| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-21/261002 |
| Registreeritud | 21.04.2026 |
| Sünkroonitud | 22.04.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-21 Õigusalane kirjavahetus ja muu dokumentatsioon |
| Toimik | 1.1-21/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Advokaadibüroo WIDEN |
| Saabumis/saatmisviis | Advokaadibüroo WIDEN |
| Vastutaja | Liina Lumiste (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
1
Riigi Infosüsteemi Amet Pärnu maantee 139a, 15169 Tallinn
20. aprill 2026
Käesolev selgitustaotlus on edastatud digitaalselt allkirjastatuna e-posti aadressile [email protected].
SELGITUSTAOTLUS Austatud Riigi Infosüsteemi Amet 1. Advokaadibüroo WIDEN kliendiks on ühing (edaspidi: Ühing A), kelle palvel pöördume Riigi
Infosüsteemi Ameti poole käesoleva selgitustaotlusega.
2. Ühing A on emaettevõtja ja tema 100% omanduses on mitu tütarettevõtjat. Sealjuures on üks või mitu tütarettevõtjatest KüTS-i mõttes teenuseosutaja(d), kuid mitte kõik.
3. Käesolevaga pöördume Riigi Infosüsteemi Ameti poole, et saada vastused alljärgnevale neljale küsimusele vastavalt märgukirjale ja selgitustaotlusele vastamise ning kollektiivse pöördumise esitamise seaduse §-le 3. Oleme enda vastused juba küsimustele lisanud. Palume RIA-lt tagasisidet, kas vastused on korrektsed või mitte (ning kui mitte, mis on korrektne vastus).
4. Küsimus 1 – kas Ühing A (emaettevõtja) muutub tütarettevõtjatele teenuste osutamise või vahendamise tõttu KüTS-i mõttes „teenuseosutajaks“ KüTS § 3 lg 3 p 9 või KüTS § 3 lg 3 p 11 mõttes?
5. Ühing A on sõlminud kolmanda isikuga (Microsoft) lepingu majandus‑ ja kontoritarkvara kasutamiseks ning kasutab nimetatud tarkvara talle antud litsentsi alusel. Tegemist on standardsete äri- ja kontoritarkvara lahendustega, mida Ühing A kasutab oma igapäevases tegevuses. Samade litsentside alusel võimaldab Ühing A kõnealuse tarkvara kasutamist ka enda tütarettevõtjatele. Tarkvara kasutamise korraldamine tütarettevõtjate jaoks toimub Ühing A kaudu, sealhulgas haldab Ühing A (täpsemalt Ühingu A IT‑osakond) kasutajakontosid, ligipääse ja kasutajaõiguseid. Tütarettevõtjatel puuduvad nimetatud tarkvara osas otselepingud tarkvarateenuse osutajaga. Sealjuures ei kasutata tarkvara pilveteenusena, vaid see on paigaldatud ning töötab füüsiliselt Ühing A serverites. Kõnealune serveritaristu kuulub Ühingule A ning on tema valduses ja halduses.
6. Lisaks on Ühing A sõlminud lepingu kolmanda isikuga infoturbeteenuste saamiseks. Ühing A võimaldab oma tütarettevõtjatel ligipääsu nendele infoturbeteenustele Ühing A kaudu, ilma et tütarettevõtjad oleksid ise nimetatud teenuste tellijateks või lepingulisteks pooleks.
7. Eeldame, et Ühing A poolt kasutatavad võrgu‑ ja infosüsteemid on tütarettevõtjate süsteemidega seotud sellisel määral, et neid ei saa pidada üksteisest sõltumatuteks KüTS § 3 lg 7 tähenduses. Sellest tulenevalt tuleb kontserni kuuluvad äriühinguid käsitada sidusettevõtjatena ning nende töötajate arvud ning aastabilansimahud ja/või aastakäibed tuleb arvutada kokku vastavalt Euroopa Komisjoni soovitusele 2003/361/EÜ. Samuti eeldame, et kontsernis on majandusaasta jooksul vähemalt 250 töötajat ning aastabilansimaht ületab 43 miljonit eurot või aastakäive 50 miljonit eurot.
