| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-18/26442 |
| Registreeritud | 06.03.2026 |
| Sünkroonitud | 09.03.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-18 Kirjavahetus ministeeriumitega (v.a MKM) |
| Toimik | 1.1-18/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Liina Lumiste (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
1
25.02.2026
Justiits- ja digiministri määruse „Küberintsidendist teavitamisel esitatavad
andmed ja teavitamise kord“ eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine,
eelnõu 739 SE (edaspidi 739 SE)).1 Selle seletuskirja aluseks oleva eelnõu eesmärk on võtta üle
ainult NIS2-direktiivi artikli 23 lõige 4 osas, mida ei reguleerita küberturvalisuse seadusega ega
muude õigusaktidega. Konkreetsemalt sätestatakse kavandatava määrusega, mis on
küberintsidendist teavitamisel esitatavate teadete sisu (st teave). Nendeks teadeteks on esmane
teade, intsidenditeade, vahearuanne ja lõppraport.
Kuna nii 739 SE kui ka kavandatava määruse eelnõu kohaselt – viimase puhul väga vähesel
määral – halduskoormus kasvab (küberturvalisuse seadust täiendatakse uute subjektidega, kes
peavad täitma seaduses, sh ka määruses ette nähtavaid nõudeid), nähti halduskoormuse
tasakaalustamine ette Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ muudatustega.2 Nimetatud määruse kohaselt
lihtsustati eelkõige mikro- ja väikeettevõtjate küberturvalisuse tagamise nõudeid, nähes
ettevõtjatele ette vaid esmaste turvameetmete täitmise kohustuse standardi järgimise asemel.
Need muudatused jõustusid 1. oktoobril 2025.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu on
keeleliselt toimetanud Justiits- ja Digiministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Inge Mehide ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga 739 SE.
Eelnõu kohaselt võetakse üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a direktiivi
(EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase
kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333,
27.12.2022, lk 80–152) (edaspidi ka NIS2-direktiiv), artikkel 23 lõige 4 osas, mida ei reguleerita
küberturvalisuse seaduse ega muude õigusaktidega.
1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogus olev eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/. 2 https://eelnoud.valitsus.ee/main/mount/docList/7d3ea848-35b2-47d8-8eb8-fa2f735c3da6
2
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „võtame Euroopa
Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute normide
muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja muuta need
vabatahtlikuks“.3 Eelnõu väljatöötamise alus on Vabariigi Valitsuse tegevusprogrammi 2023–
20274 ELi direktiivide valdkonna all olev ülesanne „Eelnõu direktiivi (EL) 2022/2555
ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
Kuna nii 739 SE kui ka kavandatava määruse eelnõu kohaselt – viimase puhul väga vähesel
määral – halduskoormus kasvab (küberturvalisuse seadust täiendatakse uute subjektidega, kes
peavad täitma seaduses, sh ka määruses ette nähtavaid nõudeid), nähti halduskoormuse
tasakaalustamine ette Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ muudatustega.5 Nimetatud määruse kohaselt
lihtsustati eelkõige mikro- ja väikeettevõtjate küberturvalisuse tagamise nõudeid, nähes
ettevõtjatele standardi järgimise asemel ette vaid esmaste turvameetmete täitmise kohustuse.
Need muudatused jõustusid 1. oktoobril 2025.
Küberturvalisuse seaduse § 8 lõige 81 näeb ette järgmist: „Kui Euroopa Komisjoni võtab vastu
Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 23 lõikes 11 nimetatud
rakendusakti, milles täpsustatakse küberintsidendi, sealhulgas olulise mõjuga küberintsidendi
kohta esitatava teate või raporti vorm ja selle esitamise kord, lähtutakse nimetatud
rakendusaktis sätestatud nõuetest.“ Euroopa Komisjon on viidatud artikli lõike (teise lõike)
alusel vastu võtnud rakendusmääruse6 (EL) 2024/2690, kuid see rakendusakt sisaldab
volitusnormi aluseks oleva artikliga seoses ainult neid juhtusid, mille korral tuleks intsidenti
pidada oluliseks NIS2-direktiivi artikli 23 lõike 3 tähenduses. Rakendusmäärus (EL)
2024/2690 ei sätesta vastavat vormi ega täpsusta küberintsidendi, sh olulise mõjuga
küberintsidendi kohta teate või raporti esitamise korda (vt selle lõike esimest lõiget). Seega ei
ole veel olemas rakendusakti, mis näeb ette teate või raporti vormi ja selle esitamise korra.
Kui selline rakendusakt tulevikus vastu võetakse, lähtuvad rakendusaktis nimetatud
teenuseosutajad selles rakendusaktis kehtestatud nõuetest. Ülejäänud küberturvalisuse
seaduse kohased teenuseosutajad järgivad siinse eelnõuga kavandatavat määrust. Euroopa
Komisjon on digitaalse koondmääruse ettepanekus7 selgitanud, et eelviidatud komisjoni
rakendusakt (artikli 23 lõike 11 esimene lõige) võetakse vastu, sealhulgas ühtlustatakse selle
ettepaneku käigus ka eri õigusaktide alusel ette nähtud teavituste vorme. See siiski ei tähenda,
et rakendusmäärust (EL) 2024/2690 ja selles olevaid nõudeid ei pea juba praegu järgima need
üksused, kes on selles nimetatud.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kahest paragrahvist.
Paragrahviga 1 määratakse teavitamise sisu ja kord. Tegemist on NIS2-direktiivi artikli 23
lõike 4 ülevõtmisega. Küberturvalisuse seaduse § 8 määrab nii nende teavituste esitamise
3 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-2027 4 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf 5 https://eelnoud.valitsus.ee/main/mount/docList/7d3ea848-35b2-47d8-8eb8-fa2f735c3da6 6 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1769430711987 7 https://digital-strategy.ec.europa.eu/et/library/digital-omnibus-regulation-proposal
3
ajavälbad kui ka muud üldisemad nõuded, kuid kõnealuses paragrahvis sätestatakse, mis
andmeid esmases teates, intsidenditeates, vahearuandes ja lõppraportis esitatakse.
Lõige 1 näeb ette, et esmases teates esitatakse järgmine teave, kui see on teate esitamise hetkel
teada:
1) teave olulise mõjuga küberintsidendi sisu ja põhjuse kohta, sealhulgas asjakohasel juhul
teave turvarikkemärgi kohta koos selgitusega, kas olulise mõjuga küberintsidendi eeldatavaks
põhjuseks on ebaseaduslik või pahatahtlik tegevus;
2) hinnang olulise mõjuga küberintsidendile, sealhulgas selle raskusastmele ja mõjule;
3) teave olulise mõjuga küberintsidendi piiriülese mõju kohta;
4) teave olulise mõjuga küberintsidendi lahendamiseks ettevõetavate tegevuste kohta;
5) selle kontaktisiku andmed, kellega toimub edasine suhtlus seoses küberintsidendi
lahendamisega.
Esmase teate (NIS2-direktiivis sõnastuses „varajane hoiatus“) sisuga seoses on asjakohased
NIS2-direktiivi põhjenduse 102 laused 5 ja 6: Varajane hoiatus peaks sisaldama üksnes teavet,
mis on vajalik CSIRTi või, kui see on kohaldatav, pädeva asutuse olulisest intsidendist
teavitamiseks ja võimaldama asjaomasel üksusel vajaduse korral abi otsida. Selline varajane
hoiatus, kui see on kohaldatav, peaks näitama, kas on kahtlus, et olulise intsidendi põhjuseks
on ebaseaduslik või pahatahtlik tegevus, ning kas sellel on tõenäoliselt piiriülene mõju.
Termin „küberintsident“ on defineeritud küberturvalisuse seaduse § 2 punktis 19. Olulise
mõjuga küberintsidendi kohta saab lugeda küberturvalisuse seaduse § 8 lõigetest 1 ja 2, sh ka §
8 lõikesse 2 lisanduvast punktist 6, mis omakorda viitab Euroopa Komisjoni asjakohasele
rakendusaktile8 ja selles kirjeldatud olukordadele, millal küberintsident on käsitletav olulise
mõjuga küberintsidendina küberturvalisuse seaduse tähenduses. Turvarikkemärk on
rikkumisele viitav asjaolu (igasugune tunnus, mis viitab rikkumise toimumisele).
739 SE koostamise käigus hinnati korduvalt, mis on NIS2-direktiivi artikli 23 lõike 4 punkti a
minimaalne ülevõetav osa (st mis on esmase teate sisu) ning kuivõrd on direktiiviga ette nähtud
sõnastusliku miinimumiga võimalik täita pädevale asutusele, ennekõike Riigi Infosüsteemi
Ametile seatud ülesannet ja ootust, et asutus saaks anda teavituse esitajale abi ja tagasisidet
selle teabe põhjal, mis on esitatud esmase teatega. Sõnastusliku miinimumiga on siin mõeldud,
et olulise mõjuga küberintsidendi korral tuleb teada anda, kas 1) selle eeldatavaks põhjuseks on
ebaseaduslik või pahatahtlik tegevus ning kas 2) sellel on Eesti riigipiiri ületav mõju.
Lõpptulemusena jõuti järeldusele, et on otstarbekas sõnastada esmase teate sisu nii, nagu on
kõnealuses paragrahvis. Esmase teatega esitatakse see teave, mis on teate esitamise hetkel teada
või olemas, sest praktikas võib esineda ka olukord, et mingi asjaolu ei ole veel teada (nt
intsidendi piiriülene mõju või hinnang olulise mõjuga küberintsidendi tõsiduse ja mõju kohta
vms). Seetõttu on kommenteeritavas lõikes kasutatud sõnastust „kui see on teate esitamise
hetkel teada“. See tekitab tasakaalu nii küberintsidendist teavitamise kohustuse kui ka
küberintsidendi käsitlemise vaatest. See on ka põhjus, miks kommenteeritava lõike sisu hõlmab
elemente, mis on NIS2-direktiivi artikli 23 lõikes 4 ette nähtud nii varajasele hoiatusele (eelnõu
tähenduses „esmane teade“), intsidenditeatele (eelnõus samuti „intsidenditeade“),
vahearuandele (eelnõus samuti „vahearuanne“) kui ka lõpparuandele (eelnõus „lõppraport“).
See võimaldab ka vältida, et tekib kuni neli erinevat vormi, mida tuleb ühe küberintsidendi
puhul täita – selle asemel on võimalik kasutusele võtta üks vorm, mida saab vajaduse korral
täiendada või parandada.
8 Rakendusakt jõustus 7. novembril 2024 ja on kättesaadav https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1730728447038. Lisainfo:
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-
reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en ja https://eur-
lex.europa.eu/legal-content/ET/TXT/?uri=PI_COM:Ares(2024)4640447&qid=1728309190768.
4
Lõike 1 punkt 1 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti a (lauseosa märgitakse (kui
see on kohaldatav), kas olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või
pahatahtlik tegevus), punkti b (lauseosa antakse esialgne hinnang olulisele intsidendile,
sealhulgas .. võimaluse korral ka rikkeindikaatoritele) ning punkti d alapunktide i (intsidendi,
sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus) ja ii (ohu liik või lähtepõhjus, mis
intsidendi tõenäoliselt põhjustas) ülevõtmisega. Sõnad „oluline intsident“ on määruse eelnõu
tähenduses „olulise mõjuga küberintsident“. Sõna „intsident“ on eelnõu tähenduses
„küberintsident“. Sõna „rikkeindikaator“ on eelnõu tähenduses „turvarikkemärk“.
Turvarikkemärk on rikkumisele viitav asjaolu ehk igasugune tunnus, mis viitab rikkumise
toimumisele. Sõna „turvarikkemärk“ kasutatakse ka küberturvalisuse seaduses, mistõttu ei ole
võimalik selle sisu eelnõukohases määruses terminina defineerida ning kui seda teha, siis
kasutaks kõrgemaastme õigusakt (seadus) alama astme õigusakti (määruse) definitsiooni, mis
ei ole õigusloomes kohane.
Lõike 1 punkt 2 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti b (lauseosa antakse esialgne
hinnang olulisele intsidendile, sealhulgas selle tõsidusele ja mõjule) ülevõtmisega. Sõna
„tõsidus“ asemel on eelnõus kasutatud sõna „raskusaste“. Raskusaste on seotud võrgu- ja
infosüsteemi turvalisust ja selle toimepidevust mõjutavate ning küberintsidendi tekkimist
põhjustavate riskide loetelu koostamisega, mille käigus määratakse riskide realiseerumise
tagajärgede raskusaste ja kirjeldatakse riskijuhtimismeetmeid. Riskianalüüsi koostamise
kohustus on ette nähtud Vabariigi Valitsuse 9. detsembri 2022. a määruse9 nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ § 5 lõikega 1, selle sisu täpsustatakse Vabariigi
Valitsuse määrusi muutva eelnõuga. Varem oli vastav nõue ette nähtud enne NIS2-direktiivi
vastuvõtmist kehtinud küberturvalisuse seaduses, konkreetsemalt selle § 7 lõike 2 punkti 1 kuni
31.12.2025 kehtinud sõnastuses. Seega pole riskianalüüsi koostamine, sh selle „raskusaste“,
uus tegevus ega käsitlus. Sarnaselt sõnaga „turvarikkemärk“ ei ole ka eelnõukohases määruses
võimalik terminina defineerida sõna „raskusaste“ (vt eelmise punkti selgitust).
Lõike 1 punkt 3 on seotud nii NIS2-direktiivi artikli 23 lõike 4 punkti a (lauseosa milles
märgitakse (kui see on kohaldatav), kas [olulisel intsidendil] .. võib olla piiriülene mõju) kui
ka punkti d alapunkti iv (kui see on kohaldatav, intsidendi piiriülene mõju) ülevõtmisega. Iga
piiriülene intsident ei ole automaatselt piiriülese mõjuga. Piiriülese mõju all mõeldakse, et
küberintsidendi mõju avaldub lisaks Eesti Vabariigi territooriumil oleva(te)le võrgu- ja
infosüsteemi(de)le ka mõne muu riigi võrgu- ja infosüsteemi(de)le. Muu riigi all mõeldakse nii
mõnda teist Euroopa Liidu liikmesriiki kui ka mõnda kolmandat riiki. Seda põhjusel, et näiteks
ulatusliku küberintsidendi10 korral eeldatakse, et taoline intsident on seotud rohkem kui ühe
Euroopa Liidu liikmesriigiga.
Lõike 1 punkt 4 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti d alapunkti iii (juba
kohaldatud ja kohaldamisel olevad leevendusmeetmed) ülevõtmisega. Leevendusmeetmete all
mõeldaksegi ettevõetavaid tegevusi ehk neid meetmeid, mis on kasutusele võetud, sh
asjakohasel juhul ka tulevikus (näiteks kui üksus teeb rakendatud meetme üle mingi aja pärast
ise sisemist kontrolli).
9 https://www.riigiteataja.ee/akt/127092025002 10 Küberturvalisuse seaduse (RT I, 30.12.2025, 15) § 2 punkt 34: ulatuslik küberintsident – küberintsident, mille
põhjustatud häired on niivõrd laialdased, et üks Euroopa Liidu liikmesriik ei suuda nendega toime tulla, või millel
on märkimisväärne mõju vähemalt kahele Euroopa Liidu liikmesriigile.
5
Lõike 1 punkt 5 on ajendatud Riigi Infosüsteemi Ameti tagasisidest eelnõule. Ameti
ettepaneku sisu oli järgmine: „Teeme ettepaneku: .. 2) eelnõu § 1 lg 1 täiendada punktiga: „5)
kontaktisik, kellega toimub edasine suhtlus seoses intsidendiga.“ Ettepaneku eesmärk on tagada
suhtluse operatiivsus. Teavitusi ei tehta alati isiku poolt, kes peaks olema edasine kontaktisik.
Vastava teabe esitamise kohustus tagaks kiirema kontakti intsidendiga tegeleva isikuga.“
Praktikas võib teate esitajaks olla kommenteeritavas punktis mõeldud kontaktisik, kuid kui see
nii ei ole, siis esitatakse ka siinne teave. Kontaktisiku andmete all on mõeldud ennekõike
füüsilise isiku ees- ja perekonnanime, telefoninumbrit ning e-posti aadressi. Need andmed
kantakse küberturvalisuse seaduse § 13 lõike 1 alusel asutatud küberintsidentide registrisse.
