Küberturvalisuse seaduse muudatustega edasiliikumiseks vajab eelnõu olulisi täiendusi
Justiits- ja digiministeerium on seoses NIS2-direktiivi Eesti õigusesse ülevõtmisega koostanud eelnõu, mille tulemusel lisandub ca 2000 ettevõttele kohustus hakata tegelema küberturvalisuse tagamisega olulisemalt mahukamalt, kui seni. Samuti peavad need ettevõtted olulise mõjuga küberintsidendi korral teavitama sellest järelevalveasutust. Kaubanduskoja hinnangul vajab eelnõu olulisi parandusi, et oleks selge, kui palju uusi ettevõtteid tegelikult peab hakkama küberturvalisuse nõudeid rakendama ning millised on muudatustega kaasnevad mõjud ettevõtetele.
Koja hinnangul peab olema selge, kellele kohustused laienevad
Eelnõu kohaselt on küberturvalisuse seaduse kohaldamisala laiendatud võrreldes direktiiviga, mille tulemusel võib küberturvalisuse seaduse subjektideks langeda ettevõtted, kelle tegevusest väga väike osa moodustab sellise tegevuse, mis kuulub küberturvalisuse seaduse kohaldamisalasse.
Kaubanduskoja hinnangul ei ole selline laiendamine põhjendatud ning võib osadele ettevõtetele tuua kaasa ebavajalikult mahukad küberturvalisuse seaduse nõuded. Lisaks leiame, et sellise subjektide nimekirja laiendamise tulemusel võib ettevõtetel endal olla väga keeruline mõista ja hinnata, kas nad hakkavad olema küberturvalisuse seaduse subjektid ning kas nad peavad hakkama täitma mahukaid küberturvalisuse nõudeid.
Hädavajalik on mõjuanalüüsi täiendamine
Koda tõi ministeeriumile saadetud arvamuses välja, et tunneb muret selle üle, et eelnõu kohta koostatud mõjuanalüüs on puudulik. Hetkel ei ole mõjuanalüüsi kohaselt selge, kui paljud ettevõtted langevad uute nõuete kohaselt küberturvalisuse seaduse subjektideks. Sellest tulenevalt on meie hinnangul ka raske hinnata eelnõu mõjusid, kui ei ole üheselt selge ja teada, kellele ning kui paljudele ettevõtetele hakkavad kohalduma küberturvalisuse nõuded.
Lisaks ei kajasta hetkel mõjuanalüüs seda, kui suured kulud kaasnevad nendele ettevõtetele, kes varasemalt ei olnud küberturvalisuse seaduse subjektid, kuid uute nõuete kohaselt on. Oluline on hinnata, kui suured kulutused uute nõuetega kaasnevad ning kas ettevõtted suudavad neid ka täita üleminekuperioodi jooksul.
Üleminekuperiood peab olema tagatud kõigile
Kuigi eelnõu näeb ette üleminekuperioodi uutele küberturvalisuse seaduse subjektidele ja elutähtsa teenuse osutajatele, siis ülemineku perioodi ei ole sätestatud nendele ettevõtetele, kes on juba praegu küberturvalisuse seaduse subjektid.
Koda tõi välja, et üleminekuaeg peab olema tagatud ka olemasolevatele subjektidele, sest ka neile tuleb eelnõuga uusi kohustusi, mida nad varem täitma ei pidanud. Sellest tulenevalt palusime ministeeriumil tagada vähemalt 3 aastane rakendamisaeg kõikide subjektide suhtes.
Mis on NIS2 direktiiv?
NIS2 direktiiviga lahendatakse kehtiva küberturvalisuse valdkonna direktiivi 2016/1148 kitsaskohti. Direktiivi eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu Euroopa Liidus, et parandada siseturu toimimist. Eestis võetakse NIS2 direktiiv üle ennekõike küberturvalisuse seadusesse.
Küberturvalisuse seaduse muudatustega on võimalik tutvuda SIIN.