Arvamuse edastamine


Sandra Kaljumäe Teie: 12.02.2026 nr 7-1/1078
Justiits- ja digiministeerium
Suur-Ameerika 1 Meie kuupäev digitaalallkirjas nr 1-3/59-1
Tallinn




Tööandjate tagasiside EL küberturvalisuse määruse uuele versioonile CSA2 ja kaasnevatele lihtsustamismeetmetele


Lugupeetud pr Kaljumäe,

Eesti Tööandjate Keskliit toetab Euroopa Liidu eesmärki tugevdada liidu küberturvalisust ning suurendada digitaalse majanduse ja avalike teenuste vastupanuvõimet. Küberturvalisus on ettevõtluse ja ühiskonna toimimise seisukohalt kriitilise tähtsusega ning tõhus regulatiivne raamistik on vajalik.
Samas rõhutame, et küberturvalisuse regulatsioonide edasine arendamine peab olema proportsionaalne, õigusselge ja praktiliselt rakendatav, vältides topeltkoormust ning regulatiivset killustatust, mis ei paranda sisulist turvalisust, kuid suurendab märkimisväärselt haldus- ja kulukoormust. Oluline on arvestada Eesti organisatsioonide investeerimisvõimekusega ja arendusressursi võimalustega (nt küberturbe spetsialistide ja IT arendajate piisavus).

Alljärgnevalt esitame Eesti tööandjate koondseisukohad Cybersecurity Act II (CSA2) ja NIS2 muudatusettepanekute kohta.

1. Regulatiivne raamistik ja üldpõhimõtted
Peame vajalikuks, et ELi küberturvalisuse raamistik lähtuks järgmistest põhimõtetest:
1) Regulatsioonide lihtsustamine ja kattuvuste vähendamine NIS2, DORA, CRA ja CSA2 vahel, et ettevõtted ja asutused ei oleks sunnitud täitma paralleelseid või sisuliselt kattuvaid nõudeid.
2) Õigusselgus ja regulatiivne stabiilsus – ettevõtjatele tuleb anda piisav aeg regulatsioonide rakendamiseks ning hoiduda olukorrast, kus värskelt kehtestatud reegleid hakatakse enne mõjude hindamist uuesti muutma.
3) Riskipõhine ja vähima vajaliku sekkumise printsiibile tuginev lähenemine, mis arvestab organisatsioonide tegelikku riskiprofiili, suurust ja tegevusvaldkonda.
4) Ühtne siseturg, kus piiriüleselt tegutsevad ettevõtted ei pea kohanema liikmesriikide erinevate tõlgenduste ja lisatingimustega.

2. Sertifitseerimine ja vastavuse tõendamine
Eesti Tööandjate Keskliit on seisukohal, et küberturvalisuse sertifitseerimine peab jääma vabatahtlikuks. Täiendavate sertifitseerimisskeemide loomine ei tohi viia de facto kohustuslikkuse tekkeni ega suurendada bürokraatiat ilma sisulist turvalisust parandamata.

Rahvusvaheliselt tunnustatud standardeid, eeskätt ISO/IEC 27001, tuleb käsitleda sisulise vastavuse alusena NIS2 ja teiste küberõigusaktide rakendamisel. Vastavuse tõendamine ei tohiks nõuda paralleelsete auditite, protsesside ja aruandlussüsteemide loomist olukorras, kus riskijuhtimine on juba tõendatult toimiv. Eriti oluline on see rahvusvaheliselt tegutsevate organisatsioonide, sh teadus- ja haridusasutuste ning piiriüleste teenusepakkujate puhul.

3. ENISA roll ja ülesanded
Toetame ELi tasandil küberturvalisuse koordineerimist, kuid rõhutame, et:
1) ENISA roll ei tohi liigselt laieneda viisil, mis hajutab agentuuri fookust või dubleerib liikmesriikide pädevate asutuste, standardiorganisatsioonide ja turuosaliste tegevust.
2) Prioriteet peab olema kehtivate õigusaktide rakendamist toetava praktilise juhendmaterjali ja tehniliste suuniste arendamine.
3) Uute ülesannete lisamisel tuleb hinnata nende tegelikku lisandväärtust ning mõju halduskoormusele.

4. Intsidentide teavitamine ja menetluste ühtlustamine
Toetame ühtse ELi-ülese intsidentide teavitamise kanali loomist, kuna see aitab vähendada dubleerivat raporteerimist ja ressursikulu, eriti piiriüleste ettevõtete puhul.
Samas rõhutame, et:
1) teavitamise tähtajad, vormid ja protseduurid tuleb ühtlustada kõigis asjakohastes ELi küberturvalisuse õigusaktides;
2) eesmärk peab olema ettevõtjate koormuse vähendamine kriisiolukorras, mitte uute formaalsete kohustuste lisamine.

