Küberturvalisuse seadus (KüTS) – Mida Eesti ettevõtted peavad teadma
Küberturvalisuse seadus (KüTS) on Eesti uus õigusakt, mis rakendab Euroopa Liidu NIS2 direktiivi. Seadus kehtestab küberturvalisuse nõuded organisatsioonidele, mille tegevus on ühiskonna toimimise seisukohast oluline.
Viis peamist asja, mida pead teadma:
- Kellele kehtib? Üliolulised ja olulised üksused – alates suurettevõtetest kuni keskmise suurusega ettevõteteni kriitilistes sektorites
- Juhatuse vastutus – Vähemalt üks juhatuse liige peab olema küberturvalisuse eest vastutav ja läbima regulaarselt koolitusi
- Teavitamiskohustus – Olulistest intsidentidest tuleb RIA-t teavitada 24 tunni jooksul
- Karistused – Kuni 10 miljonit eurot või 2% ülemaailmsest käibest
- Üleminekuperiood – Täielik vastavus nõutakse 1. jaanuariks 2029
Miks see seadus vastu võeti?
Küberohud on muutunud igapäevaseks reaalsuseks. Lunavararünnakud, andmelekked ja teenustõkestusrünnakud mõjutavad üha enam Eesti ettevõtteid ja asutusi. Euroopa Liit tunnistas, et senised küberturvalisuse nõuded olid liiga hajusad ja ebaühtlased.
KüTS ühtlustab küberturvalisuse nõuded kogu Euroopa Liidus, tagades, et kriitiliste teenuste osutajad rakendavad piisavaid turvameetmeid. Eestis koordineerib valdkonda Riigi Infosüsteemi Amet (RIA).
Kellele seadus kehtib?
KüTS jagab organisatsioonid kahte kategooriasse: üliolulised üksused ja olulised üksused. Kategooria määrab nii nõuete ranguse kui ka võimalike karistuste suuruse.
Üliolulised üksused
Ülioluliste üksuste hulka kuuluvad esmalt avaliku sektori organisatsioonid nagu ministeeriumid, riigiasutused, Eesti Pank, kohtud ning kohalikud omavalitsused koos oma asutustega.
Teise suure grupi moodustavad kriitilise taristu operaatorid. Siia kuuluvad elutähtsa teenuse osutajad, DNS-teenuse osutajad ja tippdomeeninimede registrid, kvalifitseeritud usaldusteenuse osutajad ning kriitilise tähtsusega sideoperaatorid.
Kolmandaks on suurettevõtted kriitilistes sektorites. Need on organisatsioonid, kus töötab vähemalt 250 inimest ning kelle bilansimaht ületab 43 miljonit eurot või käive 50 miljonit eurot. Kriitiliste sektorite nimekiri on pikk: energeetika (elekter, gaas, kaugküte, nafta, vesinik), transport (raudtee, maantee, vee- ja õhutransport, sadamad, lennujaamad), tervishoid (tervishoiuteenused, ravimitootmine, meditsiiniseadmed, laborid), digitaalne taristu (pilvandmetöötlus, andmekeskused, küberturvalisuse teenused), tootmine (kemikaalid, elektroonika, masinad, sõidukid), teatud toiduainetetööstuse kategooriad ning kosmoseoperaatorid.
Eraldi kategooriana kuuluvad ülioluliste üksuste hulka ka sideteenuse osutajad, kellel on vähemalt 50 töötajat ja käive üle 10 miljoni euro.
Olulised üksused
Oluliste üksuste ring on laiem, kuid nõuded veidi leebemad. Siia kuuluvad andmekogude vastutavad ja volitatud töötlejad, avalik-õiguslikud juriidilised isikud ning perearstid, kes ei ole elutähtsa teenuse osutajad. Samuti mittekvalifitseeritud usaldusteenuse osutajad, väiksemad sideteenuse osutajad ning keskmise suurusega ettevõtted kriitilistes sektorites. Need, kellel on vähemalt 50 töötajat ning käive või bilansimaht üle 10 miljoni euro.
Kuidas oma kategooriat määrata?
