Arvamuse edastamine

Eesti Tööandjate Keskliit

Eesti Maaülikooli arvamus Euroopa küberturbe regulatsiooni muudatuste osas

Lugupeetud Raul Aron,

Eesti Maaülikool (edaspidi: ülikool) toetab Euroopa Liidu küberturvalisuse paketi üldisi eesmärke tugevdada ELi kübervastupidavust, vähendada liikmesriikide vahelist killustatust ning parandada IKT-tarneahela turvalisust. Peame oluliseks, et regulatsioonide rakendamisel järgitaks proportsionaalsuse põhimõtet ning välditaks dubleerivat halduskoormust, mis ei suurenda sisuliselt turvalisust, kuid tekitab märkimisväärseid lisakulusid.

Ülikool taotleb ISO/IEC 27001 (edaspidi: ISO 27001) sertifikaati eesmärgiga kehtestada rahvusvaheliselt tunnustatud ja riskipõhine infoturbe juhtimissüsteem. ISO 27001 rakendamine tuleneb nii kehtivast küberturvalisuse seadusest kui ka ülikooli rahvusvahelisest tegevusmudelist, mis eeldab võrreldavat ja usaldusväärset turberaamistikku rahvusvaheliste partnerite ees. Sertifitseerimine toimub täielikult ülikooli oma vahenditest ning ülikool ei ole saanud kasutada eraldi riiklikke toetusmeetmeid. Samuti ei ole riigisisene E-ITS raamistik rahvusvahelise ülikooli kontekstis täiel määral rakendatav.

ISO 27001 ja NIS2 põhinevad samadel alustel: riskijuhtimine, juhtkonna vastutus, tarneahela turvalisus, intsidentide haldus ja pidev parendamine. Seetõttu peab ISO 27001 sertifitseeritud infoturbe juhtimissüsteemi käsitlema NIS2 nõuete täitmise alusraamistikuna. Kui ISO 27001 sertifikaati NIS2 rakendamisel ei arvestata, tekib olukord, kus ülikool peab looma paralleelsed protsessid, dubleeriva aruandluse ja täiendavad auditimehhanismid, mis oleks ebamõistlikult kulukas ning vastuolus halduskoormuse vähendamise eesmärgiga.

Toetame ENISA rolli tugevdamist koordineeriva ja juhendava institutsioonina, EL-ülese sertifitseerimisraamistiku ühtlustamist ning IKT-tarneahela riskide süsteemset ja riskipõhist käsitlemist, kuna need meetmed suurendavad õigusselgust, vähendavad liikmesriikide vahelist killustatust ning aitavad kaasa turvalisemate ja usaldusväärsemate digilahenduste laialdasemale kasutuselevõtule. Samas on praktilise rakendatavuse seisukohalt oluline tagada selge üleminekuperiood olemasolevatele teenuslepingutele, eriti pilveteenuste osas, rakendada teadus- ja haridusasutuste suhtes selgelt proportsionaalsuse põhimõtet ning arvestada järelevalves ja

F. R. Kreutzwaldi 1 51006 Tartu

+372 731 3001 [email protected]

reg. kood 74001086 www.emu.ee

Teie 09.03.2026 nr

Meie 12.03.2026 nr 5.1-14/1406-1

Estonian University of Life Sciences

vastavuse hindamisel ISO 27001 sertifitseeritud organisatsioonide küpsustaset, vältides dubleerivat sertifitseerimist olukorras, kus riskijuhtimine on juba tõendatult toimiv.

Eesti-spetsiifiliste aspektidena juhime tähelepanu, et rahvusvahelise ülikoolina teeme tihedat koostööd kolmandate riikide partneritega, kasutame rahvusvahelisi teadustaristuid ning globaalset pilveinfrastruktuuri. Liiga jäik või formaalne tarneahela piirangute rakendamine võib kahjustada teaduskoostööd ning tuua kaasa märkimisväärseid aja- ja finantskulusid. Eestis puuduvad praegu sihitud toetusmeetmed, mis aitaksid kõrgkoolidel katta sertifitseerimise ja ülemineku kulusid. Seetõttu on eriti oluline, et juba rakendatud ja rahvusvaheliselt tunnustatud ISO 27001 sertifitseerimist arvestataks NIS2 rakendamisel sisulise vastavuse tõendina.

