Välja kuulutanud
Vabariigi President
18.12.2025 otsus nr 640
Küberturvalisuse seaduse ja teiste seaduste muutmise seadus (küberturvalisuse 2. direktiivi ülevõtmine)
Vastu võetud 10.12.2025
§ 1. Küberturvalisuse seaduse muutmine
Küberturvalisuse seaduses tehakse järgmised muudatused:
1) paragrahvi 1 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Käesolev seadus sätestab:
1) ühiskonna toimimise seisukohast ülioluliste üksuste ja oluliste üksuste ning domeeninimede registreerimise teenuse osutajate kasutatavate võrgu- ja infosüsteemide pidamise nõuded, vastutuse ning järelevalve;
2) küberintsidentide käsitlemise alused ja nõuded turvahaavatavuse ning küberohtudega tegelemiseks;
3) ulatusliku küberintsidendi ja kriisi ennetamise ning lahendamise nõuded;
4) küberturvalisuse valdkonnas toimuva koostöö, teabevahetuse ja vastastikuse hindamise nõuded;
5) küberturvalisuse valdkonna pädevad asutused ja piiriüleste elektrivoogude valdkonnas küberturvalisuse järelevalvet tegeva pädeva asutuse määramise nõuded.”;
2) paragrahvi 1 lõiget 2 täiendatakse punktiga 3 järgmises sõnastuses:
„3) Eesti Vabariigi diplomaatilistele ja konsulaaresindustele kolmandates riikides ning nende võrgu- ja infosüsteemidele, kui sellised süsteemid asuvad esinduse ruumides või kui neid käitatakse kolmanda riigi kasutajate jaoks.”;
3) paragrahvi 1 täiendatakse lõikega 21 järgmises sõnastuses:
„(21) Käesoleva paragrahvi lõikes 2 sätestatud erisust ei kohaldata usaldusteenuse osutajale.”;
4) paragrahvi 1 lõige 3 tunnistatakse kehtetuks;
5) paragrahvi 1 lõige 4 muudetakse ja sõnastatakse järgmiselt:
„(4) Kui teenuseosutaja võrgu- ja infosüsteemi pidamise ning küberintsidendist teavitamise nõuded on samaväärselt käesolevas seaduses sätestatuga reguleeritud välislepinguga, Euroopa Liidu õigusaktiga või muu seadusega, kohaldatakse käesolevat seadust välislepingust, Euroopa Liidu õigusaktist või muust seadusest tulenevate erisustega.”;
6) paragrahv 2 muudetakse ja sõnastatakse järgmiselt:
㤠2. Terminid
Käesolevas seaduses kasutatakse termineid järgmises tähenduses:
1) andmekeskusteenus – teenus, millega pakutakse selliseid struktuure või struktuurirühmi, mis on ette nähtud andmete talletamiseks, töötlemiseks ning edastamiseks kasutatavate infotehnoloogia- ja võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, sealhulgas kõiki elektrivarustuse ning majutuskeskkonna kontrolliga seotud vahendeid ja taristuid;
2) digitaalse teenuse osutaja – üldnimetus, mille all mõeldakse domeeninimede süsteemi teenuse osutajat, tippdomeeninimede registri pidajat, domeeninimede registreerimise teenuse osutajat, pilvandmetöötlusteenuse osutajat, andmekeskusteenuse osutajat, sisulevivõrguteenuse osutajat, haldusteenuse osutajat, infoturbeteenuse osutajat, internetipõhise kauplemiskoha pidajat ja veebipõhise otsingumootori või sotsiaalmeediaplatvormi pakkujat;
3) digitaalse teenuse osutaja esindaja (edaspidi esindaja) – Euroopa Liidus asuv füüsiline või juriidiline isik, kes on määratud tegutsema väljaspool Euroopa Liitu asuva digitaalse teenuse osutaja nimel ja kelle poole võib Riigi Infosüsteemi Amet pöörduda seoses digitaalse teenuse osutaja kohustustega;
4) domeeninimede registreerimise teenuse osutaja – tippdomeeninimede registri pidaja või selle registri pidaja nimel tegutsev isik, näiteks registreerimisega seotud privaatsusteenuse või proksiteenuse osutaja või edasimüüja;
5) domeeninimede süsteem – hierarhiline ja hajus nimesüsteem, mis võimaldab tuvastada internetiteenuseid ja -ressursse, tehes lõppkasutaja seadmetel võimalikuks kasutada internetimarsruutimise ning ühenduvuse teenuseid, et jõuda nende teenuste ja ressurssideni;
6) domeeninimede süsteemi teenuse osutaja – üksus, kes osutab interneti lõppkasutajatele üldsusele kättesaadavat domeeninime rekursiivse teisendamise teenust või kes osutab kolmandatele isikutele kasutamiseks mõeldud domeeninime autoriteetse teisendamise teenust, välja arvatud juurnimeserveri teenust;
7) haldusteenuse osutaja – üksus, kes osutab teenuseid, mis on seotud IKT-toodete, võrkude, taristu, rakenduste või muude võrgu- ja infosüsteemide paigaldamise, haldamise, käitamise või hooldamisega toe või aktiivse haldamise kaudu kas kliendi ruumides või kaugjuhtimise teel;
8) IKT-protsess – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 07.06.2019, lk 15–69), artikli 2 punktis 14 määratletud IKT-protsess;
9) IKT-teenus – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 13 määratletud IKT-teenus;
10) IKT-toode – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 12 määratletud IKT-toode;
11) infoturbeteenuse osutaja – haldusteenuse osutaja, kes viib ellu riskide juhtimist või pakub selleks tuge;
12) interneti sõlmpunkt – ühenduspunkt, mis võimaldab rohkem kui kahe sõltumatu võrgu omavahelist ühendamist ja internetiliiklust nende vahel; see võimaldab üksnes autonoomsete süsteemide omavahelist ühendamist ega nõua, et internetiliiklus kahe osaleva autonoomse süsteemi vahel toimuks mõne kolmanda autonoomse süsteemi kaudu, ei muuda sellist liiklust ega sekku sellesse mingil muul viisil;
13) internetipõhine kauplemiskoht – internetipõhine kauplemiskoht tarbijakaitseseaduse tähenduses;
14) järelkontroll – järelevalve, mis on seotud küberintsidendile tagantjärele reageerimisega või küberintsidendi tekkimise vahetu ohu täiendava kontrolliga, lähtudes tõenditest, vihjetest või teabest, millega on juhitud järelevalveasutuse tähelepanu küberintsidendile või selle tekkimise vahetule ohule, avalikult kättesaadavast teabest või teabest, mis on saadud või loodud järelevalveasutuse muu ülesande täitmisel;
15) keskvalitsuse avaliku halduse üksus – Eesti Pank, kohtuasutus, riigi valimisteenistus, Riigikogu Kantselei, Riigikontroll, Vabariigi Presidendi Kantselei, valitsusasutus, valitsusasutuse hallatav riigiasutus ja Õiguskantsleri Kantselei;
16) kohaliku omavalitsuse avaliku halduse üksus – kohaliku omavalitsuse üksus, valla või linna ametiasutus, valla või linna ametiasutuse hallatav asutus, osavald, linnaosa, osavalla või linnaosa ametiasutus, osavalla või linnaosa ametiasutuse hallatav asutus ning kohaliku omavalitsuse üksuste ühisamet ja -asutus;
17) kvalifitseeritud usaldusteenuse osutaja – Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114) artikli 3 punktis 20 määratletud kvalifitseeritud usaldusteenuse osutaja;
18) küberintsidendi käsitlemine – toimingud ja menetlused, mille eesmärk on küberintsidenti ennetada, tuvastada, analüüsida, ohjata või lahendada ja sellest taastuda;
19) küberintsident – võrgu- ja infosüsteemis toimuv sündmus, mis ohustab või kahjustab võrgu- ja infosüsteemi turvalisust;
20) küberintsidentide käsitlemise üksus – ekspertide grupp, kelle ülesanne on teha küberintsidendi käsitlemist toetavaid toiminguid;
21) küberoht – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 8 määratletud küberoht;
22) küberturvalisus – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 1 määratletud küberturvalisus;
23) oluline küberoht – küberoht, mille tehniliste näitajate põhjal on võimalik eeldada, et sellel võib olla suur mõju üksuse võrgu- ja infosüsteemile või üksuse võrgu- ja infosüsteemi kasutajatele, tekitades märkimisväärset varalist või mittevaralist kahju;
24) pilvandmetöötlusteenus – infoühiskonna teenus, mis võimaldab nõude põhjal hallata skaleeritavaid ja paindlikke jagatavaid andmetöötlusressursse ning ulatuslikku kaugpääsu neile, sealhulgas juhul, kui need ressursid paiknevad hajutatult eri kohtades;
25) risk – küberintsidendist tingitud kahju või häire tekke võimalus, mis väljendub kahju või häire ulatuse ja küberintsidendi esinemise tõenäosuse kombineeritud näitajana;
26) sihipärane turvaaudit – võrgu- ja infosüsteemi andmike ja toimingute sõltumatu läbivaatus ning uurimine, et kontrollida võrgu- ja infosüsteemi turvameetmete adekvaatsust ning vastavust kehtivale infoturvapoliitikale ja tööprotseduuridele, avastada turvarikkeid ning soovitada võimalikke järelduvaid meetme-, poliitika- ja protseduurimuudatusi;
27) sisulevivõrk – geograafiliselt hajutatud serverite võrk, mille eesmärk on tagada digisisu ja infoühiskonna teenuste laialdane kättesaadavus, juurdepääsetavus või kiire edastamine internetikasutajatele sisu- ja teenusepakkujate nimel;
28) sotsiaalmeediaplatvorm – platvorm, mis võimaldab lõppkasutajatel vastastikku ühendust pidada, sisu jagada, teavet otsida ning suhelda mitme seadme kaudu, eelkõige vestluste, postituste, videote ja soovituste vormis;
29) teadusasutus – üksus, kelle peamine tegevus on teha rakendusuuringuid või tootearendust eesmärgiga kasutada selliste uuringute või arenduste tulemusi ärilistel eesmärkidel, kuid kes ei ole haridusasutus;
30) tippdomeeninimede registri pidaja – üksus, kelle vastutusel on Eesti maatunnusega seotud tippdomeen ning kes vastutab selle tippdomeeni haldamise eest, sealhulgas tippdomeeni alamdomeeninimede registreerimise eest ja tippdomeeni tehnilise toimimise eest, sealhulgas nimeserverite käitamise ja andmebaaside hooldamise eest ning tippdomeeni tsoonifailide jaotamise eest nimeserverite vahel, olenemata sellest, kas mõne neist toimingutest teeb üksus ise või ostetakse mõni toiming sisse, kuid välja arvatud juhul, kui registri pidaja kasutab tippdomeeninimesid ainult enda tarbeks;
31) turvahaavatavus – IKT-toote või IKT-teenuse nõrkus, vastuvõtlikkus või viga, mida küberoht võib ära kasutada;
