Autor: Artti Aston, Marek Trautmann, Henri Ratnik, Mai Kroonmäe
10 juuni 2026Aeg 7 min
Tööstusfirma BLRT sai mõni kuu tagasi teada, et peab hakkama järgima tänavu jõustunud küberturvalisuse seadust. „Nõuete täitmist ei tasu jätta saatuse hoolde,“ hoiatas senise kogemuse põhjal kontserni IT-direktor Marek Trautmann.
Seaduse täitmisega viivitamise korral on kõige suurem risk äritegevuse katkemine, samuti võib kaela saada kopsaka trahvi. Kuid mõjusid on veelgi. Näiteks ei saa rahvusvahelise infoturbe juhtimissüsteemi standardi ISO 27001 sertifikaadita teatud pakkumistes osaleda.
Kui oma süsteemide ülevaatamisega alustada liiga hilja, võib vabu nõustajaid ja spetsialiste nappida ning ettevõte ei pruugi kolmeaastase üleminekuaja jooksul jõuda kõiki vajalikke toiminguid teha, selgub saatest „Kasvukursil”.
„Suure käibega kontserni vastu on kuritegelikul maailmal ilmselge huvi, mistõttu muutus küberkaitse aktuaalseks juba rohkem kui viis aastat tagasi,“ põhjendas Marek Trautmann, miks on BLRT juba mõni aasta tegelenud selle teemaga põhjalikumalt.
BLRT palkas küberturvalisuse eest vastutava inimese, kes oli Euroopa küberturvalisuse direktiivi ehk NIS2-ga kursis. Nii teadsid nad juba paar aastat ette, et direktiivi rakendusseadus võetakse varsti Eestis vastu. Liikumapanevaks jõuks olid ka rahvusvahelised kliendid, kes uurisid, kas BLRT-l juba on ISO 27001 sertifikaat.
Veebruaris saabus kiri Riigi Infosüsteemi Ametilt (RIA), mis tähendas BLRT jaoks vajadust selgeks teha, millised kontserni kümnetest tütarettevõtetest on küberturvalisuse seaduse ehk KüTS-i subjektid. Trautmann tunnistas, et infost läbinärimiseks luges ta algatuseks seadust ja selle seletuskirja mitu korda, tegi märkmeid ja konsulteeris spetsialistidega.
Selgus, et seadus ei kohaldu automaatselt tervele grupile, vaid kohaldumine sõltub spetsiifilistest tegevusaladest. Üks neist seaduses välja toodud tegevusaladest on laevaehitus.
„Meil Eestis tegelikult ükski ettevõte ei ehita laevu, me remondime laevu. Need on täiesti erinevad tegevused. Aga kuna tegevusalana on see kirjas, siis seadusest tulenevalt me peame selles ettevõttes regulatsiooni ka rakendama,” kirjeldas Trautmann.
Kogu grupist tuvastati seega kaks tütarfirmat, mis kindlasti peavad hakkama infoturbe sertifikaati taotlema. Seda kinnitas ka BLRT päring RIA-le. Sertifikaat annab automaatse vastavuse seadusest tulenevatele nõuetele.
Tasub teada
KüTS kohaldub Eestis ligikaudu 6500 ettevõttele ja asutusele, sh lisandus tänavu ligi 3000 uut subjekti.
Seadus rakendub elutähtsate teenuste osutajatele, riigiasutustele, avalik-õiguslikele juriidilistele isikutele, paljudele ettevõtetele ja asutustele sõltuvalt suurusest ja valdkonnast.
Näiteks on seaduse subjektid paljud energia-, tervishoiu-, transpordi- ja sideteenuste osutajad, samuti tööstusettevõtted. Kogu subjektide nimekirja ja seaduse tekstiga saab tutvuda Riigi Teatajas.
Kuna BLRT emafirmana pakub tsentraliseeritud IT-teenust kogu kontsernile, tuli valida üks kahest: kas viia kogu kontsern vastavusse Eesti infoturbestandardiga või rahvusvahelise ISO 27001 standardiga. Viimane tundus neile äriliselt kasulikum, sest BLRT-l on tütarfirmad ja partnerid ka väljaspool Euroopa Liitu. Praegu on käsil nõustaja Grant Thornton Balticuga lepingu sõlmimine, et vajalik juhtimissüsteem ja dokumentatsioon korrektselt paika saada. Paralleelselt teeb BLRT koostööd sertifitseerimise partneriga, kes tulevikus väljastaks neile ISO sertifikaadi.