Toetame küberturvalisuse paketi eesmärke ning vajadust tugevdada ELi vastupanuvõimet, kuid rõhutame, et ISO 27001 sertifitseeritud infoturbe juhtimissüsteemi mittearvestamine NIS2 rakendamisel tooks kaasa ebaproportsionaalse topeltkoormuse ega aitaks sisuliselt kaasa küberturvalisuse taseme tõstmisele. Palume Eesti seisukohtade kujundamisel arvestada rahvusvaheliste ülikoolide eripära, proportsionaalsuse põhimõtet ning standardite ja regulatiivsete nõuete sisulist kooskõla. Samuti palume ministeeriumil algatada arutelu riikliku toe või paindlike rakendusmehhanismide võimalikkuse üle teadus- ja haridusasutustele, sealhulgas üleminekutoetuse või rahvusvaheliste projektide erimenetluse osas, et regulatsioon võimaldaks riskipõhist otsustamist automaatsete keeldude asemel, lubaks põhjendatud juhtudel kasutada kolmandate riikide teenuseid juhul, kui riskid on nõuetekohaselt hinnatud ja maandatud, ning näeks ette mõistliku üleminekuperioodi olemasolevatele lepingutele, vältimaks kohest ja kulukat migratsiooni. Kui ülikool suudab ISO 27001 raamistikus tõendada riskide süstemaatilist hindamist ja kontrolli, ei peaks regulatsioon automaatselt nõudma teenuse lõpetamist ega dubleerivat sertifitseerimist. Tegemist on proportsionaalsuse ja halduskoormuse vähendamise küsimusega, mis on kooskõlas ka paketi üldiste eesmärkidega.

Lugupidamisega

(allkirjastatud digitaalselt) Ülle Jaakma rektor

Monika Ojakivi [email protected] 731 3200

Eesti Tööandjate Keskliit

Eesti Maaülikooli arvamus Euroopa küberturbe regulatsiooni muudatuste osas

Lugupeetud Raul Aron,

Eesti Maaülikool (edaspidi: ülikool) toetab Euroopa Liidu küberturvalisuse paketi üldisi eesmärke tugevdada ELi kübervastupidavust, vähendada liikmesriikide vahelist killustatust ning parandada IKT-tarneahela turvalisust. Peame oluliseks, et regulatsioonide rakendamisel järgitaks proportsionaalsuse põhimõtet ning välditaks dubleerivat halduskoormust, mis ei suurenda sisuliselt turvalisust, kuid tekitab märkimisväärseid lisakulusid.

Ülikool taotleb ISO/IEC 27001 (edaspidi: ISO 27001) sertifikaati eesmärgiga kehtestada rahvusvaheliselt tunnustatud ja riskipõhine infoturbe juhtimissüsteem. ISO 27001 rakendamine tuleneb nii kehtivast küberturvalisuse seadusest kui ka ülikooli rahvusvahelisest tegevusmudelist, mis eeldab võrreldavat ja usaldusväärset turberaamistikku rahvusvaheliste partnerite ees. Sertifitseerimine toimub täielikult ülikooli oma vahenditest ning ülikool ei ole saanud kasutada eraldi riiklikke toetusmeetmeid. Samuti ei ole riigisisene E-ITS raamistik rahvusvahelise ülikooli kontekstis täiel määral rakendatav.

ISO 27001 ja NIS2 põhinevad samadel alustel: riskijuhtimine, juhtkonna vastutus, tarneahela turvalisus, intsidentide haldus ja pidev parendamine. Seetõttu peab ISO 27001 sertifitseeritud infoturbe juhtimissüsteemi käsitlema NIS2 nõuete täitmise alusraamistikuna. Kui ISO 27001 sertifikaati NIS2 rakendamisel ei arvestata, tekib olukord, kus ülikool peab looma paralleelsed protsessid, dubleeriva aruandluse ja täiendavad auditimehhanismid, mis oleks ebamõistlikult kulukas ning vastuolus halduskoormuse vähendamise eesmärgiga.