32) turvalisuse kontroll – võrgu- ja infosüsteemi tehniline ning korralduslik uurimine, et tuvastada võrgu- ja infosüsteemi turvahaavatavust või võrgu- ja infosüsteemi turvameetmete nõuetele mittevastavust;
33) turvameetmed – rakendatavad organisatsioonilised, füüsilised ja infotehnilised toimingud või vahendid andmete ning võrgu- ja infosüsteemide turvalisuse saavutamiseks ning säilitamiseks;
34) ulatuslik küberintsident – küberintsident, mille põhjustatud häired on niivõrd laialdased, et üks Euroopa Liidu liikmesriik ei suuda nendega toime tulla, või millel on märkimisväärne mõju vähemalt kahele Euroopa Liidu liikmesriigile;
35) usaldusteenuse osutaja – Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 3 punktis 19 määratletud usaldusteenuse osutaja;
36) veebipõhine otsingumootor – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/1150, mis käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks (ELT L 186, 11.07.2019, lk 57–79), artikli 2 punktis 5 määratletud veebipõhine otsingumootor;
37) võrgu- ja infosüsteem (edaspidi süsteem) – elektroonilise side võrk elektroonilise side seaduse § 2 punkti 8 tähenduses, seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne programmi kohaselt digitaalsete andmete automaatne töötlemine, või digitaalsed andmed, mida eelnimetatud komponendid nende töö, kasutamise, kaitsmise või hooldamise jaoks salvestavad, töötlevad, saavad päringuga või edastavad;
38) võrgu- ja infosüsteemi turvalisus (edaspidi süsteemi turvalisus) – süsteemi võime osutada vastupanu mis tahes sündmusele, mis ohustab süsteemis töödeldavate andmete või süsteemi kaudu osutatavate või juurdepääsetavate teenuste käideldavust, autentsust, terviklust ja konfidentsiaalsust;
39) üksus – juriidiline isik, kes on asutatud ja keda tunnustatakse tema tegevuskohajärgse riigi õiguse kohaselt ning kellel võivad olla õigused ja kohustused, või füüsiline isik;
40) üldkasutatav elektroonilise side teenus – üldkasutatav elektroonilise side teenus elektroonilise side seaduse tähenduses;
41) üldkasutatav elektroonilise side võrk – üldkasutatav elektroonilise side võrk elektroonilise side seaduse tähenduses.”;
7) paragrahv 3 muudetakse ja sõnastatakse järgmiselt:
㤠3. Teenuseosutaja
(1) Teenuseosutaja käesoleva seaduse tähenduses on ühiskonna toimimise seisukohast ülioluline üksus (edaspidi ülioluline üksus) ja ühiskonna toimimise seisukohast oluline üksus (edaspidi oluline üksus).
(2) Ülioluline üksus on:
1) domeeninimede süsteemi teenuse osutaja;
2) elutähtsa teenuse osutaja hädaolukorra seaduse tähenduses;
3) keskvalitsuse avaliku halduse üksus;
4) kohaliku omavalitsuse avaliku halduse üksus;
5) kriitilise tähtsusega side, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja;
6) kvalifitseeritud usaldusteenuse osutaja;
7) tippdomeeninimede registri pidaja;
8) üldkasutatava elektroonilise side võrgu teenuse osutaja või üldkasutatava elektroonilise side teenuse osutaja, kellel on Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta (ELT L 124, 20.05.2003, lk 36–41) esitatud keskmise suurusega ettevõtja määratluse kohaselt majandusaasta jooksul 50 või rohkem töötajat ja kelle aastabilansimaht või aastakäive ületab 10 miljonit eurot.
(3) Lisaks käesoleva paragrahvi lõikes 2 sätestatule loetakse ülioluliseks üksuseks ka üksus, kellel on Euroopa Komisjoni soovituses 2003/361/EÜ esitatud keskmise suurusega ettevõtja määratluse kohaselt majandusaasta jooksul 250 või rohkem töötajat ja kelle aastabilansimaht ületab 43 miljonit eurot või aastakäive ületab 50 miljonit eurot ning kes on:
1) andmekeskusteenuse osutaja;
2) elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia müügiga, kaasa arvatud selle edasimüügiga elektrienergia hulgimüüjale või lõpptarbijale;
3) elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia tootmisega;
4) ettevõtja, kes tegeleb nõukogu direktiivi 91/271/EMÜ asulareovee puhastamise kohta (EÜT L 135, 30.05.1991, lk 40–52) artikli 2 punktides 1, 2 ja 3 määratletud asulareovee, olmereovee või tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtja, kelle puhul on asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine tema üldise tegevuse väheoluline osa;
5) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 laevade ja sadamarajatiste turvalisuse tugevdamise kohta (ELT L 129, 29.04.2004, lk 6–91) I lisas meretranspordi puhul osutatud ettevõtja, kes tegeleb reisijate ja kauba vedamisega sisevetes, merel ja rannavetes, välja arvatud kõnealuse ettevõtja käitatavad üksikud laevad;
6) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/123, mis käsitleb Euroopa Ravimiameti suuremat rolli ravimite ja meditsiiniseadmete alases kriisivalmiduses ja -ohjes (ELT L 20, 31.01.2022, lk 1–37), artiklis 22 nimetatud rahvatervise hädaolukorras esmatähtsa meditsiiniseadme tootja;
7) Euroopa Liidu majanduse tegevusalade statistilise klassifikaatori NACE Revision 2 C jao osas 21 osutatud põhifarmaatsiatoote ja ravimpreparaadi tootja;
8) gaasiettevõtja maagaasiseaduse tähenduses;
9) haldusteenuse osutaja;
10) hoidlatevõrgu haldur maagaasiseaduse tähenduses;
11) infoturbeteenuse osutaja;
12) interneti sõlmpunkti teenuse osutaja;
13) jaotusvõrguettevõtja elektrituruseaduse tähenduses;
14) kaugkütte- ja kaugjahutussüsteemi käitaja kaugkütteseaduse tähenduses;
15) kauplemiskoha korraldaja väärtpaberituru seaduse tähenduses;
16) keskne vastaspool Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.07.2012, lk 1–59) artikli 2 punkti 1 tähenduses;
17) kosmosepõhise teenuse osutamist toetav Eesti Vabariigi või eraõigusliku isiku omandis oleva, hallatava või käitatava maapealse taristu käitaja, kes ei ole üldkasutatava elektroonilise side võrgu teenuse osutaja;
18) krediidiasutus Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337) artikli 4 punkti 1 tähenduses;
19) laadimispunkti käitaja elektrituruseaduse tähenduses, kes vastutab laadimispunkti haldamise ja käitamise eest, osutades lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest;
20) lennuettevõtja Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 09.04.2008, lk 72–84), artikli 3 punkti 4 tähenduses, kes tegeleb ärilise lennutranspordiga;
21) Euroopa Parlamendi ja nõukogu direktiivi 2009/12/EÜ lennujaamatasude kohta (ELT L 70, 14.03.2009, lk 11–16) artikli 2 punktis 1 määratletud lennujaama haldaja ning lennujaama abirajatiste käitaja;
22) lennujaama haldaja lennundusseaduse tähenduses;
23) lennujuhtimise teenust Euroopa Parlamendi ja nõukogu määruse (EL) 2024/2803 ühtse Euroopa taeva algatuse rakendamise kohta (uuesti sõnastatud) (ELT L, 2024/2803, 11.11.2024) artikli 2 punkti 6 tähenduses osutav lennuliikluskorraldusettevõtja;
24) liiklusseadusekohase intelligentse transpordisüsteemi käitaja;
25) maagaasi rafineerimise ja töötlemise rajatise käitaja;
26) maagaasi, sealhulgas veeldatud maagaasi müügiga ning hulgimüüjale, lõpptarbijale ja maagaasi ostvale gaasiettevõtjale maagaasi edasimüügiga tegelev gaasiettevõtja maagaasiseaduse tähenduses;
27) määratud elektriturukorraldaja Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (uuesti sõnastatud) (ELT L 158, 14.06.2019, lk 54–124), artikli 2 punkti 8 tähenduses;
28) nafta tootmise, rafineerimise ja töötlemise rajatiste käitamise ning nafta hoiustamise ja ülekandmisega tegelev ettevõtja;
29) pilvandmetöötlusteenuse osutaja;
30) põhivõrguettevõtja elektrituruseaduse tähenduses;
31) raudteeinfrastruktuuriettevõtja ja raudteeveoettevõtja, sealhulgas teenindusrajatise käitaja raudteeseaduse tähenduses;
32) sadama pidaja või sadamarajatise valdaja sadamaseaduse tähenduses, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 artikli 2 punktis 11 määratletud sadamarajatiste valdaja, ning sadamates tööde ja varustuse haldamisega tegelev üksus;
33) sisulevivõrguteenuse osutaja;
34) turuosaline Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943 artikli 2 punkti 25 tähenduses, kes osutab agregeerimis-, tarbimiskaja- või elektrienergia salvestamise teenust elektrituruseaduse tähenduses;
35) veeldatud gaasi terminali haldur maagaasiseaduse tähenduses;
36) veeliikluse juhtimise keskus;
37) veeseaduse § 17 lõike 1 kohase joogiveega varustaja ja selle jaotaja, välja arvatud jaotaja, kelle puhul on joogivee jaotamine tema üldise muude tarbekaupade ning kaupade tarnimise tegevuse väheoluline osa;
38) vesiniku tootmise, hoiustamise ja ülekandmisega tegelev ettevõtja;
39) üksus, kes tegeleb ravimiseadusekohase ravimi, välja arvatud Euroopa Parlamendi ja nõukogu määruse (EL) 2019/6, mis käsitleb veterinaarravimeid ning millega tunnistatakse kehtetuks direktiiv 2001/82/EÜ (ELT L 4, 07.01.2019, lk 43–167), artikli 4 punktis 1 määratletud veterinaarravimi uurimise ja arendamisega;
40) üksus, kes tegeleb vedelkütusevaru moodustamise ja haldamisega vedelkütusevaru seaduse tähenduses;
41) üksus, kes täidab maagaasi jaotamise ülesannet ning vastutab jaotussüsteemi kasutamise eest, tagades selle jaotussüsteemi hooldamise ja vajaduse korral arendamise teatud paikkonnas, ning tagab vajaduse korral maagaasivõrgu ühendamise teiste maagaasivõrkudega ja maagaasivõrgu pikaajalise võime rahuldada mõistlikku nõudlust maagaasi jaotamise järele;
42) üksus, kes täidab maagaasi ülekandmise ülesannet ning vastutab ülekandesüsteemi käitamise eest, tagades selle ülekandesüsteemi hooldamise ja vajaduse korral arendamise teatud paikkonnas, ning tagab vajaduse korral maagaasivõrgu ühendamise teiste maagaasivõrkudega ja maagaasivõrgu pikaajalise võime rahuldada mõistlikku nõudlust maagaasi ülekandmise järele.