Marek Trautmann tõdes, et tulevikus ei saaks nad ilma selleta osaleda rahvusvahelistel hangetel. Ka välispartnerid, kes on praegu leppinud sellega, et BLRT kasutab meetmeid küberohutuse tagamiseks, kuid ette pole näidata sertifikaati, ei pruugi edaspidi sellega rahulduda.
KüTS kohustab hindama ka oma partnerite küberturbe taset. Trautmann rääkis, et kolm aastat tagasi püüdis kurjategija just partneri kaudu nende süsteemidesse sisse pääseda. Õnneks ei läinud see läbi, sest BLRT-l olid selleks ajaks vastavad tarkvarad kasutusele võetud.
Lisaks ei kasuta BLRT partneritega püsivaid VPN-ühendusi. Tootmisseadmete tarkvara uuendamisel peavad hooldajad kohal käima, sest seadmed on võrgust isoleeritud. „See risk, et keegi kodus köögilaua tagant saab su asjadele ligi, ei ole väärt seda mugavust,” põhjendas Trautmann.
Kuigi seadus annab uutele subjektidele süsteemide seadusega vastavusse viimiseks ja vajalike auditite või sertifikaatide saamiseks kolmeaastase üleminekuaja, on ekspertide hinnangul viimasel hetkel alustamine äärmiselt riskantne.
Grand Thornton Balticu infoturbe valdkonnajuhi Artti Astoni sõnul võtab infoturbe juhtimissüsteemi rakendamine minimaalselt pool aastat ning selleks, et saada tõendit või sertifikaati, peab see süsteem ka umbes pool aastat töötama. „Aasta läheb kindlasti aega, kui sa võtad selle kohe ette,” tõi ta välja.
Seadusega jõustunud uuendused
Teavitamiskohustus. Olulise mõjuga küberintsidendist tuleb RIA-t teavitada 24 tunni jooksul alates intsidendist teadasaamisest.
Juhatuse vastutus. Ettevõte peab määrama ühe juhatuse liikme, kes vastutab küberturvalisuse eest. Kui liiget ei määrata, vastutab kogu juhatus. Personali tuleb regulaarselt koolitada.
Tarneahel. Ka partnerite turvameetmed peavad olema korras. Seaduse subjekt vastutab, et sisseostetavate teenuste korral oleks turvalisus tagatud. Seda vastutust ei saa delegeerida.
Sertifitseerimine ja riskijuhtimine. Enamik subjekte peab viima oma süsteemid ja dokumentatsiooni vastavusse kas Eesti infoturbestandardi (E-ITS) või rahvusvahelise ISO 27001 standardiga. Tuleb koostada vastav riskianalüüs ning äriprotsessid ja varad kaardistada. Sõltuvalt ettevõtte suurusest on audit kohustuslik või sertifikaat vajalik.
Advokaadibüroo Widen partner Henri Ratnik selgitas, et küberturvalisuse seadus tugineb Euroopa Liidu NIS2 direktiivile ja on kirjutatud hästi detailselt, et vältida hilisemaid vaidlusi. See aga tähendab ristviitamist teistele määrustele ja registritele.
„Ideaalses maailmas peaksid olema seadused sellised, et kõik saavad neist aru. Päris elus see nii ei ole,” nentis Ratnik ja lisas, et kõigi viidete seadusesse kirjutamine tähendanuks 20 paragrahvi asemel 120 paragrahvi pikkust „lohet“.
Artti Astoni sõnul tekib kõige suurem peavalu tootjate klassifikaatoritega. Näiteks on seaduses kirjas viis tootmisharu, aga ka mujal liigitamata masinate ja seadmete tootjad, mis tähendab, et ettevõtete nimekiri, kellele seadus kohaldub, on tegelikult pikem. Kuna kogu nimekiri on spetsiifiline ja lai, alates arvutitootjatest ning lõpetades jalgrataste, laevade ja isegi õhusõidukite tootjatega, võivad paljud ettevõtted olla seaduse subjektid, ilma et nad seda ise teadvustaksid.