Eraldi eelnõuga täiendatakse registri põhimääruse11 § 5 lõiget 2, et viidatud lõige sisaldaks ka
kontaktisiku andmeid.
Lõige 2 on seotud samade NIS2-direktiivi sätete ülevõtmisega, mis on viidatud siinse
paragrahvi lõike 1 asjakohastes punktides, sh on seotud NIS2-direktiivi artikli 23 lõike 4 punkti
b (lauseosa millega, kui see on kohaldatav, ajakohastatakse punktis a osutatud teavet ning
antakse esialgne hinnang olulisele intsidendile, sealhulgas selle tõsidusele ja mõjule ning
võimaluse korral ka rikkeindikaatoritele) ülevõtmisega. Kommenteeritav lõige näeb ette, et kui
tegemist on intsidenditeatega, siis esitatakse lõikes 1 nimetatud teave. Kui esmase teate puhul
esitatakse see teave, mis on esitamise hetkel olemas, siis intsidenditeate puhul esitatakse kogu
teave, mis on lõikes 1 välja toodud. Intsidenditeate esitamisega uuendatakse ka esmases teates
esitatud andmeid ehk intsidenditeate esitamise mõte ei ole esitada uuesti neid andmeid, mis olid
esmase teate esitamise hetkel olemas. Eesmärk on anda intsidenditeate esitamise hetkel olev
ülevaade konkreetsest küberintsidendist ja selle lahendamisest. Kui intsidenditeate puhul ei ole
jätkuvalt mõne asjaolu kohta teavet, mis tuleb esitada (näiteks ei ole veel teada, et tegemist on
piiriülese mõjuga), saab vastavas osas selgitada, et see info puudub või pole sel hetkel
asjakohane (vt ka eelnõu § 1 lõiget 5).
Lõige 3 on seotud samade NIS2-direktiivi sätete ülevõtmisega, mis on viidatud siinse
paragrahvi lõike 1 asjakohastes punktides, sh nii NIS2-direktiivi artikli 23 lõike 4 punkti c
(CSIRTi või, kui see on kohaldatav, pädeva asutuse taotlusel vahearuande vaatlusaluste asjade
seisu kohta) kui ka kaudselt punkti d ülevõtmisega. Nende punktide põhisisu võeti üle 739 SE
kohase seadusega, kuid seaduseelnõuga küberturvalisuse seaduses tehtavad muudatused ei
määra kindlaks, mis on lõpparuande (eelnõus lõppraporti) või vahearuande sisu. Kavandatavas
lõikes määratakse vahearuande sisu kindlaks: tegemist on olemuselt sama teabega, mis on
nimetatud sama paragrahvi lõikes 1. Selle käigus uuendatakse ka intsidenditeatega esitatud
andmeid ehk vahearuande mõte ei ole esitada uuesti neid andmeid, mis olid intsidenditeate
esitamise hetkel olemas. Eesmärk on anda vahearuande esitamise hetkel olev ülevaade
konkreetsest küberintsidendist ja selle lahendamisest.
Vahearuandega tuleb esitada ka see teave, mida Riigi Infosüsteemi Amet küsib vahearuande
esitajalt – seda siis, kui amet soovib mingi asjaolu kohta lisateavet saada. Lisateabe küsimine
toimub ennekõike esmases teates või intsidenditeates esitatud teabe põhjal. Ametil pole
kohustust lisateavet küsida, kuid kui ta seda teeb, peab teavituse tegija küsitud teabe esitama.
Eelnõuga ei saa täpsustada, mitu vahearuannet tuleb esitada, kuna see sõltub konkreetset
intsidendi asjaoludest ja selle lahendamisest. Teatav erisus on siis, kui lõppraportit käsitatakse
vahearuandena (vt küberturvalisuse seaduse § 8 lõike 7 teist lauset), mille puhul on mitme sätte
koosmõju tõttu ette näha, et tuleb esitada vähemalt üks vahearuanne. Ametile kohalduvad ka
haldusmenetluse seaduses ette nähtud nõuded ja põhimõtted (vt nt § 3–6), millest lähtudes peab
amet hindama, kas ja kui tihti ta vahearuannet või selles olevaid lisaandmeid küsib.
11 https://www.riigiteataja.ee/akt/124082023003
6
Lõige 4 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti d ülevõtmisega. Selles punktis on
määratud kindlaks lõpparuande (eelnõus lõppraporti) sisu. Lõppraporti tegemise vajadus on
seotud ennekõike konkreetse teenuseosutaja ülesandega analüüsida ja vajaduse korral
rakendada süsteemiseid muudatusi küberintsidendi kordumise vältimiseks. Vastav nõue on ette
nähtud teiste õigusaktidega – vt Vabariigi Valitsuse 09.12.2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ § 6 punkti 1 ning ka sama määruse § 51 ja seotud lisa
punkti 1.3. Sarnane nõue on ette nähtud ka Eesti infoturbestandardis, – vt ettevõtlus- ja
infotehnoloogiaministri 16.12.2022. a määruse12 nr 101 „Eesti infoturbestandard“ lisa 1 punkti
10.1 ja selle alapunkte.
Lõike 4 punkt 1 on seotud NIS2-direktiivi artikli 23 lõike 4 punkti d alapunkti ii (ohu liik või
lähtepõhjus, mis intsidendi tõenäoliselt põhjustas) ülevõtmisega. Lõike 4 punkt 2 on seotud
NIS2-direktiivi artikli 23 lõike 4 punkti d alapunkti iii (juba kohaldatud ja kohaldamisel olevad
leevendusmeetmed) ülevõtmisega. Lõike 4 punkt 3 on seotud NIS2-direktiivi artikli 23 lõike 4
punkti d alapunktide i (intsidendi, sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus) ja iv
(kui see on kohaldatav, intsidendi piiriülene mõju) ülevõtmisega.
Lõige 5 näeb ette, et kui mingeid andmeid ei ole võimalik esmase teatega, intsidenditeatega või
vahearuandega esitada, lisatakse sellekohane selgitus samasse teatesse või aruandesse.
Eelnõu sai avalikult kooskõlastuselt tagasisidet, et eelnõu ei sisalda kohustust puuduvat infot
põhjendada. Kaitseministeeriumi tagasisides on märgitud järgnev: „Eelnõu § 1 lõige 1 sätestab
küberintsidentidest teavitamisel esmases teates esitatava teabe. Sätte kohaselt tuleb esmases
teates esitada teave võimaluse korral, kuid ei täpsusta .., kas ja kuidas tuleb põhjendada info
puudumist. Seletuskiri selgitab „võimaluse korral“ kasutamist, aga ei sätesta normis endas
kohustust puudumist põhjendada. Info esitamata jätmine peab olema põhjendatud ja ajutine
ning need alused peavad tulema selgelt õigusaktist. Määruses sätestamata jätmine võib anda
kohustatud isikutele väga laia tõlgendusruumi.“ Samuti oli Eesti Perearstide Seltsi tagasisides
märgitud järgnevat: „Hindame ning palume rõhutada paindlikkust esmase teate esitamisel, kuna
selles etapis peaks prioriteet olema teabe esitamise operatiivsus, mitte detailsus ja analüüs. Seda
peaksid arvestama ka vormid ning teabe menetlejad, võttes muuhulgas arvesse NIS2-st
tulenevaid varajase hoiatuse eesmärke. Vormil või juhises võiks olla olemas ka indikatsioon, et
varases etapis on aktsepteeritav vastata “hindamisel / info puudub”. Varases etapis detailse
teabe esitamise nõue vähendaks esmaste teavituste operatiivsust ning ei pruugiks olla
otstarbekas ressursikasutus ajal, mil fookus on intsidendi lahendamisel ja/või teenuse
taastamisel. Palume eelnõu § 1 lg 1 osas seletuskirjas selgemalt välja tuua, et esmase teavituse
etapis ei eeldata informatsiooni detailsust ega juurpõhjuse tasemel analüüsi, vaid piisab
teadaoleva esmase info edastamisest.“
Eeltoodu tõttu nähakse ette kommenteeritav lõige. See tekitab oodatud paindlikkust (ehk kui
mingit teavet pole, siis ei saa seda kohustuslikus korras esitada) ja ka täpsustab teate esitamisel
ette nähtud andmete puudumise põhjendamist (näiteks selgitatakse esmases teates, et
küberintsidendi tuumik ehk põhjus on alles välja selgitamisel, mistõttu selle aspekti kohta ei
ole võimalik tõsikindlat infot veel anda).
