Mida arvad küberturvalisuse seaduse subjektide nimekirja muudatustest?

Mis on plaanitavate muudatuste eesmärk?
Seaduse eesmärk on üle võtta Eesti õigusesse direktiiv (EL) 2018/1972 ehk NIS2 direktiiv.

Keda mõjutab?

• Praeguseid ning uusi küberturvalisuse seaduse subjekte

Mis on olulisemad plaanitavad muudatused?

• Eelnõuga täiendatakse küberturvalisuse seaduse subjektide nimekirja. Edaspidi on uued subjektid: 

  • Elektriettevõtja, kes tegeleb elektrienergia müügiga, kaasa arvatud edasimüügiga elektrienergia hulgimüüjale või lõpptarbijale;

  • Jaotusvõrguettevõtja;

  • Põhivõrguettevõtja;

  • elektriettevõtja, kes tegeleb elektrienergia tootmisega;

  • määratud elektriturukorraldaja;

  • turuosaline, kes osutab elektrituruseaduse tähenduses agregeerimis-, tarbimiskaja- või elektrienergia salvestamise teenust;

  • laadimispunkti käitaja, kes vastutab laadimispunkti haldamise ja käitamise eest, mis osutab lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest;

  • kaugkütte pakkuja ja kaugjahutuse pakkuja;

  • nafta tootmise, rafineerimise ja töötlemise rajatistega ning nafta hoiustamise ja ülekandmisega tegelev operaator;

  • maagaasi, sealhulgas veeldatud maagaasi müügiga, sealhulgas maagaasi hulgimüüjale, lõpptarbijale ja maagaasi ostvale gaasiettevõtjale edasimüügiga tegelev gaasiettevõtja maagaasiseaduse tähenduses;

  • üksus, kes täidab maagaasi jaotamise ülesannet ja on vastutav jaotussüsteemi kasutamise eest;

  • üksus, kes täidab maagaasi ülekande ülesannet ja vastutab ülekandesüsteemi käitamise eest;

  • hoidlatevõrgu haldur maagaasiseaduse tähenduses; 

  • veeldatud gaasi terminali haldur maagaasiseaduse tähenduses;

  • gaasiettevõtja maagaasiseaduse tähenduses; 

  • maagaasi rafineerimise ja töötlemise rajatise haldur;

  • vesiniku tootmise, hoiustamise ja ülekandmisega tegelev operaator;

  • lennuettevõtja, kes tegutseb kommertsvaldkonnas;

  • lennujaama haldaja;

  • lennujuhtimise teenust osutav lennuliikluskorraldusettevõtja;

  • raudteeinfrastruktuuriettevõtja ja raudteeveoettevõtja, sealhulgas teenindusrajatise käitaja raudteeseaduse tähenduses;

  • reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelev ettevõtja, välja arvatud kõnealuse ettevõtja käidatud üksikud laevad;

  • sadama pidaja;

  • veeliikluse juhtimise keskus;

  • intelligentse transpordisüsteemi operaator liiklusseaduse tähenduses;

  • krediidiasutus;

  • kauplemiskoha korraldaja;

  • keskne vastaspool;

  • põhifarmaatsiatoote ja ravimipreparaadi tootmisega tegelev üksus;

  • üksus, kes toodab rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadet;

  • joogivee varustaja ja jaotaja;

  • ettevõtja, kes tegeleb asulareovee, olmereovee või tööstusreovee kogumise, ärajuhtimise või puhastamisega;

  • interneti vahetuspunkti teenuse osutaja;

  • domeeninimesüsteemide süsteemi teenuse osutaja, välja arvatud juurnimeserveri operaator;

  • pilvandmetöötlusteenuse osutaja;

  • pilvandmetöötlusteenuse osutaja;

  • andmekeskusteenuse osutaja; 

  • sisulevivõrguteenuse osutaja; 

  • hallatud teenuse osutaja; 