(4) Oluline üksus on:
1) andmekogu vastutav töötleja ja volitatud töötleja avaliku teabe seaduse tähenduses;
2) Arenguseire Keskus;
3) avalik-õiguslik juriidiline isik;
4) kohaliku omavalitsuse üksuste liit;
5) perearstiabi osutaja tervishoiuteenuste korraldamise seaduse tähenduses, kes ei ole elutähtsa teenuse osutaja;
6) Riigimetsa Majandamise Keskus;
7) usaldusteenuse osutaja, välja arvatud kvalifitseeritud usaldusteenuse osutaja;
8) üksus, kes ei ole ülioluline üksus, kuid kellel on Euroopa Komisjoni soovituses 2003/361/EÜ esitatud keskmise suurusega ettevõtja määratluse kohaselt majandusaasta jooksul 50 või rohkem töötajat ja kelle aastabilansimaht või aastakäive ületab 10 miljonit eurot ning kelle tegevusala on nimetatud käesoleva paragrahvi lõikes 3;
9) üldkasutatava elektroonilise side teenuse osutaja ja üldkasutatava elektroonilise side võrgu teenuse osutaja, kes ei vasta käesoleva seaduse § 3 lõike 2 punktis 8 nimetatud tingimustele.
(5) Lisaks käesoleva paragrahvi lõikes 4 toodule loetakse oluliseks üksuseks ka üksus, kellel on Euroopa Komisjoni soovituses 2003/361/EÜ esitatud keskmise suurusega ettevõtja määratluse kohaselt majandusaasta jooksul 50 või rohkem töötajat ja kelle aastabilansimaht või aastakäive ületab 10 miljonit eurot ning kes on:
1) ettevõtja, kelle põhitegevus on jäätmekäitlus jäätmeseaduse tähenduses, sealhulgas järelevalve jäätmekäitluse üle ja jäätmete kõrvaldamiseks mõeldud jäätmekäitluskoha järelhooldus;
2) ettevõtja, kes toodab aineid Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1907/2006, mis käsitleb kemikaalide registreerimist, hindamist, autoriseerimist ja piiramist (REACH) ja millega asutatakse Euroopa Kemikaalide Agentuur ning muudetakse direktiivi 1999/45/EÜ ja tunnistatakse kehtetuks nõukogu määrus (EMÜ) nr 793/93, komisjoni määrus (EÜ) nr 1488/94 ning samuti nõukogu direktiiv 76/769/EMÜ ja komisjoni direktiivid 91/155/EMÜ, 93/67/EMÜ, 93/105/EÜ ja 2000/21/EÜ (ELT L 396, 30.12.2006, lk 1–850), artikli 3 punkti 9 tähenduses ja turustab aineid või segusid kõnealuse määruse artikli 3 lõike 14 tähenduses, ning ettevõtja, kes toodab ainetest või segudest kõnealuse määruse artikli 3 punktis 3 määratletud tooteid;
3) ettevõtja, kes tegeleb toidu hulgimüügi, tööstusliku tootmise või tööstusliku töötlemisega või mitmega neist, välja arvatud alkoholi hulgimüügi, tööstusliku tootmise ja tööstusliku töötlemisega, Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 178/2002, millega sätestatakse toidualaste õigusnormide üldised põhimõtted ja nõuded, asutatakse Euroopa Toiduohutusamet ja kehtestatakse toidu ohutusega seotud menetlused (EÜT L 31, 01.02.2002, lk 1–24), artikli 3 punktis 2 määratletud ettevõttes ning ühest või mitmest nimetatud tegevusest saadav aastakäive on vähemalt 50 protsenti tema aastakäibest;
4) Euroopa Parlamendi ja nõukogu määruse (EL) 2017/745, milles käsitletakse meditsiiniseadmeid, millega muudetakse direktiivi 2001/83/EÜ, määrust (EÜ) nr 178/2002 ja määrust (EÜ) nr 1223/2009 ning millega tunnistatakse kehtetuks nõukogu direktiivid 90/385/EMÜ ja 93/42/EMÜ (ELT L 117, 05.05.2017, lk 1–175), artikli 2 punktis 1 määratletud meditsiiniseadme tootja ning Euroopa Parlamendi ja nõukogu määruse (EL) 2017/746 in vitro diagnostikameditsiiniseadmete kohta ning millega tunnistatakse kehtetuks direktiiv 98/79/EÜ ja komisjoni otsus 2010/227/EL (ELT L 117, 05.05.2017, lk 176–332) artikli 2 punktis 2 määratletud in vitro diagnostikameditsiiniseadme tootja, välja arvatud käesoleva paragrahvi lõike 3 punktis 6 osutatud meditsiiniseadme tootja;
5) Euroopa Liidu majanduse tegevusalade statistilise klassifikaatori NACE Revision 2 C jao osades 26–30 osutatud majandustegevusega tegelev ettevõtja;
6) internetipõhise kauplemiskoha pidaja;
7) postiteenuse osutaja postiseaduse tähenduses, sealhulgas kulleriteenuse osutaja;
8) sotsiaalmeediaplatvormi pakkuja;
9) teadusasutus;
10) veebipõhise otsingumootori pakkuja.
(6) Käesolevas seaduses ei kohaldata üksuse töötajate arvu, aastabilansimahu ja aastakäive kindlakstegemisel Euroopa Komisjoni soovituse 2003/361/EÜ lisa artikli 3 lõiget 4.
(7) Käesolevas seaduses ei arvestata üksuse töötajate arvu, aastabilansimahu ja aastakäibe kindlakstegemisel partner- või sidusettevõtja andmeid Euroopa Komisjoni soovituse 2003/361/EÜ tähenduses, kui üksus on teenuste osutamisel kasutatavate süsteemide puhul oma partner- või sidusettevõtjast sõltumatu.
(8) Toiduvarustuskindluse valdkonna eest vastutav minister kehtestab määrusega käesoleva paragrahvi lõike 5 punktis 3 nimetatud käitlemisvaldkondade ja toidugruppide täpsustatud loetelu.”;
8) seadust täiendatakse §-ga 31 järgmises sõnastuses:
㤠31. Teavitamiskohustus ja nimekiri
(1) Teenuseosutaja ja domeeninimede registreerimise teenuse osutaja esitab Riigi Infosüsteemi Ametile käesoleva paragrahvi lõikes 2 nimetatud nimekirja koostamiseks vähemalt järgmise teabe:
1) nimi ja registrikood;
2) tegevuskoha aadress ja ajakohased kontaktandmed, sealhulgas e-posti aadressid, internetiprotokolli aadresside vahemikud ja telefoninumbrid;
3) asjakohasel juhul Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), I või II lisas osutatud asjakohane sektor ja allsektor;
4) asjakohasel juhul nende riikide loetelu, kus ta osutab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 kohaldamisalasse kuuluvaid teenuseid.
(2) Riigi Infosüsteemi Amet koostab iga kahe aasta järel teenuseosutajate ja domeeninimede registreerimise teenuse osutajate nimekirja.
(3) Käesoleva paragrahvi lõikes 2 nimetatud teave on asutusesiseseks kasutamiseks mõeldud teave avaliku teabe seaduse tähenduses.
(4) Teenuseosutaja ja domeeninimede registreerimise teenuse osutaja teavitab kõigist käesoleva paragrahvi lõike 1 kohaselt esitatud teabe muudatustest viivitamata, kuid hiljemalt kaks nädalat pärast muudatuse tegemise kuupäeva Riigi Infosüsteemi Ametit.
(5) Riigi Infosüsteemi Amet teatab iga kahe aasta järel Euroopa Komisjonile ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 14 nimetatud koostöörühmale (edaspidi koostöörühm) iga sama direktiivi I või II lisas osutatud sektori ja allsektori kohta käesoleva paragrahvi lõikes 2 nimetatud nimekirja kantud teenuseosutajate arvu.
(6) Riigi Infosüsteemi Amet esitab iga kahe aasta järel Euroopa Komisjonile teabe üksuste kohta, kes on Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 2 lõike 2 punktide b–e alusel ülioluline üksus ja oluline üksus.
(7) Käesoleva paragrahvi lõike 6 alusel esitatavaks teabeks on üksuste arv, teave Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 I ja II lisas osutatud sektori ja allsektori kohta ning asjaomaste teenuseosutajate osutatavate teenuste liik koos teabega, milline Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 2 lõike 2 punktidest b–e on alus pidada üksust ülioluliseks või oluliseks käesoleva seaduse tähenduses.
