Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmine

Väljaandja:	Vabariigi Valitsus
Akti liik:	määrus
Teksti liik:	algtekst
Jõustumise kp:	01.10.2025
Avaldamismärge:	RT I, 27.09.2025, 1

Vaata digitemplit

Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmine

Vastu võetud 25.09.2025 nr 81

Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 alusel.

§ 1. Vabariigi Valitsuse 9. detsembri 2022. a määruses nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ tehakse järgmised muudatused:

1) paragrahvi 1 tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõikega 2 järgmises sõnastuses:

„(2) Määrust ei kohaldata:
1) isikule, kellele kohalduvad Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79), sätestatud riskide juhtimise nõuded;
2) isikule, kellele kohalduvad Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 09.04.2008, lk 72–84), ning Euroopa Parlamendi ja nõukogu määruses (EL) 2018/1139, mis käsitleb tsiviillennunduse valdkonna ühisnorme ja millega luuakse Euroopa Liidu Lennundusohutusamet ning millega muudetakse Euroopa Parlamendi ja nõukogu määrusi (EÜ) nr 2111/2005, (EÜ) nr 1008/2008, (EL) nr 996/2010, (EL) nr 376/2014 ja Euroopa Parlamendi ja nõukogu direktiive 2014/30/EL ning 2014/53/EL ning tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrused (EÜ) nr 552/2004 ja (EÜ) nr 216/2008 ning nõukogu määrus (EMÜ) nr 3922/91 (ELT L 212, 22.08.2018, lk 1–122), sätestatud süsteemi turvalisuse nõuded.“;

2) paragrahvi 2 täiendatakse punktiga 3 järgmises sõnastuses:

„3) pilvteenus on pilvandmetöötlusteenus või selliste andmetöötlusressursside kogumile juurdepääsu võimaldav teenus, mida saab paindlikult jagada ning laiendada võrgu- ja infosüsteemi muutmata ning mida pakub kohaliku omavalitsuse üksus või küberturvalisuse seaduse § 3 lõike 4 punktides 12 ja 13 nimetatud asutus või isik.“;

3) paragrahvi 3 lõike 2 punkti 1 täiendatakse pärast tekstiosa „ISO/IEC 27001“ tekstiosaga „või Eesti standardiga EVS-EN ISO/IEC 27001“;

4) paragrahvi 3 täiendatakse lõikega 2¹ järgmises sõnastuses:

„(2¹) Lõikeid 1 ja 2 ei kohaldata:
1) teenuse osutajale, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle aastane bilansimaht või aastakäive ei ületa 10 miljonit eurot, arvestades väikeettevõtjate määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratlemise kohta (ELT L 124, 20.05.2003, lk 36–41);
2) valla või linna ametiasutuse hallatavale asutusele ja osavalla või linnaosa ametiasutuse hallatavale asutusele, välja arvatud üldhariduskool, kellel on kalendriaasta jooksul keskmiselt alla 50 töötaja;
3) riigimuuseumile, kellel on kalendriaasta jooksul keskmiselt alla 50 töötaja;
4) kohaliku omavalitsuse üksuste liidule, kellel on kalendriaasta jooksul keskmiselt alla 50 töötaja.“;

5) paragrahvi 4 lõiget 1 täiendatakse pärast sõnu „Teenuse osutaja“ tekstiosaga „, kellele kohalduvad § 3 lõike 1 alusel antud määrusega sätestatud kohustused,“;

6) paragrahvi 4 täiendatakse lõikega 1¹ järgmises sõnastuses:

„(1¹) Elutähtsa teenuse osutaja, kellele kohalduvad § 3 lõike 1 alusel antud määrusega sätestatud kohustused, peab Eesti infoturbestandardi tingimuste täitmise auditi esmakordselt läbi viima hädaolukorra seaduse § 38 lõike 1³ punktis 3 sätestatud korras määratud tähtaja jooksul.“;

7) paragrahvi 4 lõiget 2 täiendatakse pärast tekstiosa „lõike 1“ tekstiosaga „või 1¹“;

8) paragrahvi 4 lõike 4 punkt 1 tunnistatakse kehtetuks;

9) paragrahvi 4 lõiget 4 täiendatakse punktiga 4 järgmises sõnastuses:

„4) Haridus- ja Teadusministeeriumi hallatava asutusena tegutsevale põhikoolile ja gümnaasiumile, kui tegemist ei ole andmekogu vastutava töötlejaga või volitatud töötlejaga.“;

10) määrust täiendatakse §-ga 5¹ järgmises sõnastuses:

„§ 5¹. Esmased turvameetmed

(1) Teenuse osutaja peab kasutusele võtma asjakohased esmased turvameetmed järgmistes turbevaldkondades:
1) infoturbe korraldus;
2) kasutajate teadlikkus, koolitus ja kasutajaõigused;
3) andmete turve;
4) tarnijate, väliste teenuste osutajate ja partnerite haldus;
5) küberintsidentide haldus;
6) pilvteenuste ja veebirakenduste kaitse;
7) infotehnoloogiaseadmete kaitse;
8) sideühenduste ja võrgu kaitse;
9) füüsiline turve.

(2) Lõikes 1 sätestatud turbevaldkondade esmased turvameetmed on esitatud määruse lisas.“.

§ 2. Määrus jõustub 1. oktoobril 2025. a.

Kristen Michal
Peaminister

Liisa-Ly Pakosta
Justiits- ja digiminister

Keit Kasemets
Riigisekretär

Lisa Esmased turvameetmed

← Tagasi | Üles ↑

Miks minu RT? Minu RT võimaldab:

Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmine

Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmine

Miks minu RT?
Minu RT võimaldab: