Väljaandja: Vabariigi Valitsus Akti liik: määrus Teksti liik: terviktekst Redaktsiooni jõustumise kp: 09.08.2019 Redaktsiooni kehtivuse lõpp: Hetkel kehtiv Avaldamismärge: RT I, 06.08.2019, 17 Infosüsteemide andmevahetuskiht Vastu võetud 23.09.2016 nr 105 RT I, 27.09.2016, 4 jõustumine 30.09.2016 Muudetud järgmiste aktidega Vastuvõtmine - Avaldamine - Jõustumine 01.08.2019 - RT I, 06.08.2019, 6 - 09.08.2019 Määrus kehtestatakse avaliku teabe seaduse § 43^9  lõike 1 punkti 5 alusel. 1. peatükk Üldsätted § 1. Kohaldamisala (1) Määrusega kehtestatakse nõuded infosüsteemide andmevahetuskihile, selle kasutamisele ja haldamisele. (2) Määrust ei kohaldata riigisaladust või salastatud välisteavet sisaldava infosüsteemi suhtes. § 2. Terminid () Määruses kasutatakse termineid järgmises tähenduses: 1) infosüsteemide andmevahetuskiht (edaspidi X-tee) on tehniline infrastruktuur ja keskkond X-tee liikmete vahel, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust; 2) X-tee liige on asutus või isik, kes on liitunud X-teega; 3) keskus on Riigi Infosüsteemi Amet, kes vastutab X-tee haldamise ja arendamise eest; 4) andmeteenus on X-tee liikme teenus, mille kaudu toimub internetipõhine andmevahetus; 5) andmeteenuse osutaja on X-tee liige, kes osutab teistele liikmetele andmeteenust; 6) andmeteenuse kasutaja on X-tee liige, kes kasutab andmeteenust; 7) andmeteenuse vahendaja on X-tee liige, kes võimaldab enda organisatsiooni välisele füüsilisele või juriidilisele isikule juurdepääsu andmeteenusele oma infosüsteemi vahendusel; 8) andmeteenuse lõppkasutaja on füüsiline isik, kes kasutab andmeteenust X-tee liikme infosüsteemi vahendusel; 9) sõnum on vormindatud andmete kogum, mida vahetatakse andmeteenuse osutaja ja kasutaja vahel X-tee kaudu; 10) alamsüsteem on tehnoloogiliselt ja organisatoorselt piiritletud X-tee liikme infosüsteemi osa andmeteenuse osutamiseks või kasutamiseks; 11) pääsuõigus on andmeteenuse kasutamise võimaldamine X-tee tarkvaras; 12) X-tee baasprotokollistik on reeglite kogum, mis tagab turvalise andmevahetuse toimimise arvutivõrgu kaudu; 13) turvaserver on tarkvaraline lahendus, mis järgib X-tee baasprotokollistikku; 14) X-tee sõnumiprotokoll on X-tee baasprotokollistiku osa, mis võimaldab X-tee liikmetel sõnumeid töödelda; 15) e-tempel on elektrooniliste andmete kogum, mis vastab Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114) (edaspidi Euroopa Parlamendi ja nõukogu määrus (EL) nr 910/2014) sätestatud täiustatud või kvalifitseeritud e-templi nõuetele; 16) päringulogi on X-tee baasprotokollistikule tuginev turvaserveri osa, kuhu salvestatakse e-templiga kinnitatud X-teel vahetatud sõnumid. 2. peatükk X-tee haldamine § 3. X-tee haldamise põhimõtted () X-tee haldamisel järgitakse järgmisi põhimõtteid: 1) sõltumatus platvormist ja arhitektuurist – X-tee võimaldab tarkvaraplatvormil oleval X-tee liikmel suhelda infosüsteemi vahendusel tarkvaraplatvormil oleva andmeteenuse osutajaga; 2) multilateraalsus – X-tee liikme võimalus taotleda juurdepääsu kõigile X-tee kaudu osutatavatele andmeteenustele; 3) avatus ja standardiseeritus – X-tee haldamisel ja arendamisel