(8) Euroopa Komisjoni taotluse korral võib Riigi Infosüsteemi Amet edastada komisjonile käesoleva paragrahvi lõikes 6 osutatud teenuseosutajate nimed.
(9) Teenuseosutaja ja domeeninimede registreerimise teenuse osutaja võib käesoleva paragrahvi lõikes 1 sätestatud kohustuse täitmisel juhinduda asjaomastest Euroopa Komisjoni suunistest ja vormidest.”;
9) paragrahv 4 muudetakse ja sõnastatakse järgmiselt:
„§ 4. Digitaalse teenuse osutajaga seonduvad nõuded
(1) Digitaalse teenuse osutaja esitab Riigi Infosüsteemi Ametile vähemalt järgmise teabe:
1) nimi ja registrikood;
2) asjakohasel juhul teave Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 I või II lisas osutatud asjakohase sektori, allsektori ja üksuse liigi kohta;
3) peamise tegevuskoha aadress ja Euroopa Liidus asuvate muude ametlike tegevuskohtade aadressid või juhul, kui tal Euroopa Liidus tegevuskohta ei ole või ta ei ole seal asutatud, oma esindaja tegevuskoha aadress;
4) enda ja asjakohasel juhul oma esindaja ajakohased kontaktandmed, sealhulgas e-posti aadress ja telefoninumber;
5) liikmesriik või liikmesriigid, kus teenust osutatakse;
6) internetiprotokolli aadresside vahemikud.
(2) Digitaalse teenuse osutaja peamiseks tegevuskohaks loetakse Eesti, kui asjaomase digitaalse teenuse osutaja turvameetmeid käsitlevad otsused tehakse valdavalt Eestis.
(3) Kui digitaalse teenuse osutaja peamist tegevuskohta ei ole võimalik käesoleva paragrahvi lõike 2 kohaselt kindlaks teha või kui selliseid otsuseid ei tehta Euroopa Liidus, loetakse asjaomase digitaalse teenuse osutaja peamiseks tegevuskohaks Eesti, kui Eestis toimub asjaomase digitaalse teenuse osutaja küberturvalisuse tagamise alane tegevus.
(4) Kui digitaalse teenuse osutaja peamist tegevuskohta ei ole võimalik käesoleva paragrahvi lõigete 2 ja 3 kohaselt kindlaks teha, käsitatakse digitaalse teenuse osutaja peamise tegevuskohana Eestit juhul, kui Eesti territooriumil asub digitaalse teenuse osutaja kõige suurema arvu töötajatega tegevuskoht Euroopa Liidus.
(5) Olenemata käesoleva paragrahvi lõigetes 2–4 sätestatust kohaldatakse käesolevat seadust digitaalse teenuse osutajale, kui tema esindaja tegevuskoht on Eestis või tema esindaja on asutatud Eestis.
(6) Digitaalse teenuse osutaja teatab kõigist käesoleva paragrahvi lõike 1 kohaselt esitatud teabe muudatustest viivitamata, kuid hiljemalt kolm kuud pärast muudatuse tegemise kuupäeva.
(7) Riigi Infosüsteemi Amet esitab käesoleva paragrahvi lõike 1 punktides 1–5 osutatud teabe põhjendamatu viivituseta Euroopa Liidu Küberturvalisuse Ametile.
(8) Riigi Infosüsteemi Amet võib esitada Euroopa Liidu Küberturvalisuse Ametile taotluse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 27 lõikes 1 nimetatud registrile juurdepääsu saamiseks.
(9) Digitaalse teenuse osutaja võib käesoleva paragrahvi lõikes 1 sätestatud kohustuse täitmisel juhinduda asjaomastest Euroopa Komisjoni suunistest ja vormidest.
(10) Eestis teenust osutav, kuid väljaspool Euroopa Liitu asutatud digitaalse teenuse osutaja peab määrama esindaja Eestis või mõnes teises Euroopa Liidu liikmesriigis, kus ta teenust osutab või kus ta on asutatud, ja tegema püsivalt avalikult kättesaadavaks esindaja kontaktandmed.
(11) Digitaalse teenuse osutaja esindaja määramine ei piira õiguslike meetmete võtmist digitaalse teenuse osutaja suhtes.
(12) Käesolevat seadust kohaldatakse ka Euroopa Liidu liikmesriigis esindaja määramise kohustust rikkuva digitaalse teenuse osutaja suhtes.”;
10) seadust täiendatakse §-ga 41 järgmises sõnastuses:
„§ 41. Nõuete ja kohustuste esmakordne täitmine
(1) Teenuseosutaja ja domeeninimede registreerimise teenuse osutaja täidab käesoleva seaduse § 31 lõikes 1 sätestatud kohustuse kolme kuu jooksul teenuseosutaja või domeeninimede registreerimise teenuse osutaja tunnustele vastavuse tekkimisest arvates.
(2) Digitaalse teenuse osutaja täidab käesoleva seaduse § 4 lõigetes 1 ja 10 sätestatud kohustused kolme kuu jooksul digitaalse teenuse osutaja tunnustele vastavuse tekkimisest arvates.
(3) Teenuseosutaja, sealhulgas digitaalse teenuse osutaja, viib oma tegevuse käesoleva seaduse ja selle alusel kehtestatud nõuetega vastavusse ning täidab käesolevast seadusest ja selle alusel kehtestatud õigusaktidest tulenevad kohustused kolme aasta jooksul teenuseosutaja, sealhulgas digitaalse teenuse osutaja tunnustele vastavuse tekkimisest arvates. Käesoleva paragrahvi lõigetes 1 ja 2 sätestatud kohustuse täidab teenuseosutaja nimetatud lõigetes määratud tähtajal.
(4) Olenemata käesoleva paragrahvi lõikes 3 sätestatust peab elutähtsa teenuse osutaja oma tegevuse viima vastavusse käesoleva seaduse ja selle alusel kehtestatud nõuetega hädaolukorra seaduse § 38 lõike 13 punktis 3 sätestatud korras määratud tähtajal. Käesoleva paragrahvi lõigetes 1 ja 2 sätestatud kohustuse täidab elutähtsa teenuse osutaja nimetatud lõigetes määratud tähtajal.
(5) Käesolevat paragrahvi ei kohaldata sellistele teenuseosutajatele, kellele kohaldatakse käesoleva seaduse § 281.”;
11) paragrahv 5 muudetakse ja sõnastatakse järgmiselt:
„§ 5. Pädevad asutused ja ülesanded
(1) Vabariigi Valitsus võtab vastu Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 7 nimetatud riikliku küberturvalisuse strateegia, mis võib olla koostatud muu õigusakti kohase dokumendi osana. Riikliku küberturvalisuse strateegia koostamist koordineerib riikliku küberturvalisuse valdkonna eest vastutav minister.
(2) Riikliku küberturvalisuse strateegia ulatuse, tingimused ja elluviimise korra koos asjaomaste poliitikameetmete loeteluga kehtestab riikliku küberturvalisuse valdkonna eest vastutav minister määrusega.
(3) Riigi Infosüsteemi Amet täidab järgmisi Euroopa Parlamendi ja nõukogu direktiivis (EL) 2022/2555 nimetatud ülesandeid:
1) artikli 8 lõikes 1 nimetatud pädeva asutuse ja lõikes 3 nimetatud ühtse kontaktpunkti ülesanded;
2) artikli 9 lõikes 1 nimetatud ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse ülesanded;
3) artikli 10 lõikes 1 nimetatud küberintsidentide käsitlemise üksuse ülesanded;
4) artikli 12 lõikes 1 nimetatud turvahaavatavuse koordineeritult avaldamise koordinaatori ülesanded;
5) artiklis 15 nimetatud küberintsidentide käsitlemise riiklike üksuste võrgustikus (edaspidi võrgustik) osalemise ülesanded.
(4) Julgeolekuasutus täidab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8 lõikes 1 nimetatud pädeva asutuse ülesandeid käesoleva seaduse §-s 14 sätestatud ulatuses.”;
12) seadust täiendatakse §-ga 52 järgmises sõnastuses:
„§ 52. Piiriüleste elektrivoogude valdkonna küberturvalisuse järelevalvet tegev pädev asutus
(1) Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366, millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2019/943 ning kehtestatakse võrgueeskiri piiriüleste elektrivoogude küberturvalisust käsitlevate sektoripõhiste normide kohta (ELT L, 2024/1366, 24.05.2024), artikli 4 lõikes 1 nimetatud pädeva asutuse nimetab riikliku küberturvalisuse valdkonna eest vastutav minister käskkirjaga.
(2) Käesoleva paragrahvi lõikes 1 nimetatud pädeva asutuse nimetamisel arvestatakse Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 4 lõikes 3 ja halduskoostöö seaduses sätestatud nõuetega.
(3) Vabariigi Valitsus võib Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 39 lõikes 1, artikli 40 lõikes 4 ning artikli 41 lõigetes 1 ja 2 viidatud ülesande täitmise edasi volitada Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (ELT L 158, 14.06.2019, lk 54–124), artikli 35 kohaselt asutatud piirkondlikule koordineerimiskeskusele, arvestades halduskoostöö seaduses sätestatud nõudeid.”;
13) paragrahvi 6 punktides 1–3, § 7 lõikes 3, § 8 pealkirjas, lõikes 11, lõike 2 punktis 3 ja lõikes 6 ning § 16 lõikes 2 asendatakse sõnad „teenuse osutaja” sõnaga „teenuseosutaja” vastavas käändes;
14) seaduse 2. peatükki täiendatakse §-ga 61 järgmises sõnastuses:
㤠61. Teenuseosutaja juhatuse liikme kohustused
(1) Teenuseosutaja määrab vähemalt ühe juhatuse liikme, kes kiidab heaks turvameetmed, jälgib nende rakendamist ja vastutab selle eest. Riigi Infosüsteemi Ameti taotlusel esitab teenuseosutaja asjaomase juhatuse liikme või juhatuse liikmete nime ja kontaktandmed. Vastutava juhatuse liikme määramise kohustust ei kohaldata teenuseosutajale, kellel on üks juhatuse liige.
