| Dokumendiregister | Riigi IT Keskus |
| Viit | 1-5/26-93-1 |
| Registreeritud | 13.03.2026 |
| Sünkroonitud | 16.03.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1 Juhtimine |
| Sari | 1-5 Kirjavahetus juhtimise ja õigusalastes küsimustes |
| Toimik | 1-5/2026 Kirjavahetus juhtimise ja õigusalastes küsimustes |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Mirjam Virosiim-Kuhi (Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, õigus- ja hankeosakond) |
| Originaal | Ava uues aknas |
EELNÕU 07.03.2026
VABARIIGI VALITSUS
MÄÄRUS
Vabariigi Valitsuse 23. detsembri 1996. a määruse nr 319 „Justiits- ja Digiministeeriumi põhimääruse kinnitamine“, Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ muutmine Määrus kehtestatakse avaliku teabe seaduse § 43 lõike 3, küberturvalisuse seaduse § 7 lõike 5 ja lõike 5 punkti 3 ja Vabariigi Valitsuse seaduse § 42 lõike 1 alusel. § 1. Vabariigi Valitsuse 23. detsembri 1996. a määrusega nr 319 „Justiitsministeeriumi põhimääruse kinnitamine” kinnitatud „Justiits- ja digiministeeriumi põhimääruses” tehakse järgmised muudatused: 1) punkti 541 täiendatakse alapunktiga 11 järgmises sõnastuses: „11) osaleda oma pädevuse kohaselt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), artiklis 14 nimetatud koostöörühma tegevuses ja artiklis 16 nimetatud Euroopa küberkriisiga tegelevate kontaktasutuste võrgustiku töös;“; 2) põhimäärust täiendatakse normitehnilise märkusega järgmises sõnastuses: „1Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152).“. § 2. Vabariigi Valitsuse 9. detsembri 2022. a määruses nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded” tehakse järgmised muudatused: 1) määruse tekstis, välja arvatud määruse § 4 lõikes 11, asendatakse sõnad „teenuse osutaja“ sõnaga „teenuseosutaja“ vastavas käändes; 2) paragrahvi 2 täiendatakse punktidega 11 ja 12 järgmises sõnastuses: „11) andmekogu vastutav töötleja on– andmekogu vastutav töötleja avaliku teabe seaduse § 434 lõike 1 tähenduses; 12) andmekogu volitatud töötleja on andmekogu volitatud töötleja avaliku teabe seaduse § 434 lõike 2 tähenduses;“; 3) paragrahvi 3 täiendatakse lõikega 11 järgmises sõnastuses: „(11) Teenuseosutaja rakendab lõike 1 alusel kehtestatud nõudeid vähemalt küberturvalisuse seaduse § 3 lõigetes 2–5 nimetatud tegevusaladega seotud süsteemidele.“;
2
4) paragrahvi 3 lõike 2 punkti 1 täiendatakse pärast sõna „nõuetele” tekstiosaga „ja valitud standard käsitlusala hõlmab vähemalt küberturvalisuse seaduse § 3 lõigetes 2–5 nimetatud tegevusaladega seotud süsteeme.”; 5) paragrahvi 3 lõike 21 sissejuhatavas lauseosas asendatakse tekstiosa „1 ja 2“ tekstiosaga „1, 11 ja 2“; 6) paragrahvi 3 lõike 21 punktis 1 asendatakse sõna „määratlemise“ sõnaga „määratluse“; 7) paragrahvi 3 täiendatakse lõigetega 22 ja 23 järgmises sõnastuses: „(22) Lõike 21 punktis 1 nimetatud teenuseosutaja puhul ei kohaldata üksuse töötajate arvu, aastase bilansimahu ja aastakäibe kindlakstegemisel Euroopa Komisjoni soovituse 2003/361/EÜ lisa artikli 3 lõiget 4. (23) Lõike 21 punktis 1 nimetatud teenuseosutaja puhul ei arvestata üksuse töötajate arvu, aastase bilansimahu ja aastakäibe kindlakstegemisel partner- või sidusettevõtja andmeid Euroopa Komisjoni soovituse 2003/361/EÜ tähenduses, kui üksus on teenuste osutamisel kasutatavate süsteemide puhul oma partner- või sidusettevõtjast sõltumatu.“; 8) paragrahvi 5 täiendatakse lõikega 11 järgmises sõnastuses: „(11) Riskianalüüs peab sisaldama vähemalt süsteemi turvalisust ja toimepidevust mõjutavate ning küberintsidenti põhjustavate riskide loetelu ning selles tuleb kindlaks määrata riskide realiseerumise tagajärgede raskusaste ja kirjeldada riskijuhtimismeetmeid.“; 9) paragrahvi 5 lõige 4 sõnastatakse järgmiselt: „(4) Käesolevas jaos ette nähtud dokumendid võib koostada muu õigusakti alusel koostatava dokumendi osana.“; 10) paragrahvi 51 lõike 1 sissejuhatavat lauseosa täiendatakse pärast sõna „peab“ tekstiosaga „alalisse kasutusse“; 11) paragrahvi 51 lõike 1 punkt 4 muudetakse ja sõnastatakse järgmiselt: „(4) väliste partnerite haldus“; 12) määruse lisa „Esmased turvameetmed“ kehtestatakse uues sõnastuses (lisatud); 13) määrust täiendatakse normitehnilise märkusega järgmises sõnastuses: „1Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152).“. § 3. Vabariigi Valitsuse 3. jaanuari 2024. a määruses nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel” ” tehakse järgmised muudatused: 1) paragrahvi 1 lõike 1 sissejuhatavas lauseosas asendatakse tekstiosa „§ 3 lõikes 4“ tekstiosaga „§ 3 lõike 2 punktides 3 ja 4 ning lõike 4 punktides 1–4 ja 6“; 2) paragrahvi 1 lõike 1 punktis 1 asendatakse tekstiosa „kohaliku omavalitsuse üksus või küberturvalisuse seaduse § 3 lõike 4 punktides 12 ja 13 nimetatud asutus või isik“ tekstiosaga „valitsusasutus, valitsusasutuse hallatav riigiasutus või kohaliku tasandi avaliku halduse üksus“. § 4. Määrus jõustub 1. aprillil 2026. a. Lisa: Esmased turvameetmed
3
Kristen Michal peaminister Liisa-Ly Pakosta justiits- ja digiminister Keit Kasemets riigisekretär
1
Vabariigi Valitsuse 9. detsembri 2022. a määrus nr 121
„Võrgu- ja infosüsteemide küberturvalisuse nõuded“ Lisa
Esmased turvameetmed
Käesolevas lisas sätestatakse määruse § 51 lõikes 1 loetletud turbevaldkondades alaliselt rakendatavad esmased turvameetmed.
Käesolevas lisas esitatud meetmed on ette nähtud kõigile küberturvalisuse seaduses loetletud teenuseosutajatele, kui määruses ei ole sätestatud teisiti.
Teenuseosutaja võib käesolevas lisas sätestatud meetme asendada muu samaväärse meetmega või jätta meetme rakendamata, kui kaitsetarve on täidetud ja teenuseosutaja on riski aktsepteerinud.
1. Infoturbe korralduse valdkonnas peab teenuseosutaja: 1.1. määrama küberturvalisuse seaduse §-s 61 nimetatud juhatuse liikme ja infoturbe eest vastutava isiku; 1.2. välja töötama võrgu- ja infosüsteemide turvareeglid, sealhulgas infoturbe- ja riskijuhtimispõhimõtted, ning tutvustama neid personalile; 1.3. kontrollima regulaarselt, kas valitud turvameetmed vastavad tegelikule vajadusele ja kas turvameetmed on rakendatud. Turvameetmeid tuleb kontrolli tulemuste põhjal korrigeerida; 1.4. tagama oma tegevuse kriisihalduse ja toimepidevuse, sealhulgas oma varundus- ja taasteprotseduuride toimimise; 1.5. tagama võrgu- ja infosüsteemide hankimise, arendamise ja hooldamise turvalisuse, sealhulgas turvahaavatavuste käsitlemise ja avaldamise; 1.6. pidama infotehnoloogiavarade arvestust ja uuendama seda regulaarselt; 1.7. määrama kasutusel olevale infotehnoloogiaseadmele vastutava kasutaja. 2. Kasutajate teadlikkuse, koolituse ja kasutajaõiguste valdkonnas peab teenuseosutaja: 2.1. tutvustama personalile küberhügieeni- ja infoturbereegleid, hindama teadmisi ja tagama neile vastava koolituse, vajaduse korral perioodiliselt; 2.2. juhendama personali infotehnoloogiaseadmete kasutamisel; 2.3. kasutama võrgu- ja infosüsteemides personaalseid pääsuõigusi; 2.4. sulgema pääsuõigused või kontod, mille järele puudub vajadus või mida ei kasutata; 2.5. eelistama mitmeastmelist autentimist; 2.6. hoidma pääsuks vajalikke vahendeid, sealhulgas salasõnu ja räsisid, volitamata isikutele kättesaamatuna; 2.7. kasutama võrgu- ja infosüsteemis ainult selleks mõeldud ning heaks kiidetud seadmeid, teenuseid ja süsteeme; 2.8. kasutama infotehnoloogiaseadmeid ja andmekandjaid heaperemehelikult ning mitte jätma neid järelevalveta. 3. Andmete turbe valdkonnas peab teenuseosutaja: 3.1. hindama, millised andmed ning võrgu- ja infosüsteemid on vajalikud igapäevaseks kasutamiseks, ning kavandama asendusprotseduurid süsteemide tõrgete ja katkestuste korral; 3.2. välja töötama tööks vajalike andmete kasutamise reeglid, sealhulgas teiste isikutega andmete jagamise kohta; 3.3. tagama kasutatava teabe või teiste isikute edastatud teabe, sealhulgas ärisaladuse ja isikuandmete kaitse ning vajaduse korral kasutama ajakohast krüpteerimist; 3.4. eelistama digitaalset lahendust, mis kinnitab oluliste elektrooniliste andmete päritolu ja terviklust, sealhulgas digitaalset allkirjastamist; 3.5. rakendama andmetele juurdepääsu võimaldamisel teadmisvajaduspõhist juurdepääsuhaldust; 3.6. varundama regulaarselt tööks vajalikke andmeid, hoidma varundatud andmeid töösüsteemist eraldi ja testima varukoopiast andmete taastamist; 3.7. tagama andmete kustutamise enne andmekandja kasutamise lõpetamist või edasiandmist.
2
4. Väliste partnerite halduse valdkonnas peab teenuseosutaja: 4.1. teadma oma väliseid partnereid, sealhulgas oma otseseid tarnijaid, ja nende tausta. Selle teabe põhjal tuleb rakendada asjakohaseid turvameetmeid, lähtudes riigi koostatud avalikest ohuhinnangutest ja riskianalüüsidest; 4.2. võtma turvameetmete asjakohasust kaaludes arvesse välistele partneritele eriomaseid turvahaavatavusi, nende toote üldist kvaliteeti ja küberturvalisusega seotud tavasid, sealhulgas toote turvalise arendamise korda ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), artikli 22 lõike 1 kohaselt korraldatud kriitilise tähtsusega tarneahelate turvariskide koordineeritud hindamise tulemusi; 4.3. kokku leppima väliste partneritega kirjalikult taasesitatavas vormis andmete vahetamiseks vajalikud turvanõuded ja kasutatava teenuse tingimused. 5. Küberintsidentide halduse valdkonnas peab teenuseosutaja: 5.1. koolitama personali, kuidas ära tunda intsidente, kuidas tuvastada nende mõju ja ulatust ning kuidas neid vältida ja kuidas intsidentide puhul toimida; 5.2. määrama isiku, kes koordineerib intsidentide lahendamist, asjaomaste asutuste ja koostööpartnerite teavitamist ning on nende kontaktisik; 5.3. kokku leppima alternatiivsed teavituskanalid juhuks, kui tavapärane teabevahetus ei toimi; 5.4. võtma kasutusele abinõud intsidendi mõju vähendamiseks ja leviku piiramiseks. 6. Pilvteenuste ja veebirakenduste kaitse valdkonnas peab teenuseosutaja: 6.1. kasutama turvalist ja ajakohastatud veebibrauserit; 6.2. jälgima, et pilvteenuste vahendusel jagataks teavet vaid teadmisvajaduspõhiselt; 6.3. järgima turvalise e-kirjavahetuse põhimõtteid ja vältima tundmatute manuste või hüperlinkide avamist; 6.4. tutvustama personalile turvaliste telefoni- ja videokõnede tegemise põhimõtteid; 6.5. eristama ja vältima ebaturvaliste veebilehtede ja rakendusliideste kasutamist; 6.6. pidama arvestust kasutatavate pilvteenuste ja nendega seotud riskide üle. 7. Infotehnoloogiaseadmete kaitse valdkonnas peab teenuseosutaja: 7.1. kasutama ajakohast viirusetõrjet ja tulemüüri; 7.2. uuendama regulaarselt kasutatavaid operatsioonisüsteeme ja rakendusi; 7.3. pidama arvestust kasutatava tarkvara, selle turvahaavatavuste ja litsentside üle ning uuendama litsentse õigel ajal; 7.4. kasutama turvalist, usaldusväärset ja kehtiva toega tarkvara, sealhulgas eemaldama infotehnoloogiaseadmetest ja telefonidest tarkvara, mis on aegunud või mida ei kasutata; 7.5. eristama seadmetes kasutaja- ja süsteemi haldusõigusi ning kasutama tavapärases tegevuses vähem privilegeeritud kasutajatunnuseid; 7.6. tagama võrgu- ja infosüsteemide ning rakenduste turvasündmuste logimise ja logide kättesaadavuse; 7.7. krüpteerima olulist teavet töötleva seadme kõvaketta ja teavet sisaldavad välised kõvakettad ajakohast krüptograafilist meedet kasutades; 7.8. paigutama võimaluse korral seadmed nii, et need ei oleks kõrvalistele isikutele ligipääsetavad; 7.9. kasutama tööks vajalikes seadmetes, sealhulgas mobiilseadmes pääsukoodi või ekraanilukku; 7.10. kavandama meetmed juhuks, kui seade läheb kaotsi, varastatakse või läheb katki; 7.11. kustutama seadmest kogu teabe enne selle kasutusest kõrvaldamist ja utiliseerimist; 7.12. rakendama asjakohaseid lisaturvameetmeid oma serveri kaitsmiseks; 7.13. rakendama automaatikaseadme või muu andmesideühendusega seadme kasutamise korral lisaturvameetmeid või keelama seadmes andmeside kasutamise, sealhulgas kaughalduse; 7.14. hindama uute seadmete ning info- ja võrgusüsteemide soetamisel võimalikke riske ja rakendama juba plaanimise etapis asjakohaseid turvameetmeid. 8. Sideühenduste ja võrgu kaitse valdkonnas peab teenuseosutaja: 8.1. koostama arvutivõrgu skeemi, sealhulgas pidama võrguseadmete ning võrgule tuge pakkuvate isikute ja nende kontaktandmete arvestust; 8.2. piirama volitamata juurdepääsu infosüsteemidele ja seadmetele väliste võrkude kaudu, kasutades tulemüüri või samaväärset turvalahendust;
3
8.3. vältima volitamata isikule kaugjuurdepääsu andmist sisevõrgus või pilvteenustes töödeldavale teabele; 8.4. kasutama traadita kohtvõrgu ühenduste korral tugevat salasõna ja turvaprotokolli. 9. Füüsilise turbe valdkonnas peab teenuseosutaja: 9.1. järgima võrgu- ja infosüsteemide kasutusele võtmisel ja kasutamisel tuleohutusnõudeid; 9.2. jälgima, et ruumi sissepääsud, sealhulgas aknad, hoitakse suletuna, kui ruumis ei viibi personali; 9.3. vältima ruumides kõrvaliste isikute liikumist saatjata, eelkõige ruumides, kus hoitakse seadmeid või töödeldakse andmeid; 9.4. pidama arvestust ruumidele, sõidukitele, hoonetele ja muule varale juurdepääsu võimaldavate vahendite üle, sealhulgas kaardid, koodid ja võtmed; 9.5. rakendama meetmeid hoonesse või ruumidesse loata sisenemise takistamiseks; 9.6. piirama juurdepääsu võrguseadmete, hooneautomaatika ja serveri asukohale, sealhulgas hoidma vastavaid tehnilisi ruume ja seadmeid lukustatuna.
1 / 32
07.03.2026
Vabariigi Valitsuse määruse „Vabariigi Valitsuse 23. detsembri 1996. a
määruse nr 319 „Justiits- ja Digiministeeriumi põhimääruse kinnitamine“,
Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ ning Vabariigi Valitsuse 3.
jaanuari 2024. a määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete
nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ muutmine“
eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine)
(eelnõu nr 739 SE) (edaspidi ülevõtmisseadus).1 Kõnesoleva eelnõuga kavandatakse üle võtta
ainult üksikud NIS2-direktiivi sätted (artikli14 lõige 3, artikli 16 lõige 2 ning artikli 21 lõiked
2 ja 3), mille sisu ei reguleerita küberturvalisuse seadusega ega muude õigusaktidega. Samuti
tehakse tehnilisi täpsustusi, et tagada õigusselgus nii eelnõukohase määrusega muudetavate
määruste kehtivate sätete kui ka eelnõukohase määrusega lisanduvate sätete rakendamisel.
Eelnõu määrusena vastuvõtmise tulemusena osaleb Justiits- ja Digiministeerium oma pädevuse
kohaselt NIS2-direktiivi artiklis 14 nimetatud koostöörühma tegevuses ja artiklis 16 nimetatud
Euroopa küberkriisiga tegelevate kontaktasutuste võrgustiku töös.
Küberturvalisuse seaduse § 7 kehtestab teenuseosutajatele nõude rakendada turvameetmeid.
Eelnõukohase määrusega asendatakse seda kohustust miinimumtasemel reguleeriv lisa ehk
esmaseid turvameetmeid täpsustav lisa. Ülevõtmisseaduse tulemusena peavad küberturvalisuse
seaduse kohased teenuseosutajad rakendama turvameetmeid (st ka esmaseid turvameetmeid)
kogu organisatsiooni suhtes. See lähenemisviis oli enne ülevõtmisseadusega tehtud muudatuste
jõustumist juba avalikus sektoris kasutusel, kuid erasektori jaoks on see uus. Et tagada NIS2-
direktiivi kitsendatud ülevõtmine, leevendatakse nende teenuseosutajate (ennekõike erasektori,
kuid põhimõtteliselt ka avaliku sektori teenuseosutajate) nõudeid, kes peavad rakendama Eesti
infoturbestandardit või selle alternatiiviks olevat standardit. Muudatusega nähakse ette, et ühe
mainitud standardi nõudeid tuleb rakendada vähemalt selle teenuse, tegevusala või valdkonna
puhul, mida pakkuv või millel tegutsev teenuseosutaja kuulub küberturvalisuse seaduse
kohaldamisalasse. See tähendab, et standard peab käsitlema vastava teenuse, tegevusala või
valdkonnaga seotud võrgu- ja infosüsteeme, kuid ülejäänud teenuste, tegevusalade ja
valdkondadega seotud võrgu- ja infosüsteemide puhul saab rakendada paindlikumaid
turvameetmeid, st ennekõike eelnõukohase määrusega uuendatud esmaseid turvameetmeid.
Teenuseosutajatele (sh ennekõike erasektori teenuseosutajale) avalduv majanduslik mõju on
väga erinev ning seda ei ole võimalik mõistlikult hinnata. Turvameetmete rakendamise rahaline
kulu sõltub teenuseosutaja kasutatavate võrgu- ja infosüsteemide hulgast ja keerukusest ning
varem rakendatud turvameetmetest (teenuseosutaja vastutustundlikkusest oma IT-lahenduste
kasutamisel või muudest nõuetest, näiteks isikuandmete töötlemisel rakendatud tehnilistest ja
1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogus menetluses olnud eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/.