5. IKT tarneahela turvalisus ja kõrge riskiga tarnijad
Mõistame vajadust käsitleda IKT tarneahelas ka mitte tehnilisi riske, kuid peame oluliseks, et:
1) võimalikud piirangud või keelud põhineksid läbipaistvatel, selgelt määratletud kriteeriumitel;
2) üleminekuperioodid oleksid piisavalt pikad ning seotud olemasolevate seadmete elutsükli ja amortisatsiooniga;
3) arvesse võetaks ettevõtjate õiguspärast ootust olukorras, kus seadmed on hangitud ajal, mil nende kasutamine oli lubatud;
4) rakendusaktide sisu ja ajakava oleksid varakult teada, vältimaks pikaajalist ebakindlust investeerimisotsustes.
Ilma nende eeldusteta võivad tarneahelapiirangud kaasa tuua ebaproportsionaalse halduskoormuse ja turuhäired, mis ei ole kooskõlas määruse eesmärgiga.

6. NIS2 muudatused
Toetame NIS2 muudatusi, mis:
1) täpsustavad subjektide ringi ja vähendavad ebaselgust kohuslaste määratlemisel;
2) tõstavad subjektsuse lävendeid, vähendades ebaproportsionaalset koormust;
3) keelavad täiendavate siseriiklike küberturvanõuete kehtestamise, kui ELi tasandil on riskijuhtimismeetmed juba kehtestatud.
Peame eriti oluliseks lahendada NIS2 ja DORA paralleelsed kohustused IKT teenuse osutajatele, et vältida topeltregulatsiooni ja vastuolulisi nõudeid.

Kokkuvõttes Eesti Tööandjate Keskliit toetab küberturvalisuse tugevdamist Euroopa Liidus, kuid rõhutab, et selle eelduseks on lihtsam, sidusam ja sisuliselt riskipõhine regulatiivne raamistik. Küberturvalisus paraneb eelkõige läbi toimiva riskijuhtimise ja tehnoloogia, mitte halduskoormuse kasvatamise.



Lugupidamisega

/allkirjastatud digitaalselt/
Raul Aron
Majanduse ja hariduse valdkonnajuht


Sandra Kaljumäe Teie: 12.02.2026 nr 7-1/1078
Justiits- ja digiministeerium
Suur-Ameerika 1 Meie kuupäev digitaalallkirjas nr 1-3/59-1
Tallinn




Tööandjate tagasiside EL küberturvalisuse määruse uuele versioonile CSA2 ja kaasnevatele lihtsustamismeetmetele


Lugupeetud pr Kaljumäe,

Eesti Tööandjate Keskliit toetab Euroopa Liidu eesmärki tugevdada liidu küberturvalisust ning suurendada digitaalse majanduse ja avalike teenuste vastupanuvõimet. Küberturvalisus on ettevõtluse ja ühiskonna toimimise seisukohalt kriitilise tähtsusega ning tõhus regulatiivne raamistik on vajalik.
Samas rõhutame, et küberturvalisuse regulatsioonide edasine arendamine peab olema proportsionaalne, õigusselge ja praktiliselt rakendatav, vältides topeltkoormust ning regulatiivset killustatust, mis ei paranda sisulist turvalisust, kuid suurendab märkimisväärselt haldus- ja kulukoormust. Oluline on arvestada Eesti organisatsioonide investeerimisvõimekusega ja arendusressursi võimalustega (nt küberturbe spetsialistide ja IT arendajate piisavus).

Alljärgnevalt esitame Eesti tööandjate koondseisukohad Cybersecurity Act II (CSA2) ja NIS2 muudatusettepanekute kohta.

1. Regulatiivne raamistik ja üldpõhimõtted
Peame vajalikuks, et ELi küberturvalisuse raamistik lähtuks järgmistest põhimõtetest:
1) Regulatsioonide lihtsustamine ja kattuvuste vähendamine NIS2, DORA, CRA ja CSA2 vahel, et ettevõtted ja asutused ei oleks sunnitud täitma paralleelseid või sisuliselt kattuvaid nõudeid.
2) Õigusselgus ja regulatiivne stabiilsus – ettevõtjatele tuleb anda piisav aeg regulatsioonide rakendamiseks ning hoiduda olukorrast, kus värskelt kehtestatud reegleid hakatakse enne mõjude hindamist uuesti muutma.
3) Riskipõhine ja vähima vajaliku sekkumise printsiibile tuginev lähenemine, mis arvestab organisatsioonide tegelikku riskiprofiili, suurust ja tegevusvaldkonda.
4) Ühtne siseturg, kus piiriüleselt tegutsevad ettevõtted ei pea kohanema liikmesriikide erinevate tõlgenduste ja lisatingimustega.

