Järelepärimine

Riigi Infosüsteemide Amet E-post: [email protected]

/kuupäev digiallkirjas/

Seisukoha küsimine küberturvalisuse seaduse kohaldumise kohta Julianus Inkasso OÜ´le

1. 01.01.2026. a jõustus küberturvalisuse seadus (edaspidi KüTS).

2. Julianus Inkasso OÜ (edaspidi Julianus) on läbi viinud õigusliku analüüsi, et selgitada välja, kas Julianus on 01.01.2026. a jõustunud KüTS § 3 lg 3 p 9 mõttes haldusteenuse osutaja.

3. Julianus on inkassoteenuse pakkuja/osutaja, mis tegeleb võlanõuete sissenõudmisega ja krediidihaldustegevusega nii juriidiliste- kui ka füüsiliste isikute võlanõuete sissenõudmisel.

4. Finantsisnpektsioon on Julianusele 11.12.2024. a väljastanud tegevusloa nr 4.1-1/167 1 krediidiinkassona tegutsemiseks.

5. Julianuse infosüsteemide turvalisus vastab rahvusvahelisest tunnustatud ISO standardile. Julianus on Aktiva Finance Group OÜ (edaspidi AFG) gruppi kuuluv äriühing. Bureau Veritas Certifikation on AFG´le väljastanud 24.11.2025. a sertifikaadi2 ISO/IEC 27001:2022, sertifitseerimise ulatusega finantsteenuste osutamine, sealhulgas võlgade sissenõudmine, krediidihaldus, maksete vahendamine ja finantsandmete töötlemine.

6. Julianuse poolt osutatav teenus on võlanõuete sissenõudmise- ja krediidihaldustegevuse teenus. Julianusel on iseteeninduskeskkond, mis on üksnes osa klientidele osutatavast teenusest. Iseteeninduse paigaldamise, haldamise, käitamise või hooldamise teenust ei pakuta teenusena kliendile. Põhiteenus iseenesest ei ole seotud kliendi IKT-toodete, võrkude, taristu, rakenduse või muude võrgu- ja infosüsteemide paigaldamise, haldamise, käitamise või hooldamisega. Iseteenindus on üksnes põhiteenuse osutamisel kasutatav vahend võlgnevuste sissenõudmise protsessi lihtsustamiseks. Teenuse olemuslikuks sisuks ei ole kliendi iseteeninduskeskkonna paigaldamine, haldamine, käitamine või hooldamine. Iseteeninduskeskkonna tugi või aktiivne haldamine on Julianuse sisene ülesanne – seda ei pakuta teenusena kliendile kliendi süsteemides (ei kliendi ruumides ega ka kaugjuhtimise teel). Iseteenindust kasutavad kliendid võivad olla nii B2B (ärikliendid) kui ka B2C (eraisikud). Eraisikul (eeskätt nt võlgnikul) on võimalik sisse logida, oma võlgnevuste jääki vaadata, võlgnevusi tasuda jne.

7. Lisaks pakub Julianus oma klientidele API (Application Programming Interface) endpoint’i ehk võimalust kasutada liidestust, mille kaudu klient saab Julianusele edastada nõudeid sissenõudmiseks inkassomenetluses. Tegemist on liidestusega, mille klient seadistab enda süsteemidesse ise (Julianuse teenus ei hõlma API liidestuse paigaldamist). Liidestuse kaudu pääseb klient ligi Julianuse teenusele. Juhul, kui klient enda liidestuse seadeid muudab, siis andmeedastust liidestuse vahendusel ei toimu – klient saab selle kohta veateateid; veateadete ja liidestuse

1 Link: https://fi.ee/et/pangandus-ja-krediit/krediidiinkassod/eesti-krediidiinkassod/julianus-inkasso-ou 2 Link: https://aktivafinance.eu/meist/

parandamisega tegeleb klient ise ning Julianuse teenus ei hõlma API liidestuse haldamist, hooldamist või käitamist. API liidestuse näol ei toimu seega kliendi süsteemide paigaldamist, haldamist, käitamist või hooldamist. Julianuse klient seadistab API liidese ise. Samuti haldab, hooldab ja käitab klient API liidest ise.

8. Julianus on seisukohal, et iseteeninduskeskkond ja API liides on Julianuse teenuse osaks, kuid ei kujuta endast kliendi juures või kaugteel kliendi süsteemide aktiivset hooldamist või toe pakkumist (sh süsteemide paigaldamist, haldamist, käitamist või hooldamist).

9. KüTS § 3 järgi on KüTS-i subjektiks haldusteenuse osutaja (KüTS § 3 lg 3 p 9). Haldusteenuse osutaja mõiste avab KüTS § 2 p 7: haldusteenuse osutaja – üksus, kes osutab teenuseid, mis on seotud IKT-toodete, võrkude, taristu, rakenduste või muude võrgu- ja infosüsteemide paigaldamise, haldamise, käitamise või hooldamisega toe või aktiivse haldamise kaudu kas kliendi ruumides või kaugjuhtimise teel.