2 / 32
korralduslikest turvalisuse tagamise meetmetest). Teenuseosutajale avalduv rakendamiseks
vajaliku kulu majanduslik mõju sõltub omakorda selle kulu osakaalust tema eelarves,
ennekõike IT-lahendustega seotud eelarves. Esmaseid turvameetmeid täiendavate nõuete sisu
ja olemus ei ole siiski sedavõrd märkimisväärne, et need tooks teenuseosutajatele kaasa olulist
kulu. Seda enam, et küberturvalisuse seaduses on sätestatud ka üleminekuajad seaduse nõuete
täitmiseks.
Kuna ülevõtmisseadus suurendas halduskoormust (küberturvalisuse seaduse kohaldamisala
täiendati uute subjektidega, kes peavad seaduse nõudeid ja seeläbi ka selle seaduse alusel
kehtestatud määruste nõudeid täitma), tasakaalustati seda halduskoormuse tõusu Vabariigi
Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse
nõuded“ muudatustega.2 Need muudatused jõustusid 1. oktoobril 2025. Kõnesolev
eelnõukohane määrus näeb ette halduskoormuse mõningase kasvu, kuid samal ajal võimaldab
eelnõuga kavandatav Eesti infoturbestandardi või selle alternatiivina kasutatava standardi
käsitlusala muudatus leevendada eelnõu mõju.
Kokkuvõtlikult sisaldab eelnõu ettevõtjatele nii halduskoormust suurendavaid kui ka
vähendavaid muudatusi. Halduskoormus võib suureneda esmaste turvameetmete nõuete
täpsustamise tõttu. Samas vähendab koormust standardi kohaldamisala piiramine ennekõike
seaduse kohaldamisalasse kuuluvate teenuste või tegevustega seotud võrgu- ja
infosüsteemidega. Muudatuste tegelik mõju halduskoormusele sõltub ettevõtja suurusest,
tegevusvaldkonnast ja senisest turvatasemest. Halduskoormuse tasakaalustamise reeglit ei ole
vaja rakendada.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu ja
seletuskirja on keeleliselt toimetanud sama ministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Merike Koppel ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga nr 739 SE.3 Selle seaduseelnõuga
kavandatud muudatused jõustusid 1. jaanuaril 2026.
Eelnõukohase määrusega muudetakse järgmisi Vabariigi Valitsuse määrusi:
- 23. detsembri 1996. a määrus nr 319 „Justiits- ja Digiministeeriumi põhimääruse
kinnitamine“ (RT I, 16.09.2025, 18) (edaspidi määrus nr 319);
- 9. detsembri 2022. a määrus nr 121„Võrgu- ja infosüsteemide küberturvalisuse nõuded“
(RT I, 27.09.2025, 2) (edaspidi määrus nr 121);
- 3. jaanuari 2024. a määrus nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende
kohaldamise ulatus pilvteenuse kasutamisel“ (RT I, 09.01.2024, 25) (edaspidi määrus nr
1).
Eelnõukohase määrusega võetakse üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a
direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt
kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL)
2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv)
(ELT L 333, 27.12.2022, lk 80–152) (edaspidi ka NIS2-direktiiv), artikli 14 lõige 3, artikli 16
2 https://eelnoud.valitsus.ee/main/mount/docList/7d3ea848-35b2-47d8-8eb8-fa2f735c3da6 3 Vt altviidet nr 1.
3 / 32
lõige 2 ning artikli 21 lõiked 2 ja 3 osas, mida ei reguleerita küberturvalisuse seaduse ega muude
õigusaktidega.
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „võtame Euroopa
Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute normide
muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja muuta need
vabatahtlikuks“.4 Eelnõu väljatöötamise alus on Vabariigi Valitsuse tegevusprogrammi 2023–
20275 ELi direktiivide valdkonna all nimetatud ülesanne „Eelnõu direktiivi (EL) 2022/2555
ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
Kuna nii ülevõtmisseadusega kui ka kõnesoleva eelnõukohase määrusega suurendatakse
teatavas ulatuses halduskoormust (küberturvalisuse seadust täiendati uute subjektidega, kes
peavad täitma seaduse nõudeid, sh ka kõnesoleva eelnõuga kavandatavate muudatustega
täpsustatavaid nõudeid), nähti halduskoormuse tasakaalustamine ette määruse nr 121
muudatustega, mis jõustusid 1. oktoobril 2025. Lisaks leevendatakse eelnõukohase määrusega
nende teenuseosutajate (ennekõike erasektori, kuid põhimõtteliselt ka avaliku sektori
teenuseosutajate) nõudeid, kes peavad Eesti infoturbestandardit või selle alternatiiviks olevat
standardit rakendama. Muudatusega nähakse ette, et ühe mainitud standardi nõudeid tuleb
rakendada vähemalt selle teenuse, tegevusala või valdkonna puhul, mida pakkuv või millel
tegutsev teenuseosutaja kuulub küberturvalisuse seaduse kohaldamisalasse. See tähendab, et
standard peab käsitlema vastavat teenust, tegevusala või valdkonnaga seotud võrgu- ja
infosüsteeme, kuid ülejäänud teenuste, tegevusalade ja valdkondadega seotud võrgu- ja
infosüsteemide puhul saab rakendada paindlikumaid turvameetmeid ehk ennekõike
eelnõukohase määrusega täpsustatud esmaseid turvameetmeid. Seega on eelnõukohase
määrusega tehtav Eesti infoturbestandardi või selle alternatiivina kasutatava standardi
käsitlusala muudatus halduskoormuse vähendamise lisameede, mis leevendab eelnõukohase
määruse mõju.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb neljast paragrahvist.
Paragrahviga 1 muudetakse määrusega nr 319 kinnitatud „Justiits- ja digiministeeriumi
põhimäärust”. Paragrahv koosneb kahest punktist.
Paragrahvi 1 punktiga 1 muudetakse punkti 541, täiendades seda alapunktiga 11.
Muudatus on seotud NIS2-direktiivi artikli 14 lõike 3 esimese lause ning artikli 16 lõike 2
ülevõtmisega. Kommenteeritava alapunktiga on kavas anda Justiits- ja Digiministeeriumile
asjaomased volitused, kuna Vabariigi Valitsuse seaduse § 44 lõike 1 kohaselt on riiki volitatud
esindama valitsusasutus või muu riigiasutus seadusest, oma põhimäärusest ja teistest
õigusaktidest tulenevate ülesannete täitmisel. Sarnane esindusvolitus artiklite 14 ja 16
kontekstis anti ka Riigi Infosüsteemi Ametile ning need muudatused jõustusid 1. veebruaril
2026.6
4 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-2027 5 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf 6 Riigi Infosüsteemi Ameti põhimäärus (RT I, 29.01.2026, 2), § 8 lõike 4 punkt 31
.
https://www.riigiteataja.ee/akt/129012026002
4 / 32
Paragrahvi 1 punktiga 2 täiendatakse määrusega nr 319 kinnitatud „Justiitsministeeriumi
põhimäärust” normitehnilise märkusega NIS2-direktiivi kohta.
Vabariigi Valitsuse 22. detsembri 2011. a määruse nr 180 „Hea õigusloome ja normitehnika
eeskiri“ § 27 lõike 3 esimene lause näeb ette, et kui seaduseelnõu koostatakse Euroopa Liidu
õiguse ülevõtmiseks, nimetatakse normitehnilises märkuses Euroopa Liidu õigusakti andja või
andjad, akti liik, number, pealkiri ja avaldamismärge. Sama määruse § 51 kohaselt kehtib
nimetatud põhinõue ka Vabariigi Valitsuse määruse ja ministri määruse eelnõu kohta.
Normitehniline märkus lisatakse määrusesse nr 319, kuna muudesse õigusaktidesse pole neid
NIS2-direktiivi artikli 14 lõiget 3 ja artikli 16 lõiget 2 üle võtvaid sätteid, mis on seotud Justiits-
ja Digiministeeriumiga, kavandatud.
Paragrahviga 2 muudetakse määrust nr 121. Paragrahv koosneb kolmeteistkümnest punktist.
Paragrahvi 2 punktiga 1 asendatakse määruses nr 121, välja arvatud § 4 lõikes 11, läbivalt
sõnad „teenuse osutaja“ liitsõnaga „teenuseosutajaga“. Sama muudatus nähti
ülevõtmisseadusega ette ka küberturvalisuse seaduses. Tegemist on tehnilise muudatusega,
mille eesmärk on järgida eesti keele kokku- ja lahkukirjutuse põhimõtteid.
Kommenteeritava punktiga ei muudeta määruse nr 121 § 4 lõiget 11, kuna see muudaks
hädaolukorra seaduse termini „elutähtsa teenuse osutaja“ tähendust. Nimelt laiendab selle
täiend „elutähtis“ täiendit „teenus“, mitte kogu järgnevat ühendit „teenuseosutaja“.
Paragrahvi 2 punktiga 2 täiendatakse määruse nr 121 § 2 punktidega 11 ja 12, lisades vastavalt
terminid „andmekogu vastutav töötleja“ ja „andmekogu volitatud töötleja“ ja nende tähenduse.
Andmekogu vastutav töötleja on andmekogu vastutav töötleja avaliku teabe seaduse § 434 lõike
1 tähenduses ehk riigi- või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik
või avalikke ülesandeid täitev eraõiguslik isik, kes korraldab andmekogu kasutusele võtmist,
teenuste ja andmete haldamist. Andmekogu vastutav töötleja vastutab andmekogu haldamise
seaduslikkuse ja andmekogu arendamise eest.
Andmekogu volitatud töötleja on andmekogu volitatud töötleja avaliku teabe seaduse § § 434
lõike 2 tähenduses. Selle lõike kohaselt võib andmekogu vastutav töötleja volitada andmete
töötlemise ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-
õiguslikule juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule
vastutava töötleja poolt ettenähtud ulatuses.
Kommenteeritav muudatus tehakse õigusselguse tagamise huvides, kuna praktikas on tekkinud
määruse nr 121 § 4 lõike 4 punkti 2 (näiteks seoses omavalitsuste ning nende hallatavate
asutustega) tõlgendamisel eri osalistel küsimus, millist vastutavat töötlejat ja volitatud töötlejat
on selles punktis mõeldud – kas tegemist on avaliku teabe seaduse terminitega või isikuandmete
kaitse valdkonnas kasutatavate terminitega. Nende kahe valdkonnaga seotud terminite
eristamise kohta vt ülevõtmisseaduse kohase küberturvalisuse seaduse § 3 lõike 4 punkti 1
selgitust. 2025. aasta 1. oktoobril jõustus määruse nr 121 § 4 lõike 4 muudatus, millega lisati
sellesse lõikesse uus punkt 4 (seoses Haridus- ja Teadusministeeriumi hallatava asutusena
tegutsevate põhikoolide ja gümnaasiumitega), milles on samuti kasutatud väljendit
„andmekogu vastutava töötleja ja volitatud töötleja“. Ka selle punkti puhul on juba tekkinud
sarnaseid küsimusi mis sama lõike punkti 2 puhul. Võimalike väärarusaamade vähendamiseks
tagatakse kõnealuse muudatusega õigusselgus viidatud lõike punktides kasutatavates
terminites.
Paragrahvi 2 punktiga 3 täiendatakse määruse nr 121 § 3 lõikega 11.
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit tegi ülevõtmisseaduse menetluse käigus
ettepaneku lähtuda nõuete rakendamisel ka küberturvalisuse 2. direktiivis rõhutatud
5 / 32
riskipõhisusest ehk võimaldada subjektidel määratleda, kus ja millised on tema
organisatsioonis olulisemad riskid ja võtta kasutusele vastavad meetmed. Liit leiab, et selle
täienduse lisamine on vajalik, et siduda nendes sätetes toodud kohustused ehk
[küberturvalisuse seaduse] alusel kehtestatud turvameetmed ettevõtete ja asutuste konkreetsete
teenustega, mille osutamise tõttu nad on [seaduse] mõistes üliolulised või olulised üksused.
Sellega jäetakse ettevõtetele ja asutustele õigus ise hinnata, mis on nende vaatest kriitiline ja
lähtuda tehtud riskihinnangutest.
Eelnõu koostaja toetab ettepanekut. Vabariigi Valitsuselt Riigikokku esitatud seaduseelnõus
kavandati näha Vabariigi Valitsusele võrgu ja infosüsteemi küberturvalisuse nõuete
kehtestamisel ette volitusnorm täpsustada alalisi asjakohaseid ja proportsionaalseid
tehnilisi, tegevuslikke ja korralduslikke turvameetmeid ning rakendamise nõudeid ja tingimusi.
Et oleks selge, et Vabariigi Valitsusel on õigus nende nõuete kehtestamisel arvesse võtta ka
tegevusalasid, mille osutamise tulemusel tekib ettevõtjal küberturvalisuse nõuete järgimise
kohustus, täiendati ülevõtmisseaduse menetluse käigus vastavat volitusnormi. Selle täienduse
kohaselt võib Vabariigi Valitsus arvestada määrusega nr 121 kehtestatavate nõuete puhul
küberturvalisuse seaduse § 3 lõigetes 2–5 sätestatut. Nimetatud lõigetes on loetletud teenused,
tegevusalad ja valdkonnad, mida pakkuvat või kus tegutsevat üksust käsitatakse üliolulise või
olulise üksusena. Seega võimaldab muudatus Vabariigi Valitsusel ette näha paindlikkust
turvameetmete rakendamisel.
Kommenteeritav lõige toob kaasa asjaolu, et sama paragrahvi lõike 1 alusel kehtestatud nõudeid
(st Eesti infoturbestandardi nõudeid) rakendatakse vähemalt kommenteeritavas lõikes viidatud
tegevusala või tegevusaladega – olenevalt sellest, kas üksus on ühe või mitme tegevusala tõttu
ülioluline üksus või oluline üksus – seotud võrgu- ja infosüsteemidele. Kommenteeritavas
lõikes on kasutatud sõna „vähemalt“ tagamaks, et Eesti infoturbestandardi rakendamine hõlmab
tegevusala(sid), kus tegutsev teenuseosutaja kuulub küberturvalisuse seaduse
kohaldamisalasse. Teenuseosutaja ise valib, kas ta soovib ka oma muude tegevusalade või
teenustega seotud võrgu- ja infosüsteemide suhtes rakendada Eesti infoturbestandardist
tulenevaid nõudeid. Kui teenuseosutaja seda valikut ei tee, siis peab ta nende muude
tegevusalade, teenuste või valdkondadega seotud võrgu- ja infosüsteemide suhtes rakendama
miinimumnõudeid ehk esmaseid turvameetmeid (vt määruse nr 121 § 51 ja sama määruse lisa
ning ka eelnõu § 2 punkt 12).
Eelnõuga kavandatav muudatus säilitab peamiselt Eesti infoturbestandardi rakendamise
kontekstis ennekõike nende ettevõtjate olukorra, kes pidid enne ülevõtmisseadusega tehtud
muudatuste jõustumist (st kuni 31.12.2025) küberturvalisuse nõudeid järgima ainult konkreetse
teenuse või tegevusala puhul. Kõnealune muudatus ei kohaldu nendele teenuseosutajatele, kes
on ülioluline üksus või oluline üksus oma tegevusvormi, mitte tegevusvaldkonna tõttu: näiteks
avalik-õiguslikud juriidilised isikud, keskvalitsuse avaliku halduse üksused ja kohaliku
omavalitsuse avaliku halduse üksused. Seda seetõttu, et nimetatud üksused kuulusid ka enne
ülevõtmisseadusega tehtud muudatuste jõustumist ja kuuluvad ka edaspidi terve
organisatsioonina küberturvalisuse seaduse kohaldamisalasse. Samuti on kaheldav, kas
tegevusvormi alusel küberturvalisuse seaduse kohaldamisalasse liigituva teenuseosutaja puhul
oleks võimalik hakata eristama konkreetset tegevusala, teenust või valdkonda ning nendega
seotud võrgu- ja infosüsteeme.
Lühendsõna „süsteem“ on võetud kasutusele määruse nr 121 § 1 lõike 1 punktis 2, st see on
moodustatud terminist „võrgu- ja infosüsteem“. Selle termini kohta vt küberturvalisuse seaduse
§ 2 punkt 37.
Paragrahvi 2 punktiga 4 täiendatakse määruse nr 121 § 3 lõike 2 punkti 1.
Määruse nr 121 § 3 lõige 2 näeb ette Eesti infoturbestandardi alternatiivi ehk rahvusvahelise
standardi ISO/IEC 27001 või Eesti standardi EVS-EN ISO/IEC 27001 nõuete rakendamise. Kui
6 / 32
eelnimetatud standardite käsitlusala on sama ulatusega nagu Eesti infoturbestandardi oma, siis
kohaldub määruse nr 121 § 3 lõige 2. See tähendab, et teenuseosutaja on 1) asjakohaste
rakendusala(de) suhtes rakendanud turvameetmeid lähtuvalt rahvusvahelisest standardist
ISO/IEC 27001 või Eesti standardist EVS-EN ISO/IEC 27001 ning 2) on esitanud Riigi
Infosüsteemi Ametile kehtiva vastavussertifikaadi, mis kinnitab ühe eelmainitud standardi
nõuete täitmist. Asjakohaste rakendusalade all mõeldakse neid tegevusalasid, kus tegutsev
teenuseosutaja kuulub üliolulise üksuse või olulise üksusena küberturvalisuse seaduse
kohaldamisalasse.
Kõnealune muudatus tagab, et eelnõu § 2 punktis 3 kavandatud muudatus kohaldub ka juhul,
kui teenuseosutaja on otsustanud Eesti infoturbestandardi asemel rakendada alternatiivset
standardit. Seetõttu käivad eelnõu § 2 punkti 3 selgitused ka kõnealuse muudatuse kohta.
Paragrahvi 2 punktiga 5 muudetakse määruse nr 121 § 3 lõike 21 sissejuhatava lause
sõnastust. Kõnesoleva eelnõuga lisatakse sellesse paragrahvi uus lõige (vt eelnõu § 2 punkt 3),
mistõttu tuleb õigusselguse huvides kommenteeritava lõike sissejuhatavat lauset muuta.
Muudatuse tulemusena ei kohaldata määruse nr 121 § 3 lõikeid 1, 11 ja 2 üksustele, keda on
nimetatud sama paragrahvi lõikes 21.
Paragrahvi 2 punktiga 6 asendatakse määruse nr 121 § 3 lõike 21 punktis 1 sõna
„määratlemise“ sõnaga „määratluse“. Tegemist on tehnilise muudatusega (parandatakse
pealkirja sõnastust), kuna selles punktis viidatud Euroopa Komisjoni soovituse tegelik pealkiri
on „Komisjoni soovitus, mis käsitleb mikro-, väikeste ja keskmise suurusega ettevõtjate
määratlust“.7
Paragrahvi 2 punktiga 7 täiendatakse määruse nr 121 § 3 lõigetega 22 ja 23.
Kuigi NIS2-direktiivi artikli 2 lõike 1 teine lõik võeti üle ülevõtmisseaduse kohase
küberturvalisuse seaduse § 3 lõikega 6, siis kõnealuse muudatusega (lisanduv lõige 22)
tagatakse selgus, et viidatud seaduse sättes sisalduv nõue kohaldub oma sisult ja mõttelt ka Eesti
infoturbestandardi või selle alternatiivina kasutatava standardi järgimise kohustuse kontekstis.