Kommenteeritavas lõikes ei ole märgitud lõppraportit, kuna lõppraporti koostamise hetkeks
peaks olema küberintsidendist selgem arusaam ja ülevaade ehk mis juhtus, miks juhtus ja mida
võeti ette, et see tulevikus uuesti ei juhtuks.
Paragrahvis 2 nähakse ette määruse jõustumise aeg, milleks on 1. aprill 2026 (vt seletuskirja
punkti 6).
12 https://www.riigiteataja.ee/akt/128082025012
7
Määrusele lisatakse normitehniline märkus NIS2-direktiivi kohta.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõus järgitakse õigusnormide loomisel NIS2-direktiivi. Eelnõu vastab NIS2-direktiivile
ning kuna direktiiv võeti ennekõike üle 739 SE kohase seadusega, on seaduseelnõu materjalide
juures ka NIS2-direktiivi vastavustabel. Seletuskirja siinses osas tuuakse välja need väljavõtted
NIS2-direktiivi artikli 23 lõike 4 esimesest lõigust, mis on seotud siinse eelnõuga:
1) punkt a = määruse § 1 lg 1 p-d 1 ja 3 ning kaudselt ka lg 5;
2) punkt b = määruse § 1 lg 1 p-d 1–3 ning kaudselt ka lg 2 ja 5;
3) punkt c = määruse § 1 lg 3 ning kaudselt ka lg 1;
4) punkti d alapunkt i = määruse § 1 lg 1 p 1 ja lg 4 p 3;
5) punkti d alapunkt ii = määruse § 1 lg 1 p 1 ja lg 4 p 1;
6) punkti d alapunkt iii = määruse § 1 lg 1 p 4 ja lg 4 p 2;
7) punkti d alapunkt iv = määruse § 1 lg 1 p 3 ja lg 4 p 3;
8) punkt e = määruse § 1 lg 3 ning kaudselt ka lg 1 ja 2.
Iga tehtava muudatuse juures on võrreldud muudetava sätte vastavust Euroopa Liidu õigusele,
vajaduse korral on toodud ka võimalikud sõnastusalternatiivid.
Sätete puhul, mis lahendatakse teisiti, kui on sõnastatud NIS2-direktiiv, kohaldub ka NIS2-
direktiivi artikkel 5, mis näeb ette järgmist: [NIS2-direktiiv] ei takista liikmesriike tarbijate
kaitseks vastu võtmast või kehtima jätmast sätteid, millega tagatakse kõrgem küberturvalisuse
tase, tingimusel et sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud
liidu õiguses.
4. Määruse mõjud
Eelnõukohane määrus mõjutab neid üksusi, kes esitavad olulise mõjuga küberintsidendi kohta
teateid Riigi Infosüsteemi Ametile. Need üksused on nii avaliku kui ka erasektori taustaga. 739
SE seletuskirjas on hinnatud, kui palju üksusi see muudatus mõjutab. Muudatuse mõju on
seotud asjaoluga, mis teavet edaspidi küberintsidendist teavitamise korral esitatakse.
Määrusega tehtaval muudatusel ei ole neile üksustele olulist mõju, kuna olemasolevad
küberintsidendist teavitamise vormid on juba praegu üldjoontes samad ehk olulise mõjuga
küberintsidendist teavitav üksus ei pea esmase teate, intsidenditeate, vahearuande ega
lõppraporti edastamiseks uut laadi teavet koguma hakkama. Seda enam, et esmase teate puhul
on olemas ka paindlikkus valida, mis laadi andmeid esitada. Määruse muudatusel on
lühiajaliselt suurem mõju neile üksustele, kes pole varem küberintsidendi teavitust teinud (kas
kohustuslikult või vabatahtlikult). Tegemist on lühiajalise mõjuga, kuna küberintsidendi
toimumise korral ei pruugi üksus kohe alguses saada teada ega aru, mis teavet küberintsidendi
kohta tuleb esitada, kuid siin aitabki vastava vormi kasutamine, mis on leitav asjakohaselt
veebilehelt (vt ka järgmist selgitust).
5. Määruse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Eelnõuga tulusid ei prognoosita.
Eelnõu määrusena jõustumise korral peab Riigi Infosüsteemi Amet üle vaatama nii enda
võrgulehel kui ka ettenähtud veebikeskkonnas olevad vormid, et need vastaksid määrusega
kindlaks määratud teadete sisule. Kuna julgeolekuasutused ei esita kõnealuseid teateid Riigi
8
Infosüsteemi Ametile (vt küberturvalisuse seaduse § 8 lõike 1 sissejuhatavat lauset ja lõiget 10),
tuleb ka julgeolekuasutustel üle vaadata enda asjakohased vormid, sh on neil võimalik
taaskasutada neid vorme, mille on loonud Riigi Infosüsteemi Amet (tehes vajalikud enda
spetsiifikaga seotud täpsustused). Selle käigus tuleb ka üle vaadata, kas olemasolevad
kättesaadavad juhised või kasutusjuhendid (nt veebikeskkonna kasutusjuhend) on lihtsad,
selged ja piisavalt arusaadavad. Nii Riigi Infosüsteemi Ameti kui ka julgeolekuasutuste
tehtavad toimingud (vormide ja juhiste ülevaatamine) ei tekita märkimisväärset kulu.
6. Määruse jõustumine
Määrus jõustub 1. aprillil 2026. Jõustumisaja puhul on lähtutud kuupäevast, mis võimaldab
eelnõul kooskõlastusringi läbida ning Riigi Infosüsteemi Ametil ja julgeolekuasutustel
asjakohased vormid üle vaadata.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
7.1. Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka siin kommenteeritava määruse eelnõuga sätestatavate
nõuete kohta. Sellekohane tagasiside ja vastused on leitavad 739 SE dokumentide juurest.
Samuti on seletuskirjas asjakohasel juhul selgitatud märkusi, mis saabusid 739 SE kohta enne
selle esitamist Riigikogule.
7.2. Eelnõu esitatakse eelnõude infosüsteemi kaudu kooskõlastamiseks ministeeriumitele,
Riigikantseleile ning Eesti Linnade ja Valdade Liidule.
7.3. Eelnõu saadetakse arvamuse avaldamiseks Andmekaitse Inspektsioonile, Eesti Pangale,
Riigi Infosüsteemi Ametile, Finantsinspektsioonile, Eesti Pangaliidule, Eesti Haiglate Liidule,
Eesti Arstide Liidule, Eesti Perearstide Seltsile, Eesti Vee-ettevõtete Liidule, Eesti Kiirabi
Liidule, Eesti Ravimihulgimüüjate Liidule, Ravimitootjate Liidule, Eesti Proviisorapteekide
Liidule, Eesti Apteekrite Liidule, Eesti Elektritööstuse Liidule, Eesti Jõujaamade ja Kaugkütte
Ühingule, Eesti Gaasiliidule, Eesti Transpordikütuste Ühingule, Eesti Infotehnoloogia ja
Telekommunikatsiooni Liidule, Eesti Kaubandus-Tööstuskojale, Eesti Põllumajandus-
Kaubanduskojale, Eesti Toiduainetööstuse Liidule ja Eesti Kaupmeeste Liidule.
7.4. Riigikantselei, Haridus- ja Teadusministeerium, Kultuuriministeerium,
Rahandusministeerium ja Sotsiaalministeerium kooskõlastasid eelnõu märkusteta.
Kaitseministeerium ning Eesti Linnade ja Valdade Liit kooskõlastasid eelnõu märkustega.
Andmekaitse Inspektsioonil ja Eesti Arstide Liidul lisaettepanekuid polnud. Arvamusi esitasid
Kaitsevägi (AK-teave), Riigi Infosüsteemi Amet, Eesti Haiglate Liit, Eesti Infotehnoloogia ja
Telekommunikatsiooni Liit, Eesti Kaubandus-Tööstuskoda, Eesti Perearstide Selts, Eesti
Põllumajandus-Kaubanduskoda ning Eesti Vee-ettevõtete Liit. Eelnõule esitatud tagasiside on
leitav seletuskirja lisast.