kasutatakse võimaluse korral rahvusvahelisi standardeid ja protokolle; 4) turvalisus – X-tee kaudu andmete vahetamisel ei muutu andmete terviklus, käideldavus ja konfidentsiaalsus. § 4. Keskuse ülesanded (1) Keskus: 1) haldab nii toodangu- kui ka testkeskkonnas X-tee liikmete, X-teel registreeritud turvaserverite ja X-teega liitunud alamsüsteemides olevat infot, mis tagavad X-tee turvalise andmevahetuskanali loomiseks ja andmeteenuste kasutamiseks vajaliku informatsiooni kättesaadavuse X-tee liikme turvaserverile; 2) korraldab liikmesust, alamsüsteemi ja turvaserverit puudutavate taotluste menetlemist; 3) töötab välja X-teega liitumise ja selle kasutamise tingimused ning avalikustab need keskuse veebilehel; 4) tagab X-tee kasutamise võimaluse; 5) seirab X-tee kasutamist; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 5^1) kogub andmeteenuse monitooringu logisid; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 5^2) koostab ja avalikustab isikustamata kujul X-tee kasutamise statistikat; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 6) käsitleb turvaintsidente; 7) piirab X-tee liikme õigusi käesolevas määruses sätestatud juhtudel; 8) nõustab X-tee liiget X-teega seotud küsimustes; 9) teavitab X-tee liiget muudatustest X-tee haldamises või kasutamises ning kõigist teadaolevatest X-tee kasutamist takistavatest asjaoludest või hooldustöödest; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 10) haldab ja korraldab Eesti X-tee keskkonna ühendamist teiste andmevahetuskeskkondadega; 11) tagab standardiseeritud turvaserveri tarkvara tasuta kättesaadavuse X-tee liikmele; 12) tagab füüsilisest isikust andmeteenuse lõppkasutajale mõeldud alamsüsteemi standardlahenduse X-tee sõnumiprotokollile vastavuse ja tarkvara tasuta kättesaadavuse X-tee liikmele; 13) valmistab ette ja viib ellu X-tee infrastruktuuri arendusprojekte ja tagab X-tee arhitektuurse tervikluse; 14) peatab § 14 lõikes 3 nimetatud juhul andmeteenuse kasutamiseks vajaliku informatsiooni kättesaadavuse X-tee liikme turvaserverile; 15) haldab ja arendab X-tee platvormi toimimise tagamiseks liikmete ja usaldusteenuse registreerimiseks ning monitooringu toimimiseks tarvilikke lahendusi. (1^1) Lõike 1 punktis 5^1 nimetatud logisid säilitab keskus andmetega, mis võimaldavad tuvastada X-tee liikme nimel päringu teinud isiku, kolm aastat nende kogumisest arvates, misjärel andmed anonüümitakse. [RT I, 06.08.2019, 6 - jõust. 09.08.2019] (1^2) Keskus ei avalikusta lõike 1 punktis 5^2 sätestatud ülesande täitmisel julgeolekuasutuse ja kaitseväeluure ülesannet täitva Kaitseväe struktuuriüksuse statistikat X-tee kasutamise kohta. [RT I, 06.08.2019, 6 - jõust. 09.08.2019] (2) Keskus on lõike 1 punktis 9 ette nähtud teavitamiskohustuse täitmisel kohustatud järgima järgmisi etteteatamise tähtaegasid: 1) X-tee haldamises või kasutamises toimuvast muudatusest või planeeritud hooldustööst teavitatakse üks kuu ette; 2) X-tee haldamises ja kasutamises toimuvast erakorralisest muudatusest ning planeerimata hooldustööst teavitamisel on keskusel õigus järgida punktis 1 nimetatud tähtajast lühemat etteteatamise tähtaega; 3) muudatusest X-tee baasprotokollistikus või X-tee sõnumiprotokollis, mis tingivad muudatusi X-tee liikme alamsüsteemis või andmeteenuses, teavitatakse 18 kuud ette. 3. peatükk X-tee kasutamine § 5. X-teega liitumine ja selle liikmesus (1) X-teega liitumiseks esitab taotleja keskusele taotluse. [RT I, 06.08.2019, 6 - jõust. 