Kategooria sõltub kahest tegurist: tegevusvaldkonnast ja ettevõtte suurusest. Suurettevõtte staatuse saamiseks peab organisatsioonil olema vähemalt 250 töötajat ning bilansimaht peab ületama 43 miljonit eurot või käive 50 miljonit eurot. Keskmise suurusega ettevõtteks kvalifitseerumiseks piisab 50 töötajast ning 10 miljoni euro suurusest bilansimahust või käibest.
Üks oluline täpsustus: kui sinu organisatsioon on oma süsteemide osas sõltumatu partner- või sidusettevõtjatest, siis nende andmeid kategooria määramisel ei arvestata.
Peamised kohustused
1. Registreerimine RIA-s
Kõik seaduse kohaldamisalasse kuuluvad organisatsioonid peavad registreeruma Riigi Infosüsteemi Ametis. Registreerimisel tuleb esitada organisatsiooni nimi ja registrikood, tegevuskoha aadress ning kontaktandmed (sealhulgas e-post, IP-aadresside vahemikud ja telefon), tegevusvaldkonna klassifikatsioon NIS2 järgi ning loetelu EL liikmesriikidest, kus teenuseid osutatakse.
Tähtaegadega tasub arvestada juba praegu. Organisatsioonidel, kes tegutsesid juba enne 2026. aastat, on registreerimiseks aega kuni 1. aprillini 2026. Uutel tulijatel on aega kolm kuud alates hetkest, mil nad seaduse kohaldamisalasse kvalifitseeruvad. Kui andmed muutuvad, tuleb RIA-t teavitada kahe nädala jooksul.
2. Juhatuse vastutus
KüTS toob kaasa selge isikliku vastutuse juhatuse tasandil. See on ehk üks olulisemaid muutusi, sest küberturvalisus ei ole enam ainult IT-osakonna mure.
Seadus nõuab, et vähemalt üks juhatuse liige oleks määratud küberturvalisuse eest vastutajaks. Kui sellist määramist ei tehta, vastutavad kõik juhatuse liikmed ühiselt. Ühe liikmega juhatuse puhul kohaldub vastutus automaatselt ning FIE-de puhul kannab kohustusi omanik ise.
Vastutusega kaasneb ka koolitusnõue. Määratud juhatuse liige peab regulaarselt läbima koolitusi, et mõista ja hinnata küberturvalisuse riske, hinnata nende mõju teenustele ning osata juhtida riskide maandamise protsesse.
3. Turvameetmete rakendamine
Organisatsioonid peavad rakendama alalisi, asjakohaseid ja proportsionaalseid meetmeid. Praktikas tähendab see riskianalüüsi koostamist ja regulaarset ajakohastamist, tehniliste turvameetmete rakendamist, korralduslike meetmete kehtestamist ning intsidentide ennetamise, tuvastamise ja lahendamise protseduuride loomist.
Meetmete valikul tuleb arvestada mitmete teguritega: organisatsiooni spetsiifiliste turvanõuetega, Euroopa ja rahvusvaheliste standarditega, rakendamise kulude ja riskide tasakaaluga, organisatsiooni suuruse ja intsidentide tõenäosusega ning võimaliku ühiskondliku ja majandusliku mõjuga.
Oluline on meeles pidada, et kui süsteemi haldab kolmas osapool, jääb vastutus endiselt teenuseosutajale. Allhankelepingutes tuleb tagada, et ka partner rakendab nõutavaid turvameetmeid.
4. Intsidentidest teavitamine
KüTS kehtestab selge ajakava intsidentidest teavitamiseks ja siin on kiirus määrava tähtsusega. Kui midagi juhtub, on sul 24 tundi aega esmane teade RIA-le saata. See on esimene teave olulise mõjuga intsidendist. Seejärel tuleb 72 tunni jooksul esitada põhjalikum intsidenditeade, mis sisaldab ajakohastatud teavet intsidendi üksikasjadega. Lõppraport koos täieliku analüüsi ja rakendatud lahendustega tuleb esitada ühe kuu jooksul. Usaldusteenuse osutajatele kehtib rangem režiim kus neil on ka intsidenditeate esitamiseks vaid 24 tundi.
Aga millal on intsident üldse “oluline”? Seaduse mõttes on intsident oluline, kui vähemalt üks järgnevatest tingimustest on täidetud: riskianalüüs hindab mõju vähemalt raskeks, teenuse katkestus ületab SLA-s lubatud maksimaalse aja, teise teenuseosutaja tegevus on häiritud, tuleb rakendada erakorralisi taastemeetmeid, on tekkinud või võib tekkida märkimisväärne kahju, või intsident mõjutab teenuseid teises EL liikmesriigis. Viimane muudab intsidendi automaatselt oluliseks.