Euroopa Komisjoni soovituse 2003/361/EÜ lisa artikli 3 lõige 4 kehtestab üldreegli, mille
kohaselt ei ole ettevõtja väike- ega keskmise suurusega, kui tema kapitalist või hääleõigusest
25% või enamat kontrollivad otseselt või kaudselt, ühiselt või üksikult, üks või mitu avaliku
sektori organisatsiooni (ingl controlling public body). Vt selle kohta ka nimetatud soovituse
põhjendus 13:
(13) Vältimaks kunstlikku vahetegemist liikmesriigi erinevate avalik-õiguslike asutuste vahel ja
arvestades vajadust õiguskindluse järele, peetakse vajalikuks kinnitada, et VKE ei ole ettevõte,
mille kapitalist või hääleõigustest 25% või enam kontrollib avalik-õiguslik asutus.
NIS2-direktiivi artikli 2 lõike 1 teine lõik täpsustab, et viidatud soovituse artikli 3 lõiget 4 ei
arvestata NIS2-direktiivi puhul. Kuna küberturvalisuse seadusesse lisati sama nõue, siis selguse
huvides lisatakse sarnane nõue ka Eesti infoturbestandardi või selle alternatiivina kasutatava
standardi järgimise nõudele. Eeltoodu tõttu on muudatuse tulemusena võimalik mõnda üksust
pidada väike- või keskmise suurusega ettevõtjaks, kui seda kontrollib (osaliselt) avaliku sektori
organisatsioon ning tingimusel, et kommenteeritava paragrahvi lõike 21 punktis 1 nimetatud
tingimused (töötajate arv ja finantsnäitajad) on täidetud. NIS2-direktiiv ei näe ette nõudeid selle
kohta, kuidas teha kindlaks töötajate arv ja finantsnäitajad avaliku sektori organisatsioonide
puhul. Need üksused kuuluvad NIS2-direktiivi artikli 2 lõike 2 punkti f ja lõike 5 punkti a
kohaselt NIS2-direktiivi kohaldamisalasse, olenemata üksuse suurusest. Soovitusega
2003/361/EÜ ei ole mõeldud reguleerida seda, kuidas toimida kontrolli omavate avaliku sektori
7 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202490772
7 / 32
organisatsioonidega, ja see ei sisalda selgeid reegleid selle teema kohta. Selle soovituse reeglite
järgimine kontrolli omavate avaliku sektori organisatsioonide puhul (tuvastamaks nende seost
partner- ja sidusettevõtjatega väike- või keskmise suurusega ettevõtjate puhul) tekitaks Euroopa
Liidu liikmesriikide seas killustatust ja õiguslikku segadust. Seetõttu ei tule eraldiseisva
kontrolli omava avaliku sektori üksuse töötajate arvu ja finantsnäitajaid arvesse võtta, kui
selgitatakse kommenteeritava lõike kohaselt välja ettevõtjate töötajate arvu ja finantsnäitajaid.
Vt lisaks ülevõtmisseaduse § 3 selgituse alguses esitatud selgitusi soovituse 2003/361/EÜ
kohta.
Lisanduva lõikega 23 sätestatakse lisareegel üksuse töötajate arvu, aastakäibe ja
aastabilansimahu arvestamise kohta partner- ja sidusettevõtjate puhul. Sellise reegli loomise
võimalusele viitab NIS2-direktiivi põhjendus 16, mis on sõnastatud järgmiselt:
(16) Vältimaks seda, et üksusi, millel on partnerettevõtjad või mis on sidusettevõtjad, peetaks
elutähtsateks8 või olulisteks üksusteks, kui see oleks ebaproportsionaalne, on liikmesriikidel
võimalik soovituse 2003/361/EÜ lisa artikli 6 lõike 2 kohaldamisel võtta arvesse üksuse oma
partneritest või sidusettevõtjatest sõltumatuse määra. Eelkõige on liikmesriikidel võimalik võtta
arvesse asjaolu, et üksus on oma partner- või sidusettevõtjatest sõltumatu teenuste osutamisel
kasutatavate võrgu- ja infosüsteemide osas, ja teenuste osas, mida üksus osutab. .. .
Arvestades NIS2-direktiivi ülevõtmisel järgitud üldpõhimõtet, et riigisiseselt ei sätestata NIS2-
direktiivis ette nähtud miinimumnõuetest rangemaid nõudeid, on lõikesse 22 lisatud NIS2-
direktiivi põhjenduses 16 sätestatud võimalus jätta partner- ja sidusettevõtjate töötajate arv ning
käibe- või bilansimaht arvestamata. Seeläbi on võimalik Eesti infoturbestandardi või selle
alternatiivina kasutatava standardi kohaldamise nõude kohaldamisalast välja jätta sellised
üksused, kes vastaks töötajate arvu ning käibe- või bilansimahu poolest standardi rakendamise
nõudele just seetõttu, et partner- ja sidusettevõtja vastavad näitajad lisanduvad konkreetse
üksuse näitajatele – st, et vaadeldav üksus enda näitajate järgi piirmäärasid ei ületaks, kuid teeks
seda siis, kui tuleb arvestada ka partner- ja sidusettevõtjate näitajaid. Selline lahendus on
nendele ettevõtjatele ka palju soodsam. Kommenteeritavas lõikes ette nähtud välistust on
võimalik rakendada, kui asjaomasel partner- või sidusettevõtjal on otsustav mõju enda
infotehnoloogiasüsteemide toimimise üle ehk kui ta on enda IT-lahenduste korraldamisel
sõltumatu. Selline sõltumatus infotehnoloogiasüsteemide toimimise üle otsustamisel on olemas
eelkõige siis, kui partner- ja sidusettevõtja saab omal vastutusel teha põhilisi otsuseid
infotehnoloogiasüsteemide, selle komponentide ja protsesside üle. Kui partner- või
sidusettevõtja on selliste otsuste tegemisel vaba, siis ei arvestata üksuse töötajate arvu ja käibe-
või bilansinäitajate kindlakstegemisel tema töötajate arvu, käivet ega bilansimahtu. Kõnealuse
välistuse kohaldamine ei tule aga kõne alla juhul, kui IT-lahendusi rakendatakse terves
kontsernis ühetaoliselt, näiteks otsustab kõik IT-süsteemidega seotud küsimused emaettevõtja.
Paragrahvi 2 punktiga 8 täiendatakse määruse nr 121 § 5 lõikega 11.
Kommenteeritava lõikega määratakse kindlaks, mida riskianalüüs peab sisaldama. Kõnealuse
sättega võetakse üle NIS2-direktiivi artikli 21 lõike 2 punkt a ([l]õikes 1 osutatud meetmed
põhinevad kõiki ohte hõlmaval lähenemisviisil, mille eesmärk on kaitsta võrgu- ja infosüsteeme
ning nende süsteemide füüsilist keskkonda intsidentide eest, ning hõlmavad vähemalt järgmist:
a) riskianalüüsi ja infosüsteemide turbe põhimõtteid;) ning säilitatakse kuni 31. detsembrini
2025 kehtinud küberturvalisuse seaduse § 7 lõike 2 punkti 1 sisu9.
8 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliseks üksuseks“. 9 Kuni 31.12.2025 kehtinud küberturvalisuse seaduse (RT I, 21.06.2024, 15) § 7 lõike 2 punkt 1:
(2) Teenuse osutaja on turvameetmete rakendamisel kohustatud:
8 / 32
Kommenteeritava punktiga on seotud ka infoturvariskide kaardistamine ja nende haldamine.
AKITi kohaselt on infoturvarisk (ingl information security risk) määramatuse toime teabe
turvalisusele, ohu potentsiaal tekitada kahju teabe ja sellega kaasnevate varade turvalisuse
rikkumisega ning seda mõõdetakse ohu realiseerumise sündmuse võimalikkuse ja
tagajärgedega.10 Eesti infoturbestandardi portaalis on seda terminit selgitatud järgnevalt:
võimalus, et mingi oht kasutab ära mingi vara või varade rühma nõrkuse ning seeläbi tekitab
organisatsioonile kahju.11
Lühendsõna „süsteem“ on võetud kasutusele määruse nr 121 § 1 lõike 1 punktis 2, st see on
moodustatud terminist „võrgu- ja infosüsteem“. Selle termini kohta vt küberturvalisuse seaduse
§ 2 punkt 37. Termini „risk“ kohta vt küberturvalisuse seaduse § 2 punkt 25. Lühendväljend
„süsteemi turvalisus“ on moodustatud terminist „võrgu- ja infosüsteemi turvalisus“, mille kohta
vt küberturvalisuse seaduse § 2 punkt 38. Termini „küberintsident“ kohta vt küberturvalisuse
seaduse § 2 punkt 19.
Sõna „toimepidevus“ puhul saab teatava paralleeli tuua hädaolukorra seaduse § 2 lõikes 5
sätestatud elutähtsa teenuse toimepidevuse määratlusega, mille kohaselt on see elutähtsa
teenuse osutaja järjepideva toimimise suutlikkus ja järjepideva toimimise taastamise võime
pärast elutähtsa teenuse katkestust. Riigikogus arutlusel oleva tsiviilkriisi ja riigikaitse seaduse
eelnõu § 18 lõikes 1 on toimepidevus defineeritud kui püsiva kriisiülesandega asutuse ja isiku,
sealhulgas elutähtsa teenuse osutaja ja kohaliku omavalitsuse üksuse, ning põhiseadusliku
institutsiooni suutlikkus ja valmidus järjepidevalt toimida ning igal ajal oma ülesandeid täita
ja teenuseid osutada.12 Sõna „toimepidevus“ selgitab Eesti Keele Instituudi ühendsõnastik kui
võimelisust, suutlikkust toimida edaspidi, jätkata alustatud tegevust.13 Eelnõus on sõna
„toimepidevus“ seotud võrgu- ja infosüsteemidega seotud toimepidevusega, mitte laiema
toimepidevusega.
Riskianalüüsi puhul saab paralleeli tuua teatud üksuste14 suhtes kohaldatavate nõuetega, mis on
sätestatud NIS2-direktiivi artikli 21 lõike 5 alusel vastu võetud komisjoni rakendusmääruses
(EL) 2024/2690,15 konkreetsemalt selle rakendusmääruse artiklis 2 ja rakendusmääruse lisa
punktides 1 ja 2 ning mõlema punkti alapunktides.
Ülevõtmisseaduse vastuvõtmisele eelnenud menetluse käigus esitati kõnealuse sätte kohta
järgmine kommentaar (vt ülevõtmisseaduse eelnõu seletuskirja lisa 3 (märkuste tabel), Riigi
Infosüsteemi Ameti kommentaar nr 17.39):
Teeme ettepaneku sõnastada [küberturvalisuse seaduse eelnõu] § 7 lg 2 p 1-3 ja 9-14
järgmiselt: „(2) Teenuse osutaja on turvameetmete rakendamisel kohustatud: 1) koostama ja
1) koostama süsteemi riskianalüüsi, milles tuleb esitada süsteemi turvalisust ja teenuse toimepidevust mõjutavate
ning küberintsidendi tekkimist põhjustavate riskide loetelu, määrata riskide realiseerumisel tekkiva
küberintsidendi tagajärgede raskusaste ning kirjeldada küberintsidendi lahendamise abinõusid. 10 https://akit.cyber.ee/term/711-infoturvarisk-turvarisk 11 https://eits.ria.ee/et/abimaterjalid/seletav-soonaraamat 12 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/679eeee7-62b9-4817-a660-745e6642a8d9/tsiviilkriisi-ja-
riigikaitse-seadus/ 13 https://sonaveeb.ee/search/unif/dlall/dsall/toimepidevus/1/est 14 Küberturvalisuse seaduse termineid kasutades on nendeks üksusteks: domeeninimede süsteemi teenuse osutajad,
tippdomeeninimede registrite pidajad, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad,
sisulevivõrguteenuse osutajad, haldusteenuse osutajad, infoturbeteenuse osutajad, internetipõhise kauplemiskoha
pidajad, veebipõhise otsingumootori pakkujad, sotsiaalmeediaplatvormi pakkujad ja usaldusteenuse osutajad. Vt
täpsemalt küberturvalisuse seaduse § 7 lõige 7 ja ülevõtmisseaduse eelnõu seletuskirjas selle lõike kohta esitatud
selgitused. 15 Rakendusakt jõustus 7. novembril 2024 ja on kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1730728447038; lisainfo aadressil
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-
reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en ja https://eur-
lex.europa.eu/legal-content/ET/TXT/?uri=PI_COM:Ares(2024)4640447&qid=1728309190768.
9 / 32
rakendama infoturvariskide haldamise metoodika ja protseduurid; 2) koostama ja kehtestama
infoturbe eesmärgid ja infoturvapoliitika; .. 14) viima läbi süsteemi riskihalduse protseduurid,
mille käigus koostatakse süsteemi turvalisust mõjutavate riskide loetelu, määratakse riskide
raskusaste ning kirjeldatakse ja rakendatakse riskikäsitlusmeetmed vastavalt rakendamise
tähtaegadele. Selgitame: .. Väljend „Koostama ja kehtestama“ on seotud plaani loomise ja
ametliku kehtestamisega. Sõna „Teostama“ viitab sellele, et varade haldamine toimub
praktikas, järgitakse kehtestatud juhiseid ja toimingud viiakse ellu; 6) p 14 osas: antud
paranduse eesmärk on parandada arusaadavust. Lisaks palume kaaluda punkti 1) asendamist
siinse punktiga, kuna antud punkt juba katab ära 1) sisu, milles nõutav protseduur peaks
seisnema. Vältimaks turvameetmete jäämist vaid plaanimise tasemele, siis on soovitav lisada
ka rakendamise nõue. Seda viimast eriti olukorras, kus rakendusplaan riskikäsitlusmeetmetega
saab olema võimalik koostada automaatselt. Sellisel juhul nõue saaks justkui täidetud, kuid
turve ei paraneks, kui meetmete rakendamist ei toimu.
Eeltoodud kommentaari on kõnealuse sätte koostamisel arvestatud. Kommentaaris mainitud
punkti 14 sisu on lisatud kõnealusesse sättesse. Eelnõu koostamise käigus kaaluti, kas
kommenteeritava punkti alguses võiks kasutada sõna „riskianalüüs“ asemel sõnu „riskihalduse
protseduurid“, kuid sellest loobuti, kuna küberturvalisuse seaduse § 7 lõike 1 punkt 1 sätestab
teenuseosutaja kohustuse hallata riske, mis ohustavad teenuseosutaja tegevuses või teenuse
osutamisel kasutatava süsteemi turvalisust, sealhulgas tuleb tal koostada vastav riskianalüüs.
Kui kasutada kõnealuses lõikes muud sõna kui „riskianalüüs“, siis ei pruugi olla selge, mil moel
on viidatud seaduse punkt ja kõnealune lõige seotud.
Selle muudatuse kohta vt ka eelnõu § 2 punkt 12 ning selle selgitusi.
Paragrahvi 2 punktiga 9 muudetakse määruse nr 121 § 5 lõiget 4, võimaldades koostada sama
määruse kolmanda peatüki 1. jaos olevaid dokumente ka muu õigusakti alusel koostatava
dokumendi osana. Kehtiv säte kehtestab selle võimaluse ainult § 5 lõikes 1 sätestatud
dokumentatsioonile, kuid muudatusega tehakse dokumentide koostamine teenuseosutajale
paindlikumaks. Selle tulemusena võib teenuseosutaja näiteks koostada ühise dokumentatsiooni
nii määruse nr 121 § 5 (turvameetmete dokumentatsioon) kui ka § 51 (esmased turvameetmed)
ja sellega seotud sama määruse lisas ette nähtud nõuete täitmiseks.
Paragrahvi 2 punktiga 10 muudetakse määruse nr 121 § 51 lõiget 1. Küberturvalisuse seaduse
§ 7 lõige 6 viitab, et määruses nr 121 saab täpsustada alalisi asjakohaseid ja proportsionaalseid
tehnilisi, tegevuslikke ja korralduslikke turvameetmeid ning rakendamise nõudeid ja tingimusi,
sealhulgas võib nende puhul võtta arvesse sama seaduse § 3 lõigetes 2–5 nimetatud
tegevusalasid. Kõnealuse muudatusega sätestatakse, et määruses nr 121 ette nähtud esmased
turvameetmed ongi needsamad alalisse kasutusse võetavad nõuded.
Paragrahvi 2 punktiga 11 muudetakse määruse nr 121 § 51 lõike 1 punkti 4, asendades sõnad
„tarnijate, väliste teenuste osutajate ja partnerite haldus“ sõnadega „väliste partnerite haldus“.
Tegemist on tehnilise muudatusega. Vt ka eelnõu § 2 punkti 12, konkreetsemalt seal märgitud
määruse nr 121 lisa punkti 4 ja selle alapunkti selgitusi.
Paragrahvi 2 punktiga 12 asendatakse määruse nr 121 lisa (edaspidi lisa), mis on seotud
määruse §-s 51 nimetatud küberturvalisuse valdkondade täpsustamisega. Lisa asendatakse, et
tagada selle sõnastuse selgus ning samal ajal ka võtta lõplikult üle NIS2-direktiivi artikli 21
lõiked 2 ja 3.
Ülevõtmisseaduse koostamisel lähtuti loogikast, et küberturvalisuse seaduse §-s 7 jäetakse alles
teenuseosutaja võrgu- ja infosüsteemi suhtes kohaldatavatele turvameetmetele ette nähtud
üldised nõuded. Turvameetmete definitsiooni kohta vt küberturvalisuse seaduse § 2 punkt 33.
10 / 32
Täpsemad nõuded selle kohta, kuidas teenuseosutajad peavad turvameetmeid rakendama,
nähakse ette määruses nr 121. Määruse nr 121 kohaldumise ulatust käsitleb küberturvalisuse
seaduse § 7 lõige 7 – vt selle lõike selgitusi ülevõtmisseaduse eelnõu seletuskirjas.
Ülevõtmisseaduse eelnõu koostamise protsessis toimunud eelnõu kooskõlastusringi ja sellele
eelnenud arutelude tulemusel otsustati, et kõik küberturvalisuse seaduse subjektid ei pea
järgima Eesti infoturbestandardi või selle alternatiivina kasutatava rahvusvahelise standardi
ISO/IEC 27001 või Eesti standardi EVS-EN ISO/IEC 27001 nõudeid ega allu selle kohustuse
täitmisel välise auditeerimise nõudele,16 vaid teatud teenuseosutajate suhtes kehtivad esmaste
turvameetmete nõuded, võimaldades turvameetmete rakendamise täpse viisi valida
teenuseosutajal endal. Seda käsitlust kõnesoleva eelnõuga ei muudeta.
Küberturvalisuse seaduse § 7 lõikes 1 nähakse ette üldine kohustus rakendada alaliselt
turvameetmeid ja selle eesmärgid. Sama paragrahvi lõikes 2 nähakse ette, mida tuleb
turvameetmete rakendamisel arvestada, sealhulgas võetakse selle lõikega üle ka NIS2-direktiivi
artikli 21 lõike 2 sissejuhatav osa. Need nõuded kohalduvad ka kommenteeritavas lisas esitatud
esmaste turvameetmete suhtes. Vt selle lõike selgitusi ülevõtmisseaduse eelnõu seletuskirjas.
Ülevõtmisseadusega ei olnud kavas muuta küberturvalisuse seaduse § 7 lõiget 3 ega sama
paragrahvi lõikes 5 sätestatud volitusnormi, kuid selle eelnõu menetlemise käigus lisati seaduse
samasse paragrahvi lõige 6, mis täpsustab määrust nr 121 (vt ka eelnõu § 2 punktid 3 ja 4 ning
nende selgitused).