(2) Käesoleva paragrahvi lõikes 1 nimetatud teenuseosutaja juhatuse liige läbib korrapäraselt koolitusi eesmärgiga omandada piisavad teadmised ja oskused, et mõista ja hinnata riske, nende mõju teenuseosutaja teenustele ning riskide juhtimise viise.
(3) Kui teenuseosutaja ei määra käesoleva paragrahvi lõikes 1 nimetatud juhatuse liiget, kohaldatakse käesolevas paragrahvis sätestatud kohustusi kõigile juhatuse liikmetele.
(4) Kui teenuseosutajal ei ole oma juriidilise vormi või struktuuri tõttu juhatuse liiget, kohaldatakse juhatuse liikme kohta käivat ka muule isikule, kes on seaduse, põhimääruse või muu õigusakti kohaselt määratud asjaomase teenuseosutaja juures juhtimisülesandeid täitma. Kui teenuseosutaja on füüsilisest isikust ettevõtja, kohaldatakse teenuseosutaja juhatuse liikme kohustuste kohta sätestatut asjaomasele füüsilisele isikule.”;
15) paragrahvi 7 pealkiri ning lõiked 1 ja 2 muudetakse ning sõnastatakse järgmiselt:
„§ 7. Teenuseosutaja süsteemi turvameetmed
(1) Teenuseosutaja rakendab alaliselt asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ning korralduslikke turvameetmeid, et:
1) hallata riske, mis ohustavad teenuseosutaja tegevuses või teenuse osutamisel kasutatava süsteemi turvalisust, sealhulgas koostab vastava riskianalüüsi;
2) ennetada või minimeerida küberintsidendi mõju teenuseosutaja osutatava teenuse saajale ja muule teenusele;
3) ennetada küberintsidenti või see tuvastada ja lahendada.
(2) Turvameetmete rakendamisel arvestatakse:
1) teenuseosutaja vajadusi ja turvanõudeid;
2) ajakohaseid ning asjakohasel juhul Euroopa ja rahvusvahelisi standardeid;
3) turvameetmete rakendamise kulusid;
4) turvameetmete rakendamise proportsionaalsust, mille hindamisel võetakse muu hulgas arvesse teenuseosutaja riskidele avatuse määra, teenuseosutaja suurust, küberintsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas küberintsidentide ühiskondlikku ja majanduslikku mõju;
5) ohte süsteemselt ja terviklikult hõlmavat lähenemisviisi, mille eesmärk on kaitsta süsteeme ja nende süsteemide füüsilist keskkonda küberintsidentide eest.”;
16) paragrahvi 7 täiendatakse lõigetega 6 ja 7 järgmises sõnastuses:
„(6) Käesoleva paragrahvi lõike 5 alusel kehtestatud määruses võib täpsustada alalisi asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja korralduslikke turvameetmeid ning rakendamise nõudeid ja tingimusi, sealhulgas võib võtta arvesse käesoleva seaduse § 3 lõigetes 2–5 nimetatud tegevusalasid.
(7) Teenuseosutaja, kes on nimetatud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõikes 5 osutatud rakendusaktis, millega sätestatakse tehnilised, metoodilised ja vajaduse korral valdkondlikud nõuded turvameetmete rakendamiseks teenuseosutaja poolt, lähtub rakendusaktis sätestatud teenuse puhul sama rakendusaktiga kehtestatud nõuetest.”;
17) paragrahvi 8 lõike 1 sissejuhatav lauseosa muudetakse ja sõnastatakse järgmiselt:
„Teenuseosutaja, välja arvatud julgeolekuasutus, esitab Riigi Infosüsteemi Ametile esmase teate viivitamata, kuid hiljemalt 24 tundi pärast teada saamist küberintsidendist:”;
18) paragrahvi 8 lõike 2 punktides 1 ja 4 asendatakse arv „2” arvuga „1”;
19) paragrahvi 8 lõike 2 punktis 5 asendatakse tekstiosa „teenuse osutajale, teise teenuse osutajale” tekstiosaga „teenuseosutajale, teisele teenuseosutajale”;
20) paragrahvi 8 lõiget 2 täiendatakse punktiga 6 järgmises sõnastuses:
„6) tegemist on Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 23 lõike 11 alusel vastu võetud Euroopa Komisjoni rakendusaktis sätestatud olulise intsidendiga.”;
21) paragrahvi 8 lõige 4 tunnistatakse kehtetuks;
22) paragrahvi 8 täiendatakse lõigetega 41–43 järgmises sõnastuses:
„(41) Teenuseosutaja, välja arvatud julgeolekuasutus, edastab Riigi Infosüsteemi Ametile viivitamata, kuid hiljemalt 72 tundi pärast olulise mõjuga küberintsidendist teada saamist intsidenditeate, millega ajakohastatakse esmase teatega esitatud teavet olulise mõjuga küberintsidendi asjaoludest täpsustatud ülevaate saamiseks.
(42) Usaldusteenuse osutaja esitab käesoleva paragrahvi lõikes 41 nimetatud intsidenditeate viivitamata, kuid hiljemalt 24 tundi pärast olulise mõjuga küberintsidendist teada saamist.
(43) Riigi Infosüsteemi Ameti taotlusel esitab teenuseosutaja enne käesoleva paragrahvi lõikes 7 nimetatud lõppraporti esitamist vahearuande olulise mõjuga küberintsidendi lahendamise seisu kohta. Vahearuandes esitatakse intsidenditeates ette nähtud andmed ja asjakohasel juhul Riigi Infosüsteemi Ameti taotletud lisateave.”;
23) paragrahvi 8 lõiked 5–7 muudetakse ja sõnastatakse järgmiselt:
„(5) Teenuseosutaja on asjakohasel juhul kohustatud teavitama mõistliku aja jooksul isikut, keda olulise mõjuga küberintsident või oluline küberoht võib mõjutada, või avalikkust, kui mõjutatud isikuid ei ole võimalik eraldi teavitada. Teates annab teenuseosutaja võimaluse korral teada olulisest küberohust ja meetmetest, mida mõjutatud isik saab olulisele küberohule reageerimiseks võtta.
(6) Kui üldsuse teadlikkus või küberintsidendi avalikustamine on vajalik olulise mõjuga küberintsidendi ennetamiseks või lahendamiseks või muul moel üldsuse huvides, võib Riigi Infosüsteemi Amet avalikkust teavitada olulise mõjuga küberintsidendist pärast asjaomase teenuseosutajaga konsulteerimist või nõuda, et seda teeks asjaomane teenuseosutaja.
(7) Teenuseosutaja esitab ühe kuu jooksul käesoleva paragrahvi lõikes 41 nimetatud intsidenditeate esitamisest arvates Riigi Infosüsteemi Ametile lõppraporti. Kui olulise mõjuga küberintsidenti ei ole lõppraporti esitamise ajaks veel lahendatud, käsitatakse esitatud lõppraportit vahearuandena ja teenuseosutaja esitab uue lõppraporti ühe kuu jooksul pärast olulise mõjuga küberintsidendi lahendamist.”;
24) paragrahvi 8 lõikes 8 asendatakse tekstiosa „Küberintsidendist teavitamise korra ja raporti vormi võib kehtestada” tekstiosaga „Küberintsidendist teavitamisel esitatavad andmed ja teavitamise korra kehtestab riikliku küberturvalisuse”;
25) paragrahvi 8 täiendatakse lõikega 81 järgmises sõnastuses:
„(81) Kui Euroopa Komisjon võtab vastu Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 23 lõikes 11 nimetatud rakendusakti, milles täpsustatakse küberintsidendi, sealhulgas olulise mõjuga küberintsidendi kohta esitatava teate või raporti vorm ja selle esitamise kord, lähtutakse nimetatud rakendusaktis sätestatud nõuetest.”;
26) paragrahvi 8 lõige 9 tunnistatakse kehtetuks;
27) paragrahvi 8 täiendatakse lõikega 10 järgmises sõnastuses:
„(10) Julgeolekuasutus teatab küberintsidendist asjakohast julgeolekuasutust, arvestades käesolevas paragrahvis sätestatud nõudeid.”;
28) seadust täiendatakse §-ga 81 järgmises sõnastuses:
㤠81. Vabatahtlik teavitamine
(1) Riigi Infosüsteemi Ametit võib:
1) teenuseosutaja teavitada küberintsidendist, turvahaavatavusest ja küberohust;
2) muu isik kui teenuseosutaja teavitada olulise mõjuga küberintsidendist, turvahaavatavusest ja küberohust.
(2) Potentsiaalsest turvahaavatavusest või turvahaavatavusest teavitav füüsiline või juriidiline isik võib esitada teate anonüümselt. Teate esitaja isiku andmed on asutusesiseseks kasutamiseks mõeldud teave avaliku teabe seaduse tähenduses.
(3) Riigi Infosüsteemi Amet menetleb käesoleva paragrahvi lõike 1 alusel esitatud teateid käesoleva seaduse §-des 8 ja 12 sätestatud korras.”;
29) paragrahvid 10 ja 11 tunnistatakse kehtetuks;
30) paragrahvi 12 täiendatakse lõigetega 31 ja 32 järgmises sõnastuses:
„(31) Riigi Infosüsteemi Amet esitab olulise mõjuga küberintsidendist teatanud üksusele võimaluse korral 24 tunni jooksul vastuse, mis sisaldab esialgset tagasisidet olulise mõjuga küberintsidendi kohta ja teate esitanud üksuse taotluse korral ka suuniseid olulise mõjuga küberintsidendi lahendamise meetmete kohta.