1 / 11
Justiits- ja digiministri määruse
„Küberintsidendist teavitamisel esitatavad andmed
ja teavitamise kord“ eelnõu seletuskirja lisa
Märkuste tabel
Nr Märkus Märkusega arvestamine
1. Kaitseministeerium kooskõlastas märkustega
17.02.2026 nr 5-9/26/2-3
1.1. Esmalt juhime tähelepanu, et läbi ettevõtete, mis on seotud
Kaitseväe ja NATO võimetega, võib kaasneda mõju nii Eesti
Kaitseväe kui ka liitlasüksuste või NATO ühistele
operatsioonidele, mistõttu on oluline, et küberintsidentide info
edastamise protsess oleks selge ja kiire ning saadud teave
adekvaatne.
Võetud teadmiseks
1.2. 1. Eelnõu § 1 lõige 1 sätestab küberintsidentidest teavitamisel
esmases teates esitatava teabe. Sätte kohaselt tuleb esmases teates
esitada teave võimaluse korral, kuid ei täpsusta millal ei ole
võimalik andmeid esitada ega ei sätesta, kas ja kuidas tuleb
põhjendada info puudumist. Seletuskiri selgitab „võimaluse
korral“ kasutamist, aga ei sätesta normis endas kohustust
puudumist põhjendada. Info esitamata jätmine peab olema
põhjendatud ja ajutine ning need alused peavad tulema selgelt
õigusaktist. Määruses sätestamata jätmine võib anda kohustatud
isikutele väga laia tõlgendusruumi. Palume eelnõu vastavalt
täiendada.
Selgitame
Riigi Infosüsteemi Ameti kommentaari 2.1. tõttu muudeti eelnõu § 1
lõike 1 sissejuhatavat lauset, mis täpsustab paremini, mida tähendab
kommentaaris mainitud andmete esitamist „võimaluse korral“,
tagamaks, et seletuskirjas kirjeldatud mõte oleks eelnõu tekstist
paremini aru saada. Andmete puudumise põhjendamise aspekt
kaetakse eelnõu § 1 lõikega 5.
1.3. 2. Juhime tähelepanu, et eelnõu ei viita kohaselt mõistete, nagu
raskusaste, piiriülene mõju ega turvarikkemärk, definitsioonile.
Mõistete definitsioonid on hajutatud teiste õigusaktide ja
seletuskirja vahel, kuid õigusselguse mõttes tuleks kohaselt
Selgitame
Mainitud mõisted ei ole õigusaktides defineeritud, mistõttu ei ole ka
võimalik neile viidata eelnõuga ette nähtud määruses.
2 / 11
viidata, millise õigusakti mõttes mõistet kasutatakse. Palume
eelnõu vastavalt täiendada.
1.4. 3. Seletuskirjakohaselt esitatakse vahearuanne Riigi Infosüsteemi
Ameti taotlusel, kuid määrusest see ei nähtu. Lisaks ei nähtu
eelnõust ka see, kas esitatakse üks või mitu vahearuannet. Palume
eelnõu vastavalt täpsustada.
Selgitame
Vastav nõue on ette nähtud küberturvalisuse seaduse § 8 lõikes 43.
Ametil ei ole kohustust küsida vahearuannet, mistõttu ei ole ka
selgitatud, kas neid tuleb esitada üks või mitu, kuna see sõltub
konkreetse küberintsidendi asjaoludest.
Teatav erisus on siis, kui lõppraportit käsitatakse vahearuandena (vt
küberturvalisuse seaduse § 8 lõike 7 lauset 2), mille puhul on mitme
sätte koosmõju tõttu ette näha, et vähemalt üks vahearuanne tuleb
esitada.
1.5. 4. Kaitseministeeriumi hinnangul peaks asutus intsidendi korral
analüüsima ja vajaduse korral rakendama süsteemseid muudatusi
intsidendi kordumise vältimiseks. Palume kaaluda eelnõu
täiendamist vastavalt.
Selgitame
Vastav nõue on sisuliselt ette nähtud Vabariigi Valitsuse 09.12.2022
määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“
§ 6 punktiga 1 kui ka sama määruse § 51 ja seotud lisa punktiga 1.3.
Sarnane nõue on ka ette nähtud Eesti infoturbestandardis, vt
ettevõtlus- ja infotehnoloogiaministri 16.12.2022 määruse nr 101
„Eesti infoturbestandard“ lisa 1 punkti 10.1. ja selle alapunkte.
1.6. 5. Eelnõust jääb arusaamatuks, mis on lõppraporti sisuline väärtus
ja kuidas on see seotud NIS2-st lähtuvalt pideva riskijuhtimisega.
Seletuskiri küll üldjoontes selgitab, mida esitatakse, kuid
selgusetuks jääb, kas ja kuidas saadud andmeid kasutatakse.
Selgitame
Lõppraportitest esitatud sisu põhjal esitatakse iga kolme kuu tagant
koondaruanne Euroopa Liidu Küberturvalisuse Ametile (vt
küberturvalisuse seaduse § 12 lõiget 41), kes omakorda kasutab seda
enda töös (vt nt küberturvalisuse 2. direktiivi artikli 23 lõiget 9).
Samuti on Riigi Infosüsteemi Ametil võimalik lõppraportite sisu
põhjal oma tööd planeerida ja tööd teha – vt nt ameti volitust
ohuteadete edastamise osas küberturvalisuse seaduse § 12 lõikes 3.
1.7. 6. Seletuskirja kohaselt on eelnõu eesmärgiks luua teavitamise
sisu ja kord, kuid eelnõu ei sätesta ühtegi konkreetset tähtaega
esialgse aruande, vahearuande ega lõppraporti esitamiseks.
Palume eelnõu vastavalt täiendada.
Selgitame
Need tähtajad on sätestatud küberturvalisuse seaduse §-s 8, mille
lõigete 1, 41, 42, 43 ja 7 kohaselt:
tuleb esmane teavitus teha viivitamata, kuid hiljemalt 24 tundi
pärast teada saamist küberintsidendist,
3 / 11
- millel on võrgu- ja infosüsteemi turvalisusele või teenuse
toimepidevusele oluline mõju;
- mille oluline mõju võrgu- ja infosüsteemi turvalisusele või
teenuse toimepidevusele ei ole ilmne, kuid seda võib
mõistlikult eeldada.
tuleb intsidenditeade edastada viivitamata, kuid hiljemalt 72
tundi pärast olulise mõjuga küberintsidendist teada saamist;
usaldusteenuse osutajate puhul on maksimaalseks tähtajaks 24
tundi;
tuleb vahearuanne esitada enne lõppraportit, kui Riigi
Infosüsteemi Amet vahearuannet seda taotleb;
tuleb lõppraport esitada ühe kuu jooksul alates intsidenditeate
esitamisest arvates; kui olulise mõjuga küberintsident kestab,
siis lõppraport on käsitatav vahearuandena, mille puhul
esitatakse lõppraport ühe kuu jooksul pärast olulise mõjuga
küberintsidendi lahendamist.
Sama aspekt on lühidalt välja toodud eelnõu seletuskirjas, § 1 üldises
selgituses.
2. Riigi Infosüsteemi Ameti arvamus
09.02.2026 nr 1.1-20/26129
2.1. Teeme ettepaneku:
1) eelnõu § 1 saatelauses eemaldada sõnad „võimaluse korral“
ning lisada lause lõppu „kui see on teate esitamise hetkel teada“;
Sõnapaar „võimaluse korral“ jätab avatuks põhjused, millises
olukorras võib jääda teave esitamata. Seletuskirja põhjal on
arusaadav, et silmas on peetud olukorda, kui teavet veel ei ole,
kuid pakutud sõnastus on laiem. Vältimaks mitmeti
tõlgendatavust teeme ettepaneku kohustust piiritlev tingimus
selgelt saatelauses sõnastada.
Arvestatud
Eelnõu § 1 lõike 1 sissejuhatav lause on muudetud.
2.2. Teeme ettepaneku: Arvestatud Eelnõu § 1 lõiget 1 on täiendatud uue punktiga 5.
4 / 11
2) eelnõu § 1 lg 1 täiendada punktiga: „5) kontaktisik, kellega
toimub edasine suhtlus seoses intsidendiga.“
Ettepaneku eesmärk on tagada suhtluse operatiivsus. Teavitusi ei
tehta alati isiku poolt, kes peaks olema edasine kontaktisik.