Algselt kaaluti kõnesoleva eelnõu puhul eraldi paragrahvi loomist, mis võtaks üle NIS2-
direktiivi artikli 21 lõigete 2 ja 3 sisu (alalised turvameetmed). Eelnõu koostamise käigus sellest
reguleerimisvariandist loobuti, et ei tekiks segadust alaliste turvameetmete ja esmaste
turvameetmete kattuvuse küsimuses. Kuna ülevõtmisseaduse vastuvõtmisele eelnenud
menetluse käigus esitati ka tolle kavandatava paragrahvi kohta kommentaare, on lisa
asjakohaste muudatuste selgituses vastavad kommentaarid ka esitatud.
NIS2-direktiivi artikli 21 lõikes 2, konkreetsemalt selle punktides, on sätestatud täpsemad
alalised nõuded selle kohta, mida peavad turvameetmed hõlmama. Seetõttu sätestatakse
kommenteeritavas lisas need tegevused ja asjaolud, mida teenuseosutaja peab turvameetme
rakendamisel tegema või arvestama.
Kommenteeritava lisaga on seotud ennekõike NIS2-direktiivi põhjendused 77–86 ja 88–91 ning
konkreetsemate üksuste (näiteks usaldusteenuse osutajad, sh kvalifitseeritud usaldusteenuse
osutajad, üldkasutatava elektroonilise side võrgu teenuse osutaja ja üldkasutatava elektroonilise
side teenuse osutaja) puhul ka põhjendused 93–100:
(77) Vastutus võrgu- ja infosüsteemi turvalisuse tagamise eest lasub suurel määral
elutähtsatel17 ja olulistel üksustel. Tuleks edendada ja arendada riskijuhtimiskultuuri, mis
hõlmab riskihindamisi ja riskile vastavate küberturvalisuse riskijuhtimismeetmete rakendamist.
(78) Küberturvalisuse riskijuhtimismeetmetes peaks võtma arvesse, mil määral elutähtis18 või
oluline üksus võrgu- ja infosüsteemidest sõltub, ning hõlmama meetmeid intsidendiriskide
tuvastamiseks, vältimiseks, avastamiseks, neile reageerimiseks ja neist taastumiseks ning nende
mõju leevendamiseks. Võrgu- ja infosüsteemide turvalisus peaks hõlmama salvestatavate,
edastatavate ja töödeldavate andmete turvalisust. Küberturvalisuse riskijuhtimismeetmetega
tuleks tagada süsteemne analüüs, milles võetakse arvesse inimtegurit, et saada võrgu- ja
infosüsteemi turvalisusest terviklik pilt.
(79) Kuna võrgu- ja infosüsteemide turvalisust ähvardavatel ohtudel võib olla erinev põhjus,
peaksid küberturvalisuse riskijuhtimismeetmed tuginema kõiki ohte hõlmavale käsitusele, mille
16 Vt eelnõude infosüsteemi toimikut 25-0715: Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ muutmine – https://eelnoud.valitsus.ee/main/mount/docList/7d3ea848-
35b2-47d8-8eb8-fa2f735c3da6. Need muudatused jõustusid 1. oktoobril 2025. 17 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulistel üksustel“. 18 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluline üksus“.
11 / 32
eesmärk on kaitsta võrgu- ja infosüsteeme ja nende füüsilist keskkonda selliste olukordade eest
nagu vargus, tulekahju, üleujutus, telekommunikatsiooni- või elektrikatkestus või loata füüsiline
juurdepääs elutähtsa või olulise üksuse teabe- ja teabetöötlusrajatistele ning nende
kahjustamine ja häirimine, mis võib ohustada võrgu- ja infosüsteemides salvestatud, edastatud
või töödeldud andmete või nende süsteemide pakutavate või nende kaudu juurdepääsetavate
teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust. Seepärast peaksid
küberturvalisuse riskijuhtimismeetmed käsitlema ka võrgu- ja infosüsteemide füüsilist
turvalisust ja keskkonnaohutust, hõlmates selliste süsteemide kaitsmist süsteemirikete, inimliku
eksimuse, pahatahtliku tegevuse või loodusnähtuste eest kooskõlas Euroopa ja rahvusvaheliselt
tunnustatud standarditega, näiteks ISO/IEC 27000 seeria standarditega. Sellega seoses peaksid
elutähtsad19 ja olulised üksused oma küberturvalisuse riskijuhtimismeetmete osana käsitlema
ka personali turvalisust ja kehtestama asjakohased juurdepääsukontrolli põhimõtted. Need
meetmed peaksid olema kooskõlas [CER-direktiiviga].
(80) Selleks et tõendada vastavust küberturvalisuse riskijuhtimismeetmetele ja kui puuduvad
Euroopa Parlamendi ja nõukogu määrusele (EL) 2019/881 vastavad asjakohased Euroopa
küberturvalisuse sertifitseerimise kavad, peaksid liikmesriigid konsulteerides koostöörühma ja
Euroopa küberturvalisuse sertifitseerimise rühmaga edendama asjaomaste Euroopa ja
rahvusvaheliste standardite kasutamist elutähtsate20 ja oluliste üksuste poolt, või liikmesriigid
võivad üksustelt nõuda, et nad kasutaksid sertifitseeritud IKT-tooteid, IKT-teenuseid ja IKT-
protsesse.
(81) Et vältida elutähtsatele21 ja olulistele üksustele ebaproportsionaalse finants- ja
halduskoormuse panemist, peaksid küberturvalisuse riskijuhtimismeetmed olema
proportsionaalsed asjaomase võrgu- ja infosüsteemi puhul esineva riski tasemega ning lähtuma
selliste meetmete tehnilisest tasemest ning, kui see on kohaldatav, Euroopa ja rahvusvahelistest
standarditest ning nende rakendamise kuludest.
(82) Küberturvalisuse riskijuhtimismeetmed peaksid olema proportsionaalsed elutähtsa22 või
olulise üksuse riskidele avatuse määraga ning intsidendi ühiskondliku ja majandusliku mõjuga.
Elutähtsatele23 ja olulistele üksustele kohandatud küberturvalisuse riskijuhtimismeetmete
kehtestamisel tuleks igakülgselt arvesse võtta elutähtsate24 ja oluliste üksuste erinevat avatust
riskidele, näiteks üksuse kriitilisuse määra, riske, sealhulgas ühiskondlikke riske, millega ta
kokku puutub, üksuse suurust, intsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas
nende ühiskondlikku ja majanduslikku mõju.
(83) Elutähtsad25 ja olulised üksused peaksid tagama oma tegevuses kasutatavate võrgu- ja
infosüsteemide turvalisuse. Nende puhul on eelkõige tegemist privaatsete võrgu- ja
infosüsteemidega, mida haldavad kas elutähtsa26 või olulise üksuse enda IT-töötajad või mille
turvalisusega seotud teenused ostetakse sisse. [NIS2-direktiivis] sätestatud küberturvalisuse
riskijuhtimismeetmeid ning teatamiskohustust tuleks kohaldada asjaomaste elutähtsate27 ja
oluliste üksuste suhtes olenemata sellest, kas kõnealused üksused hooldavad oma võrgu- ja
infosüsteeme ise või tellivad selleks hooldusteenuse väljast.
19 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“. 20 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliste üksuste“. 21 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulistele üksustele“. 22 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulise üksuse“. 23 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulistele üksustele“. 24 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliste üksuste“. 25 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“. 26 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulise üksuse“. 27 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliste üksuste“.
12 / 32
(84) Võttes arvesse nende piiriülest olemust, tuleks domeeninimede süsteemi teenuse osutajate,
tippdomeeninimede registrite28, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse
osutajate, sisulevivõrgu pakkujate29, hallatud teenuse osutajate30, turbetarnijate31,
internetipõhise kauplemiskohtade32, internetipõhiste otsingumootorite33, sotsiaalvõrguteenuse
platvormi pakkujate34 ja usaldusteenuse osutajate suhtes kohaldada liidu tasandil suuremat
ühtlustamist. Seetõttu tuleks küberturvalisuse riskijuhtimismeetmete rakendamise
hõlbustamiseks seoses kõnealuste üksustega võtta vastu rakendusakt.
(85) Eriti oluline on tegeleda riskidega, mis tulenevad üksuse tarneahelast ja suhetest tema
tarnijatega, näiteks andmete talletamise ja töötlemise teenuse osutajate või turbeteenuse
osutajate ja sisutoimetajatega, kui võtta arvesse selliste intsidentide esinemise sagedust, mille
puhul üksused on langenud võrgu- ja infosüsteemi vastu suunatud küberrünnete ohvriks ning
kurjategijad on suutnud kahjustada üksuse võrgu- ja infosüsteemide turvalisust, kasutades ära
kolmandate isikute tooteid ja teenuseid mõjutavaid nõrkusi. Seepärast peaksid elutähtsad35 ja
olulised üksused hindama ja arvesse võtma toodete ja teenuste üldist kvaliteeti ja vastupidavust,
nendesse integreeritud küberturvalisuse riskijuhtimismeetmeid, samuti oma tarnijate ja
teenuseosutajate36 küberturvalisuse tavasid, sealhulgas nende turvalise arenduse menetlusi.
Elutähtsaid37 ja olulisi üksusi tuleks eelkõige julgustada lisama küberturvalisuse
riskijuhtimismeetmeid oma otseste tarnijate ja teenuseosutajatega sõlmitavatesse lepingutesse.
Kõnealused üksused võiksid võtta arvesse ka riske, mis tulenevad muu tasandi tarnijatest ja
teenuseosutajatest.
(86) Teenuseosutajate seas on intsidentide ennetamisel, tuvastamisel, lahendamisel ja neist
taastumisel üksuste jaoks eriti oluline tugiroll turbetarnijatel38 sellistes teenusevaldkondades
nagu intsidentide lahendamine, läbistustestimine, turvaaudit ja konsultatsioonid.
Turbetarnijad39 on aga olnud ka ise küberrünnete sihtmärgiks ja kuna nad on üksuste tegevusse
tihedalt lõimitud, kaasneb nendega eriline risk. Seega peaksid elutähtsad40 ja olulised üksused
olema turbetarnija41 valimisel iseäranis hoolikad.
(88) Elutähtsad42 ja olulised üksused peaksid tähelepanu pöörama ka sellistele riskidele, mis
tulenevad nende suhtlemisest ja suhetest teiste sidusrühmadega laiemas ökosüsteemis, et muu
hulgas tõkestada tööstusspionaaži ja kaitsta ärisaladusi. Täpsemalt peaksid üksused võtma
asjakohaseid meetmeid tagamaks, et nende koostöö akadeemiliste ja teadusasutustega toimub
kooskõlas nende küberturvalisuse poliitikaga ning et selles koostöös järgitakse teabele turvalise
juurdepääsu ja selle levitamisega seotud üldisi häid tavasid ja eelkõige intellektuaalomandi
28 Ülevõtmisseaduse kohases küberturvalisuse seaduses „tippdomeeninimede registrite pidajad“. 29 Ülevõtmisseaduse kohases küberturvalisuse seaduses „sisulevivõrguteenuse osutajate“. 30 Ülevõtmisseaduse kohases küberturvalisuse seaduses „haldusteenuse osutajate“. 31 Ülevõtmisseaduse kohases küberturvalisuse seaduses „infoturbeteenuse osutajate“. 32 Ülevõtmisseaduse kohases küberturvalisuse seaduses „internetipõhiste kauplemiskohtade pidajate“. 33 Ülevõtmisseaduse kohases küberturvalisuse seaduses „veebipõhise otsingumootori pakkujate“. 34 Ülevõtmisseaduse kohases küberturvalisuse seaduses „sotsiaalmeediaplatvormi pakkujate“. 35 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“. 36 Siin ei ole pigem mõeldud ülevõtmisseaduse kohase küberturvalisuse seaduse § 3 lõikes 1 kasutatavat terminit
„teenuseosutaja“, vaid neid üksusi, kes selle seaduse kohaldamisalasse kuuluvale üksusele teenust osutavad.
Samas võivad sellisteks üksusteks olla nt ka ülevõtmisseaduse järgse küberturvalisuse seaduse kohased
haldusteenuse osutajad või infoturbeteenuse osutajad. See märkus käib ka käesoleva tekstilõigu kahe järgmise
lause kohta. 37 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliololulisi üksusi“. 38 Ülevõtmisseaduse kohases küberturvalisuse seaduses „infoturbeteenuse osutajatel“. 39 Ülevõtmisseaduse kohases küberturvalisuse seaduses „infoturbeteenuse osutajad“. 40 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“. 41 Ülevõtmisseaduse kohases küberturvalisuse seaduses „infoturbeteenuse osutaja“. 42 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“.
13 / 32
kaitsega seotud tavasid. Võttes arvesse andmete olulisust ja väärtust elutähtsate43 ja oluliste
üksuste tegevuse jaoks, peaksid kõnealused üksused kolmandate isikute poolt osutatavatele
andmete teisendamise ja analüüsi teenustele tuginedes võtma kõik asjakohased
küberturvalisuse riskijuhtimismeetmed.
(89) Elutähtsad44 ja olulised üksused peaksid kasutusele võtma mitmesugused küberhügieeni
põhitavad, näiteks usaldamatuse põhimõtte, tarkvarauuendused, seadme konfiguratsiooni,
võrgu segmenteerimise, identiteedi ja juurdepääsu halduse ning kasutajateadlikkuse, ning
pakkuma oma töötajatele koolitusi ning suurendama teadlikkust küberohtude, andmepüügi ja
inimestega manipuleerimise meetodite kohta. Lisaks peaksid kõnealused üksused hindama oma
küberturvalisuse võimekust ning püüdma võtta asjakohasel juhul kasutusele küberturvalisust
suurendavad tehnoloogiad, näiteks tehisintellekti või masinõppesüsteemid, et suurendada oma
võimekust ning võrgu- ja infosüsteemide turvalisust.
(90) Et käsitleda põhjalikumalt peamisi tarneahelariske ning aidata asjakohaselt juhtida
[NIS2-direktiivi] kohaldamisalasse kuuluvates sektorites tegutsevatel elutähtsatel45 ja olulistel
üksustel tarneahela ja tarnijatega seotud riske, peaks koostöörühm tegema koostöös komisjoni
ja ENISAga ning asjakohasel juhul pärast asjakohaste sidusrühmadega, sealhulgas tööstusega
konsulteerimist koordineeritud kriitilise tähtsusega tarneahelate turberiski hindamise (nagu
tehti 5G-võrkude kohta vastavalt soovitusele (EL) 2019/534 (5G-võrkude küberturvalisuse
kohta)), eesmärgiga määrata iga sektori jaoks kindlaks kriitilise tähtsusega IKT-teenused, IKT-
süsteemid või IKT-tooted, asjaomased ohud ja nõrkused. Sellise turberiski koordineeritud
hindamise käigus tuleks kindlaks teha meetmed, leevenduskavad ja parimad tavad, millega
võidelda kriitilise tähtsusega sõltuvuse vastu, potentsiaalsete nõrkade lülide, ohtude, nõrkuste46
ja muude riskide vastu, mis on seotud tarneahelaga, ning uurida, kuidas saaks elutähtsaid47 ja
olulisi üksusi julgustada neid ulatuslikumalt kasutusele võtma. Võimalikud muud kui tehnilised
riskitegurid, nagu kolmanda riigi lubamatu mõju tarnijatele ja teenuseosutajatele, eelkõige
alternatiivsete juhtimismudelite puhul, hõlmavad varjatud nõrkusi48 või tagauksi ja võimalikke
süsteemseid tarnehäireid, eriti tehnoloogilise kinnistumise või teenuseosutajast sõltuvuse
korral.
(91) Kriitilise tähtsusega tarneahela turberiskide koordineeritud hindamisel tuleks asjaomase
sektori omadusi silmas pidades võtta arvesse nii tehnilisi kui ka asjakohasel juhul muid kui
tehnilisi tegureid, sealhulgas neid, mis on kindlaks määratud soovituses (EL) 2019/534, 5G-
võrkude küberturvalisusega seotud ELi koordineeritud riskihindamist käsitlevas aruandes ja
koostöörühma kokkulepitud ELi 5G-küberturvalisuse meetmepaketis. Et teha kindlaks
tarneahelad, mille suhtes peaks kohaldama turberiski koordineeritud hindamist, tuleks arvesse
võtta järgmisi kriteeriume: i) kui suurel määral elutähtsad49 ja olulised üksused kindlaid
kriitilise tähtsusega IKT-teenuseid, IKT-süsteeme või IKT-tooteid kasutavad ning nendele
tuginevad; ii) kindlate kriitilise tähtsusega IKT-teenuste, IKT-süsteemide või IKT-toodete
asjakohasus kriitilise tähtsusega või tundlike funktsioonide (sealhulgas isikuandmete
töötlemine) täitmisel; iii) alternatiivsete IKT-teenuste, IKT-süsteemide või IKT-toodete
kättesaadavus; iv) IKT-teenuste, IKT-süsteemide või IKT-toodete tarneahela kui terviku
vastupidavusvõime kogu nende olelusringi jooksul häirivate sündmuste korral või v) kui
tegemist on kujunemisjärgus IKT-teenuste, IKT-süsteemide või IKT-toodetega, siis nende
potentsiaalne tulevane tähtsus üksuste tegevuse jaoks. Lisaks tuleks erilist tähelepanu pöörata
43 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliste üksuste“. 44 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“. 45 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulistel üksustel“. 46 Ülevõtmisseaduse kohases küberturvalisuse seaduses „turvahaavatavuste“. 47 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulisi üksusi“. 48 Ülevõtmisseaduse kohases küberturvalisuse seaduses „turvahaavatavusi“. 49 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üliolulised üksused“.
14 / 32
IKT-teenustele, IKT-süsteemidele või IKT-toodetele, mille suhtes kehtivad kolmandatest
riikidest tingitud erinõuded.
(93) [NIS2-direktiivis] sätestatud küberturvalisuse kohustusi tuleks käsitada täiendusena
nõuetele, mis on kehtestatud usaldusteenuse osutajatele määrusega (EL) nr 910/2014.
Usaldusteenuse osutajatelt tuleks nõuda, et nad võtaksid kõik asjakohased ja proportsionaalsed
meetmed, et juhtida oma teenuseid ohustavaid riske, sealhulgas seoses klientide ja teenustest
sõltuvate kolmandate isikutega, ning teataksid [NIS2-direktiivi] kohaselt intsidentidest. Sellised
küberturvalisuse kohustused ja teatamiskohustus peaksid hõlmama osutatavate teenuste
füüsilist kaitset. Määruse (EL) nr 910/2014 artiklis 24 kvalifitseeritud usaldusteenuse osutajate
suhtes sätestatud nõudeid kohaldatakse ka edaspidi.
(94) Liikmesriigid võivad määrata usaldusteenuste eest vastutavaks pädevaks asutuseks
määruse (EL) nr 910/2014 kohase järelevalveasutuse, et tagada praeguste tavade jätkumine
ning kasutada nimetatud määruse kohaldamisel saadud teadmisi ja kogemusi. Sellisel juhul
peaksid [NIS2direktiivi] kohased pädevad asutused tegema tihedalt ja aegsasti koostööd
kõnealuste järelevalveasutustega, vahetades asjakohast teavet, et tagada tulemuslik järelevalve
ja see, et usaldusteenuse osutajad täidavad [NIS2-direktiivis] ja määruses (EL) nr 910/2014
sätestatud nõudeid. Kui see on kohaldatav, peaks CSIRT või käesoleva direktiivi kohane pädev
asutus viivitamata teavitama määruse (EL) nr 910/2014 kohast järelevalveasutust igast
teatatud olulisest küberohust või intsidendist, mis mõjutab usaldusteenuseid, ning igast [NIS2-
direktiivi] rikkumisest usaldusteenuse osutaja poolt. Liikmesriigid võivad, kui see on
kohaldatav, kasutada teatamiseks ühtset kontaktpunkti, mis on loodud selleks, et tagada ühtne
ja automaatne intsidentidest teatamine nii määruse (EL) nr 910/2014 kohasele
järelevalveasutusele kui ka [NIS2-direktiivi] kohasele CSIRTile või pädevale asutusele.