8. Tekib küsimus, kas Ühing A muutub haldusteenuse osutajaks KüTS § 3 lg 3 p 9 mõttes.
Haldusteenuse osutaja on KüTS § 2 p 7 järgi üksus, kes osutab teenuseid, mis on seotud IKT- toodete, võrkude, taristu, rakenduste või muude võrgu- ja infosüsteemide paigaldamise, haldamise, käitamise või hooldamisega toe või aktiivse haldamise kaudu kas kliendi ruumides või kaugjuhtimise teel. KüTS-i seletuskirja järgi: Haldusteenuse osutaja tegevus hõlmab näiteks kliendi sidevõrkude haldamist, sh viitab ka tegevustele, mida tehakse kliendi ruumides.
2
Definitsioonis nimetatud tegevused on alternatiivsed ehk haldusteenuse osutaja ei pea kõiki definitsioonis nimetatud teenuseid pakkuma, vaid piisab ühest.1
9. Meie hinnangul esineb risk, et Ühing A kvalifitseerub haldusteenuse osutajaks KüTS § 3 lg 3 p
9 tähenduses. KüTS § 2 p 7 kohaselt on haldusteenuse osutaja mõiste lai ning hõlmab muu hulgas IKT‑taristu, rakenduste ja infosüsteemide haldamist ja käitamist. Käesoleval juhul
korraldab Ühing A enda IT‑osakonna kaudu tütarettevõtjate kasutuses olevate tarkvaralahenduste toimimist, haldab asjakohast IKT‑taristut ning määrab ligipääse ja kasutajaõigusi. Samuti puuduvad tütarettevõtjatel otselepingud vastavate teenuseosutajatega, mistõttu toimub tarkvara ja IT‑teenuste kasutamine sisuliselt Ühing A vahendusel. Samas tuleb arvestada, et tarkvarateenuseid osutab lepinguliselt siiski kolmas isik, mitte Ühing A, mis võib olla asjakohane kvalifitseerimise piiride hindamisel.
10. Lisaks tekib küsimus, kas Ühing A muutub infoturbeteenuse osutajaks KüTS § 3 lg 3 p 11 mõttes. Infoturbeteenuse osutajaks on KüTS § 2 p 11 järgi haldusteenuse osutaja, kes viib ellu riskide juhtimist või pakub selleks tuge. Seletuskirja järgi: Kommenteeritavas punktis nimetatud üksuse (infoturbeteenuse osutaja) osutatavateks teenusteks võivad olla näiteks eelnõujärgses KüTSi § 7 lõikes 2 kavandatavad nõuete täitmisega seotud teenused – näiteks võib ta pakkuda IKT-valdkonnas küberintsidendi haldamise või lahendamise teenust. Infoturbeteenuse osutaja on üksus, kes osutab enda teenust ennekõike äriklientidele (ingl business-to-business). Infoturbeteenuse osutajaga on näiteks tegemist siis, kui kontserni emaettevõtja osutab enda tütarettevõtjatele teenuseid, mis on hõlmatud infoturbeteenuse osutaja definitsiooniga.
11. Meie hinnangul on vastus eitav – Ühing A ei kvalifitseeru infoturbeteenuse osutajaks KüTS § 3 lg 3 p 11 tähenduses. Ühing A hangib infoturbeteenused kolmandalt isikult, kes on ka see üksus, kes sisuliselt viib ellu riskide juhtimist või pakub selleks tuge KüTS § 2 p 11 mõttes. Ühing A tarbib nimetatud teenuseid enda tarbeks ning võimaldab tütarettevõtjatel ligipääsu samadele kolmanda isiku osutatavatele infoturbeteenustele, ilma et Ühing A ise osutaks tütarettevõtjatele iseseisvaid infoturbega seotud teenuseid. Näiteks – küberintsidendi puhul asuks seda haldama ja lahendama kolmandast isikust teenusepakkuja. Tõsi, Ühing A võib olla emaettevõtjana ja potentsiaalselt haldusteenuseosutajana (KüTS § 3 lg 3 p 9 mõttes) nõustavas rollis, kuid sisulise töö teeks ära kolmandast isikust teenuseosutaja. Seejuures Ühing A ei planeeri ega vii läbi küberturbealast järelevalvet, riskianalüüse ega turvaauditeid tütarettevõtjate süsteemide osas. Samuti tuleb arvestada, et kolmandast isikust teenuseosutaja on juba ise KüTS-i ja NIS2 direktiivi tähenduses infoturbeteenuse osutaja ning kohustatud täitma vastavaid regulatiivseid kohustusi oma teenuste osutamisel.