2. Sertifitseerimine ja vastavuse tõendamine
Eesti Tööandjate Keskliit on seisukohal, et küberturvalisuse sertifitseerimine peab jääma vabatahtlikuks. Täiendavate sertifitseerimisskeemide loomine ei tohi viia de facto kohustuslikkuse tekkeni ega suurendada bürokraatiat ilma sisulist turvalisust parandamata.

Rahvusvaheliselt tunnustatud standardeid, eeskätt ISO/IEC 27001, tuleb käsitleda sisulise vastavuse alusena NIS2 ja teiste küberõigusaktide rakendamisel. Vastavuse tõendamine ei tohiks nõuda paralleelsete auditite, protsesside ja aruandlussüsteemide loomist olukorras, kus riskijuhtimine on juba tõendatult toimiv. Eriti oluline on see rahvusvaheliselt tegutsevate organisatsioonide, sh teadus- ja haridusasutuste ning piiriüleste teenusepakkujate puhul.

3. ENISA roll ja ülesanded
Toetame ELi tasandil küberturvalisuse koordineerimist, kuid rõhutame, et:
1) ENISA roll ei tohi liigselt laieneda viisil, mis hajutab agentuuri fookust või dubleerib liikmesriikide pädevate asutuste, standardiorganisatsioonide ja turuosaliste tegevust.
2) Prioriteet peab olema kehtivate õigusaktide rakendamist toetava praktilise juhendmaterjali ja tehniliste suuniste arendamine.
3) Uute ülesannete lisamisel tuleb hinnata nende tegelikku lisandväärtust ning mõju halduskoormusele.

4. Intsidentide teavitamine ja menetluste ühtlustamine
Toetame ühtse ELi-ülese intsidentide teavitamise kanali loomist, kuna see aitab vähendada dubleerivat raporteerimist ja ressursikulu, eriti piiriüleste ettevõtete puhul.
Samas rõhutame, et:
1) teavitamise tähtajad, vormid ja protseduurid tuleb ühtlustada kõigis asjakohastes ELi küberturvalisuse õigusaktides;
2) eesmärk peab olema ettevõtjate koormuse vähendamine kriisiolukorras, mitte uute formaalsete kohustuste lisamine.

5. IKT tarneahela turvalisus ja kõrge riskiga tarnijad
Mõistame vajadust käsitleda IKT tarneahelas ka mitte tehnilisi riske, kuid peame oluliseks, et:
1) võimalikud piirangud või keelud põhineksid läbipaistvatel, selgelt määratletud kriteeriumitel;
2) üleminekuperioodid oleksid piisavalt pikad ning seotud olemasolevate seadmete elutsükli ja amortisatsiooniga;
3) arvesse võetaks ettevõtjate õiguspärast ootust olukorras, kus seadmed on hangitud ajal, mil nende kasutamine oli lubatud;
4) rakendusaktide sisu ja ajakava oleksid varakult teada, vältimaks pikaajalist ebakindlust investeerimisotsustes.
Ilma nende eeldusteta võivad tarneahelapiirangud kaasa tuua ebaproportsionaalse halduskoormuse ja turuhäired, mis ei ole kooskõlas määruse eesmärgiga.

6. NIS2 muudatused
Toetame NIS2 muudatusi, mis:
1) täpsustavad subjektide ringi ja vähendavad ebaselgust kohuslaste määratlemisel;
2) tõstavad subjektsuse lävendeid, vähendades ebaproportsionaalset koormust;
3) keelavad täiendavate siseriiklike küberturvanõuete kehtestamise, kui ELi tasandil on riskijuhtimismeetmed juba kehtestatud.
Peame eriti oluliseks lahendada NIS2 ja DORA paralleelsed kohustused IKT teenuse osutajatele, et vältida topeltregulatsiooni ja vastuolulisi nõudeid.

Kokkuvõttes Eesti Tööandjate Keskliit toetab küberturvalisuse tugevdamist Euroopa Liidus, kuid rõhutab, et selle eelduseks on lihtsam, sidusam ja sisuliselt riskipõhine regulatiivne raamistik. Küberturvalisus paraneb eelkõige läbi toimiva riskijuhtimise ja tehnoloogia, mitte halduskoormuse kasvatamise.



Lugupidamisega

/allkirjastatud digitaalselt/
Raul Aron
Majanduse ja hariduse valdkonnajuht