Arvamuse edastamine

Lõõtsa 8a / 11415 Tallinn / [email protected] / www.rit.ee / Registrikood 77001613

Lp Liisa Ly-Pakosta

Justiits- ja Digiministeerium

[email protected]

Suur-Ameerika 1

10122, Tallinn

Arvamuse avaldamine eelnõudele

Teie 12.01.2026 nr 8-1/1922-1 Meie 02.04.2026 nr 1-5/26-93-2

Justiits- ja Digiministeeriumi põhimääruse

kinnitamine

Toetame Justiits- ja Digiministeeriumi põhimääruse kinnitamise eelnõud. Valdkondade lõimimine aitab

paremini arvestada õiguskeskkonna ja digiarengu vastastikuseid mõjusid ning tugevdab riigi strateegilist

juhtimist. Peame siiski oluliseks, et põhimääruses oleks selgemalt määratletud ministeeriumi roll ja

vastutusvaldkonnad, eelkõige küberturvalisuse, andmekaitse ja riigi infosüsteemide arendamise osas. Samuti

vajab täpsustamist ülesannete jaotus valitsemisala asutustega ning koostöö teiste ministeeriumide ja

asutustega, et vältida pädevuste kattumist ja tagada tõhus toimimine.

Võrgu- ja infosüsteemi turvameetmete nõuded

Toetame eelnõu eesmärki viia võrgu- ja infosüsteemide küberturvalisuse nõuded kooskõlla NIS2 direktiiviga

ning vähendada põhjendamatut halduskoormust seal, kus see ei anna täiendavat turvaväärtust. Soovitame

täpsustada kesksete teenuseosutajate rolli ja vastutuse ulatust, sh eristada selgelt, millised kohustused lasuvad

teenusepakkujal ning millised klientasutusel. Samuti peame oluliseks ühtsete standardite ja juhiste

kehtestamist (nt riskihindamine, auditid, intsidentide käsitlus), et tagada teenuste ülene kooskõla. Täiendavalt

tuleks arvestada vajadusega tagada piisavad ressursid ja realistlikud rakendustähtajad, arvestades nõuete

märkimisväärset laienemist.

RIT peab oluliseks, et E-ITS-i ja muude tunnustatud standardite vaheline vastavusloogika oleks praktiliselt

rakendatav, sh arvestaks olemasolevaid sertifikaate ja auditeid kogu teenuse ulatuses, mitte killustatult.

Arvestades, et mitmetes valdkondades kasutatakse väliseid partnereid, soovitame kaaluda, eelkõige peatükis

4, ühtsete ja täpsemate nõuete kehtestamist välistele partneritele, selle asemel et jätta vastavate meetmete

määratlemine suures ulatuses iga kasutaja otsustada. Samuti peame oluliseks sätestada kohustus määrata kogu

teabele säilitustähtaeg, et välistada põhjendamatu nn tähtajatu säilitamine, mitte üksnes käsitleda andmete

säilitamist seadmete utiliseerimise kontekstis.

Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel

Toetame eelnõu eesmärki suurendada pilvteenuste turvalist kasutamist ning tuua selgust vastutuse jaotusesse.

RIT-i kui keskse teenuseosutaja vaates on oluline, et regulatsioon võimaldaks pakkuda standardiseeritud

pilvelahendusi mitmele asutusele ilma liigse halduskoormuseta. Liialt detailne või asutusepõhine nõuete

rakendamine võib takistada ühtsete teenuste arendamist ja vähendada oluliselt kuluefektiivsust.

Soovitame täpsustada kesksete teenusepakkujate rolli ning võimaldada turvameetmete rakendamist

teenusepõhiselt, mitte iga klientasutuse lõikes eraldi. Samuti on oluline, et aktsepteeritaks rahvusvahelisi

standardeid ja pilveteenuse pakkujate sertifikaate (nt ISO) ilma dubleerivate auditikohustusteta. Täiendavalt

võiks selgemalt määratleda, millised nõuded jäävad pilveteenuse pakkuja ning millised teenuse tarbija

vastutusalasse, et vältida vastutuse hajumist.

2/2

Oluline on, et NIS2 nõuete ja EITS-i täitmine ei oleks dubleerivad kohustused. Kui EITS-i nõuded on

täidetud, siis peaks sellega olema täidetud ka NIS2 nõuded, mistõttu on praktikas vajalik ühtse vastavustabeli

vms loomine, mis lihtsustab vastavuskontrolli teostamist.

Lugupidamisega

(allkirjastatud digitaalselt)

Ergo Tars

direktor

Kadri Levand