12. Küsimus 2 – kas kontserni kuuluv äriühing, kes oma tegevusala tõttu ei ole KüTS‑i subjekt, võib muutuda KüTS‑i subjektiks (st teenuseosutajaks) ainuüksi seetõttu, et
tema võrgu‑ ja infosüsteemid on seotud teise sama kontserni kuuluva äriühinguga, kes
on KüTS‑i subjekt? 13. Meie hinnangul on vastus eitav. KüTS‑i subjektiks olemine on üksusepõhine (KüTS § 3 lg 1).
KüTS § 2 p 39 kohaselt on üksuseks juriidiline või füüsiline isik; üksusena ei käsitleta kontserni tervikuna. Selleks, et äriühing kvalifitseeruks KüTS‑i subjektiks, peab ta ise olema „teenuseosutaja“ KüTS § 3 tähenduses, st tegelema mõne selles paragrahvis nimetatud tegevusalaga (ja vajaduse korral vastama ka keskmise või suure ettevõtja piirmääradele), või olema domeeninimede registreerimise teenuse osutaja. Kui äriühing ei tegele vastava tegevusalaga, ei muutu ta KüTS‑i subjektiks üksnes seetõttu, et ta kuulub kontserni, mille mõni
teine äriühing on KüTS‑i subjekt, ega ka seetõttu, et nende võrgu‑ ja infosüsteemid on omavahel seotud.
14. Küsimus 3 – kas Ühing A (emaettevõtja) juhatuse liige vastutab KüTS-i subjektiks (teenuseosutajaks) oleva tütarettevõtja poolt KüTS-is sätestatud kohustuste täitmise eest?
1 Kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse- seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/
3
15. Meie hinnangul on vastus eitav. KüTS §‑s 61 sätestatud juhatuse liikme kohustused ja vastutus
on seotud konkreetse teenuseosutajaga ning rakenduvad üksusepõhiselt. KüTS § 2 p 39 kohaselt käsitatakse üksusena juriidilist või füüsilist isikut, kuid mitte kontserni kui tervikut. Seetõttu vastutab KüTS‑ist tulenevate kohustuste täitmise eest teenuseosutajaks kvalifitseeruva tütarettevõtja juhatus, mitte emaettevõtja juhatuse liige. Ainuüksi asjaolu, et isik kuulub emaettevõtja juhatusse, ei too kaasa vastutust tütarettevõtja tegevuse või tegevusetuse eest KüTS-i tähenduses.
16. Küsimus 4 – kui Ühing A (emaettevõtja) osutab tütarettevõtjale IT‑teenuseid ning
tütarettevõtjal puudub IT‑ või infoturbejuht ja tütarettevõtja suhtes viiakse RIA järelevalvemenetluse raames läbi turvaaudit ja/või rakendatakse muid järelevalvemeetmeid, kas RIA võib sama järelevalvemenetluse raames viia läbi auditi ja/või rakendada muid järelevalvemeetmeid ka Ühingu A suhtes?
17. Meie hinnangul on vastus eitav. RIA ei või tütarettevõtja suhtes läbiviidava
järelevalvemenetluse raames auditeerida ega rakendada muid järelevalvemeetmeid Ühingu A suhtes, kuna KüTS‑i kohane järelevalve on üksusepõhine ning toimub konkreetse KüTS‑i subjektiks oleva üksuse suhtes. Samas, juhul kui Ühing A kvalifitseerub ise KüTS‑i subjektiks,
on RIA‑l õigus algatada Ühingu A suhtes eraldi järelevalvemenetlus ning selle raames viia läbi auditeid ja rakendada muid järelevalvemeetmeid vastavalt KüTS‑is sätestatule.
Palun andke teada kui teil on küsimusi seoses käesoleva selgitustaotlusega ([email protected]). Lugupidamisega Henri Ratnik
allkirjastatud digitaalselt Vandeadvokaat Partner