Karistused
KüTS näeb ette märkimisväärsed karistused nõuete rikkumise eest ja numbrid on piisavalt suured, et tähelepanu köita.
Ülioluliste üksuste puhul võib maksimaalne karistus ulatuda 10 miljoni euroni. Juriidilistele isikutele võib alternatiivina kohaldada ka 2% ülemaailmsest käibest. Kohaldatakse suuremat summat. Sama karistuslagi kehtib ka füüsilistele isikutele.
Oluliste üksuste karistused on veidi madalamad, kuid siiski märkimisväärsed: maksimaalselt 7 miljonit eurot või 1,4% ülemaailmsest käibest juriidilistele isikutele. Füüsiliste isikute puhul on lagi samuti 7 miljonit eurot.
Tähtajad ja üleminekuperiood
Seadus annab organisatsioonidele aega nõuetega kohanemiseks, mis on positiivne uudis kõigile, kes alles alustavad ettevalmistusi.
Olemasolevatele organisatsioonidele, kes tegutsesid juba enne 1. jaanuari 2026, kehtivad järgmised tähtajad: registreerimine RIA-s ja digitaalse teenuse osutaja esindaja määramine tuleb teha hiljemalt 1. aprilliks 2026. Täielik vastavus kõigile nõuetele on nõutud 1. jaanuariks 2029.
Uutel organisatsioonidel, kes kvalifitseeruvad seaduse kohaldamisalasse pärast 1. jaanuari 2026, on registreerimiseks aega kolm kuud alates kvalifitseerumisest. Täielik vastavus tuleb saavutada kolme aasta jooksul.
Küberturvalisuse neli põhimõtet
KüTS tugineb neljale põhiprintsiibile, mida tasub meeles pidada, sest need annavad raamistiku kogu seaduse mõistmiseks.
- Isiklikkuse põhimõte
Süsteemi turvalisuse tagamist korraldab teenuseosutaja ise. Keegi teine seda sinu eest ära ei tee. - Tervikliku kaitse põhimõte
Ohud tuleb kindlaks teha ja rakendada nii korralduslikke kui tehnilisi meetmeid. Pool lahendust ei ole lahendus. - Kahjuliku mõju vähendamise põhimõte
Intsidentide korral tuleb vältida levikut teistele süsteemidele ja teavitada asutusi. Probleem tuleb isoleerida, mitte ignoreerida. - Koostööpõhimõte
Küberturvalisuse tagamisel ja intsidentide lahendamisel tuleb teha koostööd. Üksi ei pea hakkama saama.
Erandid
KüTS ei kohaldu kõigile. Seaduse kohaldamisalast jäävad välja riigisaladuse ja salastatud välisteabe töötlemine, Kaitseministeeriumi valitsemisala sõjalise koostöö süsteemid ning Eesti diplomaatilised ja konsulaaresindustused kolmandates riikides.
Üks oluline märkus: usaldusteenuse osutajatele neid erandeid ei kohaldata.
Mida peaksid tegema kohe?
Kuigi täielik vastavus on nõutud alles 2029. aastaks, tasub alustada juba praegu. Kolm aastat tundub palju, kuid muudatuste ulatus on märkimisväärne.
- Alusta sellest, et määrad oma staatuse.
Kas sinu organisatsioon on ülioluline, oluline või ei kuulu seaduse kohaldamisalasse üldse? - Seejärel registreeru RIA-s
Olemasolevatele organisatsioonidele on tähtaeg juba 1. aprill 2026. - Määra vastutav juhatuse liige
ja planeeri tema koolitusvajadused. - Koosta või uuenda riskianalüüs
sest see on kõigi turvameetmete aluseks. - Kehtesta intsidentidest teavitamise protseduurid
24-tunnine tähtaeg nõuab selget ja harjutatud protsessi. - Ning lõpuks vaata üle allhankelepingud
Vastutus jääb sinule, isegi kui süsteeme haldab keegi teine.
Tutvu seadusega täpsemalt Riigi Teataja kodulehel, aadressi https://www.riigiteataja.ee/akt/K%C3%BCTS.