Toetame ENISA rolli tugevdamist koordineeriva ja juhendava institutsioonina, EL-ülese sertifitseerimisraamistiku ühtlustamist ning IKT-tarneahela riskide süsteemset ja riskipõhist käsitlemist, kuna need meetmed suurendavad õigusselgust, vähendavad liikmesriikide vahelist killustatust ning aitavad kaasa turvalisemate ja usaldusväärsemate digilahenduste laialdasemale kasutuselevõtule. Samas on praktilise rakendatavuse seisukohalt oluline tagada selge üleminekuperiood olemasolevatele teenuslepingutele, eriti pilveteenuste osas, rakendada teadus- ja haridusasutuste suhtes selgelt proportsionaalsuse põhimõtet ning arvestada järelevalves ja

F. R. Kreutzwaldi 1 51006 Tartu

+372 731 3001 [email protected]

reg. kood 74001086 www.emu.ee

Teie 09.03.2026 nr

Meie 12.03.2026 nr 5.1-14/1406-1

Estonian University of Life Sciences

vastavuse hindamisel ISO 27001 sertifitseeritud organisatsioonide küpsustaset, vältides dubleerivat sertifitseerimist olukorras, kus riskijuhtimine on juba tõendatult toimiv.

Eesti-spetsiifiliste aspektidena juhime tähelepanu, et rahvusvahelise ülikoolina teeme tihedat koostööd kolmandate riikide partneritega, kasutame rahvusvahelisi teadustaristuid ning globaalset pilveinfrastruktuuri. Liiga jäik või formaalne tarneahela piirangute rakendamine võib kahjustada teaduskoostööd ning tuua kaasa märkimisväärseid aja- ja finantskulusid. Eestis puuduvad praegu sihitud toetusmeetmed, mis aitaksid kõrgkoolidel katta sertifitseerimise ja ülemineku kulusid. Seetõttu on eriti oluline, et juba rakendatud ja rahvusvaheliselt tunnustatud ISO 27001 sertifitseerimist arvestataks NIS2 rakendamisel sisulise vastavuse tõendina.

Toetame küberturvalisuse paketi eesmärke ning vajadust tugevdada ELi vastupanuvõimet, kuid rõhutame, et ISO 27001 sertifitseeritud infoturbe juhtimissüsteemi mittearvestamine NIS2 rakendamisel tooks kaasa ebaproportsionaalse topeltkoormuse ega aitaks sisuliselt kaasa küberturvalisuse taseme tõstmisele. Palume Eesti seisukohtade kujundamisel arvestada rahvusvaheliste ülikoolide eripära, proportsionaalsuse põhimõtet ning standardite ja regulatiivsete nõuete sisulist kooskõla. Samuti palume ministeeriumil algatada arutelu riikliku toe või paindlike rakendusmehhanismide võimalikkuse üle teadus- ja haridusasutustele, sealhulgas üleminekutoetuse või rahvusvaheliste projektide erimenetluse osas, et regulatsioon võimaldaks riskipõhist otsustamist automaatsete keeldude asemel, lubaks põhjendatud juhtudel kasutada kolmandate riikide teenuseid juhul, kui riskid on nõuetekohaselt hinnatud ja maandatud, ning näeks ette mõistliku üleminekuperioodi olemasolevatele lepingutele, vältimaks kohest ja kulukat migratsiooni. Kui ülikool suudab ISO 27001 raamistikus tõendada riskide süstemaatilist hindamist ja kontrolli, ei peaks regulatsioon automaatselt nõudma teenuse lõpetamist ega dubleerivat sertifitseerimist. Tegemist on proportsionaalsuse ja halduskoormuse vähendamise küsimusega, mis on kooskõlas ka paketi üldiste eesmärkidega.

Lugupidamisega

(allkirjastatud digitaalselt) Ülle Jaakma rektor

Monika Ojakivi [email protected] 731 3200