10. KüTS seletuskiri3 haldusteenuse osutaja mõistet oluliselt ei ava. Seletuskiri täpsustab vaid, et haldusteenuse osutaja puhul on tegemist IKT-ga seotud haldusteenustega. NIS2 direktiivi I lisa, punkt 9 järgi kuuluvad IKT-teenuste haldamise (ettevõtetevaheline) kategooriasse haldusteenuse osutajad ja infoturbeteenuse osutajad. Kategooria kirjelduse järgi on tegemist ettevõtetevahelise (B2B) teenuse osutamisega. Infoturbeteenuse osutaja mõistet selgitab NIS2 rakendusasutus the European Union Agency for Cybersecurity (ENISA) oma 2025. a juhendis4: kolmandale isikule osutatav teenus, mis seisneb küberturvalisuse riskijuhtimisega seotud tegevuste, näiteks intsidentide käsitlemise, penetratsioonitestimise, turvaauditite ja tehnilise toega seotud konsultatsioonide, sh eksperdinõuannete läbiviimises või abistamises.

11. Samasse NIS2 kategooriasse kuuluvate teenuste puhul võib seega haldusteenuse osutamise mõistet avada sarnases kontekstis: s.o kolmandale isikule osutatav teenus, mis seisneb (haldusteenuse osutamise puhul) IKT-toote, võrgu, taristu, rakenduse paigaldamises, haldamises, käitamises või hooldamises. Selleks, et kolmandale isikule teenust osutada, on eelduseks kliendi vastav tellimus. Sellist tõlgendust toetavad ka veebis avaldatud kirjeldused haldusteenuse osutamise kohta. „Haldusteenuse osutaja“ (managed service provider) mõistet selgitatakse järgnevalt: A managed service provider (MSP) delivers services, such as network, application, infrastructure and security, via ongoing and regular support and active administration on customers’ premises, in their MSP’s data center (hosting), or in a third-party data center. MSPs may deliver their own native services in conjunction with other providers’ services (for example, a security MSP providing sys admin on top of a third-party cloud IaaS). Pure-play MSPs focus on one vendor or technology, usually their own core offerings. Many MSPs include services from other types of providers. The term MSP traditionally was applied to infrastructure or device-centric types of services but has expanded to include any continuous, regular management, maintenance and support. 5 A managed services provider (MSP) is an outsourced third-party company that takes on the ongoing, day-to-day responsibilities, monitoring, and maintenance of a range of tasks and functions for another company—their customer. The MSP and the customer are typically bound by a contract with a standardized service level agreement that defines the expectations and quality metrics of the

3 Seletuskiri kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d- f6955c6c4a69/kuberturvalisuse-seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi- ulevotmine/ 4 Link: https://www.enisa.europa.eu/sites/default/files/2025-06/ENISA_MSS_Market_Analysis_en_2.pdf 5 Link: https://www.gartner.com/en/information-technology/glossary/msp-management-service-provider

delivered services. 6 The term refers, in particular, to entities and operations that enable the outsourcing of operations relating to communications networks and information systems from one entity to a managed service provider. This may involve a wide range of services, but the essential aspect is that operations are outsourced to a managed service provider. The category does not seem to include the development and provision of applications and software for use by the customer entity itself, which would not involve a service or operation being outsourced so that it would be under the responsibility of a managed service provider and implemented on behalf of the entity. 7

12. Eelnevast tulenevalt on Julianus asunud seisukohale, et Julianus ei ole teenuse osutamise käigus iseteeninduskeskkonna ega API liidese kasutamise võimaldamisega oma klientidele käsitletav haldusteenuse osutajana KüTS § 3 lg 3 p 9 mõttes.

13. KüTS kohaselt kohustub teenuseosutaja esitama KüTS´is ettenähtud teabe Riigi Infosüsteemide Ametile (edaspidi RIA). Eeltoodust tulenevalt pöördub Julianus RIA poole seisukoha küsimiseks.

14. Julianus palub RIA seisukohta, kas RIA nõustub Julianuse õigusliku analüüsi järeldusega, et Julianus ei ole haldusteenuse osutajaks KüTS § 3 lg 3 p 9 mõttes.

Lugupidamisega Merle Laurimäe Julianus Inkasso OÜ juhatuse liige /allkirjastatud digitaalselt/

6 Link: https://www.sap.com/products/hcm/workforce-management/what-is-a-msp.html 7 Link: https://www.kyberturvallisuuskeskus.fi/en/our-activities/regulation-and-supervision/digital-infrastructure- digital-services-and-ict-services?utm_source=chatgpt.com