(32) Riigi Infosüsteemi Amet võib seada küberintsidendi lahendamisel käesoleva seaduse § 8 alusel esitatud teate menetlemise tähtsamale kohale § 81 alusel esitatud teate menetlemisest.”;
31) paragrahvi 12 lõige 4 muudetakse ja sõnastatakse järgmiselt:
„(4) Riigi Infosüsteemi Ametil on õigus edastada välisriigile või Euroopa Liidu Küberturvalisuse Ametile või muule organisatsioonile küberintsidendi ennetamise ja lahendamisega seotud teavet käesoleva seaduse §-s 5 sätestatud ülesannete või Euroopa Liidu õigusest tuleneva kohustuse täitmiseks või välislepinguga ettenähtud juhtudel ja korras, kui edastatav teave ei kahjusta riigi julgeolekut või kriminaalmenetlust. Nimetatud teabe edastamine on kohustuslik ennekõike siis, kui olulise mõjuga küberintsident puudutab kahte või enamat Euroopa Liidu liikmesriiki, millisel juhul tuleb asjakohane olulise mõjuga küberintsidendi kohta käiv teave edastada puudutatud välisriigile ja Euroopa Liidu Küberturvalisuse Ametile.”;
32) paragrahvi 12 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Riigi Infosüsteemi Amet esitab Euroopa Liidu Küberturvalisuse Ametile iga kolme kuu tagant koondaruande, mis sisaldab anonüümseid koondandmeid küberohtude, küberintsidentide ja olulise mõjuga küberintsidentide kohta.”;
33) paragrahvi 12 lõige 5 muudetakse ja sõnastatakse järgmiselt:
„(5) Riigi Infosüsteemi Amet edastab käesoleva paragrahvi lõigetes 4 ja 41 nimetatud teavet üksnes teabevahetuse eesmärgi seisukohast vajalikus ja proportsionaalses ulatuses, kaitstes teenuseosutaja turvalisust ja ärihuve ning juhindudes ärisaladuse hoidmise kohustusest.”;
34) seadust täiendatakse §-ga 121 järgmises sõnastuses:
„§ 121. Ulatusliku küberintsidendi ja kriisi ennetamine ning lahendamine
(1) Ulatusliku küberintsidendi ja kriisi ennetamisele ning lahendamisele kohaldatakse käesoleva seaduse §-s 12 ning muudes kriisi ennetamist ja lahendamist reguleerivates valdkondlikes seadustes sätestatut.
(2) Riigi Infosüsteemi Amet:
1) koostab ning võtab vastu ulatuslike küberintsidentide ja kriiside lahendamise kava (edaspidi kava), arvestades Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 9 lõikes 4 sätestatud nõudeid;
2) teavitab Euroopa Komisjoni kolme kuu jooksul kava vastuvõtmisest või vastu võetud kava muudatustest ning esitab Euroopa Komisjonile ja Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule kolme kuu jooksul pärast kava vastuvõtmist asjakohase teabe, mis on seotud nimetatud kavaga.
(3) Kava võib koostada muu õigusakti alusel koostatava dokumendi osana.”;
35) paragrahvi 13 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Küberintsidentide register (edaspidi register) on Riigi Infosüsteemi Ameti peetav andmekogu, kuhu kantakse küberintsidendi toimumist, küberohte ja turvahaavatavust kirjeldavad andmed eesmärgiga pidada küberintsidentide, küberohtude ja turvahaavatavuste üle arvestust ning analüüsida registrisse esitatud teavet küberintsidentide, küberohtude ja turvahaavatavuse ennetamiseks või lahendamiseks, ohuteadete edastamiseks ning järelevalvetoimingute tegemiseks.”;
36) paragrahvi 13 täiendatakse lõikega 11 järgmises sõnastuses:
„(11) Registrisse kantakse küberintsidendist, küberohust või turvahaavatavusest teataja (edaspidi koos andmeandja) nimi ja kontaktandmed.”;
37) paragrahvi 13 lõikest 3 jäetakse välja tekstiosa „asutab ja selle”;
38) paragrahvi 13 täiendatakse lõigetega 4 ja 5 järgmises sõnastuses:
„(4) Käesoleva paragrahvi lõikes 3 nimetatud määruses sätestatakse:
1) andmete täpsem koosseis;
2) andmeandjad;
3) andmete õigsuse tagamise kord;
4) andmetele juurdepääsu tingimused;
5) registritoimingute ja registrisse kantud andmete säilitamise täpsemad tingimused;
6) registri rahastamine;
7) registriga seotud muud korralduslikud nõuded.
(5) Registrisse kantud või registriga seotud andmeid säilitatakse järgmiselt:
1) registrisse kantud andmeid küberintsidentide kohta säilitatakse viis aastat arvates küberintsidendi lahendamisest;
2) registrisse kantud muid andmeid säilitatakse viis aastat arvates registrisse kandmisest;
3) registritoimingute andmeid säilitatakse kolm aastat.”;
39) paragrahvi 131 tekstist jäetakse välja tekstiosa „, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 07.06.2019, lk 15–69),”;
40) paragrahvi 14 lõige 2 tunnistatakse kehtetuks;
41) paragrahvi 14 lõiget 5 täiendatakse teise lausega järgmises sõnastuses:
„Haldusjärelevalvet tegevale julgeolekuasutusele kohaldatakse käesoleva seaduse § 17 lõikeid 11–3.”;
42) paragrahvi 14 täiendatakse lõigetega 6–8 järgmises sõnastuses:
„(6) Riigi Infosüsteemi Amet:
1) võib järelevalve tegemisel prioriseerida käesolevas seaduses sätestatud ülesannete täitmist, arvestades riski- või ohuprognoosipõhist lähenemisviisi;
2) teeb üliolulise üksuse suhtes riiklikku ja haldusjärelevalvet;
3) teeb olulise üksuse suhtes riiklikku ja haldusjärelevalvet järelkontrollina, kui järelevalveasutusel on alust arvata, et oluline üksus ei järgi käesolevas seaduses ning ennekõike käesoleva seaduse §-des 7 ja 8 sätestatud nõudeid.
(7) Riikliku ja haldusjärelevalve meetme kohaldamisel võetakse arvesse iga üksikjuhtumi asjaolusid, ennekõike:
1) rikkumise raskust ja rikutud nõuete olulisust;
2) rikkumise kestust;
3) asjaomase teenuseosutaja varasemaid asjasse puutuvaid rikkumisi;
4) põhjustatud varalise või mittevaralise kahju, sealhulgas rahalise või majandusliku kahju mõju teistele teenustele;
5) rikkumisest mõjutatud isikute arvu;
6) rikkumise toimepanija tahtlust või hooletust;
7) turvameetmeid, mida teenuseosutaja on võtnud varalise või mittevaralise kahju ennetamiseks või vähendamiseks;
8) kinnitatud tegevusjuhendite järgimise või kinnitatud sertifitseerimismehhanismide rakendamise seisu;
9) käesoleva paragrahvi lõigetes 1 ja 5 nimetatud järelevalveasutuse ning teenuseosutaja vahelist koostööd.
(8) Raskeks rikkumiseks käesoleva paragrahvi lõike 7 punkti 1 tähenduses loetakse järgmised rikkumised:
1) korduv rikkumine;
2) teenuseosutaja poolt käesoleva seaduse § 8 lõikes 1 sätestatud kohustuse täitmata jätmine;
3) olulise mõjuga küberintsidendi korral teenuseosutaja poolt intsidendi lahendamiseks turvameetmete kasutamata jätmine;
4) käesoleva paragrahvi lõigetes 1 ja 5 nimetatud järelevalveasutuse ettekirjutuses osutatud puuduste kõrvaldamata jätmine;
5) rikkumise tuvastamise järel käesoleva paragrahvi lõigetes 1 ja 5 nimetatud järelevalveasutuse tellitud auditi tegemise või riikliku või haldusjärelevalve takistamine;
6) valeandmete või lubamatult ebatäpsete andmete esitamine seoses käesoleva seaduse §-s 7 sätestatud turvameetmete rakendamisega ja §-s 8 sätestatud olulise mõjuga küberintsidendist teatamisega.”;
43) paragrahvi 15 lõiget 2 täiendatakse pärast sõna „õigusaktide” tekstiosaga „või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud”;
44) paragrahvi 16 lõige 11 loetakse lõikeks 17 ja paragrahvi täiendatakse lõigetega 11–16 järgmises sõnastuses:
„(11) Riigi Infosüsteemi Ametil on riikliku järelevalve ülesannete täitmisel õigus teha:
1) teenuseosutaja suhtes kohapealset kontrolli ja kaugjärelevalvet, lähtudes käesoleva seaduse § 14 lõike 6 punktidest 2 ja 3, sealhulgas teha üliolulise üksuse suhtes pistelist järelevalvet, mis võib olla muu hulgas ajendatud olulise mõjuga küberintsidendist või käesolevas seaduses, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõude rikkumisest;
2) teenuseosutaja suhtes sihipäraseid turvaauditeid, mis põhinevad Riigi Infosüsteemi Ameti või auditeeritava teenuseosutaja tehtud riskihindamisel või muul kättesaadaval riskiteabel ning mille kulu kannab muudel kui käesoleva paragrahvi lõike 12 alusel kehtestatud määruses nimetatud juhtudel teenuseosutaja;
3) vajaduse korral koostöös asjaomase teenuseosutajaga objektiivsetel, mittediskrimineerivatel, õiglastel ja läbipaistvatel riskihindamise kriteeriumidel põhinevaid turvalisuse kontrolle;
4) teenuseosutajale hoiatus, kui teenuseosutaja rikub käesolevat seadust, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõuet;
5) ettekirjutus, millega nõutakse ettekirjutuse saajalt sellise tegevuse või tava lõpetamist, millega rikutakse käesolevas seaduses, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõuet, ning sama tegevuse või tava kasutamisest hoidumist;
6) ettekirjutus, millega nõutakse ettekirjutuse saajalt käesoleva seaduse §-s 7 sätestatud ning selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 alusel vastu võetud rakendusaktis sätestatud nõuete järgimist, ning käesoleva seaduse §-s 8 sätestatud teate esitamist nimetatud paragrahvis viidatud viisil ja määratud tähtajal;
7) ettekirjutus, millega nõutakse ettekirjutuse saajalt teavituse tegemist üksusele, kui üksusele ettekirjutuse saaja poolt pakutavat teenust või tegevust võib mõjutada oluline küberoht, esitades teavituses info olulise küberohu kohta ja võimaluse korral selgitused, millised meetmed saab mõjutatud üksus küberohule reageerimiseks kasutusele võtta;
8) ettekirjutus, millega nõutakse ettekirjutuse saajalt turvaauditi põhjal antud soovituste rakendamist mõistliku aja jooksul;
9) ettekirjutus, millega nõutakse ettekirjutuse saajalt käesolevas seaduses, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõude rikkumise asjaolude avalikustamist ettekirjutuses ette nähtud viisil;
10) üliolulisele üksusele ettekirjutus, millega nõutakse, et ettekirjutuse saaja määraks konkreetseks perioodiks vastavushalduri, kes jälgib, kas ettekirjutuse adressaat täidab käesoleva seaduse §-des 7 ja 8 ning nende alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõuet.
