1. jaanuaril 2026 jõustus Eestis küberturvalisuse seaduse muudatus, millega võeti Eesti õigusesse üle NIS2 direktiiv. Riigi Infosüsteemi Ameti (RIA) hinnangul kasvas seeläbi nende ettevõtete ja asutuste hulk, kes peavad küberturvalisuse seadusest tulenevaid nõudeid järgima, umbes 3500-lt ligi 6500-ni.
Koos sellega nihkus vastutus küberturvalisuse eest senisest selgemalt organisatsiooni juhtkonna tasandile, mis loob selgema arusaama, et infoturve ei ole ainult IT-valdkonna teema. Ettevõtja peab määrama vähemalt ühe juhatuse liikme, kes kiidab heaks turvameetmed, jälgib nende rakendamist ja vastutab selle eest. Kui juhatuse liiget ei määrata, laienevad need kohustused kõigile juhatuse liikmetele.
Ollakse subjekt või mitte?
Praktikas on ettevõtjatel siiski tekkinud raskusi seaduse tõlgendamisel. Näiteks ei olda kindlad, kas nende valdkond kuulub NIS2 reguleerimisalasse ja kas nad on või ei ole seaduse mõistes subjektid. Juhul kui on, siis peavad nad küberturvalisuse seadusest tuleneva kohustusena RIA-t oma subjektsusest teavitama. Seda tuleb teha subjektsuse tekkimise hetkest kolme kuu jooksul. Seega näiteks ettevõtted, kes olid 1. jaanuari 2026 seisuga subjektid, pidid sellest hiljemalt 31. märtsil 2026 RIA-le teada andma. Teavituse saab esitada riigiportaalis eesti.ee, pannes kirja vähemalt ettevõtte nime, registrikoodi, aadressi ja kontaktandmed, IP-aadresside vahemikud ja mõningal juhul ka sektori, kus elutähtsat teenust osutatakse.
Praegu on RIA meile kinnitanud, et esmase teavituse on neile edastanud ligikaudu tuhat subjekti, kellest RIA ei erista nii-öelda varasemaid subjekte. See tähendab, et lisandunud 3000 uuest subjektist on tõenäoliselt enam kui 2000 jätnud teavituse tegemata.
Millest alustada?
Ettevõtja peab tutvuma küberturvalisuse seadusega (KüTS) ja hindama, kas tema ettevõte on ülitähtsa või olulise teenuse osutaja, mistõttu tema tegevus võib kuuluda seaduse kohaldamisalasse. Kuid kohaldumine ei sõltu ainult valdkonnast, vaid sageli ka tegevuse sisust ja ettevõtte suurusest, seejuures võetakse gruppi kuuluva ettevõtte puhul arvesse ka tema suurust. Seejuures tuleb arvestada, kas ettevõte on oma IT-s sõltumatu või allub emaettevõtte IT ja infoturbe korraldusele.
Tegevusalasid analüüsides tuleb arvestada, et KüTS-i subjektid on peamiselt olulist teenust osutavad ettevõtted, kellel on 50 või rohkem töötajat ning kelle aastakäive ületab 10 miljonit eurot või kelle bilansimaht on vähemalt 10 miljonit eurot. Kui ettevõttes on rohkem kui 250 töötajat ja käive ületab 50 miljoni piiri, siis on tegemist üliolulise teenuseosutajaga.
Eelmainitud kriteeriume täitvad ettevõtted ja asutused on KüTS-i subjektid siis, kui nad tegutsevad järgmistes valdkondades:
- Energeetika: elektrivaldkonna ettevõtjad, sealhulgas põhivõrgu- ja jaotusvõrguettevõtjad, agregeerimis-, tarbimiskaja- ja elektrienergia salvestamise teenuse osutajad, laadimispunkti käitajad, maagaasiettevõtjad, veeldatud gaasi terminali haldurid, hoidlatevõrgu haldurid ning kaugkütte- ja kaugjahutussüsteemi käitajad.
- Transport: lennunduse, raudtee, sadamate ja meretranspordi valdkonna ettevõtjad, veeliikluse juhtimise keskused ning intelligentse transpordisüsteemi käitajad.
- Finantssektor: krediidiasutused, kauplemiskoha korraldajad ja kesksed vastaspooled (ühel või mitmel finantsturul kaubeldavate lepingute vastaspoolte vahel asuv juriidiline isik, kes on müüja jaoks ostja rollis ja ostja jaoks müüja rollis).
- Tervishoid ja farmaatsia: tervishoiuteenuse osutajad, põhifarmaatsiatoodete ja ravimpreparaatide tootjad, rahvatervise hädaolukorras esmatähtsate meditsiiniseadmete tootjad ning meditsiiniseadmete ja in vitro diagnostikameditsiiniseadmete tootjad.
