, milleks on 1. aprill 2026 (vt seletuskirja
punkti 6).
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu järgib õigusnormide loomisel NIS2-direktiivi. Eelnõu vastab NIS2-direktiivile ning
kuna direktiiv võeti ennekõike üle 739 SEga, on seaduseelnõu materjalide juures ka NIS2-
direktiivi vastavustabel. Määruse eelnõu on abiks seaduseelnõu rakendamisel.
4. Määruse mõjud
Eelnõuga tehtavad muudatused ei ole olulise mõjuga, kuna sisulisi muudatusi ei tehta. Riigi
Infosüsteemi Ameti töökoormusega seotud mõjud on leitavad seletuskirja punktist 5.
5. Määruse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Eelnõuga tulusid ei prognoosita.
Küberintsidentide registris ei ole kavandatud muudatuste jaoks lisaarendusi vaja teha, kuna
registri funktsionaalsus juba toetab eelnõuga tehtavaid muudatusi.
Kuna registri andmekoosseis muutub, peab Riigi Infosüsteemi Amet kooskõlastama
dokumentatsiooni avaliku teabe seaduse § 433 lõike 3 järgi ja sama paragrahvi lõike 5 alusel
kehtestatud määruse järgi riigi infosüsteemi haldussüsteemis7. Tegemist on ühekordse
ülesandega ning see ei kasvata ameti töökoormust.
6 https://eelnoud.valitsus.ee/main/mount/docList/8b98bd74-37ac-4e64-af4f-9e3e3744b715 7 https://www.riha.ee/Infos%C3%BCsteemid/Vaata/Register
4
6. Määruse jõustumine
Määrus jõustub 1. aprillil 2026. Jõustumisaja puhul on lähtutud asjaolust, et see võimaldas läbi
viia määruse avaliku kooskõlastuse vajalike osapooltega ning teha vajalikud toimingud eelnõu
kehtestamiseks. Lisaks andis see piisava aja, et Riigi Infosüsteemi Ameti saanuks
kooskõlastada eelnõu riigi infosüsteemi haldussüsteemis paralleelselt siinse seletuskirjaga
kaasnenud kooskõlastusega.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
7.1. Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka siin kommenteeritava eelnõuga sätestatavate nõuete
kohta. Sellekohane tagasiside ja vastused on leitavad 739 SE dokumentide juurest. Samuti on
seletuskirjas asjakohasel juhul selgitatud märkusi, mis saabusid 739 SE kohta enne selle
esitamist Riigikogule.
7.2. Eelnõu esitati8 eelnõude infosüsteemi kaudu arvamuse avaldamiseks Riigi Infosüsteemi
Ametile, Andmekaitse Inspektsioonile, Statistikaametile, Maa- ja Ruumiametile ning
Rahvusarhiivile.
7.3. Andmekaitse Inspektsioonil ei olnud eelnõu kohta tähelepanekud (04.02.2026 kiri nr 2.3-
5/26/319-2). Maa- ja Ruumiametil ei olnud eelnõu kohta ettepanekuid ega märkusi (05.02.2026
kiri nr 1-10/26/1171-2).
8 https://eelnoud.valitsus.ee/main/mount/docList/8c75ba27-1a66-458b-8cd2-e0101920160f
MINISTRI MÄÄRUS
Majandus- ja infotehnoloogiaministri 17.
augusti 2023. a määruse nr 53
„Küberintsidentide registri põhimäärus“
muutmine
Määrus kehtestatakse küberturvalisuse seaduse § 13 lõike 3 alusel. § 1. Majandus- ja infotehnoloogiaministri 17. augusti 2023. a määruses nr 53 „Küberintsidentide registri põhimäärus“ tehakse järgmised muudatused: 1) paragrahv 2 sõnastatakse järgmiselt: „§ 2. Registri pidamise eesmärk Registri eesmärk on pidada arvestust küberintsidentide, küberohtude ja turvahaavatavuste üle ning analüüsida registrisse esitatud teavet küberintsidentide, küberohtude ja turvahaavatavuse ennetamiseks või lahendamiseks, ohuteadete edastamiseks ning järelevalvetoimingute tegemiseks.“; 2) paragrahvi 5 lõike 1 punkti 1 ning lõike 2 punkte 1 ja 3 täiendatakse pärast sõna „küberintsidendist“ tekstiosaga „, küberohust või turvahaavatavusest“; 3) paragrahvi 5 lõike 1 punkte 2 ja 8 täiendatakse pärast sõna „küberintsidendi“ tekstiosaga „, küberohu või turvahaavatavuse“; 4) paragrahvi 5 lõike 1 punkti 4 ja § 9 lõike 3 punkti 2 täiendatakse pärast sõna „küberintsident“ tekstiosaga „, küberoht või turvahaavatavus“; 5) paragrahvi 5 lõike 1 punktis 6 asendatakse tekstiosa „ja lahendaja“ tekstiosaga „, lahendaja ja käsitleja“; 6) paragrahvi 5 lõike 2 punkti 2 täiendatakse pärast sõna „lahendava“ tekstiosaga „ning küberohtu või turvahaavatavust käsitleva“; 7) paragrahvi 5 lõiget 2 täiendatakse punktiga 4 järgmises sõnastuses: „4) selle füüsilise isiku, kellega toimub küberintsidendi lahendamisega seotud edasine suhtlus, ees- ja perenimi, telefoninumber ja e-posti aadress.“; 8) paragrahv 6 sõnastatakse järgmiselt: „§ 6. Andmeandja Andmeandjaks on: 1) teenuseosutaja; 2) muu isik kui teenuseosutaja.“;
06.03.2026 nr 8
2
9) paragrahvi 7 lõige 4 tunnistatakse kehtetuks; 10) paragrahv 10 sõnastatakse järgmiselt: „§ 10. Registriandmete ja registritoimingute andmete säilitamise tingimused Andmed, mis on registrisse kantud, kuid ei ole vajalikud küberintsidendi, küberohu või turvahaavatavuse analüüsimiseks, võib kustutada enne seaduses sätestatud tähtaja saabumist.“. § 2. Määrus jõustub 1. aprillil 2026. a. (allkirjastatud digitaalselt) Liisa-Ly Pakosta
justiits- ja digiminister (allkirjastatud digitaalselt) Tiina Uudeberg kantsler
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|