(12) Käesoleva paragrahvi lõike 11 punktis 2 nimetatud sihipärase turvaauditi korraldamise täpsemad tingimused ja korra, sealhulgas loetelu olukordadest, mille puhul Riigi Infosüsteemi Amet hüvitab teenuseosutajale turvaauditi kulu, ning turvaauditi kulu hüvitamise korra sätestab riikliku küberturvalisuse valdkonna eest vastutav minister määrusega.
(13) Käesoleva paragrahvi lõike 11 punktis 5 nimetatud üliolulisele üksusele tehtud ettekirjutus võib sisaldada ka küberintsidendi ennetamiseks või heastamiseks ette nähtud turvameetmeid ning nõudeid turvameetmete rakendamise tähtaja ja rakendamisest teavitamise kohta.
(14) Kui käesoleva paragrahvi lõike 11 punktides 4–6 ja 8 nimetatud järelevalvemeede üliolulise üksuse suhtes ei anna tulemust, määrab Riigi Infosüsteemi Amet üliolulisele üksusele uue tähtaja puuduste kõrvaldamiseks või Riigi Infosüsteemi Ameti esitatud nõuete täitmiseks.
(15) Kui ülioluline üksus ei kõrvalda puudusi või ei täida Riigi Infosüsteemi Ameti nõudeid käesoleva paragrahvi lõike 14 alusel määratud tähtajaks, on Riigi Infosüsteemi Ametil õigus nõuda ettekirjutusega:
1) loa väljastajalt üliolulise üksuse kõigi või mõne osutatava asjaomase teenuse või tegevuse sertifikaadi või loa ajutist peatamist või vastava pädevuse olemasolul teha ise nimetatud toiminguid;
2) ülioluliselt üksuselt juhatuse liikme volituste ajutist peatamist.
(16) Käesoleva paragrahvi lõike 15 punktides 1 ja 2 sätestatud meetmeid kohaldatakse seni, kuni asjaomane ülioluline üksus võtab vajalikud meetmed puuduste kõrvaldamiseks või Riigi Infosüsteemi Ameti esitatud nõuete täitmiseks.”;
45) paragrahvi 16 lõikest 2 jäetakse välja tekstiosa „ja käesoleva seaduse § 3 lõike 1 punktis 1 sätestatud teenuse osutaja puhul ka elutähtsa teenuse toimepidevust korraldavat asutust”;
46) paragrahvi 17 täiendatakse lõigetega 11–13 järgmises sõnastuses:
„(11) Riigi Infosüsteemi Ametil on haldusjärelevalve ülesannete täitmisel õigus teha:
1) teenuseosutaja suhtes kohapealset kontrolli ja kaugjärelevalvet, lähtudes käesoleva seaduse § 14 lõike 6 punktidest 2 ja 3, sealhulgas teha üliolulise üksuse suhtes pistelist järelevalvet, mis võib olla muu hulgas ajendatud olulise mõjuga küberintsidendist või käesolevas seaduses, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõude rikkumisest;
2) teenuseosutaja suhtes sihipäraseid turvaauditeid, mis põhinevad Riigi Infosüsteemi Ameti või auditeeritava teenuseosutaja tehtud riskihindamisel või muul kättesaadaval riskiteabel ning mille kulu kannab muudel kui käesoleva paragrahvi lõike 12 alusel kehtestatud määruses nimetatud juhtudel teenuseosutaja;
3) vajaduse korral koostöös asjaomase teenuseosutajaga objektiivsetel, mittediskrimineerivatel, õiglastel ja läbipaistvatel riskihindamise kriteeriumidel põhinevaid turvalisuse kontrolle;
4) teenuseosutajale hoiatus, kui teenuseosutaja rikub käesolevat seadust, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõuet;
5) ettekirjutus, millega nõutakse ettekirjutuse saajalt sellise tegevuse või tava lõpetamist, millega rikutakse käesolevas seaduses, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõuet, ning sama tegevuse või tava kasutamisest hoidumist;
6) ettekirjutus, millega nõutakse ettekirjutuse saajalt käesoleva seaduse §-s 7 sätestatud ning selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 alusel vastu võetud rakendusaktis sätestatud nõuete järgimist, ning käesoleva seaduse §-s 8 sätestatud teate esitamist nimetatud paragrahvis viidatud viisil ja määratud tähtajal;
7) ettekirjutus, millega nõutakse ettekirjutuse saajalt üksusele teavituse tegemist, kui üksusele ettekirjutuse saaja poolt pakutavat teenust või tegevust võib mõjutada oluline küberoht, esitades teavituses info olulise küberohu kohta ja võimaluse korral selgitused, millised meetmed saab mõjutatud üksus küberohule reageerimiseks kasutusele võtta;
8) ettekirjutus, millega nõutakse ettekirjutuse saajalt turvaauditi põhjal antud soovituste rakendamist mõistliku aja jooksul;
9) ettekirjutus, millega nõutakse ettekirjutuse saajalt käesolevas seaduses, selle alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõude rikkumise asjaolude avalikustamist ettekirjutuses ette nähtud viisil;
10) üliolulisele üksusele ettekirjutus, millega nõutakse ettekirjutuse saajalt kindlaks määratud perioodiks vastavushalduri määramist, kes jälgib, kas ettekirjutuse adressaat täidab käesoleva seaduse §-des 7 ja 8 ning nende alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis sätestatud nõuet.
(12) Käesoleva paragrahvi lõike 11 punktis 2 nimetatud sihipärase turvaauditi korraldamise täpsemad tingimused ja korra, sealhulgas loetelu olukordadest, mille puhul Riigi Infosüsteemi Amet hüvitab teenuseosutajale turvaauditi kulu, ning turvaauditi kulu hüvitamise korra sätestab riikliku küberturvalisuse valdkonna eest vastutav minister määrusega.
(13) Käesoleva paragrahvi lõike 11 punktis 5 nimetatud üliolulisele üksusele tehtud ettekirjutus võib sisaldada ka küberintsidendi ennetamiseks või heastamiseks ette nähtud turvameetmeid ning nõudeid turvameetmete rakendamise tähtaja ja rakendamisest teavitamise kohta.”;
47) paragrahvi 171 tekst muudetakse ja sõnastatakse järgmiselt:
„Ettekirjutuse täitmata jätmise korral on asendustäitmise ja sunniraha seaduses sätestatud korras rakendatava sunniraha kohaldamise igakordne ülemmäär 70 000 eurot.”;
48) seaduse 4. peatükki täiendatakse §-ga 173 järgmises sõnastuses:
㤠173. Vastastikune abi
(1) Kui üksus osutab teenuseid mitmes Euroopa Liidu liikmesriigis või kui ta osutab teenuseid ühes või mitmes Euroopa Liidu liikmesriigis, kuid tema süsteemid asuvad ühes või mitmes muus Euroopa Liidu liikmesriigis, teevad Riigi Infosüsteemi Amet ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8 alusel teises Euroopa Liidu liikmesriigis nimetatud pädevad asutused koostööd ning vajaduse korral abistavad üksteist.
(2) Riigi Infosüsteemi Amet annab teise Euroopa Liidu liikmesriigi järelevalveasutuse põhjendatud taotluse korral kõnealusele teisele järelevalveasutusele enda käsutuses olevate ressurssidega proportsionaalset abi, et järelevalve- või täitemeetmeid saaks rakendada tulemuslikult, tõhusalt ja järjekindlalt. Vastastikune abi võib hõlmata eelkõige teabepäringuid ja järelevalvemeetmeid, sealhulgas taotlusi teha kohapealseid kontrolle, kaugjärelevalvet või sihipäraseid turvaauditeid.
(3) Käesoleva paragrahvi lõikes 1 nimetatud juhul võib Riigi Infosüsteemi Amet esitada käesoleva paragrahvi lõikes 2 osutatud abitaotluse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8 alusel nimetatud pädevale asutusele teises Euroopa Liidu liikmesriigis.
(4) Riigi Infosüsteemi Amet võib teise Euroopa Liidu liikmesriigi poolt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8 alusel nimetatud pädeva asutuse esitatud abitaotluse tagasi lükata, kui:
1) Riigi Infosüsteemi Amet ei ole pädev taotletavat abi andma;
2) taotletav abi ei ole proportsionaalne Riigi Infosüsteemi Ameti ülesannetega või
3) taotlus puudutab teavet või tegevust, mis avalikustamise või elluviimise korral oleks vastuolus oluliste riikliku julgeoleku, avaliku julgeoleku või riigikaitsehuvidega.
(5) Enne abitaotluse tagasilükkamist konsulteerib Riigi Infosüsteemi Amet teiste asjaomaste pädevate asutustega ning ühe asjaomase Euroopa Liidu liikmesriigi taotluse korral ka Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ametiga.
(6) Arvestades käesolevas seaduses nimetatud järelevalvemeetmeid, võib Riigi Infosüsteemi Amet rakendada ühiseid järelevalvemeetmeid, millesse on kaasatud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8 alusel nimetatud pädeva asutuse töötajad või ametnikud. Asutused lepivad omavahel kokku ühistegevuse korra ja toimingud.