- IKT haldus- ja infoturbeteenused: haldusteenuse osutajad, infoturbeteenuse osutajad, pilveandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad, interneti sõlmpunkti teenuse osutajad ja sisulevi võrguteenuse osutajad.
- Vesi ja reovesi: joogiveega varustajad ja jaotajad ning asulareovee, olmereovee ja tööstusreovee kogumise, ärajuhtimise ja puhastamisega tegelevad ettevõtjad.
- Jäätmekäitlus: ettevõtjad, kelle põhitegevus on jäätmekäitlus jäätmeseaduse tähenduses, sealhulgas jäätmekäitluse üle tehtav järelevalve ja jäätmete kõrvaldamiseks mõeldud jäätmekäitluskoha järelhooldus.
- Kemikaalid: ettevõtjad, kes toodavad REACH-määruse tähenduses aineid ja turustavad aineid või segusid, ning ettevõtjad, kes toodavad ainetest või segudest tooteid.
- Toit: ettevõtjad, kes tegelevad toidu hulgimüügi, tööstusliku tootmise või tööstusliku töötlemisega, kui ühest või mitmest neist tegevustest saadav aastakäive moodustab vähemalt 50 protsenti ettevõtte aastakäibest.
- Tootmine: majanduse tegevusalade klassifikaatori NACE Revision 2 C jao osade 26–30 majandustegevusega tegelevad ettevõtjad, s.o arvutite, elektroonika- ja optikaseadmete, elektriseadmete, masinate ja seadmete, mootorsõidukite, haagiste ning muude transpordivahendite tootmine.
- Posti- ja kullerteenused: postiteenuse, sealhulgas kullerteenuse osutajad.
- Digiplatvormid: internetipõhise kauplemiskoha pidajad, veebipõhise otsingumootori pakkujad ja sotsiaalmeediaplatvormi pakkujad.
- Teadusasutused.
Olenemata suurusest on KüTS-i subjektid muu hulgas elutähtsa teenuse osutajad, avalik-õiguslikud juriidilised isikud, kriitilise tähtsusega side-, mereraadioside- ja operatiivraadiosidevõrgu teenuse osutajad, domeeninimede süsteemi teenuse osutajad, tippdomeeninimede registri pidajad, usaldusteenuse osutajad ning perearstiabi osutajad. Üldkasutatava elektroonilise side võrgu või teenuse osutaja puhul sõltub tema suurusest see, kas tegemist on üliolulise või olulise üksusega.
Kas grupi ettevõtetel on ühine IT-korraldus?
Oluline on ka teada, et kui ettevõtete gruppi kuuluv ettevõte osutab eelnimetatud valdkondades teenuseid, aga ei ületa töötajate arvu ja käibe või bilansimahu suuruse künnist, peab teadma, kas ollakse oma IT-korralduses partner- ja sidusettevõtjast sõltumatu. Juhul kui gruppi kuuluvas ettevõttes kasutatakse grupiga ühiseid IT-süsteeme ja -keskkondasid ning grupi tasandil otsustatakse IT investeeringuid, siis arvestatakse kogu grupi üksuse töötajate arvu, aasta bilansimahtu ja aastakäivet.
Näited elust enesest
Pidasime pikema diskussiooni meditsiinivaldkonna ettevõtjaga, kellel tekkis küsimus tänavu 26. märtsil toimunud Grant Thornton Balticu nõustamishommikul „Küberturvalisuse seadus praktikas – kas sinu ettevõte on valmis?”
Osaleja küsis, kas meditsiinitarvikuid tootev ettevõte on KüTS-i mõttes meditsiiniseadme tootja ning kas sellest tulenevalt tuleb ettevõte registreerida RIA-s. Küsimus oli kliendi jaoks ajakriitiline, sest KüTS kohustab RIA-t teavitama kolme kuu jooksul alates subjektsuse tekkimisest.
Ülioluliseks üksuseks peetakse KüTS-i järgi rahvatervise hädaolukorras esmatähtsat meditsiiniseadme tootjat, kuid see eeldab, et ettevõttel on vähemalt 250 töötajat ja aastane bilansimaht üle 43 miljoni euro või aastakäive üle 50 miljoni euro. Oluliseks üksuseks peetakse meditsiiniseadme tootjat ja in vitro diagnostikameditsiiniseadme tootjat, kellel 50 või rohkem töötajat ja aastane bilansimaht või aastakäive üle 10 miljoni euro.
Peamine küsimus ettevõtja jaoks oligi seega mitte see, kas tema toodangut saab igapäevakeeles nimetada „tarvikuks“ või „seadmeks“, vaid kas ta on üldse see tootja, kellele KüTS-i § 3 lõike 5 punkt 4 viitab. KüTS ei defineeri seda mõistet ise, vaid viitab otse meditsiiniseadme tootja ja IVD-tootja definitsioonidele muus regulatsioonis.