(95) Kui see on asjakohane ja et vältida tarbetuid häireid, tuleks [NIS2-direktiivi ülevõtmisel
arvesse võtta olemasolevaid riiklikke suuniseid, mis on võetud vastu direktiivi (EL) 2018/1972
artiklites 40 ja 41 sätestatud turvameetmetega seotud normide ülevõtmiseks, tuginedes seega
teadmistele ja oskustele, mis on direktiivi (EL) 2018/1972 alusel seoses turvameetmete ja
intsidenditeadetega juba omandatud. ENISA võib koostada üldkasutatavate elektroonilise side
võrkude pakkujate50 või üldkasutatavate elektrooniliste side teenuste osutajate jaoks ka
turvanõudeid ja teatamiskohustust käsitlevad suunised, et hõlbustada ühtlustamist ja
üleminekut ning minimeerida häireid. Liikmesriigid võivad anda elektroonilise side eest
vastutava pädeva asutuse rolli direktiivi (EL) 2018/1972 kohastele riigi reguleerivatele
asutustele, et tagada praeguste tavade jätkumine ning kasutada nimetatud direktiivi
rakendamisel saadud teadmisi ja kogemusi.
(96) Võttes arvesse, et direktiivis (EL) 2018/1972 määratletud numbrivaba isikutevahelise side
teenuste olulisus kasvab, tuleb tagada, et ka nende teenuste kohta kehtiksid asjakohased, nende
eripära ja majanduslikku tähtsust arvestavad turvanõuded. Ründepinna üha laienedes
muutuvad levinud sihtmärkideks numbrivaba isikutevahelise side teenused, näiteks
sõnumiteenused. Kurjategijad kasutavad platvorme suhtlemiseks ja selleks, et meelitada
ohvreid avama nakatatud veebisaite, suurendades seeläbi isikuandmete ärakasutamise ja
laiemalt ka infosüsteemide turvalisusega seotud intsidentide esinemise tõenäosust. Numbrivaba
isikutevahelise side teenuste pakkujad peaksid tagama riskitasemele vastava võrgu- ja
infosüsteemide turvalisuse taseme. Arvestades, et numbrivaba isikutevahelise side teenuste
osutajatel puudub tavaliselt tegelik kontroll võrkudes signaalide edastamise üle, võib selliste
teenustega seotud riske pidada mõnes mõttes väiksemaks kui riske, mis esinevad tavapäraste
elektroonilise side teenuste puhul. Sama kehtib ka selliste direktiivis (EL) 2018/1972
50 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üldkasutatava elektroonilise side võrgu teenuse
osutajate“.
15 / 32
määratletud isikutevahelise side teenuste kohta, mille puhul kasutatakse numbreid ja millel
puudub tegelikult kontroll signaaliedastuse üle.
(97) Siseturg sõltub interneti toimimisest rohkem kui kunagi varem. Peaaegu kõigi elutähtsate51
ja oluliste üksuste teenused sõltuvad interneti kaudu pakutavatest teenustest. Et tagada
elutähtsate52 ja oluliste üksuste pakutavate teenuste sujuv osutamine, on oluline, et kõikidel
üldkasutatavate elektroonilise side võrkude pakkujatel53 oleksid asjakohased küberturvalisuse
riskijuhtimismeetmed ja et nendega seotud olulistest intsidentidest teatataks. Liikmesriigid
peaksid tagama üldkasutatavate elektroonilise side võrkude turvalisuse säilimise ning oma
eluliste julgeolekuhuvide kaitse sabotaaži ja spionaaži eest. Kuna rahvusvaheline ühenduvus
edendab ja kiirendab liidu ja selle majanduse konkurentsipõhist digitaliseerimist, tuleks
merealuseid sidekaableid mõjutavatest intsidentidest teavitada CSIRTi või, kui see on
kohaldatav, pädevat asutust. Kui see on asjakohane, tuleks merealuste sidekaablite
küberturvalisust riiklikus küberturvalisuse strateegias arvesse võtta ning see peaks hõlmama
võimalike küberturvalisuse riskide kaardistamist ja leevendusmeetmeid, et tagada nende kaitse
kõrgeimal tasemel.
(98) Üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektroonilise side teenuste
turvalisuse tagamiseks tuleks edendada krüpteerimistehnoloogiate kasutamist, eelkõige
otspunktkrüpteerimist ja andmekeskseid turbekontseptsioone, nagu kartograafia,
segmenteerimine, märgistamine, juurdepääsupoliitika ja juurdepääsu haldamine ning
automatiseeritud juurdepääsu otsused. Vajaduse korral peaks üldkasutatavate elektroonilise
side võrkude pakkujatele54 või üldkasutatavate elektroonilise side teenuste osutajatele olema
[NIS2-direktiivi] kohaldamisel kohustuslik kasutada krüpteerimist, eelkõige
otspunktkrüpteerimist, kooskõlas turbe ja privaatsuse vaikesätteid ja sisseprojekteerimist
käsitlevate põhimõtetega. Otspunktkrüpteerimise kasutamine tuleks ühildada liikmesriikide
volitustega tagada nende oluliste julgeolekuhuvide ja avaliku julgeoleku kaitse ning
võimaldada kuritegude ennetamist, uurimist, avastamist ja nende eest vastutusele võtmist
kooskõlas liidu õigusega. Sellega ei tohiks aga kaasneda otspunktkrüpteerimise nõrgestamine,
kuna see on tõhusa andmekaitse, privaatsuse ja side turvalisuse jaoks olulise tähtsusega
tehnoloogia.
(99) Üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektroonilise side teenuste
turvalisuse tagamiseks ning nende kuritarvitamise ja manipuleerimise vältimiseks tuleks
edendada koostalitlusvõimeliste turvaliste marsruutimisstandardite kasutamist, et tagada
marsruutimisfunktsioonide terviklus ja töökindlus kogu internetiühenduse teenuse osutajate
ökosüsteemis.
(100) Et kaitsta interneti funktsionaalsust ja terviklust ning edendada domeeninimede süsteemi
turvalisust ja vastupanuvõimet, tuleks asjaomaseid sidusrühmi, sealhulgas liidu erasektori
üksusi, üldkasutatavate elektroonilise side teenuste osutajaid, eelkõige internetiühenduse
teenuse osutajaid, ja internetipõhise otsingumootori teenuse osutajaid55, innustada võtma vastu
domeeninimede süsteemi teisendamise mitmekesistamise strateegia. Ühtlasi peaksid
liikmesriigid innustama avaliku ja turvalise Euroopa domeeninimede süsteemi teisendamise
teenuse väljatöötamist ja kasutamist.
51 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliste üksuste“. 52 Ülevõtmisseaduse kohases küberturvalisuse seaduses „ülioluliste üksuste“. 53 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üldkasutatava elektroonilise side võrgu teenuse
osutajatel“. 54 Ülevõtmisseaduse kohases küberturvalisuse seaduses „üldkasutatava elektroonilise side võrgu teenuse
osutajatele“. 55 Ülevõtmisseaduse kohases küberturvalisuse seaduses „veebipõhise otsingumootori pakkujaid“.
16 / 32
NIS2-direktiivi artikli 21 lõike 2 punktides sätestatud nõuded on sisuliselt samad, mida näeb
ette küberturvalisuse seaduse § 7 lõike 5 alusel kehtestatud Eesti infoturbestandard (edaspidi E-
ITS)56 või rahvusvaheline standard ISO/IEC 27001:2002. Seda illustreerib tabel 1.
Tabel 1. NIS2-direktiivi artikli 21 lõigete 1–3 võrdlus Eesti infoturbestandardiga (E-ITS) ja
rahvusvahelise standardiga ISO/IEC27001:2002
Art 21
lõige 1
E-ITSi moodul
põhitasemel
E-ITSi moodul
standardtasemel
Kommentaar E-ITSi kohta ISO/IEC27001:2022
Terve
lõige
E-ITS E-ITS E-ITSi puhul tuleneb
proportsionaalsus just
selle modulaarsest ise-
loomust ja astmelisusest.
Liikmesriik saab kehtestada
enda standardid või
standardsed nõuded, et
eesmärki saavutada, nt E-
ITSi või nõude kasutada
ISO/IEC27001
Kuna see on
liikmesriigi tegevus,
siis otsest vastet pole,
kuid liikmesriik saab
kehtestada enda
standardid või
standardsed nõuded,
et eesmärki
saavutada, nt E-ITSi
või nõude kasutada
ISO/IEC27001
Terve
lõige
ORP ORP Kui üksus nõuab meetmeid
oma tarneahela partneritelt,
siis on vastavalt varadele
võimalik samuti meetmed
võtta otse E-ITSist
Üksus võib
rakendada meetmeid,
lähtudes esitatud
nõuetest
ISO/IEC27001
vastavussertifikaadi
asjakohase
käsitlusalaga
Terve
lõige
E-ITSi meetmete regulaarne
uuendamine peab tagama
nende vastavuse
küberintsidentidele ja uutele
tehnoloogiatele. E-ITSi
uuendamisega tegelebki
Riigi Infosüsteemi Amet
ISO/IEC27001
uuendamine ei võta
arvesse Eesti
eripärasid.
Läbivaatuse tsükkel
on umbes 5 aastat.
Üksus peab ise
lähtuma
riskianalüüsist ja
arvestama
ühiskonnas ja
küberruumis
toimuvat oma
meetmete
uuendamisel,
soovitavalt lähtuma
Riigi Infosüsteemi
Ameti soovitustest ja
56 Kättesaadav ettevõtlus- ja infotehnoloogiaministri 16.12.2022 määruse nr 101 „Eesti infoturbestandard“ lisadest
(vt https://www.riigiteataja.ee/akt/130012024007?leiaKehtiv) või Eesti infoturbestandardi portaalist
https://eits.ria.ee/.
17 / 32
seega ka E-
ITSi uuendustest
Art 21
lõige 2
E-ITSi moodul
põhitasemel
E-ITSi moodul
standardtasemel
Kommentaar E-ITSi kohta ISO/IEC27001:2022
Punkt a ISMS,
ORP,
OPS,
DER,
APP,
SYS,
INF
ISMS,
ORP,
OPS,
CON,
DER,
APP,
SYS,
IND
Meetmed on jaotunud
kõigisse protseduurilistesse
moodulitesse, osad
täpsustused ja sõltuvalt
kasutatavatest varadest
süsteemi moodulites
Põhiosa 5.2, 6.1, 10
Läbivalt kogu lisa A.
A5.1, A5.8, A5.12,
A5.13, A5.31, A5.32,
A5.33, A5.34, A5.36,
A7.1, A8.11,
Punkt b OPS,
DER,
ORP
OPS,
DER,
IND,
NET,
INF
Põhisisu OPSi ja DERi
moodulites
A5.5, A5.6, A5.24,
A5.25, A5.26, A2.27,
A5.28, A5.29, A6.8,
A8.16,
Punkt c CON,
OPS,
DER,
APP,
SYS,
IND,
NET,
INF
CON,
OPS,
DER,
APP,
SYS,
IND,
NET,
INF
Põhisisu CONi, OPSi ja
DERi moodulites, teistes
täpsustused varade põhiselt
A5.5, A5.6, A5.29,
A5.30, A7.5, A8.13
Punkt d ISMS,
OPS,
CON,
DER,
APP,
SYS,
IND,
NET,
INF
OPS,
CON,
APP,
IND,
INF
Põhisisu OPSi moodulis,
teistes täpsustused
Põhiosa 4.2
A5.14, A5.19, A5.20,
A5.21, A5.22, A5.23,
A5.37, A8.30
Punkt e CON,
OPS,
DER,
APP,
SYS,
IND,
NET,
INF
CON,
OPS,
DER,
APP,
SYS,
IND,
NET,
INF
Protseduurilised teemad
valdavalt CONi ja OPSi
moodulites, muudes
moodulites täpsustused;
DER lisab nõrkuse halduse,
mis kajastub ka varapõhistes
moodulites
Põhiosa 4.2
A5.7, A5.8, A5.23,
A7.11, A7.12, A7.13,
A7.14, A8.1, A8.6,
A8.8, A8.9, A8.10,
A8.12, A8.14, A8.16,
A8.18, A8.19, A8.20,
A8.21, A8.22, A8.23,
A8.25, A8.26, A8.27,
A8.28, A8.29, A8.30,
A8.31, A8.32, A8.33,
A8.34
18 / 32
Punkt f ISMS,
CON,
DER,
INF
ORP,
DER,
SYS,
IND,
NET,
INF
Riskipõhist tegutsemist
eeldab just infoturbe
tervikhaldus ning etalonturve
on selle üks osa
Põhiosa 9, 10
A5.35, A5.36, A7.4,
A8.15, A8.16, A8.17,
A8.34
Punkt g ORP,
CON,
OPS,
SYS,
NET,
INF
ORP,
OPS,
DER,
APP,
NET,
INF
Koolitused ORPi moodulis,
kuid mujal moodulites on
täpsustused teemade kohta,
mis vajavad eraldi koolitust
Põhiosa 7.3
A5.17, A5.37, A6.3,
A6.4, A6.7, A6.8,
A7.6, A7.7, A8.1
Punkt h CON,
OPS,
APP,
SYS,
NET
ISMS,
ORP,
CON,
OPS,
APP,
SYS,
NET
Üldine krüptograafia
kajastatud CONi moodulis;
muudes moodulites
spetsiifilised täpsustused
sõltuvalt konkreetsematest
kasutuskohtadest
A8.1, A8.24
Punkt i ISMS,
ORP,
CON,
OPS,
APP,
SYS,
IND,
NET,
INF
ORP,
CON,
OPS,
APP,
SYS,
IND,
NET,
INF
Pääsuhaldus katab pea kõiki
mooduleid, põhiline ORPis
Põhiosa 5.3
A5.2, A5.3, A5.9,
A5.10, A5.11, A5.15,
A5.16, A5.18, A6.1,
A6.2, A6.5, A6.6,
A6.7, A7.2, A7.3,
A7.6, A7.8, A7.9,
A7.10, A7.14, A8.2,
A8.3, A8.4, A8.5
Punkt j ORP,
OPS,
APP,
SYS
ORP,
CON,
OPS,
APP,
SYS,
NET
Mitmikautentimise
lahenduse (ehk MFA)
kasutamise ning ühendatud
side- ja koostöölahenduste
(ehk UCC) teemad
kajastatud kasutuskohtades
ja ORPi moodulis
A8.1
Art 21
lõige 3
E-ITSi moodul
põhitasemel
E-ITSi moodul
standardtasemel
Kommentaar E-ITSi kohta ISO/IEC27001:2022
Terve
lõige
OPS OPS On kaetud OPSi mooduliga Põhiosa 4.2
A5.14, A5.19, A5.20,
A5.21, A5.22, A5.23,
A5.37, A8.30
Eeltoodud tabel on esitatud selleks, et selgitada NIS2-direktiivi artikli 21 lõigete 2 ja 3 ning E-
ITSi ja rahvusvaheline standardi ISO/IEC 27001:2002 vahelist seost. See on abiks neile
teenuseosutajatele, kellel ei ole võimalik piirduda ainult esmaste turvameetmetega ehk kes
peavad rakendama kas E-ITSi või selle alternatiive (vt määruse nr 121 § 3 lõiked 2–3). Lisaks
abistab see ka neid teenuseosutajaid, kes peavad määruse nr 121 § 3 lõike 21 kohaselt
rakendama ainult esmaseid turvameetmeid, kuid kes siiski soovivad vabatahtlikult lähtuda
19 / 32
detailsematest nõuetest ehk E-ITSist või selle alternatiivsetest standarditest. Siiski tuleb
arvestada, et nii E-ITS kui ka mainitud rahvusvaheline standard on oma sisu ja nõuete poolest
tunduvalt detailsem kui kommenteeritav lisa ja selles sätestatud esmased turvameetmed.
Riigi Infosüsteemi Ameti teenistujate osalusel on arendamisel ka E-ITSi järgimise
tugirakendus, mis aitab rakendajal luua vajaduspõhist turvameetmete rakendusplaani, seejuures
vähendada vigu meetmete valimisel, ja suunab rakendaja kohe meetmete rakendamisele.
Tugirakenduse eesmärk on vähendada E-ITSi rakendamise protsessi keerukust. See on
interaktiivne rakendusjuhend, mis aitab läbida infoturbehalduse protsessi teatud etappe ning
annab võimaluse olla standardi kataloogi uuendustega pidevalt kursis. Seejuures säilib siiski
kogu standardi olemus ning meetmetes järeleandmisi ei tehta – küberruumi olukord nõuab
vähemalt põhimeetmete rakendamist, NIS2-direktiivi artikli 21 nõuded on seejuures
kõikehõlmavad. Riigi Infosüsteemi Amet ei hakka organisatsioonide turvet haldama ega
haldamisteavet hoidma. Amet tegeleb E-ITSi arendamisega ja püüab leida lahendusi, et aidata
rakendajal leida E-ITSist oma organisatsioonile võimalikult ressursse säästvalt õiged meetmed,
kuid teenuseosutaja peab neid oma tööriistadega rakendama ja haldama. E-ITSi tugirakenduse
leiab siit: https://eits.ria.ee/et/abimaterjalid/tugirakendus. E-ITSi juhendid on asjakohases
portaalis, vt https://eits.ria.ee/et/avalehe-menueue/koolitusvideod, https://eits.ria.ee/et/avalehe-
menueue/juhendid, https://eits.ria.ee/et/avalehe-menueue/kogukond ja
https://eits.ria.ee/et/avalehe-menueue/suendmused.
Kuna kommenteeritavas lisas on täpsustatud esmaste turvameetmete sisu, siis võrreldakse
järgnevalt ka NIS2-direktiivi artikli 21 lõigete 1–3 sisu ja esmaseid turvameetmeid. Seda
illustreerib tabel 2. Tabeli vastavuste esitamisel on võetud eeskuju ka NIS2-direktiivi artikli 21
lõike 5 alusel kehtestatud Euroopa Komisjoni rakendusmääruse (EL) 2024/269057 lisas esitatud
tehniliste ja metoodiliste nõuete loetelust. Viidatud rakendusmäärus kohaldub ainult teatud
teenuseosutajatele,58 sh on selle rakendusmäärusega seoses kehtestatud küberturvalisuse
seaduse § 7 lõige 7 (vt ka selle lõike selgitused ülevõtmisseaduse eelnõu seletuskirjas).
Tabel 2. NIS2-direktiivi artikli 21 lõigete 1–3 võrdlus määruse nr 121 lisas sätestatud esmaste
turvameetmetega
Art 21
lõige 1
Lisas sätestatud esmaste
turvameetmete punkt või
punktid
Kommentaar
Terve
lõige
Sissejuhatava osa kolmas lõik Seos on proportsionaalsuse kontekstis ehk see
jätab võimaluse rakendada meedet, mis on kõige
asjakohasem
Art 21
lõige 2
Lisas sätestatud esmaste
turvameetmete punkt või
punktid
Kommentaar
Punkt a Punkt 1 tervikuna
Punkt b Punkt 5 tervikuna, kuid seotud
on ka punktid 7.8–7.11
Punkt c Punkt 1.4, kuid seotud on ka
punktid 3.1, 3.6, 5.3 ja 7.6
57 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1769430711987 58 Ülevõtmisseaduse kohase küberturvalisuse seaduse termineid kasutades on nendeks üksusteks: domeeninimede
süsteemi teenuse osutajad, tippdomeeninimede registrite pidajad, pilvandmetöötlusteenuse osutajad,
andmekeskusteenuse osutajad, sisulevivõrguteenuse osutajad, haldusteenuse osutajad, infoturbeteenuse osutajad,
internetipõhise kauplemiskoha pidajad, veebipõhise otsingumootori pakkujad, sotsiaalmeediaplatvormi pakkujad
ja usaldusteenuse osutajad.
