Küberturvalisuse seaduse eelnõust

Küberturvalisuse seaduse alusel võetakse Eesti õigusesse üle Euroopa Liidu direktiiv nr 2016/1148, mille eesmärk on tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu Euroopa Liidus. Hetkel on vastav seaduse eelnõu Riigikogu menetluses.  Seadusega sätestatakse nõuded riigi ja ühiskonna toimimise seisukohast oluliste võrgu- ja infosüsteemide pidamisele, küberintsidentide ennetamise ja lahendamise alused ning järelevalve seaduses sätestatud kohustuste täitmise üle. Seadus on planeeritud jõustuma 10. mail 2018.

Küberturvalisuse seadusega kehtestatakse küberturvalisuse tagamise põhimõtted, mis kohustuvad võrgu- ja infosüsteemide haldajaid tegema küberturvalisuse tagamisel koostööd, kuid samal ajal tagada ka põhiõiguste ja –vabaduste ning isikuandmete kaitse.

Seadusega määratakse kindlaks, milliseid turvameetmeid peab võrgu- ja infosüsteemide haldaja järgima ning milliseid samme peab ettevõte võtma selleks, et tagada turvalisus. Näiteks peab teenuse osutaja kohaste turvameetmete rakendamisel viima läbi süsteemi riskihindamise, tagama turvameetmete ajakohasuse, tagama süsteemi turvalisust ohustava tegevuse seire, dokumenteerima turvameetmete rakendamise piisavuse kontrolli tulemused ning säilitama eelnimetatud dokumentatsiooni vähemalt 3 aastat. Samuti on täpselt sätestatud küberintsidentidest teavitamise kord nii teenuse kui ka digitaalse teenuse osutajale.

Küberturvalisuse tagamist, küberintsidendi ennetamist ja lahendamist hakkab koordineerima Riigi Infosüsteemide Amet.

Kuna küberturvalisuse seadus paneb erinevaid kohustusi erinevatele ettevõtjatele, siis tuleks võrgu- ja infosüsteemidega tegelevatel ettevõtetel ilmtingimata teha kindlaks, kas seaduses kehtestatud kõrgemad turvalisusnõuded ja kohustused ka neile kehtivad.

Esiteks kehtib küberturvalisuse seadus ettevõtjatele, kes osutavad elutähtsaid teenuseid hädaolukorra seaduse mõistes ning kasutavad selleks mingit infovara. Elutähtsateks teenusteks hädaolukorra seaduse mõistes on teenused, millel on ülekaalukas mõju ühiskonna toimimisele ja mille katkemine ohustab vahetult inimeste elu või tervist või teiste elutähtsate teenuste toimimist. Sellisteks teenusteks on elekter, kütus, sularaharinglus, telefoniteenus, andmesideteenus jms. Teenuse osutajateks, kellele kehtivad küberturvalisuse seaduses sätestatud nõuded on muuhulgas ka raudtee-ettevõtjad, lennuväljade käitajad, sadamad, sideettevõtjad, haiglad ja Eesti Rahvusringhääling.

Teiseks kehtib uus küberturvalisuse seadus kõigile ettevõtjatele, kes on digitaalse teenuse osutajad, pakkudes internetipõhist kauplemiskohta (nt e-poed), otsingumootoriteenust (nt Google, neti.ee) või pilveandmetöötlust (nt Dropbox, Microsoft Azure).

Siiski ei kehti küberturvalisuse seadus kõigile eelmainitud aladel tegutsevatele digitaalse teenuse osutajatele. Küberturvalisuse seadust ei kohaldata digitaalse teenuse osutajatele, kes on mikro- või väikeettevõtjad raamatupidamise seaduse § 3 punktide 14 ja 15 tähenduses.

Mikroettevõtja on ettevõtja, kes vastab aruandeaasta bilansipäeval kõigile järgnevatele tingimustele:

  • varad  kokku  kuni  175  000  eurot;
  • kohustused  ei  ole  suuremad  kui  omakapital;
  • üks osanik, kes on ka juhatuse liige;
  • müügitulu on aruandeaastal kuni 50 000 eurot.

 

Väikeettevõtja on Eestis registreeritud äriühing, kes ei ole mikroettevõtja ja kelle näitajatest võib aruandeaasta bilansipäeval vaid üks ületada järgmisi tingimusi:

  1. varad  kokku  4  000  000 eurot;
  2. müügitulu 8 000 000 eurot;
  3. keskmine töötajate arv aruandeaasta jooksul 50 inimest.

 

Ann Tarkin, jurist

Lisa kommentaar