Lahendasime küsimuse, kontrollides, et tegemist pole hädaolukorra meditsiiniseadme tootjaga, kontrollisime määrusest toote ja tarvikute terminit. Seejärel sai klient teadmise, et nende emaettevõttele Euroopa teises riigis KüTS kohalduks, kuid neile kui eraldiseisvale tarvikute tootjale mitte.
Teine näide on suurem tootmisettevõtete grupp, kellel on kümneid erinevaid tootmise ja teenuseosutamise ettevõtteid. Grupi emaettevõtte üldmeilile tuli RIA teavitus subjektsuse hindamise vajaduse kohta. Aitasime ettevõtjal teha eneseanalüüsi, kaardistada kõikide ettevõtete tegevusalad ning hinnata KüTS-i subjektiks olemist. Seejärel konsulteerisime RIA-ga tulemuste asjus ning saime üheselt mõistetava vastuse.
RIA hinnangul tegutsevad grupi ettevõtted KüTS-is nimetatud tegevusaladel, kuid ükski ettevõte pole eraldiseisvalt piisavalt suur, et olla subjektiks. Kuid grupil on ühine IT ja infoturbe korraldus ja seetõttu peavad nad suurust arvestama kogu grupi ulatuses. See tähendab, et kõnealused ettevõtted on subjektid. Teine variant on subjektideks olevad ettevõtted muuta IT asjus sõltumatuks.
Pärast analüüsi tulemuste selgumist otsustati ettevõttes olla subjekt ja liikuda ISO 27001 sertifiseerimise teed, tagades sel moel konkurentsieelise ja klientide nõuete täitmise infoturbe valdkonnas.
RIA-st võib nõu küsida
Kuigi olukord on uus ja praktikas keeruline, väärib RIA tunnustust. RIA on vastanud operatiivselt klientidega seotud praktilistele küsimustele, samuti on nad andnud meile konstruktiivset infot kommunikatsiooni, subjektsuse hindamise ning järelevalve prioriteetide kohta.
RIA ei ole loobunud subjektsuse hindamise tööriista arendamise ideest, kuid selle teostus võtab RIA järelevalveosakonna juhi Ilmar Toomi sõnul veel aega. „Uue KÜTS-i järgi on subjektsuse hindamine keerukam kui vanasti, mistõttu võeti vastav rakendus aasta alguses eesti.ee portaalist maha. Subjektsuse hindamise tööriista puhul tuleb arvesse võtta mitmeid omavahel seotud tegureid ning nende täielik automatiseerimine ei ole realistlik. Erinevad otsustuspuud ja kalkulaatorid saavad pakkuda vaid esmast indikatsiooni, kuid ei saa anda lõplikku õigusliku tähendusega hinnangut. Lisaks on mitmete kriteeriumite tõlgendused alles kujunemisjärgus.“
Ilmar Toomi sõnul on ettevalmistamisel korduma kippuvate küsimuste kogumik, mis plaanitakse lähiajal avalikustada.
RIA on rõhutanud ka teadlikkuse tõstmise vajadust ning jätkab seminaride, juhendmaterjalide ja sektoripõhise teavitustööga. Tänavu on järelevalve fookuses eeskätt haridusasutused, kohaliku omavalitsuse üksused, elutähtsa teenuse osutajad ja valik avaliku sektori asutusi.
Kokkuvõttes näitab senine praktika, et regulatsiooni rakendamine on tekitanud ettevõtjatele palju küsimusi. Samas jääb ka edaspidi lõplik vastutus subjektsuse hindamise, RIA õigeaegse teavitamise ja nõuetega vastavusse viimise eest siiski ettevõtjale, mistõttu tasub vajalike ettevalmistustega alustada võimalikult varakult.
Mida ettevõtja peaks esmajoones tegema?
Ettevõtjatel ei ole mõistlik oodata, kuni täitub ettevõtte nõuetega vastavusse viimise kolmeaastane tähtaeg, vaid tuleks alustada kohe subjektsuse analüüsi, vastutuse määramise ja infoturbe juhtimissüsteemi planeerimisega.
- Esmane prioriteet on viivitamata hinnata, kas ettevõte kvalifitseerub KüTS-i subjektiks, arvestades tegevusala ja suurust.
- Kui ettevõte kuulub kontserni, tuleb eraldi analüüsida, kas IT ja infoturbe korraldus on tegelikult iseseisev või tuleb suuruskriteeriume hinnata kogu grupi vaates.
- Teavitamiskohustus tekib oluliselt varem kui täielik vastavusse viimine, mistõttu tuleb juhtkonnal tagada õigeaegne otsustamine ja vastutajate määramine.
- Praktiline järgmine samm on juhtkonna koolituste, riskianalüüsi, infoturbe juhtimissüsteemi ja vastavusplaani ettevalmistamine, et vähendada nii regulatiivset kui ka äririski.