09.08.2019] (2) X-teega liitumisel sõlmib taotleja keskusega liitumiskokkuleppe. Liitumiskokkuleppes fikseeritakse poolte õigused, kohustused ja vastutus. (3) X-tee liikmel on õigus kasutada X-teed käesoleva määruse ja liitumiskokkuleppega ette nähtud korras. (4) X-tee liige on kohustatud: 1) tagama X-teega liitumise korral oma infosüsteemi järjepidevuse, haldamise, arendamise ning turvalise ja häireteta töö; 2) võtma kasutusele §-s 7 sätestatud turvalise ja standardiseeritud andmevahetuse tagamise elemendid ning kohandama oma infosüsteemi tööks X-tee keskkonnas; 3) rakendama turvalisusega seotud riskide maandamiseks andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid ning tagama rakendatavate meetmete sõltumatu auditeerimise vähemalt iga nelja aasta järel; 4) täitma keskuse edastatud korraldusi; 5) teavitama keskust kontaktandmete muutumisest; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 6) teavitama keskust viivitamata X-tee kasutamisega seonduvast probleemist ja asjaolust, mis võib mõjutada keskuse või X-tee liikme kohustuste täitmist; 7) teavitama viivitamata keskuse intsidentide käsitlemise osakonda turvaintsidendist ja selle vahetust ohust; 8) [kehtetu - RT I, 06.08.2019, 6 - jõust. 09.08.2019] 9) esitama keskuse nõudmisel turvaserveri turvalisuse hindamiseks vajaliku teabe, turvaeeskirjad ning rakendatud meetmete rakendamise kirjelduse. (5) Riigi ja kohaliku omavalitsuse üksuse andmekogu pidamisel lähtub X-tee liige käesoleva paragrahvi lõike 4 punktis 3 sätestatud meetmete rakendamisel ning rakendatavate meetmete sõltumatu auditeerimise tagamisel avaliku teabe seaduse § 43^9 lõikes 3 sätestatud erisustest. § 6. X-teega liitumisest keeldumine () Keskusel on õigus jätta X-teega liitumise taotlus rahuldamata, kui: 1) taotlejal puudub unikaalne tunnus, millele on võimalik väljastada keskuse veebilehel avalikustatud nõuetele vastavat e-templi sertifikaati; 2) taotleja ei ole keskuse nõudmisel esitanud esindusõiguse tuvastamiseks vajalikke dokumente või taotluse esitajal puudub esindusõigus taotluse esitamiseks; 3) taotleja esitatud andmed ei ole tõesed; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 4) taotleja või tema infosüsteem ei vasta käesolevas määruses esitatud muudele nõuetele või X-tee toimimise põhimõtetele. § 7. Turvalise ja standardiseeritud andmevahetuse tagamise elemendid () Turvaline ja standardiseeritud andmevahetus X-teel on tagatud kõigi järgmiste tingimuste täitmisel: 1) turvalise andmevahetuskanali loomise kaudu vastavalt §-le 8; 2) e-templiga andmevahetuse tervikluse tagamise kaudu vastavalt §-le 9; 3) alamsüsteemi defineerimise kaudu vastavalt §-le 10; 4) ühtlustatud andmeteenuse osutamise nõuete kaudu vastavalt §-le 11; 5) andmeteenuse kasutaja kindlaksmääramisel andmeteenuse kasutamise kokkuleppe