  • hallatud turbeteenuste osutaja

  • kosmosepõhise teenuse osutamist toetav maapealse taristu operaator, kes on Eesti Vabariigi või eraõigusliku isiku omandis, hallata või käitada, kuid kes ei ole elektroonilise side võrgu pakkuja;

  • postiteenuse osutaja, sealhulgas kulleriteenuse osutaja;

  • ettevõtja, kelle põhitegevus on jäätmekäitlus,

  • ettevõtja, kes tegeleb Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1907/2006 artikli 3 punktides 9 ja 14 osutatud ainete valmistamisega ning ainete või segude levitamisega;

  • toidukäitlemisettevõtja, kes tegeleb hulgimüügi, tööstusliku tootmise ja töötlemisega;

  • Eurostati klassifikaatori NACE Revision 2 C jao jaotistes 26, 27, 28, 29 ja 30 osutatud majandustegevusega tegelev ettevõtja;

  • diagnostikameditsiiniseadmeid tootev üksus,

  • internetipõhise kauplemiskoha pakkuja; 

  • sotsiaalvõrguteenuse platvormi pakkuja;

  • veebipõhise otsingumootori pakkuja;

  • teadusasutus.

• Eelnõu kohaselt kohaldatakse kübarturvalisuse seadust Euroopa Liidus teenuseid osutavatele või tegutsevatele üksustele (eelmises punktid loetletud subjektidele), kellel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot, arvestades mikro- ja väikese ettevõtja määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikese ja keskmise suurusega ettevõtjate määratlemise kohta (eelnõu § 1 p 1).

• Teatud juhtudel kohaldatakse küberturvalisuse seadust ka üksuse suhtes olenemata tema suurusest. Seda tehakse juhul, kui üksus on (eelnõu § 1 p 1):

  • üldkasutatava elektroonilise side võrgu pakkuja;

  • üldkasutatava elektroonilise side teenuse osutaja; 

  • usaldusteenuse osutaja; 

  • tippdomeeninimede registri pidaja; 

  • domeeninimede registreerimise teenuseid osutav üksus; 

  • domeeninimede süsteemi teenuse osutaja; 

  • keskvalitsuse avaliku halduse üksus; 

  • elutähtsa teenuse osutaja.

• Eelnõu kohaselt kohaldatakse küberturvalisuse seadust ka üksuse suhtes olenemata tema suurusest, kui üksus vastab vähemalt ühele järgmisele tingimusele (eelnõu § 1 p 1):

  • ta on sellise teenuse ainuosutaja, mis on kriitilise tähtsusega ühiskondliku või majandustegevuse säilitamiseks;

  • tema osutatava teenuse häirel võib olla oluline mõju avalikule turvalisusele, avalikule julgeolekule või rahva tervisele; 

  • tema osutatava teenuse häire võib tuua kaasa olulise süsteemse riski, eelkõige sektorites, kus sellisel häirel võib olla piiriülene mõju; 

  • ta on kriitilise tähtsusega oma erilise olulisuse tõttu riiklikul või piirkondlikul tasandil konkreetse sektori või teenuseliigi või riigi muude üksteisest sõltuvate sektorite jaoks

• Plaanitavate muudatuste kohaselt lisatakse küberturvalisuse seadusesse säte, mille kohaselt teenuse osutaja küberturvalisuse seaduse tähenduses on elutähtis üksus ja oluline üksus. Elutähtis üksus on näiteks: 1) kvalifitseeritud usaldusteenuse osutaja; 2) tippdomeeninimede registri pidaja; 3) domeeninimede süsteemi teenuse osutaja; 4) keskvalitsuse avaliku halduse üksus; 5) kohaliku tasandi avaliku halduse üksus; 6) elutähtsa teenuse osutaja; 7) kriitilise tähtsusega side-, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja; 8) riigi tegevusvaru haldaja. Oluline üksus on näiteks 1) üldkasutatava elektroonilise side võrgu või üldkasutatava elektroonilise side teenuse pakkuja, kes ei ole elutähtis üksus; 2) usaldusteenuse osutaja, kes ei ole elutähtis üksus; 3) tervishoiuteenuste korraldamise seaduses sätestatud perearstiabi osutaja, kes ei ole elutähtsa teenuse osutaja (eelnõu § 1 p 16).