Seda probleemi tõid asjatundjad saates korduvalt välja – need, kes seadust peavad täitma hakkama, ei ole kohustusest teadlikud. Märtsi lõpuks pidid need, keda seadus puudutab, endast RIA-le märku andma, kuid Ratnik arvas, et paljud ei ole seda teinud.
Miks peab aga iga ettevõte vaatama peeglisse ja palkama kallid nõustajad, et aru saada, kas ta on subjekt? Miks ei võiks seda neile öelda järelevalveorgan nagu RIA? Nii tehakse näiteks Leedus. Ratniku sõnul tahame me samal ajal ka õhukest riiki ja kahte asja korraga ei saa.
Põhjused, miks ei tasu nõudeid eirata
Äritegevuse katkemine. Kui ettevõtte süsteemid ei ole piisavalt kaitstud ja nendesse murtakse sisse, näiteks krüpteeritakse andmed, võib töö pikaks ajaks seiskuda.
Hiiglaslikud trahvid. Kui on selge, et ettevõte on seaduse subjekt, kuid ei ole nõudeid täitnud, on RIA-l seaduse järgi õigus määrata trahv. Trahvimäärad võivad ulatuda kuni kümne miljoni euroni või kahe protsendini ettevõtte ülemaailmsest kogukäibest. Rikkumisena käsitletakse ka seda, kui ettevõte jätab olulisest küberintsidendist 24 tunni jooksul RIA-le teavitamata.
Juhatuse liikmete isiklik vastutus. Kui ettevõte nõudeid eirab ja juhatus ei käitu piisava hoolsusega, saab juhatuse liikmete vastu esitada kahjuhüvitise nõude. Seda võib teha ettevõte ise, aga näiteks pankroti korral ka võlausaldajad. Kui küberturvalisuse eest vastutavat inimest määratud ei ole, vastutavad rikkumiste eest kõik juhatuse liikmed ühiselt.
Audiitorite nappus. Audiitoritel ei pruugi jätkuda aega. Eestis on praegu vaid kaks sertifitseerimisasutust, kes ISO sertifikaate väljastavad. Kui tuhanded kohustuslased jätavad protsessi viimasele minutile, peab audiitoreid hakkama otsima välismaalt, mis on oluliselt kulukam variant.
Ajakriitilisus. Turvasüsteemide juurutamine ja sertifikaadi saamine ei käi üleöö. Infosüsteemide nõuetega vastavusse viimine võtab minimaalselt pool aastat, seejärel peab süsteem vähemalt pool aastat töötama, et saada sertifikaat – seega kulub kogu protsessile minimaalselt aasta. Seadus ütleb, et ettevõte tuleb nõuetega vastavusse viia kolme aasta jooksul.
Kuulake „Kasvukursil“ kõiki saateid järele meie teemalehel
Avabänneril vasakult: Artti Aston, Henri Ratnik, Marek Trautmann
Foto: Andras Kralla
Et olla kursis majanduses toimuvaga, saada õigeaegselt infot seadusemuudatustest ja olulisematest arengusuundadest meie teenustevaldkonnas, tellige meie uudiskiri.
Möödunud aastal uuenesid rahvusvahelised standardid väikestele ja keskmise suurusega ettevõtetele, mis on aluseks ka Eesti raamatupidamise juhenditele. Peagi muutuvad ka siinsed reeglid. Suurim muudatus on seotud tagastatud kaupade kajastamisega.
Kui tööandja pole psühholoogiliselt turvalise töökeskkonna loomisega tegelenud, jõuavad töökiusu kahtlusega kaasused töövaidluskomisjoni. Kui kius tuvastatakse, tuleb tööandjal avada rahakotirauad. Kuula „Kasvukursil” saadet vaimsest tervisest. Külas on Grant Thornton Balticu personalijuht Marge Litvinova, firma juhtiv õigusnõustaja Merli Kesküla ja peaasi.ee esindaja, organisatsioonide partner Marja Leisk. Saadet juhib Lauri Leet.
Prillipoekett Pro Optika ostis möödunud aastal oma konkurendi Pere Optika. Sellega kahekordistasid nad oma kaupluste ja meeskonna arvu. Laienenud optikaäri sihib uuest aastast taas tugevat kasvu, selgub saates „Kasvukursil”.