20 / 32
Punkt d Punkt 4 tervikuna, kuid seotud
on ka punkt 1.3
Punkt e Punkt 1.5, kuid seotud on ka
punktid 6.1, 7.1–7.3 ja 7.12–
7.14
Punkt f Punkt 1.3, kuid seotud on ka
punktid 3.1, 4.1, 4.2, 6.6 ja 7.14
Punkt g Punkt 2 tervikuna, kuid seotud
on ka punktid 5.1 ja 6.1–6.5
Punkt h Punktid 3.3, 3.4 ja 7.7, kuid
seotud on ka punktid 2.6, 7.12,
7.13
Punkt i Punktid 1.1, 1.6, 2.3, 2.4, 2.6,
3.2, 3.5, 3.7, 6.2, 6.6, 7.3, 7.5
ning punktid 8 ja 9 tervikuna,
kuid seotud on ka punktid 6.3,
7.10 ja 7.11
Personalile tasutakontrolli tegemine on ametnike
puhul ette nähtud avaliku teenistuse seadusega
ning kui keegi personalist peab saama riigisaladuse
loa, siis toimub taustakontroll riigisaladuse ja
salastatud välisteabe seaduses ette nähtud
taustakontrolli menetluse raames
Punkt j Punkt 2.5 ja 5.3, kuid seotud on
ka punktid 1.4 ja 6.4
Art 21
lõige 3
Lisas oleva esmaste
turvameetmete punkt või
punktid
Kommentaar
Terve
lõige
Punktid 4.1 ja 4.2
Eelnõu koostamisel otsustati asendada määruse nr 121 kehtiv lisa tervikuna, et tagada lisa kui
terviku komplektsus. See ei tähenda siiski, et kõik lisa punktid on muudetud. Käesolevas
seletuskirjas selgitatakse ainult kommenteeritava lisa neid punkte, mida muudetakse.
Ülevõtmisseaduse vastuvõtmisele eelnenud menetluse käigus esitati kommentaar kogu lisa
kohta. Eesti Infotehnoloogia ja Telekommunikatsiooni Liit esitas järgmise kommentaari (vt
eelnõu nr 739 SE seletuskirja lisa 3 (märkuste tabel). kommentaar nr 24.48): Eelnõu § 1 p 26 –
KüTS § 7 lg 2 […] Teeme ettepaneku tõlkida turvameetmete nimekiri täpselt NIS2-direktiivist,
praegu on tekitatud meetmeid juurde sõnastuste muudatustega. Isegi kui need on väikesed ning
sisuliselt on proovitud osa teemasid lahti lüüa eraldi punktideks. Kõnesoleva eelnõu puhul ongi
lähtutud ennekõike NIS2-direktiivi sõnastusest. Samas ei soovita selle eelnõuga hakata esmaste
turvameetmete sisu kardinaalselt ümber sõnastama, vaid selle asemel täiendatakse lisa neid
punkte, mida vaja, et NIS2-direktiiv saaks üle võetud.
Lisas asendatakse läbivalt sõnad „teenuse osutaja“ sõnaga „teenuseosutaja“. Vt eelnõu § 2
punkt 1 ja selle selgitus. Lisas tehakse ka lisaks järgnevatl selgitatud muudatustele ka muid
tehnilisi muudatusi (lisa punktid 1.6, 6.6 ja 7.3), mille eesmärk on järgida õigusaktide
normitehnika sõnastuse põhimõtteid ja tagada lausete sõnastuste selgus.
Lisa sissejuhatuses tehakse kaks muudatust. Sissejuhatuse esimesse punkti lisatakse sõna
„alaliselt“, et see vastaks määruse nr 121 § 51 lõike 1 sissejuhatavale lausele (vt ka eelnõu § 2
21 / 32
punkt 10 ja selle selgitus). Teise muudatusena koondatakse sissejuhatuse kolmanda ja neljanda
punkti sisu ühte punkti. See muudatus ei too kaasa sisulist muudatust teenuseosutaja jaoks.
Lisa punkti 1.1 lisatakse tekstiosa „küberturvalisuse seaduse §-s 61 nimetatud juhatuse liikme
ja“. See tekstiosa lisatakse, et luua otsene seos viidatud seaduse sättes kehtestatud kohustusega.
Kõnesolevas lisas viidatakse tervele paragrahvile, et see hõlmaks nii lõigetes 1 ja 4 nimetatud
isikuid, st nii neid juriidilisi isikuid, kellel on juhatuse liikmed, kui ka neid, kellel juhatuse
liikmeid oma tegevusvormi tõttu pole. Viidatud seaduse paragrahvi sisu ja olemust on selgitatud
ülevõtmisseaduse eelnõu seletuskirjas. Kommenteeritavas punktis mainitud juhatuse liige ja
infoturbe eest vastutav isik võivad praktikas olla sama isik (nt kui teenuseosutaja tegevusvormi
tõttu), kuid need võivad olla ka erinevad isikud.
Lisa punktis 1.2 asendatakse sõna „infoturbepõhimõtted“ sõnadega „infoturbe- ja
riskijuhtimispõhimõtted“, et viia sõnastus rohkem vastavusse NIS2-direktiivi artikli 21 lõike 2
punktiga a ([l]õikes 1 osutatud meetmed põhinevad kõiki ohte hõlmaval lähenemisviisil, mille
eesmärk on kaitsta võrgu- ja infosüsteeme ning nende süsteemide füüsilist keskkonda
intsidentide eest, ning hõlmavad vähemalt järgmist: a) riskianalüüsi ja infosüsteemide turbe
põhimõtteid). Selle muudatusega võetakse üle ka NIS2-direktiivi artikli 21 lõike 2 punkti i
sõnastus ([l]õikes 1 osutatud meetmed põhinevad kõiki ohte hõlmaval lähenemisviisil, mille
eesmärk on kaitsta võrgu- ja infosüsteeme ning nende süsteemide füüsilist keskkonda
intsidentide eest, ning hõlmavad vähemalt järgmist: .. i) personali turvalisust,
juurdepääsukontrolli põhimõtteid ja varade haldust), s.o selles kasutatud sõnad „personali
turvalisus“, st kommenteeritav muudatus hõlmab ka personali turvalisust. Praktikas seisnevad
personali turvalisus ja sellega seotud protseduurid näiteks nii personali (ametnike ja töötajate)
tausta kontrollimises kui ka meetmetes, millega tagatakse nende füüsiline turvalisus.
AKITi kohaselt on infoturve (ingl information security) riskihalduslik tegevus teabe turvalisuse
säilitamiseks, sealhulgas andmekaitse tagamiseks. AKIT esitab selle termini juures ka seose
rahvusvahelise standardiga ISO/IEC27000, milles on selle termini tähendust selgitatud teabe
konfidentsiaalsuse, tervikluse ja käideldavuse säilitamisena. Teiseks selgitab AKIT, et tegemist
on distsipliiniga, mis käsitleb teabe turvalisust.59 AKITis on infoturbe (ingl cybersecurity)
olemuse selgitamise juures viidatud standardile CNSSI 4009-2015, mille kohaselt on tegemist
arvutite, elektronsidesüsteemide, elektronsideteenuste, traatside ja elektronside, sealhulgas neis
sisalduva teabe kahjustuste vältimise, kaitse ja taaste nende käideldavuse, tervikluse,
autentsuse, konfidentsiaalsuse ja salgamatuse tagamiseks.60 Sõna „infoturve“ selgitab Eesti
Keele Instituudi ühendsõnastik kui infovarade (andmed, riistvara, tarkvara, side, infrastruktuur,
personal) turvalisuse tagamist.61
Eelmainitud sõnaga „infoturve“ on praktikas seotud ka sõnad „infoturvapoliitika“ või
„üleorganisatsiooniline infoturvapoliitika“. AKITi kohaselt on infoturvapoliitika (ingl
information security policy) organisatsiooni turvapoliitika osa, määratleb nõuded teabe
turvalisusele, infoturbe üldeesmärgid, infoturbe halduse süsteemi struktuuri ja on infoturbe
esmane alusdokument. AKIT toob sama sõna puhul ka seose rahvusvahelise standardiga
ISO/IEC 29110-4-3, mille kohaselt on see dokument, mis teatab kirjalikult, kuidas
organisatsioon kavatseb kaitsta oma füüsilisi ja infotehnoloogilisi varasid. Sarnane selgitus on
ka standardis CNSSI 4009-2015.62 AKIT annab ka selgituse üleorganisatsioonilisele
infoturvapoliitikale (ingl corporate information security policy), mille puhul on toodud seos
59 https://akit.cyber.ee/term/513-infoturve-1 60 https://akit.cyber.ee/term/6911-kuberturve-3-infoturve-2 61 https://sonaveeb.ee/search/unif/dlall/dsall/infoturve/1/est 62 https://akit.cyber.ee/term/799-infoturvapoliitika
22 / 32
rahvusvahelise standardi ISO/IEC 27033 selgitusega ehk tegemist on dokumendiga, mis
kirjeldab juhtkonna suunitlust ja toetust teabe turvalisuse alal vastavalt ärinõuetele ning
kohaldatavaile õigusaktidele ja eeskirjadele, samuti kõige üldisemaid infoturbenõudeid, mida
tuleb järgida kogu organisatsioonis.63
Eelnõus on kasutatud terminit „riskijuhtimispõhimõtted“, nagu küberturvalisuse seaduses – vt
seaduse § 2 punkt 11 (termini „infoturbeteenuse osutaja“ tähenduse selgitus) ja § 61 lõige 2
(teenuseosutaja asjakohane juhatuse liige peab läbima koolitusi, mis hõlmavad ka riskide
juhtimise viise). Selle all mõistetakse samu tegevusi, mille kohta õigusaktides (vt nt
küberturvalisuse seaduse § 7 lõike 1 punkt 1) või ka muus küberturvalisuse tagamise valdkonna
tekstides kasutatakse terminit „riskide haldamine“. Selleks et kasutada lisas terminit „riskide
haldamine“, tuleks muuta ka küberturvalisuse seadust, mida kõnesoleva eelnõu ajaraami
arvestades pole võimalik teha.
Lisa uue punktiga 1.4 (kehtiva lisa punktid 1.4 ja 1.5 on edaspidi vastavalt punktid 1.6 ja 1.7)
nähakse ette, et infoturbe korralduse valdkonnas peab teenuseosutaja tagama oma tegevusega
seotud kriisihalduse ja toimepidevuse, sealhulgas varundus- ja taasteprotseduuride toimimise.
Selle punkti lisamine on seotud NIS2-direktiivi artikli 21 lõike 2 punkti c ülevõtmisega ([l]õikes
1 osutatud meetmed põhinevad kõiki ohte hõlmaval lähenemisviisil, mille eesmärk on kaitsta
võrgu- ja infosüsteeme ning nende süsteemide füüsilist keskkonda intsidentide eest, ning
hõlmavad vähemalt järgmist: .. c) talituspidevust, näiteks varundushaldus ja avariitaaste, ning
kriisiohjet).
AKITi kohaselt on kriisihaldust (ingl crisis management) rahvusvahelistes standardites ISO
22300 ja 28002 selgitatud kui terviklikku halduse protsessi, mis tuvastab võimalikud
organisatsiooni ähvardavad toimed ja loob karkassi, millele rajada elastsus, mis on võimeline
toimivalt reageerima organisatsiooni kesksete huvipoolte, maine, kaubamärgi ja väärtusi
loovate tegevuste kaitseks ning toimivalt taastama teovõime. AKIT viitab ka teisele
rahvusvahelisele standardile ISO/IEC/IEEE 24765, mille kohaselt on tegemist toimingutega,
juhuks kui tekkinud probleemi ei lahendata ootamatuseplaaniga (ingl contingency plan).64 Sõna
„kriisihaldus“ selgitab Eesti Keele Instituudi ühendsõnastik kui meetmete süsteemi, mis hõlmab
kriisiks valmistumist, kriisi ennetamist ja lahendamist.65
Sõna „toimepidevus“ puhul saab teatavat paralleeli tuua hädaolukorra seaduse § 2 lõikes 5
sätestatud elutähtsa teenuse toimepidevusega, milleks on elutähtsa teenuse osutaja järjepideva
toimimise suutlikkus ja järjepideva toimimise taastamise võime pärast elutähtsa teenuse
katkestust. Riigikogus arutlusel oleva tsiviilkriisi ja riigikaitse seaduse eelnõu § 18 lõikes 1 on
toimepidevus defineeritud kui püsiva kriisiülesandega asutuse ja isiku, sealhulgas elutähtsa
teenuse osutaja ja kohaliku omavalitsuse üksuse, ning põhiseadusliku institutsiooni suutlikkus
ja valmidus järjepidevalt toimida ning igal ajal oma ülesandeid täita ja teenuseid osutada.66
Sõna „toimepidevus“ selgitab Eesti Keele Instituudi ühendsõnastik kui võimelisust, suutlikkust
toimida edaspidi, jätkata alustatud tegevust.67
AKITi kohaselt on varunduse (ingl backup) olemuseks varukomponentide (näiteks andmete
varukoopiate) rakendamine ennetava turvameetmena, tervikluse ja käideldavuse tagamiseks.
AKITis on toodud näitena rahvusvaheline standard ISO/IEC/IEEE 24765, mille kohaselt see on
asendaja loomine või määramine süsteemile, komponendile, failile, protseduurile, isikule.68
63 https://akit.cyber.ee/term/2675-uleorganisatsiooniline-infoturvapoliitika 64 https://akit.cyber.ee/term/3887-kriisihaldus 65 https://sonaveeb.ee/search/unif/dlall/dsall/kriisihaldus/1/est 66 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/679eeee7-62b9-4817-a660-745e6642a8d9/tsiviilkriisi-ja-
riigikaitse-seadus/ 67 https://sonaveeb.ee/search/unif/dlall/dsall/toimepidevus/1/est 68 https://akit.cyber.ee/term/33-varundus
23 / 32
Teise alternatiivina viidatakse AKITis selle sõna selgituses rahvusvahelisele standardile
ISO/IEC 2382, mille kohaselt on varundus kadunud või hävinenud andmeid taastada või
süsteemi töövõimet säilitada aitav (protseduur, meetod, riistvara).69 Sõna „andmevarundus“
selgitab Eesti Keele Instituudi ühendsõnastik kui andmete koopia loomise ja säilitamise
protsessi, mis võimaldab taastada andmeid juhul, kui esialgsed andmed on kadunud, rikutud
või kättesaamatud.70
Lisa uue punktiga 1.5 (kehtiva lisa punktid 1.4 ja 1.5 on edaspidi vastavalt punktid 1.6 ja 1.7)
nähakse ette, et infoturbe korralduse valdkonnas peab teenuseosutaja tagama võrgu- ja
infosüsteemide hankimise, arendamise ja hooldamise turvalisuse, sealhulgas
turvahaavatavuste käsitlemise ja avaldamise. Selle punkti lisamine on seotud NIS2-direktiivi
artikli 21 lõike 2 punkti e ülevõtmisega ([l]õikes 1 osutatud meetmed põhinevad kõiki ohte
hõlmaval lähenemisviisil, mille eesmärk on kaitsta võrgu- ja infosüsteeme ning nende
süsteemide füüsilist keskkonda intsidentide eest, ning hõlmavad vähemalt järgmist: .. e) võrgu-
ja infosüsteemide hankimise, arendamise ja hooldamise turvalisust, sealhulgas nõrkuste
käsitlemine ja avalikustamine).
Termini „turvahaavatavus“ (mida kasutatakse sõna „nõrkus“ asemel) kohta vt ülevõtmisseaduse
kohase küberturvalisuse seaduse § 2 punkti 31. Turvahaavatavuse käsitlemise ja avaldamise
kohta vt ka NIS2-direktiivi artikli 14 alusel asutatud võrgu- ja infoturbe koostöörühma
koostatud asjakohaseid suuniseid.71
Ülevõtmisseaduse vastuvõtmisele eelnenud menetluse käigus esitati lisas kavandatud punkti
sisu kohta järgmine kommentaar (vt ülevõtmisseaduse eelnõu seletuskirja lisa 3 (märkuste
tabel), Välisministeeriumi kommentaar nr 10.1): Sellises sõnastuses võib sätet mõista kui
kohustust avalikustada süsteemi nõrkused, mis viib olukorrani, kus on avalikustatud teave, mis
võimaldab teostada asutuse vastu edukat küberrünnet. Palume muuta sätte sõnastust selliselt,
et teabe avalikustamise kohustus ei tekitaks või lisaks juurde otsest ohtu teenuse osutaja
süsteemidele. Pakume välja järgmise sõnastuse: „7) tagama süsteemi hankimise, arendamise
ja hooldamise turvalisuse, sh nõrkuste käsitlemise ning avalikustamise selliselt, et ei lisandu
juurde uusi ohtusid;“.
Lisaks on Eesti Infotehnoloogia ja Telekommunikatsiooni Liit esitanud järgmise kommentaari
(vt ülevõtmisseaduse eelnõu seletuskirja lisa 3 (märkuste tabel), kommentaar nr 24.15):
Eelnõu § 1 punktidega 25-28 muudetakse [küberturvalisuse seaduse] §-i 7. Antud muudatusega
laiendatakse subjektide kohustusi. Üldise loogika järgi peavad olema turvameetmed kaetud, kui
standard on rakendatud. Eelnõud lugedes aga selgub, et peab järgima lisaks standardile ka
eelnõus toodud meetmeid. Kusjuures need meetmed on põhjalikult avatud eelnõu seletuskirjas.
Oluline probleem on see, et selle sätte lõikega 2 laiendatakse NIS2 direktiivi sõnastust. Käände
muutmisega [küberturvalisuse seaduses] on muudetud NIS2 direktiivi artikkel 21 lõike 2
punktide a)-j) sisu.
Jääb ebaselgeks, kas see on tahtlik või mitte. Oleme seisukohal, et kui NIS2 direktiiv jätab
võimaluse subjektil midagi teha, siis ei tohi seda Eesti õiguses kohustuseks muuta.
Seetõttu tekib olukord, kus NIS2 direktiivi artikkel 21 lõike 2 punkt e) sätestab muuhulgas:
„meetmed hõlmavad sh. nõrkuste käsitlemist ja avalikustamist“. [Küberturvalisuse seaduse] §
7 lg [2] punktis 7 näiteks on aga kohustuseks „tagama sh. nõrkuste käsitlemise ja
avalikustamise”. Kui NIS2 direktiiv ütleb, et avalikustamise protseduur/ulatus peab meetmetes
kirjas olema, siis eelnõus on sellest saanud kohustus avalikustada. ..
69 https://akit.cyber.ee/term/10207-varu-2-varundus 70 https://sonaveeb.ee/search/unif/dlall/dsall/andmevarundus/1/est 71 Guidelines on Implementing National Coordinated Vulnerability Disclosure Policies – kättesaadav:
https://digital-strategy.ec.europa.eu/et/policies/nis-cooperation-group.
24 / 32
Esitatud kommentaari ei võetud kõnealuse sätte sõnastamisel arvesse, kuna eelnõu tulemusel
katab teenuseosutaja, kes peab rakendama kas Eesti infoturbestandardit või selle alternatiiviks
olevat standardit, ühe standardi järgimisega ka ära VV määruses nr 121 ette nähtud esmased
turvameetmed. Kommenteeritava lisa punkti 1.5 puhul on lähtutud NIS2-direktiivi artikli 21
lõike 2 punkti e sisust ja eesmärgist, st siinkohal ei ole mindud ulatuslikuma reguleerimise teed.