ja pääsuõiguse andmise kaudu vastavalt §-le 12. § 8. Turvalise andmevahetuskanali loomine (1) X-tee liige peab X-tee turvalise andmevahetuskanali loomise võimaldamiseks paigaldama turvaserveri tarkvara infosüsteemi ning registreerima keskuses turvaserveri autentimissertifikaadi, mis peab vastama keskuse veebilehel avaldatud nõuetele. (2) X-teel on lubatud kasutada vaid sellist turvaserveri tarkvara, mis järgib keskuse kinnitatud X-tee baasprotokollistikku. (3) Turvaserveri kasutamisel on X-tee liige kohustatud: 1) tagama e-templiga kinnitatud X-teel vahetatud sõnumite päringulogi olemasolu ja päringulogi arhiveerimise korral töötama välja päringulogi arhiveerimise protseduuri, mis sisaldab arhiveerimise sagedust ning arhiveeritava informatsiooni loetelu; 2) määrama isikud, kes ja millistel tingimustel saavad päringulogi arhiveerimise korral juurdepääsu turvaserveri arhiveeritud päringulogile; 3) päringulogi arhiveerimisel tagama arhiveeritud sõnumite töötlemisel samad konfidentsiaalsuse nõuded, mis on nõutud andmeteenuse kasutamiseks; 4) majutama turvaserverit Eesti Vabariigi jurisdiktsiooni all oleval territooriumil. (4) Keskuse pakutava turvaserveri kasutamisel on X-tee liige lisaks lõikes 3 nimetatud kohustuste täitmisele kohustatud: 1) kasutama turvaserveri tarkvara vastavalt juhistele, mis on avalikustatud keskuse veebilehel; 2) uuendama turvaserveri tarkvara hiljemalt kaks kuud pärast keskuse poolt tarkvarauuenduste kättesaadavaks tegemist. (5) Turvaserverit võib majutada väljaspool Eesti Vabariigi jurisdiktsiooni all olevat territooriumit üksnes keskuse loal, kui X-tee liige: 1) tagab § 5 lõikes 4 sätestatud kohustuste täitmise; 2) rakendab turvalisusega seotud riskide maandamiseks andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid ning tagab rakendatavate meetmete sõltumatu auditeerimise vähemalt iga kahe aasta järel. (6) X-tee liige peab oma turvaserveri jagamisel teisele X-tee liikmele kasutama krüpteeritud ühendust ning kahepoolset autentimist turvaserveri ja alamsüsteemi ühendamiseks. § 9. Andmevahetuse tervikluse tagamine e-templiga (1) Andmevahetuse terviklus ning X-teel vahetatud sõnumi ja X-tee liikme seose tuvastamine tagatakse e-templiga, mille loomiseks on X-tee liige kohustatud turvaserveris kasutama järgmisi Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 nõuetele vastavaid usaldusteenuseid: 1) sertifitseerimise teenus, mille kaudu väljastatakse e-templi kvalifitseeritud sertifikaat; 2) sertifikaadi kehtivuskinnituse teenus; 3) ajatempliteenus. (1^1) X-tee liige võib lõikes 1 nimetatud e-templi loomisel kasutada keskuse väljastatavat e-templi sertifikaati. [RT I, 06.08.2019, 6 - jõust. 09.08.2019] (2) X-teel moodustunud e-tempel on kehtiv, kui kasutatud sertifikaadi kehtivuskinnituse ja ajatempli ajavahe ei ole rohkem kui kaheksa tundi. [RT I, 27.09.2016, 4 - jõust. 02.06.2017] (3) X-tee liikmel on keelatud töödelda X-teel vahetatud andmeid, mida ei ole võimalik kinnitada lõikes 1 või 1^1 nimetatud e-templiga. [RT I, 06.08.2019, 6 - jõust. 