Vastava teabe esitamise kohustus tagaks kiirema kontakti
intsidendiga tegeleva isikuga.
2.3. Teeme ettepaneku:
3) eelnõu § 1 lõige (3) sõnastada järgmiselt: „Vahearuandes
esitatakse vastavalt intsidendi kohta teatavaks saanud asjaoludele
lõikes 1 nimetatud täiendatud teave ja asjakohasel juhul Riigi
Infosüsteemi Ameti taotletud lisateave.“
Ettepaneku eesmärk on täpsemalt sätestada kohustus lõikes 1
nimetatud teavet täiendada. Praegune sõnastus võimaldab
piirduda teabe üks-ühele uuesti esitamisega kui RIA eraldi
täiendavalt lisainfot ei küsi. Seega tekiks olukord, kus RIA peab
sellise üks-ühele teabe esitamise korral iga kord täiendavat infot
juurde küsima, kuigi teabe esitaja võiks selle juba ise
vahearuandes edasi anda.
Arvestatud
Eelnõu § 1 lõike 3 sõnastust on muudetud, et ettepaneku olemus oleks
paremini välja loetav.
2.4. Teeme ettepaneku:
4) eelnõu § 1 lõiget 4 täiendada punktiga „1) intsidendi,
sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus“ ja sellest
tulenevalt muuta järgmiste punktide numeratsiooni.
Ettepaneku eesmärk on tagada, et lõppraport annaks sisulise
ülevaate, mis võimaldab võtta vajalikke meetmeid ning tegeleda
sisulise ja tulemusliku ennetustegevusega. Praegune sõnastus jääb
üldsõnaliseks ega pane kohustust edastada piisavalt detailset
infot. Seejuures ei välju ettepanek NIS2 direktiivi raamidest, vaid
kasutab direktiivis endas kasutatud sõnastust.
Arvestatud ja selgitatud Esitatud kommentaariga soovitakse tagada, et sellega võetakse üle
küberturvalisuse 2. direktiivi artikli 23 lõike 4 punkti d alapunkt i
(intsidendi, sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus).
Eelnõus oli selle direktiivi sätte kui ka alapunkti iv (kui see on
kohaldatav, intsidendi piiriülene mõju) puhul mõeldud, et see
võetakse üle eelnõu § 1 lõike 4 punktiga 3, mille sõnastuseks oli
kavandatud küberintsidendi raskusaste ja mõju, sealhulgas
asjakohasel juhul piiriülene mõju.
Siinse kommentaari tõttu muudeti eelnõu § 1 lõike 4 punkti 3
sõnastust, mitte ei tekitatud uut punkti. Direktiivi vastavas sättes
oleva sõna „tõsidus“ asemel on kasutatud „raskusaste“ – seda on
selgitatud eelnõu § 1 lõike 1 punkti 2 selgitustes.
5 / 11
3. Eesti Haiglate Liidu arvamus
02.02.2026 nr 197-2B
3.1. Juhime tähelepanu, et eelnõu § 1 lõike 1 punktis 1 kasutatud
mõiste “turvarikkemärk” (inglise keeles indicator of compromise)
ei ole defineeritud ning selle tähendus on ebaselge.
Teeme ettepaneku täpsustada § 1 lõike 1 punkti 1 sõnastust viisil,
mis tagaks üheselt mõistetavuse ja selge arusaadavuse soovitavast
sisust. Pakume välja järgmise sõnastuse: „1) teave olulise mõjuga
küberintsidendi sisu ja toimumise põhjuse kohta, sealhulgas
asjakohasel juhul teave küberintsidenti tuvastada võimaldavate
märkide kohta;“.
Mittearvestatud
Turvarikkemärk on kasutatud küberturvalisuse seaduses (vt § 2 punkt
26 ja § 175 lõiget 1) ehk kõrgemalseisvas õigusaktis, mistõttu ei ole
võimalik eelnõukohases määruses seda defineerida.
4. Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu arvamus
03.02.2026 nr 6.1-2/6-1
4.1. Eelnõuga võetakse üle NIS2-direktiivi artikkel 23 lõige 4 osas,
mida ei reguleerita küberturvalisuse seadusega ega muude
õigusaktidega. Konkreetsemalt sätestatakse eelnõuga, milline on
küberintsidendist teavitamisel esitatavate teadete sisu. Eelnõus
toodud andmekoosseisude osas meil kommentaare ja
ettepanekuid ei ole.
Võetud teadmiseks
4.2. Eelnõu seletuskirjas viidatakse küberturvalisuse seaduse § 8
lõikele 81, mis tekitab eelnõu puhul seose NIS2-direktiivi artikli
23 lõike 11 alusel antud Euroopa Komisjoni rakendusaktiga.
Samas on see kirjas ainult seletuskirjas ja hüpoteetilise tuleviku
võimalusena (seletuskiri lk 2: „Kui sedasorti rakendusakt vastu
võetakse, lähtuvad…“). Reaalsuses on vähemalt üks rakendusakt
sellel alusel juba Euroopa Komisjoni poolt vastu võetud:
Komisjoni rakendusmäärus (EL) 2024/2690, 17. oktoober 2024,
millega kehtestatakse seoses domeeninimede süsteemi teenuse
osutajate, tippdomeeninimede registrite,
pilvandmetöötlusteenuse osutajate, andmekeskusteenuse
osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate,
Selgitame
Määruse eelnõu seletuskirjas on selgitatud küberturvalisuse seaduse
§ 8 lõike 81 olemust ehk kui komisjoni teeb rakendusakti, mis sisustab
„küberintsidendi, sealhulgas olulise mõjuga küberintsidendi kohta
esitatava teate või raporti vormi ja selle esitamise korra, lähtutakse
nimetatud rakendusaktis sätestatud nõuetest“.
Komisjoni rakendusmäärus (EL) 2024/2690 on tõesti vastu võetud
küberturvalisuse 2. direktiivi artikli 23 lõike 11 alusel, kuid too
rakendusakt sisaldab volitusnormi aluseks oleva artikliga seonduvalt
ainult need „juhud, mille korral tuleks intsidendi pidada oluliseks
küberturvalisuse 2. direktiivi artikli 23 lõike 3 tähenduses“ (vt artikli
23 lõike 11 teist lõiget). See rakendusmäärus ei sätesta vastavat vormi
6 / 11
turbetarnijate ning internetipõhiste kauplemiskohtade,
internetipõhiste otsingumootorite, sotsiaalvõrguteenuse
platvormide ja usaldusteenuse pakkujatega direktiivi (EL)
2022/2555 kohaldamise eeskirjad, mis puudutavad
küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi
nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille
korral peetakse intsidenti oluliseks.
Seetõttu teeme ettepaneku eelnõus viidata konkreetselt
rakendusmäärusele (EL) 2024/2690 ning lahtiselt ka tulevastele
rakendusaktidele. Vastasel juhul jääb eelnõu subjektidele
segaseks, kas seda rakendusmäärust ei pea järgima või veel ei pea
järgima, kuna küberturvalisuse seaduse muudatuste
üleminekuaeg on 3 aastat. Nimetatud rakendusmääruses on
sätestatud olulised täpsustavad tingimused. Eelnõu rakendajatele
oleks õigusselguse huvides vajalik sellele määrusele viidata ning
seletuskirjas rohkem selgitada erinevate õigusaktide omavahelist
seost ja vahekorda.
ega täpsusta küberintsidendist, sh olulise mõjuga küberintsidendist
teate või raporti esitamise korda (vt artikli 23 lõike 11 esimest lõiget).
See siiski ei tähenda, et rakendusmäärust (EL) 2024/2690 ei tule
järgida nendel üksustel, kes on selles nimetatud.
Eeltoodu tõttu on seletuskiri üle vaadatud ja täiendatud.
4.3. Kindlasti vajab muutmist eelnõu jõustumisaeg, kuna see on juba
minevikus. Arvestatud
4.4. Lisaks juhime tähelepanu, et eelnõu seletuskiri viitab
küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõule 739 SE, mis
oli eelnõu kooskõlastamisele saatmise ajaks juba Riigikogu poolt
vastu võetud ja Riigi Teatajas avaldatud ning jõustunud. Seega
oleks õigem öelda, et eelnõu on seotud 01.01.26 jõustunud
küberturvalisuse ja teiste seaduste muutmise seadusega ning
rääkida juba tehtud, mitte tulevastest muudatustest.