Lisa punktis 4 ja selle alapunktides tehtavad muudatused on seotud nii eelnõu § 2 punktiga
11 tehtava muudatusega kui ka NIS2-direktiivi artikli 21 lõike 2 punkti d ülevõtmisega ([l]õikes
1 osutatud meetmed põhinevad kõiki ohte hõlmaval lähenemisviisil, mille eesmärk on kaitsta
võrgu- ja infosüsteeme ning nende süsteemide füüsilist keskkonda intsidentide eest, ning
hõlmavad vähemalt järgmist: .. d) tarneahela turvalisust, sealhulgas sellised turvalisusesse
puutuvad aspektid, mis on seotud iga üksuse ja tema otseste tarnijate või teenuseosutajate
vaheliste suhetega)a. Lisaks võetakse ühe alapunktiga üle ka NIS2-direktiivi artikli 21 lõige 3
([l]iikmesriigid tagavad, et käesoleva artikli lõike 2 punktis d osutatud meetmete asjakohasust
kaaludes võtavad üksused arvesse igale otsesele tarnijale ja teenuseosutajale eriomaseid
nõrkusi ning nende tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse
tavasid, sealhulgas nende turvalise arenduse korda. Liikmesriigid tagavad samuti, et nimetatud
punktis osutatud meetmete asjakohasust kaaludes võtavad üksused arvesse artikli 22 lõike 1
kohaselt korraldatud kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamiste
tulemusi).
Kommenteeritava punkti põhisisu on seotud tarneahela ja selle turvalisuse tagamisega. AKITi
kohaselt on tarneahel (ingl supply chain) ressursside, protsesside ja nende sooritajate jada
toorme hankimisest valmiskauba toimetamiseni individuaalsele või kollektiivsele lõpptarbijale;
ahela komponendid on materjalivoog, rahavoog, teabevoog. Rahvusvahelise standardi ISO
22300 kohaselt on tarneahel tegevustes osalevate ning toodete või teenuste väljastuse teel
materjalide allikaks olemisega väärtust loovate organisatsioonide, inimeste, protsesside,
logistika, teabe, tehnoloogia ja ressursside kahepoolne seos; tarneahelasse võivad kuuluda
turustajad, alltöövõtjad, valmistusvahendid, logistikatarnijad, sisemised jaotuskeskused,
jaemüüjad, hulgimüüjad ja muud olemid, mis viivad lõppkasutajani. Rahvusvahelise standardi
ISO/IEC 27036-1 kohaselt on tarneahel kogum organisatsioone koos kaasnevate ressursside ja
protsessidega, igaüks neist tegutsemas hankija ja/või tarnijana, moodustades järjestikku
tarnesuhted, mis luuakse tellimuse andmisega, leppega, muu formaalse
soetamiskokkuleppega.72 Sõna „tarneahel“ selgitab Eesti Keele Instituudi ühendsõnastik kui
protsesside, inimeste, tegevuste, info ja ressursside süsteemi, mida on vaja mingi toote või
teenuse jõudmiseks tootjast tarbijani.73
Kommenteeritava punkti aluseks olevas NIS2-direktiivi punktis (NIS2-direktiivi artikli 21 lõike
2 punkt d) on kasutatud väljendit üksuse ja tema otseste tarnijate või teenuseosutajate, mida
kõnesolevas eelnõus tähistavad sõnad „välised partnerid. Eelnõu selles punktis ei olnud
võimalik kasutada sõna „teenuseosutaja“ (nagu NIS2-direktiivi viidatud sättes), kuna sellele
sõnale on küberturvalisuse seaduses antud teine tähendus (vt selle seaduse § 3 lõige 1).
Ülevõtmisseaduse vastuvõtmisele eelnenud menetluse käigus esitati kõnealuse sätte kohta
mitmesuguseid kommentaare – toona oli plaanis vastavad nõuded sätestada küberturvalisuse
seaduse § 7 lõike 2 eri punktidena (sh praegune lõige 2 oleks olnud sellele järgnenud lõigete
hulgas). Eesti Haiglate Liit esitas järgmise kommentaari (vt ülevõtmisseaduse eelnõu
seletuskirja lisa 3 (märkuste tabel), kommentaar nr 23.1):
Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (edaspidi NIS2) artikkel 21 lõige 2
(d) käsitleb küberturvalisuse riskijuhtimise meetmeid, mida elutähtsad ja olulised üksused
peavad rakendama. NIS2 kohustab elutähtsaid ja olulisi üksuseid rakendama kõiki ohte
72 https://akit.cyber.ee/term/3928-tarneahel 73 https://sonaveeb.ee/search/unif/dlall/dsall/tarneahel/1/est
25 / 32
hõlmaval lähenemisviisil asjakohaseid ja proportsionaalselt tehnilisi, tegevuslikke ja
korralduslikke meetmeid, et juhtida riske, mis ohustavad nende üksuste tegevuses või teenuste
osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust, et ennetada või minimeerida
intsidentide mõju nende teenuste saajatele ja muudele teenustele.
NIS2 rõhutab riskide juhtimist ja proportsionaalsust, samas kui küberturvalisuse seaduse
eelnõu § 7 lõige 2 punkt 6 kehtestab turvameetmete rakendamisel üldise kohustuse “Tagama
süsteemi tarneahela turvalisuse”.
Meie hinnangul võib nõue olla ebarealistlik, sest teenuse osutajal ei pruugi olla alati täielikku
kontrolli kogu tarneaheale üle, eriti kui tegemist on suuremahuliste ja keerukate
tarneahelatega. Tarnijate ja koostööpartnerite regulaarne hindamine suurendab ka
teenuseosutajate halduskoormust ja võib põhjustada tarnekatkestusi, kui tarnijad ei vasta
kehtestatud turbenõuetele.
Teeme ettepaneku muuta eelnõu [küberturvalisuse seaduse] § 7 lõige 2 punkte 1 ja 6
alljärgnevalt:
(2) Teenuse osutaja on turvameetmete rakendamisel kohustatud:
1) koostama ja kehtestama infoturvariskide kaalutlemise metoodika ja protseduurid (sh
rakendama proportsionaalseid riskijuhtimise meetmeid süsteemi tarneahela turvalisuse
tagamiseks);
6) tagama koostööpartnerite vahelistes lepetes turvameetmetega seotud aspektide regulaarse
ülevaatuse ning ajakohastamise;
Ettepanekus välja toodud täpsustus “proportsionaalsed riskijuhtimise meetmed” muudab
nõude paindlikumaks ja võimaldab teenuse osutajatel kohandada riskijuhtimise meetmeid
vastavalt oma suurusele, riskitasemele ja ressurssidele. Samuti vähendab muudatus
ebarealistlikke ootusi, mille kohaselt peab teenuse osutaja turvameetmete rakendamisel
“tagama süsteemi tarneahela turvalisuse”. Lisaks suurendab muudatus vastavust NIS2
direktiivi artikli 21 nõuetega, mis rõhutavad proportsionaalsust ja riskipõhist lähenemist.
Eelnõu [küberturvalisuse seaduse] § 7 lõike 2 punkti 6 täpsustus keskendub konkreetsele
tegevusele ja vähendab üldistust ning suunab tegevust paremini.
Eesti Haiglate Liidu kommentaari ei võetud kõnealuse punkti sõnastamisel arvesse, kuna
proportsionaalsuse ja riskipõhise lähenemise nõuded on sätestatud küberturvalisuse seaduse §
7 lõike 2 punktides 4 ja 5. Seetõttu ei ole seda aspekti vaja määruses nr 121 korrata.
Eesti Ravimihulgimüüjate Liit esitas järgmise kommentaari (vt ülevõtmisseaduse eelnõu
seletuskirja lisa 3 (märkuste tabel), kommentaar nr 31.6):
Eelnõus tuleks täpsemalt ja direktiivile vastavalt ka kitsamalt piiritleda teenuse osutaja
kohustus „tagada süsteemi tarneahela turvalisus“.
Erinevalt eelnõus pakutud [küberturvalisuse seaduse] § 7 lg [2] p 6 sõnastusega rõhutab ja
toob NIS2 direktiiv tarneahela turvalisuse osas ennekõike esile üksuse ja tema otseste tarnijate
või teenuseosutajate vahelised suhted.
Seega on direktiivi põhirõhk suunatud just eelnimetatud kitsamalt piiritletud suhetele, mitte
sama sügavus- ja rõhuasetusega kogu tarneahelale. Sama põhimõte peaks selgelt väljenduma
ka eelnõus.
Punktis 4.1 on otseselt mainitud „otseseid tarnijaid“, st need on hõlmatud terminiga „välised
partnerid“, st „väliste partnerite“ all mõeldakse ka otseseid tarnijaid. Ka kommenteeritava lisa
kehtiv punkt 4 hõlmab juba oma mõttelt „otseseid tarnijaid“, kuid kõnesoleva muudatusega
soovitakse taolised üksused eraldi välja tuua, et tekiks selgem seos NIS2-direktiivi artikli 21
lõike 2 punktiga d. Punktis 4.1 tehtav muudatus siiski ei tähenda, et teenuseosutaja ei võiks teha
enda väliste osapoolte tarneahelas põhjalikumat (tausta)kontrolli, kui vastav vajadus ilmneb
näiteks riskihinnangust, millele on omakorda andnud tõuke teenuseosutaja enda kohustused,
vajadused või kahtlused. Siinkohal peab ka arvestama asjaolu, et tarneahela suhtes
(tausta)kontrolli tegemise kohustus on sisuliselt ette nähtud ka isikuandmete kaitse valdkonnas
26 / 32
ning see ei ole seotud ainult „otsese tarnija“ olukorraga –vt isikuandmete kaitse üldmääruse74
artikli 28 lõiked 2 ja 4:
2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse
või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat
töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate
lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste
muudatuste suhtes vastuväiteid.
4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise
toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi
õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad
andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud
töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et
rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine
vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma
andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks
kõnealuse teise volitatud töötleja kohustuste täitmise eest.
Eesti Vee-ettevõtete Liit esitas järgmise kommentaari (vt ülevõtmisseaduse eelnõu seletuskirja
lisa 3 (märkuste tabel), kommentaar nr 32.3):
Eelnõu punktis 26, millega muudetakse küberturvalisuse seaduse §-i 7 lg 2 p-i 6 kohustub
teenuse osutaja tagama süsteemi tarneahela turvalisuse, sh teenuse osutaja ja tema
koostööpartnerite vahelistes lepetes turvameetmetega seotud aspektide regulaarse ülevaatuse
ning ajakohastamise.
Palume täpsustada eelnõus või vähemalt selgitada seletuskirjas, millised on need
turvameetmed, mida teenuse osutaja peaks koostööpartneri lepingus sätestama? Kas piisab
üldisest viitest, et tellija on teenuse osutajaks [küberturvalisuse seaduse] tähenduses ning seega
kohustub koostööpartner arvestama [küberturvalisuse seadusest] tulenevaga, järgima
vähemalt keskmist küberturbe taset ning teavitama tellijat puudutavatest intsidentidest
[küberturvalisuse seaduses] toodud tähtaja jooksul? Kui sellest ei piisa, siis palume täpsustada,
mida konkreetselt oodatakse?
Lisaks palume täpsustada, mida tähendab regulaarne ülevaatus ja ajakohastamine? Milline on
regulaarsus või kas teenuse osutaja määrab selle ise? Kuidas toimub turvameetmete
ajakohastamine olukorras, kus koostöölepingu muutmine toimub vaid poolte kokkuleppel (ja
sageli teenuse osutajate puhul veel ka riigihanke tulemusel ehk muutmisele kehtivad veel
eraldiseisvad reeglid)?
NIS2-direktiiv ei näe ette konkreetsemaid meetmeid, mida teenuseosutaja peaks
koostööpartneriga sõlmitavas lepingus sätestama. Seetõttu seda määruse kõnesoleva sättega ei
täpsustata. Samas on näiteks E-ITSi puhul esitatud kommentaariga seotud väljast tellimise
moodul OPS.2.3. ja ka moodul OPS.3.2. Sarnaseid nõudeid peab rakendama ka teenuseosutaja,
kes rakendab E-ITSi asemel alternatiivset standardit. Kokkulepete muutmise regulaarsuse
määrab teenuseosutaja ise. Kui mõnest õigusaktist tulenevalt on tekkinud uued kohustused, siis
selle alusel saabki osapoolte kokkuleppel lepingut muuta. Kui üldine ohupilt muutub, siis tuleb
samuti lepingut ajakohastada. Kui välise partneri turvatase pole piisav, tuleb teenuseosutajal
endal rakendada piisavaid lisameetmeid võimalike riskide vähendamiseks. Nõue tagada
lepingute muutmise võimalus on tingitud just sellest, et ka pikaajaliste partneritega saaks aeg-
ajalt küberturvalisuse teemad omavahel uuesti kokku leppida.
Kommenteeritava punktiga seotud meetmete puhul on võimalik tuua paralleeli ka
rakendusmääruse (EL) 2024/2690 artikli 2 ja rakendusmääruse lisa punktiga 1.3 ning punktiga
5 koos selle alapunktidega. Näiteks ei sätesta NIS2-direktiiv, milline võiks olla
74 Algteksti leiab aadressil: https://eur-lex.europa.eu/eli/reg/2016/679/oj; konsolideeritud teksti aadressil:
https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02016R0679-20160504.
27 / 32
kommenteeritava punktiga seotud regulaarse ülevaatuse intervall. Mainitud rakendusmääruse
lisa punktis 5.1.6 on seda selgitatud järgmiselt: Asjaomased üksused vaatavad tarneahela
turvalisuse põhimõtted läbi ning jälgivad ja hindavad tarnijate ja teenuseosutajate
küberturvalisuse tavade muutumist ning vajaduse korral tegutsevad selle põhjal plaaniliste
ajavahemike järel ja siis, kui aset leiavad olulised muutused tegevuses või riskides või olulised
intsidendid, mis on seotud IKT-teenuste osutamisega või mis mõjutavad tarnijatelt või
teenuseosutajatelt pärit IKT-toodete turvalisust. Selle punkti puhul on rakendusmääruse
punktis 5.1.7 ette nähtud, et selle nõude kohaldamiseks teevad asjaomased üksused järgmist:
a) jälgivad regulaarselt teenusetasemelepete rakendamist käsitlevaid aruandeid, kui see on
asjakohane; b) vaatavad läbi tarnijatelt ja teenuseosutajatelt pärit IKT-toodete ja IKT-
teenustega seotud intsidendid; c) hindavad plaanivälise läbivaatamise vajalikkust ja
dokumenteerivad oma tähelepanekud arusaadaval viisil; d) analüüsivad tarnijatelt ja
teenuseosutajatelt pärit IKT-toodete ja IKT-teenustega seotud muutustega kaasnevaid riske ja
võtavad vajaduse korral õigeaegselt leevendavaid meetmeid.
Lisa uue punktiga 4.2 (kehtiva lisa punkt 4.2 on edaspidi punkt 4.3) nähakse ette, et
teenuseosutaja peab väliste partnerite halduse valdkonnas võtma turvameetmete asjakohasust
kaaludes arvesse välistele osapooltele eriomaseid turvahaavatavusi, nende toote üldist kvaliteeti
ja küberturvalisusega seotud tavasid, sealhulgas toote turvalise arendamise korda ning NIS2-
direktiivi artikli 22 lõike 1 kohaselt korraldatud kriitilise tähtsusega tarneahelate turvariskide
koordineeritud hindamise tulemusi. Sellega võetakse üle NIS2-direktiivi artikli 21 lõige 3.
Termini „turvahaavatavus“ definitsiooni ja selgituste kohta vt ülevõtmisseaduse kohase
küberturvalisuse seaduse § 2 punkt 31 ja selle selgitus.
NIS2-direktiivi artikli 22 lõike 1 kohaselt võib NIS2-direktiivi artikli 14 kohane koostöörühm
koostöös Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ametiga teha kindlate kriitilise
tähtsusega IKT-teenuste, IKT-süsteemide või IKT-toodete tarneahelate turberiski
koordineeritud hindamisi, võttes arvesse tehnilisi ja asjakohasel juhul ka muid kui tehnilisi
riskitegureid. Üheks selliseks hindamiseks on näiteks ELi küberturvalisuse riski hindamine ja
stsenaariumid telekommunikatsiooni ja energeetika sektorites.75
Ülevõtmisseaduse vastuvõtmisele eelnenud menetluse käigus esitati ka kõnesolevate sätete
kohta järgmine kommentaar (vt ülevõtmisseaduse eelnõu seletuskirja lisa 3 (märkuste tabel),
Riigi Infosüsteemi Ameti kommentaar nr 17.43):
Teeme ettepaneku sõnastada eelnõu [küberturvalisuse seaduse] § 7 lg 22 p 1 järgmiselt:
„(22) Käesoleva paragrahvi lõike 2 punktis 6 nimetatud tarneahela turvalisusega seotud
turvameetmete asjakohasust kaaludes võtab teenuse osutaja arvesse:
1) koostööpartnerile eriomaseid nõrkusi, koostööpartneri toote üldist kvaliteeti,
elutsüklihaldust ja küberturvalisuse tavasid, sealhulgas toote turvalise arenduse korda;“.
Selgitame, et ettepanek lisada sõna "elutsüklihalduse" annaks arusaamise taakvara tekke
riskidest juba toote kasutamise plaanimise etapis.
Esitatud kommentaari ei arvestatud, kuna eesmärk on NIS2-direktiivi minimaalse ülevõtmise
huvides lähtuda artikli 21 lõike 3 sõnastusest ja seda mitte laiendada.
Lisa uue punktiga 5.4 nähakse ette, et teenuseosutaja peab küberintsidentide halduse
valdkonnas võtma kasutusele abinõud intsidendi mõju vähendamiseks ja leviku piiramiseks.
Sellega võetakse üle NIS2-direktiivi artikli 21 lõike 2 punkt b ([l]õikes 1 osutatud meetmed
põhinevad kõiki ohte hõlmaval lähenemisviisil, mille eesmärk on kaitsta võrgu- ja infosüsteeme
ning nende süsteemide füüsilist keskkonda intsidentide eest, ning hõlmavad vähemalt järgmist:
.. b) intsidentide käsitlemist). Nende meetmete puhul on võimalik tuua paralleeli ka
75 EU cybersecurity risk evaluation and scenarios for the telecommunications and electricity sectors, https://digital-
strategy.ec.europa.eu/en/policies/nis-cooperation-group
28 / 32
rakendusmääruse (EL) 2024/2690 artikli 2 ja rakendusmääruse lisa punktiga 3 koos selle
alapunktidega.
Ülevõtmisseaduse vastuvõtmisele eelnenud menetluse käigus esitati kõnesoleva sätte kohta
järgmine kommentaar (vt ülevõtmisseaduse eelnõu seletuskirja lisa 3 (märkuste tabel), Riigi
Infosüsteemi Ameti kommentaar nr 17.39): Teeme ettepaneku sõnastada eelnõu
[küberturvalisuse seaduse] § 7 lg 2 p 1-3 ja 9-14 järgmiselt: „(2) Teenuse osutaja on
turvameetmete rakendamisel kohustatud: .. 3) tagama küberintsidentide avastamise ja halduse
protseduuride toimimise; .. . Kommenteeritav alapunkt on üks osa küberintsidentide avastamise
ja haldamise protseduuri nõuetest, mis on ette nähtud ennekõike kommenteeritava lisa punkti 5
teistes alapunktides. Seega on eeltoodud kommentaariga arvestatud punkti 5 puhul tervikuna.
Lisa punktis 7.3 asendatakse sõna „nõrkuste“ sõnaga „turvahaavatavuste“. Muudatuse
põhjuseks on soov viia terminikasutus kooskõlla küberturvalisuse seaduse § 2 punktis 31
defineeritud terminiga „turvahaavatavus“. Samuti parandati lause sõnastust. Mõlema
muudatuse puhul on tegemist tehnilise muudatusega.