09.08.2019] § 10. X-teega liidestatud alamsüsteem (1) X-teel on võimalik kasutada ja osutada teenust vaid sellisel alamsüsteemil, mis on keskuses registreeritud. (2) Alamsüsteemi X-teel registreerimiseks esitab X-tee liige keskusele taotluse. [RT I, 06.08.2019, 6 - jõust. 09.08.2019] (3) X-teel on võimalik registreerida vaid sellist alamsüsteemi: 1) [kehtetu - RT I, 06.08.2019, 6 - jõust. 09.08.2019] 2) millele on määratud alamsüsteemi toimimise eest vastutav füüsiline isik ja alamsüsteemi teenindava turvaserveri administraatori kontaktandmed; 3) mille suhtes rakendatakse turvalisusega seotud riskide maandamiseks andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid ning tagatakse rakendatavate meetmete sõltumatu auditeerimine vähemalt iga nelja aasta järel, lähtudes § 5 lõikes 5 sätestatud erisustest. (4) X-tee liige on alamsüsteemi registreerimise järel kohustatud: 1) määrama töö- ja ametikohad, kellel on õigus alamsüsteemi ja seeläbi alamsüsteemile võimaldatud andmeteenuseid kasutada, ning lubama organisatsioonisiseselt juurdepääsu vaid selleks õigustatud isikutele; 2) tagama X-teega liidestatud alamsüsteemi turvalise ja häireteta töö ning vastavuse X-tee liikmete vahelisele andmeteenuse kasutamise kokkuleppele. (5) Keskusel on õigus alamsüsteemi registreerimise taotlus tagasi lükata või registreeritud alamsüsteem registrist kustutada, kui mõni lõigetes 3 ja 4 esitatud nõue on täitmata. § 11. Nõuded andmeteenusele () Andmeteenus peab: 1) vastama keskuse kehtestatud X-tee sõnumiprotokollile; 2) olema dokumenteeritud koos keskuse nõuetele vastava ning aja- ja asjakohase andmeteenuse kirjeldusega ja sisaldama informatsiooni andmeteenuse kasutamiseks vajalike turvameetmete kohta, arvestades andmeteenuses sisalduvate andmete koosseisu ning andmeteenuse iseloomu; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 3) olema kasutatav ka X-tee testkeskkonnas. § 12. Andmeteenuse osutamine ja kasutamine (1) Andmeteenust osutatakse ja kasutatakse vastavalt X-tee liikmete vahelisele andmeteenuse kasutamise kokkuleppele. Andmeteenuse kasutamise kokkuleppes määratakse kindlaks: 1) andmeteenuse kasutamiseks vajalikud infoturbemeetmed ning andmeteenuse kasutaja alamsüsteemilt nõutavad organisatsioonilised, füüsilised ja infotehnilised turvameetmed, arvestades töödeldavate andmete koosseisu ning õigusaktidega ettenähtud nõudeid; 2) andmeteenuse kolmandale isikule vahendamise luba vastavalt §-le 13; 3) teenustaseme tingimused. (2) Andmeteenuse osutaja on kohustatud: 1) registreerima andmeteenuse koos andmeteenuse tehnilise kirjeldusega turvaserveris ja hoidma andmeteenuse kirjelduse turvaserveris ajakohasena; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 2) eraõiguslikust juriidilisest isikust või füüsilisest isikust ettevõtjast andmeteenuse kasutajaga kokkuleppe sõlmimise eel veenduma, et andmeteenuse kasutaja rakendab turvalisusega seotud riskide maandamiseks piisavaid andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid; [RT I, 06.08.2019, 6 - jõust. 