Arvestatud
5. Eesti Kaubandus-Tööstuskoja arvamus
03.02.2026 nr 4/28
5.1. Eelnõu seletuskirja lk-l 2 on kirjas, et „739 SE kohaselt lisandub
küberturvalisuse seadusesse ka § 8 lõige 81, mis tekitab
kavandatava määruse puhul seose NIS2-direktiivi artikli 23 lõike
Vt Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu
kommentaari 4.2. vastust.
7 / 11
11 alusel antud Euroopa Komisjoni rakendusaktiga. Selles
rakendusaktis kehtestatakse nõuded küberintsidendi, sealhulgas
olulise mõjuga küberintsidendi kohta esitatava teate või raporti
korrale ja vormile. Kui sedasorti rakendusakt vastu võetakse,
lähtuvad rakendusaktis nimetatud teenuseosutajad selles
rakendusaktis kehtestatud nõuetest. Ülejäänud küberturvalisuse
seaduse 739 SE kohased teenuseosutajad järgivad kavandatavat
määrust“. Juhime tähelepanu, et Euroopa Komisjoni
rakendusmäärus (EL) 2024/2690 on juba vastu võetud. Oluline
on, et ka eelnõus viidatakse konkreetselt rakendusmäärusele (EL)
2024/2690 ning lahtiselt ka tulevastele rakendusaktidele, sest
viite puudumine tekitab ettevõtjates segadust, kas nad peavad
järgima EL-i määrust, Eesti määrust või mõlemat korraga. Lisaks
on oluline, et ka seletuskirjas oleks selgelt ja lihtsalt aru saada
nende õigusaktide omavahelist seost.
6. Eesti Linnade ja Valdade Liidu kooskõlastus
02.02.2026 nr 2-3/27-2
6.1. 1. Eelnõu §1 lg1 p1 kasutab mõistet „turvarikkemärk“, mis on
NIS2-direktiivi art. 23 lg. 4 punktis b kasutatava mõiste
rikkeindikaator teisendus. Mõiste „turvarikkemärk“ on eelnõu
seletuskirjas lahti kirjutatud - see on rikkumisele viitav asjaolu
(igasugune tunnus, mis viitab rikkumise toimumisele).
Teeme ettepaneku uue segadust tekitava sõna asemel kasutada
eelnõu tekstis mõiste lahtiseletust.
Praegu:
1) teave olulise mõjuga küberintsidendi sisu ja põhjuse kohta,
sealhulgas asjakohasel juhul teave turvarikkemärgi kohta koos
selgitusega, kas olulise mõjuga küberintsidendi eeldatavaks
põhjuseks on ebaseaduslik või pahatahtlik tegevus;
Ettepanek:
1) teave olulise mõjuga küberintsidendi sisu ja põhjuse kohta,
sealhulgas asjakohasel juhul teave rikkumisele viitavate asjaolude
Mittearvestatud
Turvarikkemärk on kasutatud küberturvalisuse seaduses (vt § 2 punkt
26 ja § 175 lõiget 1) ehk kõrgemalseisvas õigusaktis, mistõttu ei ole
võimalik eelnõukohases määruses seda defineerida.
8 / 11
kohta koos selgitusega, kas olulise
mõjuga küberintsidendi eeldatavaks põhjuseks on ebaseaduslik
või pahatahtlik tegevus;
6.2. 2. Rõhutame, et kohalike omavalitsuste jaoks on oluline, et Riigi
Infosüsteemi Amet (RIA) tagab selged ja lihtsad juhised
teavitamise kohta. Seletuskiri (p 5) sõnastab, et RIA peab üle
vaatama nii enda võrgulehel kui ka ettenähtud veebikeskkonnas
olevad vormid, et need vastaksid määrusega kindlaks määratud
teadete sisule, kuid ei mainita juhiseid, kasutusjuhendeid,
selgitavaid materjale ega koolitusi ega rõhutata, et juhised oleksid
lihtsad, selged, piisavalt arusaadavad. Palume seletuskirja
vastavalt täiendada.
Arvestatud
7. Eesti Perearstide Seltsi arvamus
03.02.2026 kiri
7.1. Eesti Perearstide Selts toetab nelja erineva teavitusvormi vältimist
ning põhimõttelist suunda, et dubleerimise asemel võiks olla
võimalik juba esitatud infot täpsustada ja täiendada. Hindame
ning palume rõhutada paindlikkust esmase teate esitamisel, kuna
selles etapis peaks prioriteet olema teabe esitamise operatiivsus,
mitte detailsus ja analüüs. Seda peaksid arvestama ka vormid ning
teabe menetlejad, võttes muuhulgas arvesse NIS2-st tulenevaid
varajase hoiatuse eesmärke. Vormil või juhises võiks olla olemas
ka indikatsioon, et varases etapis on aktsepteeritav vastata
“hindamisel / info puudub”. Varases etapis detailse teabe
esitamise nõue vähendaks esmaste teavituste operatiivsust ning ei
pruugiks olla otstarbekas ressursikasutus ajal, mil fookus on
intsidendi lahendamisel ja/või teenuse taastamisel. Palume eelnõu
§ 1 lg 1 osas seletuskirjas selgemalt välja tuua, et esmase teavituse
etapis ei eeldata informatsiooni detailsust ega juurpõhjuse tasemel
analüüsi, vaid piisab teadaoleva esmase info edastamisest.
Arvestatud
Siin vt Riigi Infosüsteemi Ameti kommentaari 2.1. ja selle vastust.
Lisaks täiendati eelnõud § 1 lõikega 5.
7.2. § 1 lõikes 3 sätestatud lisateabe küsimise võimaluse juures
palume sisse tuua mõistlikkuse ja proportsionaalsuse põhimõtted Selgitame
9 / 11
või muu piirangu, mis välistaks nö lõputu andmete
juurdeküsimise võimaluse.
Neid põhimõtteid ei ole võimalik sätestada eelnõukohases määruses,
kuna see ei oleks kooskõlas määruse andmise volitusnormiga (vt
küberturvalisuse seaduse § 8 lõiget 8). Seda enam, et mainitud
põhimõtted on ette nähtud haldusmenetluse seaduse § 3 lõikes 2.
Lisaks on siin asjakohane sama seaduse §-id 4 (kaalutlusõigus), 5
(vormivabadus ja eesmärgipärasus) kui ka 6 (uurimispõhimõte). Need
nõuded kohalduvad ka mainitud lisateabe küsimisele.
Seletuskirjas on kommenteeritava sätte selgitust täiendatud.
8. Eesti Põllumajandus-Kaubanduskoja arvamus
02.02.2026 nr 15/1-4
8.1. Kuigi peame küberturvalisuse tagamist oluliseks ning mõistame
vajadust saada asjakohast teavet toimunud intsidentide kohta,
soovime juhtida tähelepanu mitmele probleemile, mis puudutavad
eelnõus sätestatud teavituskohustuse ulatust ja selgust.
Esiteks jääb eelnõust ebaselgeks, millistele konkreetsetele
kriteeriumidele vastavat intsidenti tuleb käsitada „olulise
küberintsidendina“. Määratlus on liiga üldine ega võimalda
ettevõtjatel ja asutustel piisava kindlusega hinnata, millisel juhul
teavitamiskohustus tekib. Selline ebaselgus võib praktikas viia
kas ületeavitamiseni või vastupidi – tahtmatute rikkumisteni.
Selgitame
Esitatud kommentaar ei ole seotud määrusekohase eelnõuga ja seda
ei saa sätestada kommenteeritava määrusega, kui arvestada määruse
volitusnormi (vt küberturvalisuse seaduse § 8 lõiget 8). Pealegi on
kommentaari sisu tegelikkuses reguleeritud seaduse tasandil.
Küberturvalisuse seaduse § 8 lõige 1 sätestab, et teenuseosutaja, välja
arvatud julgeolekuasutus, esitab Riigi Infosüsteemi Ametile esmase
teate viivitamata, kuid hiljemalt 24 tundi pärast teada saamist
küberintsidendist:
1) millel on võrgu- ja infosüsteemi turvalisusele või teenuse
toimepidevusele oluline mõju;
2) mille oluline mõju võrgu- ja infosüsteemi turvalisusele või teenuse
toimepidevusele ei ole ilmne, kuid seda võib mõistlikult eeldada.