Lisa punktis 7.4 tehakse tehniline muudatus, asendades lause lõpus olev sõna „ja“ sõnaga
„või“. Tolle punkti puhul on praegu võimalik välja lugeda, et tarkvara peab kasutusest
eemaldamiseks olema nii aegunud kui ka kasutust mitteleidev. See tähendab, et eemaldamiseks
peavad mõlemad tingimused olema korraga täidetud, st tarkvara ei kasutata ja see on aegunud,
kuid kui seda kasutatakse, olenemata sellest, et see on aegunud, siis seda kasutuselt eemaldama
ei pea. See tähendaks, et kui üks tingimustest on täitmata, siis meedet rakendama ei pea.
Tegelikkuses on tolle punkti puhul algusest saadik mõeldud, et tarkvara eemaldamiseks on alus,
kui korraga kehtib vähemalt üks kahest nimetatud tingimusest. Seetõttu on tolle punkti lõpu
sõnastus edaspidiselt: .. tarkvara, mis on aegunud või mida ei kasutata. Praktikas võib olla
edaspidi ka nii, et jätkuvalt on mõlemad tingimused täidetud.
Paragrahv 2 punktiga 13 täiendatakse määrust nr 121 normitehnilise märkusega, lisades viite
NIS2-direktiivile.
Vabariigi Valitsuse 22. detsembri 2011. a määruse nr 180 „Hea õigusloome ja normitehnika
eeskiri“ § 27 lõike 3 esimene lause näeb ette, et kui seaduseelnõu koostatakse Euroopa Liidu
õiguse ülevõtmiseks, siis nimetatakse normitehnilises märkuses Euroopa Liidu õigusakti andja
või andjad, akti liik, number, pealkiri ja avaldamismärge. Sama määruse § 51 kohaselt kehtib
nimetatud põhinõue ka Vabariigi Valitsuse määruse ja ministri määruse eelnõu kohta.
Normitehniline märkus lisatakse määrusesse nr 121, kuna muudesse õigusaktidesse pole NIS2-
direktiivi artikli 21 lõikeid 2 ja 3 üle võtvaid sätteid kavandatud.
Paragrahviga 3 muudetakse määrust nr 1. Paragrahv koosneb kahest punktist.
Tegemist on ennekõike tehnilise muudatusega, mille eesmärk on tagada üksuste õigesti
nimetamine muudetavas lõikes. Muudatus on tingitud ülevõtmisseadusest, kuna nimetatud
seadusega muudeti küberturvalisuse seaduse § 3 sõnastust. Määruses nr 1 tehtavate muudatuste
tulemusena ei lisata määruse kohaldamisalasse uusi üksusi ning ühtegi üksust ei jäeta ka selle
määruse kohaldamisalast välja võrreldes kuni 31. detsembrini 2025 kehtinud küberturvalisuse
seaduse ja selle alusel kehtestatud määrusega nr 1.
Paragrahvi 3 punktiga 1 muudetakse määruse nr 1 § 1 lõike 1 sissejuhatavat lauset.
Muudetavas lauses viidatakse küberturvalisuse seaduse § 3 lõikele 4, mis hõlmas kuni 31.
detsembrini 2025 järgmisi üksusi: andmekogu vastutav ja volitatud töötleja, Arenguseire
Keskus, Eesti Pank, kohaliku omavalitsuse üksus, kohaliku omavalitsuse üksuste liit,
kohtuasutus, riigi valimisteenistus, Riigikogu Kantselei, Riigikontroll, Riigimetsa
29 / 32
Majandamise Keskus, seaduse alusel asutatud avalik-õiguslik juriidiline isik, Vabariigi
Presidendi Kantselei, valitsusasutus, valitsusasutuse hallatav riigiasutus, valla või linna
ametiasutus, valla või linna ametiasutuse hallatav asutus, osavald, linnaosa, osavalla või
linnaosa ametiasutus, osavalla või linnaosa ametiasutuse hallatav asutus, kohaliku omavalitsuse
üksuste ühisamet ja -asutus ning Õiguskantsleri Kantselei.
Kommenteeritava punktiga tehtava muudatusega viidatakse küberturvalisuse seaduse § 3 lõike
2 punktidele 3 ja 4 ning lõike 4 punktidele 1–4 ja 6. Sellega tagatakse, et tegemist on samade
eelmainitud üksustega ning seega määruse nr 1 kohaldamisala ei muutu.
Paragrahvi 3 punktiga 2 muudetakse määruse nr 1 § 1 lõike 1 punkti 1.
Muudetavas lauses viidatakse küberturvalisuse seaduse § 3 lõike 4 punktidele 12 ja 13, mis
kuni 31. detsembrini 2025 hõlmas järgmisi üksusi: valitsusasutus, valitsusasutuse hallatav
riigiasutus, valla või linna ametiasutus, valla või linna ametiasutuse hallatav asutus, osavald,
linnaosa, osavalla või linnaosa ametiasutus, osavalla või linnaosa ametiasutuse hallatav asutus,
kohaliku omavalitsuse üksuste ühisamet ja -asutus. Uues tekstiosas on kasutatud sõnu
„valitsusasutus“ (vt Vabariigi Valitsuse seaduse § 39), „valitsusasutuse hallatav riigiasutus“ (vt
Vabariigi Valitsuse seaduse § 43 lõige 1) ja „kohaliku tasandi avaliku halduse üksus (vt
küberturvalisuse seaduse § 2 punkt 16). Seeläbi tagatakse kooskõla küberturvalisuse seadusega.
Paragrahviga 4 nähakse ette määruse jõustumise aeg, milleks on 1. aprill 2026 (vt käesoleva
seletuskirja punkt 6).
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu järgib NIS2-direktiivi. Eelnõu vastab NIS2-direktiivile ning kuna direktiivi võttis
ennekõike üle ülevõtmisseadus, on selle seaduseelnõu materjalide hulgas ka NIS2-direktiivi ja
ülevõtmisseaduse vastavustabel. Siinkohal esitatakse need sätted, mis on seotud
kommenteeritava eelnõuga:
1) artikli 14 lõike 3 esimene lause = määrusega nr 319 kinnitatud „Justiits- ja digiministeeriumi
põhimääruse” punkti 541 alapunkt 11;
2) artikli 16 lõige 2 = määrusega nr 319 kinnitatud „Justiits- ja digiministeeriumi põhimääruse”
punkti 541 alapunkt 11;
3) artikli 21 lõike 2 punkt a = määruse nr 121 lisa punkt 1 tervikuna;
4) artikli 21 lõike 2 punkt b = määruse nr 121 lisa punkt 5 tervikuna, kuid seotud on ka punktid
7.8.–7.11;
5) artikli 21 lõike 2 punkt c = määruse nr 121 lisa punkt 1.4 kuid seotud on ka punktid 3.1, 3.6,
5.3 ja 7.6;
6) artikli 21 lõike 2 punkt d = määruse nr 121 lisa punkt 4 tervikuna, kuid seotud on ka punkt
1.3;
7) artikli 21 lõike 2 punkt e = määruse nr 121 lisa punkt 1.5, kuid seotud on ka punktid 6.1, 7.1–
7.3 ja 7.12–7.14;
8) artikli 21 lõike 2 punkt f = määruse nr 121 lisa punkt 1.3, kuid seotud on ka punktid 3.1, 4.1,
4.2, 6.6 ja 7.14;
9) artikli 21 lõike 2 punkt g = määruse nr 121 lisa punkt 2 tervikuna, kuid seotud on ka punktid
5.1 ja 6.1–6.5;
10) artikli 21 lõike 2 punkt h = määruse nr 121 lisa punktid 3.3, 3.4 ja 7.7, kuid seotud on ka
punktid 2.6, 7.12, 7.13;
11) artikli 21 lõike 2 punkt i = määruse nr 121 lisa punktid 1.1, 1.6, 2.3, 2.4, 2.6, 3.2, 3.5, 3.7,
6.2, 6.6, 7.3, 7.5 ning punktid 8 ja 9 tervikuna, kuid seotud on ka punktid 6.3, 7.10 ja 7.11;
12) artikli 21 lõike 2 punkt j = määruse nr 121 lisa punkt 2.5 ja 5.3, kuid seotud on ka punktid
1.4 ja 6.4;
30 / 32
13) artikli 21 lõige 3 = määruse nr 121 lisa punktid 4.1 ja 4.2.
Iga muudatuse juures on hinnatud muudetava sätte vastavust Euroopa Liidu õigusele, vajaduse
korral on toodud ka võimalikud sõnastusalternatiivid.
Kehtiva õiguse suhtes (mida nt ei muudeta) kohaldub ka NIS2-direktiivi artikkel 5, mis näeb
ette järgmist: [NIS2-direktiiv] ei takista liikmesriike tarbijate kaitseks vastu võtmast või kehtima
jätmast sätteid, millega tagatakse kõrgem küberturvalisuse tase, tingimusel et sellised sätted on
kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu õiguses.
4. Määruse mõjud
Eelnõu muudatustega kaasneb mõju eelkõige riigi julgeolekule ja välissuhetele, samuti
majandusele ning riigiasutuste ja kohaliku omavalitsuse korraldusele. Otsest sotsiaalset mõju
(sh demograafilist), mõju elu- ja looduskeskkonnale ning regionaalarengule ei kaasne.
Muudatuste tulemusel suureneb õigusselgus ja tagatakse NIS2-direktiivi nõuete ülevõtmine
ning täpsustub Justiits- ja Digiministeeriumi roll EL tasandi küberkoostöös. Muudatused
puudutavad eelkõige küberturvalisuse seaduse kohaldamisalasse kuuluvaid teenuseosutajaid
(avalikust ja erasektorist) kui konkreetselt ka Justiits- ja Digiministeeriumi.
Määruses nr 319 tehtaval muudatusel ei ole olulist mõju, kuna tegemist on ülesannetega, mida
Justiits- ja Digiministeerium täidab suuremal või vähemal määral juba praegu.
Määruses nr 121 tehtavatel muudatustel (st ennekõike selle lisa asendamine) on teatav mõju.
Selle mõju laadi ja ulatust on hinnatud ülevõtmisseaduse eelnõu seletuskirjas (vt
ülevõtmisseaduse eelnõu seletuskirja76 punkt 6.1.), mistõttu mõjuhindamist siin ei korrata.
Lisaks leevendatakse eelnõuga nende teenuseosutajate (ennekõike erasektori, kuid sisuliselt ka
avaliku sektori teenuseosutajate) nõudeid, kes peavad rakendama Eesti infoturbestandardit või
selle alternatiiviks olevat standardit. Selles nähakse ette, et ühe mainitud standardi nõudeid
tuleb rakendada vähemalt sellel tegevusalal või tegevusaladel, kus tegutsev teenuseosutaja
kuulub küberturvalisuse seaduse kohaldamisalasse. See tähendab, et standard peab käsitlema
vastava teenuse, tegevusala või valdkonnaga seotud võrgu- ja infosüsteeme, kuid ülejäänud
teenuste, tegevusalade ja valdkondadega seotud võrgu- ja infosüsteemide puhul saab kasutada
paindlikumaid turvameetmeid. Seeläbi on eelnõuga kavandatav Eesti infoturbestandardi või
selle alternatiivina kasutatava standardi käsitlusala muudatus halduskoormuse vähendamise
lisameede, mis leevendab eelnõukohase määruse mõju.
Teenuseosutajatele (sh ennekõike erasektori teenuseosutajale) avalduv majanduslik mõju on
väga erinev ning seda ei ole praegu võimalik mõistlikult hinnata. Turvameetmete rakendamise
rahaline kulu sõltub teenuseosutaja kasutatavate süsteemide hulgast ja keerukusest ning varem
rakendatud turvameetmetest (subjekti vastutustundlikkusest oma IT-lahenduste kasutamisel või
muudest nõuetest, näiteks isikuandmete töötlemiseks rakendatud tehnilistest ja korralduslikest
turvalisuse tagamise meetmetest). Teenuseosutajale avalduv rakendamiseks vajaliku kulu
majanduslik mõju sõltub omakorda selle kulu osakaalust tema eelarves, ennekõike IT-
lahendustega seotud eelarves. Eelnõuga kavandatavate nõuete sisu ja olemus ei ole siiski
sedavõrd märkimisväärne, et need tooks teenuseosutajatele kaasa olulist kulu. Lisaks eeltoodule
on siin asjakohane asjaolu, et küberturvalisuse seaduses on sätestatud ka üleminekuajad, mis
leevendab eelnõukohase määrusega tehtavate muudatuste mõju ulatust.
Määruses nr 1 tehtavatel muudatustel ei ole olulist mõju, kuna tegemist on tehnilise
muudatusega.
76 Vt altviidet nr 1.
31 / 32
5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamisega
eeldatavad kulud
Eelnõukohase määruse rakendamisega ei prognoosita tulusid.
Määruses nr 319 tehtav muudatus ei tohiks tekitada Justiits- ja Digiministeeriumile lisakulutusi,
kuna ta täidab neid ülesandeid juba praegu. Kui neid peaks siiski tekkima, analüüsitakse neid
riigieelarve planeerimise protsessis.
Määrusesse nr 121 tehtavate muudatustega (st ennekõike selle lisa asendamisega) seotud riigi
ja kohaliku omavalitsuse tegevusi ja kulusid on hinnatud ülevõtmisseaduse eelnõu seletuskirjas
(vt seletuskirja punkt 7), mistõttu selle tulemusi siin ei korrata. Seda enam, et esmaste
turvameetmetega seotud nõuded on samaväärsed kehtivate küberturvalisuse tagamise nõuetega,
mistõttu puudub vajadus täpsemalt hinnata nende kulu. Viidatud ülevõtmisseaduse eelnõu
seletuskirja77 punktis (vt punkt 7.4) on selgitatud ka riigi pakutavat muud tuge, koolitusi ja
toetusi. Näiteks asjaolu, et Riigi Infosüsteemi Ameti teenistujate osalusel on arendamisel Eesti
infoturbestandardi järgimise tugirakendus,78 mis aitab rakendajal luua vajaduspõhist
turvameetmete rakendamise plaani, seejuures vähendada vigu meetmete valimisel, ja suunab
rakendaja kohe meetmete rakendamisele. Sama tugirakendust on võimalik kasutada ka esmaste
turvameetmete nõude täitmise kontrolliks. Lisaks leevendatakse eelnõukohase määrusega
nende teenuseosutajate (ennekõike erasektori, kuid sisuliselt ka avaliku sektori
teenuseosutajate) nõudeid, kes peavad rakendama Eesti infoturbestandardit või selle
alternatiiviks olevat standardit. Selles nähakse ette, et ühe mainitud standardi nõudeid tuleb
rakendada vähemalt sellel tegevusalal või tegevusaladel, kus tegutsev teenuseosutaja kuulub
küberturvalisuse seaduse kohaldamisalasse. See tähendab, et standard peab käsitlema vastava
teenuse, tegevusala või valdkonnaga seotud võrgu- ja infosüsteeme, kuid ülejäänud teenuste,
tegevusalade ja valdkondadega seotud võrgu- ja infosüsteemide puhul saab kasutada
paindlikumaid turvameetmeid. Seega on eelnõukohase määrusega tehtav Eesti
infoturbestandardi või selle alternatiivina kasutatava standardi käsitlusala muudatus
halduskoormuse vähendamise lisameede, mis leevendab eelnõukohase määruse mõju.
Määruses nr 1 tehtavad muudatused ei too kaasa riigi ja kohaliku omavalitsuse tegevusi ega
kulusid.
6. Määruse jõustumine
Määrus jõustub 1. aprillil 2026. Jõustumisaja määramisel on lähtutud kuupäevast, mis ajaks on
võimalik läbida eelnõu avalik kooskõlastus ning tagada eelnõukohase määruse vastuvõtmine
Vabariigi Valitsuses.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka kommenteeritava eelnõuga kavandatavate nõuete
kohta. Asjaomase tagasiside leiab ülevõtmisseaduse eelnõu dokumentide juurest. Samuti on
seletuskirjas vajaduse korral selgitatud märkusi, mis saadi ülevõtmisseaduse eelnõu kohta enne
selle esitamist Riigikogule.
77 Vt altviidet nr 1. 78 https://eits.ria.ee/et/abimaterjalid/tugirakendus
32 / 32
Eelnõu esitati eelnõude infosüsteemi kaudu kooskõlastamiseks ministeeriumitele,
Riigikantseleile ning Eesti Linnade ja Valdade Liidule.
Eelnõu saadeti arvamuse avaldamiseks Riigikogu Kantseleile, Riigikontrollile, Vabariigi
Presidendi Kantseleile, Õiguskantsleri Kantseleile, Andmekaitse Inspektsioonile, Eesti
Pangale, Riigi Infosüsteemi Ametile, Riigi Info- ja Kommunikatsioonitehnoloogia Keskusele,
Registrite ja Infosüsteemide Keskusele, Riigiside Sihtasutusele, Eesti Interneti Sihtasutusele,
Finantsinspektsioonile, Eesti Pangaliidule, Eesti Haiglate Liidule, Eesti Arstide Liidule, Eesti
Perearstide Seltsile, Eesti Vee-ettevõtete Liidule, Eesti Kiirabi Liidule, Eesti
Ravimihulgimüüjate Liidule, Ravimitootjate Liidule, Eesti Proviisorapteekide Liidule, Eesti
Apteekrite Liidule, Eesti Elektritööstuse Liidule, Eesti Jõujaamade ja Kaugkütte Ühingule,
Eesti Gaasiliidule, Eesti Transpordikütuste Ühingule, Eesti Infotehnoloogia ja
Telekommunikatsiooni Liidule, Eesti Kaubandus-Tööstuskojale, Eesti Põllumajandus-
Kaubanduskojale, Eesti Toiduainetööstuse Liidule ja Eesti Kaupmeeste Liidule.
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Riigikantselei Ministeeriumid Eesti Linnade ja Valdade Liit Vabariigi Valitsuse 23. detsembri 1996. a määruse nr 319 „Justiits- ja Digiministeeriumi põhimääruse kinnitamine“, Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ muutmine Saadame kooskõlastamiseks Vabariigi Valitsuse 23. detsembri 1996. a määruse nr 319 „Justiits- ja Digiministeeriumi põhimääruse kinnitamine“, Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ning Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ muutmise määruse eelnõu. Palume esitada oma kooskõlastused ja arvamused 15 tööpäeva alates käesoleva kirja kuupäevast. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad:
1. määruse eelnõu 2. määruse nr 121 lisa 3. määruse seletuskiri
Lisaadressaadid: Riigikogu Kantselei Riigikontroll Vabariigi Presidendi Kantselei
Meie 12.03.2026 nr 8-1/1922-1
2
Õiguskantsleri Kantselei Andmekaitse Inspektsioon Eesti Pank Riigi Infosüsteemi Amet Riigi Info- ja Kommunikatsioonitehnoloogia Keskus Registrite ja Infosüsteemide Keskus Finantsinspektsioon Riigiside Sihtasutus Eesti Interneti Sihtasutus Finantsinspektsioon Eesti Pangaliit Eesti Haiglate Liit Eesti Arstide Liit Eesti Perearstide Selts Eesti Vee-ettevõtete Liit Eesti Kiirabi Liit Eesti Ravimihulgimüüjate Liit Ravimitootjate Liit Eesti Proviisorapteekide Liit Eesti Apteekrite Liit Eesti Elektritööstuse Liit Eesti Jõujaamade ja Kaugkütte Ühing Eesti Gaasiliit Eesti Transpordikütuste Ühing Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Eesti Infosüsteemide Audiitorite Ühing Eesti Kaubandus-Tööstuskoda Eesti Põllumajandus-Kaubanduskoda Eesti Toiduainetööstuse Liit Eesti Kaupmeeste Liit Raavo Palu [email protected]