09.08.2019] 3) tagama X-tee süsteemi pääsuõiguse kooskõla X-tee liikmete vahelise andmeteenuse kasutamise kokkuleppega. (3) Andmeteenuse kasutamine on võimalik X-tee liikme alamsüsteemis, millele on antud konkreetse andmeteenuse kasutamiseks pääsuõigus. (4) Andmeteenuse kasutaja ja osutaja on kohustatud: 1) järgima andmeteenuse kasutamise kokkulepet; 2) siduma turvaserverisse laekunud sõnumid ajatempliga. (5) X-tee liige tagab oma infosüsteemi kaudu andmeteenuse osutamisel või kasutamisel osaleva lõppkasutaja autentimise ja autoriseerimise. § 13. Andmeteenuse vahendamine (1) X-tee liige võib võimaldada alamsüsteemile ligipääsu organisatsioonivälisele füüsilisele või juriidilisele isikule vaid juhul, kui: 1) X-tee liige on koostanud ja avalikustanud andmeteenuse vahendamise korra vastavalt lõikele 2; 2) X-tee liige on end andmeteenuse vahendajana X-teel registreerinud; 3) andmeteenuse vahendamise luba on fikseeritud X-tee liikmete vahelises andmeteenuse kasutamise kokkuleppes. (2) Andmeteenuse vahendamise kord peab sisaldama: 1) andmeteenuse vahendamise alust; 2) andmeteenust kasutava alamsüsteemi vahendatu autentimise ja autoriseerimise korda; 3) andmeteenust kasutava alamsüsteemi vahendatu autentimise ja autoriseerimise logi arhiveerimise korda ja logi säilitamise tähtaega; 4) X-tee päringulogi arhiveerimise ning arhiivile juurdepääsu korda ja säilitamise tähtaega. (3) X-tee liige on andmeteenuse vahendajana kohustatud: 1) järgima enda kehtestatud andmeteenuse vahendamise korda; 2) teavitama keskust ja andmeteenuse osutajat, kelle andmeteenuse kasutamiseks on vahendajal pääsuõigus, andmeteenuse vahendamise korra muutumisest; 3) lähtuma lõike 1 punktis 3 nimetatud kokkulepetes kindlaks määratud pooltevahelistest õigustest ja kohustustest ning veenduma andmeteenuse vahendamise lubatavuses; 4) avaldama andmeteenuse pakkujale alamsüsteemi vahendatud osaliste andmed vastavalt X-tee baasprotokollistikule. § 14. X-tee liikmesuse lõppemine (1) X-tee liikmel on igal ajal õigus liikmesus üles öelda, esitades keskusele vastavasisulise kirjaliku avalduse. (2) Kui lõikes 1 nimetatud avalduses ei ole märgitud X-tee liikmesuse lõppemise tähtpäeva, lõpeb liikmesus eelnimetatud avalduse kättesaamisele järgnevast tööpäevast. (3) Keskusel on õigus liikmesus kohe lõpetada või piirata liikmesusest tulenevaid õigusi või anda tähtaeg puuduse kõrvaldamiseks, kui: 1) X-tee liige rikub käesolevas määruses, liitumiskokkuleppes või andmeteenuse vahendamise korras sätestatud tingimusi; 2) X-tee liige on esitanud vale- või puudulikke andmeid. (4) Keskusel on õigus liikmesus lõpetada, teavitades X-tee liiget elektronposti teel 30 kalendripäeva ette. 4. peatükk Rakendussätted § 15. Andmevahetuse tervikluse e-templiga tagamise erisused (1) Andmeteenuse osutaja on kohustatud tagama § 9 lõikes 1 nimetatud andmevahetuse tervikluse e-templiga alates 2. jaanuarist 2017. a. (2) Andmeteenuse kasutaja on kohustatud tagama § 9 lõikes 1 nimetatud andmevahetuse tervikluse e-templiga alates 2. juunist 2017. a. § 16. X-tee tarkvara levitamine () X-tee tarkvara levitatakse vastavalt tarkvara vaba kasutuse litsentsile MIT (the MIT License). § 17. Määruse kehtetuks tunnistamine [Käesolevast tekstist välja jäetud.] § 18. Paragrahvi 9 lõigete 2 ja 3 jõustumine () Paragrahvi 9 lõiked 2 ja 3 jõustuvad 2. juunil 2017. a.