• Eelnõu kohaselt täiendatakse küberturvalisuse seaduses olevaid teenuse osutaja turvameetmete rakendamise kohustusi. Muudatuste kohaselt on edaspidi teenuse osutaja turvameetmete rakendamisel kohustatud ka näiteks: 1) koostama ja kehtestama infoturvariskide kaalutlemise metoodika ja protseduurid; 2) koostama ja kehtestama infoturbe eesmärgid ja infoturvapoliitika; 3) koostama ja kehtestama küberintsidentide avastamise ja halduse protseduurid; 4) võtma kasutusele abinõud küberintsidendi mõju ja leviku vähendamiseks, sealhulgas vajaduse korral piirama süsteemi kasutamist või juurdepääsu süsteemile; 5) tagama süsteemi talitluspidevuse, sh süsteemi varundus- ja taasteprotseduuride toimimise; (eelnõu § 1 p 26). 

• Kehtiv küberturvalisuse seadus näeb ette, et teenuse osutaja teavitab Riigi Infosüsteemi Ametit viivitamata, kuid hiljemalt 24 tundi pärast teada saamist küberintsidendist, millel on süsteemi turvalisusele või teenuse toimepidevusele oluline mõju. Eelnõuga lisatakse seadusesse säte, mille kohaselt olulise mõjuga küberintsidendi teavituses esitab teenuse osutaja võimaluse korral järgmised andmed: 1) teave olulise mõjuga küberintsidendi sisu ja toimumise põhjuse kohta, sealhulgas asjakohasel juhul teave turvarikkemärgi kohta; 2) hinnang olulise mõjuga küberintsidendile, sealhulgas selle tõsidusele ja mõjule; 3) teave olulise mõjuga küberintsidendi piiriülese mõju kohta; 4) teave tegevuste kohta olulise mõjuga küberintsidendi lahendamiseks (eelnõu § 1 p 33). 

• Plaanitavate muudatuste kohaselt lisatakse seadusesse säte, mis sätestab teenuse osutaja juhtorgani kohustused. Sätte kohaselt teenuse osutaja juhtorgan kiidab heaks turvameetmed, jälgib nende rakendamist ja vastutab nende täitmise eest. Lisaks peab teenuse osutaja juhtorgani liige läbima korrapäraselt erikoolitusi, mille õpiväljunditeks on piisavate teadmiste ja oskuste omandamine, et mõista ja hinnata küberturvalisuse riske, nendest tulenevat mõju teenuse osutaja osutatavatele teenustele ning viise riskide käsitlemiseks. Muuhulgas peab teenuse osutaja juhtorgan tagama, et teenuse osutaja töötajad ja ametnikud saavad korrapäraselt sarnaseid koolitusi (eelnõu § 1 p 24).

• Eelnõuga lisatakse seadusesse säte, mis ütleb, mis teabe peab teenuse osutaja ja domeeninimede registreerimise teenuseid osutav üksus Riigi Infosüsteemi Ametile esitama. Nendeks andmeteks on: 1) nimi ja registrikood; 2) aadress ja ajakohased kontaktandmed, sealhulgas e-posti aadressid, interneti protokolli aadresside vahemikud ja telefoninumbrid; 3) asjakohasel juhul Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 lisas I või II osutatud asjakohane sektor ja allsektor; 4) asjakohasel juhul nende riikide loetelu, kus ta osutab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 kohaldamisalasse kuuluvaid teenuseid (eelnõu § 1 p 19).

Millal jõustuvad muudatused?
Seadus jõustub 2025. aasta 1. juulil.

Anna teada, mida arvad plaanitavatest muudatustest. Tagasisidet ootan hiljemalt 19. jaanuariks e-posti aadressile ireen@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille edastan majandus- ja kommunikatsiooniministeeriumile.