Skip to content
Juurdepääsetavus
Allikas: Justiitsministeerium

Valitsus otsustas võtta Euroopa Liidu uuenenud kübernõuded üle minimaalses mahus

Valitsus otsustas täna heaks kiita ja Riigikogu menetlusse suunata küberturvalisuse seaduse (KüTS) ja teiste seaduste muudatused, mis võtavad üle Euroopa Liidu küberturvalisuse 2. direktiivi (NIS2-direktiiv) minimaalses võimalikus mahus.
Direktiivi eesmärk on tagada tugevam ja turvalisem digikeskkond kogu Euroopas, parandada Euroopa Liidu siseturu toimimist, ühtlustada liikmesriikide küberjulgeoleku taset ning suurendada vastupanuvõimet küberohtudele. Lihtsustatult tähendab see, et ühiskonna toimimisele olulised teenused, alates energiast ja transpordist kuni tervishoiu ja digiteenusteni, peavad olema kaitstud küberrünnete eest. NIS2-direktiiv tõi kaasa ühtsed kriteeriumid, mille alusel suureneb ka Eestis nende ettevõtjate ja asutuste hulk, kellele küberturvalisuse nõuded rakenduvad. Kui seni oli neid 3500, siis edaspidi on seaduse subjekte ligikaudu 6000. „Direktiivi ülevõtmisel otsustasime sisse viia ka proportsionaalse ja riskipõhise lähenemise. See tähendab, et koos KüTSi alusel antud määruses toimuvate muudatustega, peavad suuremad ettevõtted rakendama põhjalikumaid standardeid, samal ajal kui mikro- ja väiksematele ettevõtjatele jäävad ainult esmased turvameetmed. Need ei vähenda ühegi ettevõtja ega asutuse vastutust kübernõuete täitmisel," selgitas justiits- ja digiminister Liisa-Ly Pakosta. Eesmärk on tema sõnul igal juhul õilis: ühiskonna toimimise seisukohast vajalikud teenused peavad olema kaitstud. Suurim sisuline muudatus on see, et turvameetmeid tuleb rakendada kogu organisatsioonis, mitte ainult valitud harudes või üksikute teenuste puhul, nagu kehtivas seaduses on ette nähtud. Avaliku sektori asutustele kehtis see põhimõte juba varem, nüüd laieneb nõue ka teistele organisatsioonidele. Lisaks lisandub kohustus, et juhatus peab perioodiliselt läbima küberturvalisuse alase koolituse ja võtma selge isikliku vastutuse kübernõuete täitmise eest. Uueneb ka küberintsidendist Riigi Infosüsteemi Ametile teada andmise kord – seda tuleb edaspidi teha etapiviisiliselt, andes esmase teate 24 tunni jooksul, 72 tunni jooksul tuleb edastada juba täpne info intsidenditeatena ning kuu aja pärast põhjalik lõppraport. KüTS jagab organisatsioonid kaheks kategooriaks: üliolulised ja olulised üksused. Ülioluliste ja oluliste üksuste erinevus seisneb nende ühiskondlikus mõjus ning vastav jaotus on ette nähtud NIS2-direktiivis. Üliolulised üksused hõlmavad ettevõtteid ja asutusi, kelle teenused on ühiskonna toimimise seisukohalt hädavajalikud. Olulised üksused on samuti tähtsad, kuid nende teenuste katkestus ei põhjustaks eelduslikult nii ulatuslikke tagajärgi. Nende kahe kategooria erinevus on seotud järelevalve korraldusega ja rahatrahvide suurimate ülemmääradega. NIS2-direktiiv näeb ette ka suuremad võimalikud trahvid küberturvalisuse nõuete rikkumise puhul. Üliolulise tähtsusega üksuste puhul on maksimaalseks rahatrahvi ülemmääraks kuni 10 miljonit eurot või kuni 2,0% käibest, oluliste üksuste puhul kuni 7 miljonit eurot või kuni 1,4% käibest. Justiits- ja digiministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas märkis, et NIS2-direktiivist tulenevad trahvimäärad on ühtsed kogu Euroopas. „Trahv ei ole eesmärk, trahv on viimane võimalus rikkujaid korrale kutsuda,“ rõhutas ta. „Me räägime ettevõtjate ja tema teenuste toimepidevuse tagamisest – et andmed ei lekiks ning ühiskonna toimimiseks vajalikud teenused toimiksid probleemideta.“’ Hiljemalt seaduse jõustumisel saavad kõik ettevõtjad ligipääsu rakendusele, kus nad saavad kontrollida, kas nende organisatsioon kuulub KÜTS subjektide hulka. Riik teavitab esmalt teadaolevaid subjekte, kuid igaüks saab oma staatust rakenduses ka ise kontrollida. Seaduse jõustumisel antakse üldreeglina nii olemasolevatele kui ka uutele KüTSi subjektidele kolm aastat aega, et viia oma küberturvalisuse meetmed direktiivi nõuetele vastavusse. Tehnoloogia kiire areng, võrgu- ja infosüsteemide kasvav keerukus ning internetti ühendatud  seadmete suurenev arv muudavad küberturvalisuse üha olulisemaks valdkonnaks. Nii COVID-19 kriisi ajal kui ka sellele järgnenud aastate geopoliitiliste sündmuste ning kriiside tõttu on Euroopa Liidus, sealhulgas Eestis, kasvanud nii küberrünnakute arv kui ka nende keerukus. Eelnõuga nähakse ette ka uutele KüTSi subjektidele mõeldud toetusmeede, millega oleks võimalik ette nähtud nõudeid täita.