Avalda arvamust digitoodetele kehtestatavate küberturvalisuse nõuetega seotud muudatuste osas

Mis on digitooted? 
Digitooted antud ettepaneku kontekstis on tooted, mis on ühendatud internetti või mis on ühenduses seadmetega, mis on ühendatud internetti. Digitooted võivad olla nii füüsilised, näiteks nutikell, kuid ka virtuaalsed, näiteks erinevad tarkvarad. 

Keda mõjutab? 
Ettepanek mõjutab peamiselt digitoodete tootjaid, importijaid ja maaletoojaid. 

Millised on peamised muudatused? 

• Uus määrus hakkab kehtima enamikele toodetele, mis töötavad nn asjade interneti põhimõttel. Lihtsustatult öeldes on tegu toodetega, mis on ühendatud interneti kaudu või muul moel teiste, internetiga ühenduses olevate seadmetega, näiteks ruuterid, nutitelefonid ja nutikellad. Määruse kohaldamisalast jäävad välja vaid meditsiiniseadmed, diagnostikaseadmed ning tsiviillennunduse- ja militaarvaldkonnas kasutatavad seadmed (vt ettepaneku artikkel 2). 

• Tooted on ettepanekus jagatud kahte kategooriasse – kriitilised tooted ja muud tooted (vt ettepaneku artikkel 6). Kriitiliste toodete nimekiri on välja toodud ettepaneku lisas 3. Sellesse nimekirja kuuluvad näiteks identifitseerimist ja erinevaid ligipääse võimaldavad tooted. Kui ülejäänud toodetele võib tootja ise läbi viia vastavushindamise, siis kriitiliste toodete puhul peab seda tegema liikmesriigi pädev ametiasutus või kolmas isik, kes omab vastavat pädevust. Kriitiliste toodetega seotud rikkumiste eest näeb ettepanek ette karmimad karistused.  

• Kui toode vastab määruses ja selle lisades toodud küberturvalisuse nõuetele, ei tohi ettepaneku kohaselt ükski Euroopa Liidu liikmesriik seada sellele tootele takistusi turule sisenemiseks (vt ettepaneku artikkel 4). 

• Määruse ettepanek kehtestab toodetele küberturvalisuse nõuded, mille kohaselt peab tootja (vt ettepaneku artikkel 10): 

  • viima läbi toote küberturvalisuse riskide hindamise ja võtma vastavat hinnangut arvesse toote valmimise igas etapis (seejuures tuleb hinnangut uuendada, kui on ilmnenud mõni uus oht, mis varasemalt ei olnud teada); 

  • uuendama toote riskihinnangut hiljemalt iga viie aasta järel. Kui toote eeldatav kasutusaeg on lühem kui viis aastat, tuleb toote riskihinnangut uuendada hiljemalt toote eeldatava kasutusaja möödumisel; 

  • läbima toote vastavushindamise, mille põhjal koostab ta vastavusdeklaratsiooni (vt ettepaneku artikkel 24). Vastavusdeklaratsioon peab järgima ettepaneku artiklites 23 ja 24 ja ka ettepaneku lisades toodud nõudeid. 

• Kui tootja saab teada mõnest riskist, peab ta 24 tunni jooksul alates riskist teada saamisest teavitama sellest Euroopa Küberturvalisuse Agentuuri (ENISA) (vt ettepaneku artikkel 11). Samuti peab tootja sellisel juhul teavitama sellest kõiki isikuid, kes talle teadaolevalt toodet omavad. 

• Importija peab tootel või selle pakendil avalikustama enda kontaktandmed, mille kaudu on temaga võimalik ühendust võtta (vt ettepaneku artikkel 13). Juhul, kui aja jooksul ilmneb tootel mõni nõuetele mittevastavus, peab nende kontaktide kaudu olema võimalik importijaga ühendust võtta. 

• Importijad peavad ettepaneku kohaselt säilitama toote vastavusdeklaratsiooni koopiat kuni kümme aastat alates toote importimisest (vt ettepaneku artikkel 13). Vastavusdeklaratsiooni võib säilitada nii paberil kui digitaalsel kujul. 

• Kui importija saab teada, et toote tootja ei tegutse enam või ei ole võimeline täitma oma kohustusi, peab ta sellest informeerima oma riigi turujärelevalveasutusi ning ka isikuid, kes talle teadaolevalt toodet omavad (vt ettepaneku artikkel 13). Samasugune kohustus kehtib ka edasimüüjatele. 

• Edasimüüjal on toodet turule lastes kohustus tagada, et toode kannab CE-märgist ning et tootja ja importija on toote puhul oma kohustusi täitnud (vt ettepaneku artikkel 14). Seejuures ei tohi edasimüüja toodet turule lasta isegi siis, kui tal on vaid kahtlus, et eelpool nimetatud nõuded ei ole täidetud. Sellise kahtluse korral peab edasimüüja sellest viivitamatult informeerija tootjat ning kui tegu on märkimisväärse küberturvalisuse alase riskiga, siis ka oma riigi pädevaid asutusi. 

• Juhul, kui importija või maaletooja hakkab toodet müüma enda kaubamärgi alt või muudab toodet olulisel määral, muutub ta ettepaneku kohaselt tootjaks ning talle laienevad sellest tulenevalt samasugused õigused ja kohustused nagu tootjale (vt ettepaneku artikkel 15). Sama kehtib ka kolmandate isikute kohta, kes müüvad toodet enda kaubamärgi alt või muudavad seda olulisel määral (vt ettepaneku artikkel 16). 

• Kohustuste rikkumisele võivad ettepaneku kohaselt järgneda trahvid, mille suurus võib ulatuda vastavalt ettepaneku artiklile 53: 

  • kriitiliste toodetega seotud rikkumiste korral kuni 15 miljoni euroni või kuni 2,5 protsendini ettevõtja ülemaailmsest aastakäibest sõltuvalt sellest, kumb on suurem; 

  • muude toodetega seotud rikkumiste korral kuni 10 miljoni euroni või kuni 2 protsendini ettevõtja ülemaailmsest aastakäibest sõltuvalt sellest, kumb on suurem; 

  • vale või mittetäieliku informatsiooni edastamise eest ametiasutustele kuni 5 miljoni euroni või kuni 1 protsendini ettevõtja ülemaailmsest aastakäibest sõltuvalt sellest, kumb on suurem. 

Millal muudatused jõustuvad? 
Muudatused jõustuvad ettepaneku kohaselt kahekümnendal päeval pärast nende avaldamist Euroopa Liidu Teatajas. Määrus hakkab kohalduma aga alles kaks aastat pärast selle jõustumist. Sätted, mis puudutavad tootja kohustust teavitada ametiasutusi tootega seotud küberturvalisuse alasest riskist, hakkavad kohalduma üks aasta pärast määruse jõustumist. 

Anna teada, mida arvad komisjoni ettepanekust. Saada oma arvamus hiljemalt 5. oktoobriks e-posti aadressile kaspar@koda.ee. Ettevõtjatelt saabunud tagasiside põhjal koostan kaubanduskoja seisukoha, mille edastan majandus- ja kommunikatsiooniministeeriumile.