Sama paragrahvi lõige 2 täpsustab, millal on tegemist olulise mõjuga
küberintsidendiga. Tolle lõike punktis 6 on viidatud Euroopa
Komisjoni rakendusaktile, mille all mõeldakse komisjoni
rakendusmäärust (EL) 2024/2690.
8.2. Teiseks tekitab küsimusi eelnõus ette nähtud mitmekordne
teavitamiskohustus ühe ja sama intsidendi kohta. Ei ole
arusaadav, miks on vajalik esitada sama intsidendi puhul mitu
eraldiseisvat teadet eri etappides, eriti olukorras, kus intsidendi
sisu ja mõju ei pruugi vahepeal sisuliselt muutuda. Selline
Selgitame
Mitmeastmeline teavitus on ette nähtud küberturvalisuse 2. direktiivi
artikli 23 lõikes 4. Selles on ette nähtud „varajase hoiatuse“,
„intsidenditeate“, „vahearuande“ ja „lõpparuande“ (küberturvalisuse
seaduses vastavalt „esmane teavitus“, „intsidenditeade“,
10 / 11
lähenemine suurendab põhjendamatult halduskoormust ega toeta
küberturvalisuse tõhusat juhtimist.
Leiame, et ühekordne, sisuline ja hästi struktureeritud teavitus
oleks piisav ning eesmärgipärasem. Samuti peaks lõpparuande
koostamine ja intsidendi põhjalikum analüüs olema selgelt
määratletud Riigi Infosüsteemi Ameti vastutusalasse kuuluvaks,
mitte täiendavaks kohustuseks teavitajale.
Kokkuvõtvalt peame vajalikuks teavituskohustuse selgemat
määratlemist ning selle mahu vähendamist, et vältida
põhjendamatut bürokraatiat ja tagada regulatsiooni praktiline
ning proportsionaalne rakendatavus.
„vahearuanne“ ja „lõppraport“) esitamise nõuded kui ka nende
esitamise tähtajad. Need nõuded võetigi üle sama käsitlusega nagu on
direktiivis ette nähtud. Jah, esimese seaduseelnõu kavandis (avaldati
09.12.2024) oli ette nähtud, et nn intsidenditeade tehakse 24 tunni
jooksul ja see sisaldab samu andmeid, mis on eelnõukohase
määrusega ette nähtud, st sellisel juhul ei oleks eristatud esmast
teavitust ja intsidenditeadet, vaid need oleksid ühe etapina koos.
Samuti oli soov ette näha vahearuande esitamise nõue kui ka säilitada
(lõpp)raporti esitamise nõue. Seepeale tuli seaduseelnõule tagasiside,
et see lähenemine ei arvesta direktiivis ette nähtud käsitlust ega ole
sellega kooskõlas. Seetõttu muudetigi seaduseelnõud viisil, mis on
nüüd sätestatud küberturvalisuse seaduse §-s 8.
Küberturvalisuse seaduse § 8 lõikes 7 ette nähtud lõppraporti
koostamine ei saa olla Riigi Infosüsteemi Ameti ülesanne, vaid see on
ennekõike teenuseosutaja ülesanne. Selle käigus peab teenuseosutaja
hindama, mis läks valesti ja mida võeti ette, et küberintsident ära
lahendada, sh mida võeti ette, et sama või sarnane küberintsident ei
korduks konkreetse teenuseosutaja juures. Vt siin ka
Kaitseministeeriumi kommentaari 1.5. ja sellega seotud vastust.
9. Eesti Vee-ettevõtete Liidu arvamus
03.02.2026 nr 2-2/202
9.1. Määruse eelnõu kohaselt on jõustumine kavandatud alates 01.
veebruarist 2026. Eelnõu seletuskirjas on märgitud, et
jõustumisaja puhul on lähtutud kuupäevast, mis võimaldab eelnõu
kooskõlastada ning Riigi Infosüsteemi Ametil asjakohased
vormid üle vaadata.
Meie hinnangul ei vasta see tegelikkusele, kuna määruse eelnõu
kooskõlastamise aeg lõpeb alles 03.02.2026. Sellest lähtuvalt
teeme ettepaneku, et määruse jõustumise aeg määratakse hea
õigusloome ja normitehnika eeskirja § 62 lg-s 1 sätestatu alusel,
mille kohaselt jõustumisnormiga sätestatakse määruse või selle
sätte jõustumine haldusmenetluse seaduse § 93 lõikes 2
Arvestatud
11 / 11
ettenähtud kolmepäevasest tähtajast hilisemal tähtpäeval, kui
seadus ei näe ette varasemat jõustumisaega. Jõustumisnormis
jõustumisaja sätestamisel arvestatakse § 14 lõikes 2 sätestatud
asjaolusid ja määruse avaldamiseks Riigi Teataja seaduse § 9
lõikes 6 ettenähtud seitsmetööpäevast tähtaega.
Riigikantselei, Haridus- ja Teadusministeerium, Kultuuriministeerium, Rahandusministeerium ja Sotsiaalministeerium kooskõlastasid märkusteta.
Andmekaitse Inspektsioonil ja Eesti Arstide Liidul täiendavad ettepanekud puudusid. Kaitseväe arvamus oli tunnistatud avaliku teabe seaduse §
35 lõike 2 punkti 1 alusel juurdepääsupiiranguga teabeks, mistõttu seda ei esitata siinses seletuskirjas.
Eelnõu, seletuskiri ja märkuste tabel edastati 25.02.2026. a kooskõlastajatele ja märkuste esitajatele e-kirja teel.
MINISTRI MÄÄRUS
Küberintsidendist teavitamisel esitatavad
andmed ja teavitamise kord1
Määrus kehtestatakse küberturvalisuse seaduse § 8 lõike 8 alusel. § 1. Teavitamisel esitatavad andmed ja teavitamise kord (1) Esmases teates esitatakse järgmine teave, kui see on teate esitamise hetkel teada: 1) teave olulise mõjuga küberintsidendi sisu ja põhjuse kohta, sealhulgas asjakohasel juhul teave turvarikkemärgi kohta koos selgitusega, kas olulise mõjuga küberintsidendi eeldatavaks põhjuseks on ebaseaduslik või pahatahtlik tegevus; 2) hinnang olulise mõjuga küberintsidendile, sealhulgas selle raskusastmele ja mõjule; 3) teave olulise mõjuga küberintsidendi piiriülese mõju kohta; 4) teave olulise mõjuga küberintsidendi lahendamiseks ettevõetavate tegevuste kohta; 5) selle kontaktisiku andmed, kellega toimub edasine suhtlus seoses küberintsidendi lahendamisega. (2) Intsidenditeates esitatakse lõikes 1 nimetatud teave. Intsidenditeatega uuendatakse esmase teatega esitatud andmeid. (3) Vahearuandes esitatakse: 1) lõikes 1 nimetatud teave, sealhulgas uuendatakse intsidenditeatega esitatud andmeid; 2) Riigi Infosüsteemi Ameti taotletud lisateave, kui amet on lisateavet küsinud. (4) Lõppraport sisaldab järgmist teavet: 1) küberintsidendi põhjus; 2) küberintsidendi suhtes rakendatud abinõu; 3) küberintsidendi, sealhulgas selle raskusastme ja mõju üksikasjalik kirjeldus ning asjakohasel juhul piiriülese mõju kirjeldus. (5) Kui mingeid andmeid ei ole võimalik esmase teatega, intsidenditeatega või vahearuandega esitada, lisatakse sellekohane selgitus samasse teatesse või aruandesse. § 2. Määrus jõustub 1. aprillil 2026. a. 1 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152). (allkirjastatud digitaalselt) Liisa-Ly Pakosta
justiits- ja digiminister
05.03.2026 nr 7
2
(allkirjastatud digitaalselt) Tiina Uudeberg kantsler
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Justiits- ja digiministri määruse „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise kord“ eelnõu kooskõlastamine | 09.02.2026 | 1 | 1.1-20/26129 | Väljaminev kiri | ria | Justiits- ja Digiministeerium |