(7) Kui Eesti saab seoses digitaalse teenuse osutajaga vastastikuse abi taotluse, võib Riigi Infosüsteemi Amet võtta taotluses nimetatud digitaalse teenuse osutaja suhtes, kes osutab teenuseid või haldab süsteeme Eesti Vabariigi territooriumil, taotluse ulatuses asjakohaseid järelevalve- ja täitemeetmeid.”;
49) seadust täiendatakse 41. peatükiga järgmises sõnastuses:
„41. peatükk
Koostöö, teabevahetus ja vastastikune hindamine
§ 174. Riigi Infosüsteemi Ameti ja julgeolekuasutuse koostööülesanded
(1) Riigi Infosüsteemi Amet ja julgeolekuasutus teevad oma ülesannete täitmise käigus koostööd järgmiste asutuste ning kogukondadega:
1) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008 kohased riiklikud asutused;
2) Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 kohased järelevalveasutused;
3) Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1139, mis käsitleb tsiviillennunduse valdkonna ühisnorme ja millega luuakse Euroopa Liidu Lennundusohutusamet ning millega muudetakse Euroopa Parlamendi ja nõukogu määrusi (EÜ) nr 2111/2005, (EÜ) nr 1008/2008, (EL) nr 996/2010, (EL) nr 376/2014 ja Euroopa Parlamendi ja nõukogu direktiive 2014/30/EL ning 2014/53/EL ning tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrused (EÜ) nr 552/2004 ja (EÜ) nr 216/2008 ning nõukogu määrus (EMÜ) nr 3922/91 (ELT L 212, 22.08.2018, lk 1–122), kohased riiklikud asutused;
4) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 kohased pädevad asutused;
5) isikuandmete kaitse järelevalve asutused;
6) julgeolekuasutus;
7) muude Euroopa Liidu õigusaktide kohased pädevad asutused;
8) Tarbijakaitse ja Tehnilise Järelevalve Amet;
9) teenuseosutajate sektoripõhised või -vahelised kogukonnad, sealhulgas vahetatakse vajaduse korral nendega teavet, arvestades käesoleva seaduse §-s 175 sätestatud nõudeid;
10) õiguskaitseasutused isikuandmete kaitse seaduse tähenduses.
(2) Riigi Infosüsteemi Amet teeb igakülgset koostööd elutähtsat teenust korraldava asutuse või tema poolt hädaolukorra seaduse § 37 lõike 5 alusel määratud asutuse, Päästeameti ja Riigikantseleiga ning vahetab nendega teavet elutähtsa teenuse osutajaks määramise ja elutähtsa teenuse osutaja teatatud riskide, küberohtude, küberintsidentide ja olulise mõjuga küberintsidentide kohta ning elutähtsa teenuse osutajana käsitatavaid üliolulisi üksusi mõjutavate muude asjaomaste olukordade kui riskide, küberohtude ja küberintsidentide kohta ning selliste riskide, ohtude ja intsidentide lahendamiseks võetud meetmete kohta. Lisaks teavitab Riigi Infosüsteemi Amet nimetatud asutust, kui Riigi Infosüsteemi Amet rakendab riikliku või haldusjärelevalve käigus elutähtsa teenuse osutaja suhtes järelevalvemeedet. Sama asutus võib asjakohasel juhul taotleda Riigi Infosüsteemi Ametilt riikliku või haldusjärelevalve menetluses ette nähtud järelevalvemeetme rakendamist elutähtsa teenuse osutaja suhtes.
(3) Riigi Infosüsteemi Amet teavitab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 32 lõike 1 kohaselt asutatud järelevalvefoorumit, kui Riigi Infosüsteemi Amet rakendab riikliku järelevalve käigus järelevalvemeedet, et tagada käesoleva seaduse kohaldamisalasse kuuluva ja nimetatud määruse artikli 31 alusel kriitilise tähtsusega kolmandast isikust IKT-teenuse osutajaks määratud teenuseosutaja vastavus käesolevas seaduses või käesoleva seaduse alusel kehtestatud nõuetele.
(4) Riigi Infosüsteemi Amet ja käesoleva paragrahvi lõike 1 punktides 2, 4, 6 ja 8 nimetatud asutused vahetavad korrapäraselt asjakohast teavet, sealhulgas asjaomaste küberintsidentide ja küberohtude kohta.
(5) Riigi Infosüsteemi Amet täidab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8 lõike 1 alusel määratud pädeva asutusena sidepidamisfunktsiooni, et tagada Eesti ametiasutuste piiriülene koostöö küberturvalisuse valdkonnas teiste Euroopa Liidu liikmesriikide asjaomaste pädevate asutustega ning asjakohasel juhul ka Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ametiga.
(6) Teabe vahetamisel tagatakse edastatava teabe turvalisus ja asjakohasel juhul kasutatakse kokku lepitud teabevahetusprotokolle, sealhulgas valgusfoorprotokolli.
§ 175. Küberturvalisusalase teabevahetuse kokkulepped
(1) Teenuseosutajad ja muud isikud võivad omavahel vabatahtlikult vahetada asjakohast teavet küberturvalisuse kohta, sealhulgas teavet, mis on seotud küberohtude, turvahaavatavuse, meetodite ja menetluste, turvarikkemärkide, kahjulike taktikate, üksikute ohusubjektide ja küberturvalisuse hoiatustega ning soovitustega küberturvalisuse vahendite konfigureerimise kohta küberrünnete tuvastamiseks, kui selline teabevahetus:
1) toimub küberintsidentide ennetamise, tuvastamise, lahendamise või nende tagajärgede leevendamise eesmärgil või
2) aitab suurendada küberturvalisust, eelkõige suurendades teadlikkust küberohtudest ja piirates või takistades kõnealuste ohtude levikut ning toetades mitmesuguseid kaitsevõimalusi, turvahaavatavuse vähendamist ja avalikustamist, ohu tuvastamise, ohjamise ning ennetamise meetodeid, leevendusstrateegiaid, lahendamis- ja taastamisetappe ning avaliku ja erasektori üksuste koostöös toimuvat küberohtude uurimist.
(2) Käesoleva paragrahvi lõikes 1 nimetatud teabevahetus toimub küberturvalisusalase teabevahetuse kokkuleppe (edaspidi teabevahetuse kokkulepe) alusel. Teabevahetuse kokkuleppeid võib olla rohkem kui üks.
(3) Teabevahetuse kokkuleppes võib täpsustada teabevahetuse korraldusega seotud tegevuste sisu, sealhulgas sihtotstarbeliste info- ja kommunikatsioonitehnoloogia platvormide ja automatiseerimisvahendite kasutamist ning muud sisu ja tingimusi, arvestades jagatava teabe konfidentsiaalsust.
(4) Riigi Infosüsteemi Amet võib enda poolt teabevahetuse kokkuleppe alusel kättesaadavaks tehtud teabele seada tingimusi, kui teabevahetuse kokkuleppes osaleb keskvalitsuse avaliku halduse üksus või kohaliku omavalitsuse avaliku halduse üksus.
(5) Teenuseosutaja teavitab Riigi Infosüsteemi Ametit, kui teenuseosutaja on ühinenud teabevahetuse kokkuleppega või kui teabevahetuse kokkuleppest taganemine on jõustunud.
§ 176. Vastastikune hindamine
(1) Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 19 sätestatud vastastikuses hindamises (edaspidi vastastikune hindamine) osalemine on vabatahtlik.
(2) Vastastikuse hindamise käigus hoiavad osalevad küberturvalisuse valdkonna eksperdid kolmandate isikute eest saladuses neile vastastikuse hindamise käigus teatavaks saanud teavet, kui seadus ei sätesta samaväärset saladuses hoidmise kohustust.
(3) Riikliku küberturvalisuse valdkonna eest vastutav minister võib kehtestada määrusega vastastikuses hindamises osalemise täpsemad tingimused ja korra, sealhulgas vastastikuse hindamise korralduse nõuded, selles osalevate asutuste ülesanded ja vastastikuses hindamises osalevad isikud.”;
50) paragrahv 18 tunnistatakse kehtetuks;
51) seadust täiendatakse §-dega 182–185 järgmises sõnastuses:
„§ 182. Seaduse nõuete rikkumine üliolulise üksuse poolt
(1) Käesoleva seaduse § 7 lõikes 1, 2, 3, 5 või 7 või § 8 lõikes 1, 11, 41, 42, 43, 5, 7 või 81 sätestatud nõuete rikkumise eest üliolulise üksuse poolt, kui puudub käesoleva seaduse §-s 184 sätestatud väärteokoosseis, –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti üliolulise üksuse eelmise majandusaasta ülemaailmsest aastasest kogukäibest olenevalt sellest, kumb summa on suurem.
§ 183. Seaduse nõuete rikkumine olulise üksuse poolt
(1) Käesoleva seaduse § 7 lõikes 1, 2, 3, 5 või 7 või § 8 lõikes 1, 11, 41, 42, 43, 5, 7 või 81 sätestatud nõuete rikkumise eest olulise üksuse poolt, kui puudub käesoleva seaduse §-s 184 sätestatud väärteokoosseis, –
karistatakse rahatrahviga kuni 7 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 7 000 000 eurot või kuni 1,4 protsenti olulise üksuse eelmise majandusaasta ülemaailmsest aastasest kogukäibest olenevalt sellest, kumb summa on suurem.
§ 184. Seaduse nõuete rikkumine piiriüleste elektrivoogude valdkonna üksuse poolt
(1) Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 2 lõikes 1 nimetatud üksuse poolt samas määruses sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti üksuse eelmise majandusaasta ülemaailmsest aastasest kogukäibest olenevalt sellest, kumb summa on suurem.
§ 185. Seaduse nõuete rikkumine piiriüleste elektrivoogude valdkonna üksuse seadusliku esindaja poolt
(1) Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 15 lõike 1 alusel nimetatud seadusliku esindaja poolt samas määruses sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 32 000 eurot.”;
52) paragrahvi 19 lõiked 1 ja 2 muudetakse ning sõnastatakse järgmiselt:
„(1) Käesoleva seaduse §-des 182–185 sätestatud väärtegude kohtuväline menetleja on Riigi Infosüsteemi Amet.
(2) Kui käesoleva seaduse §-des 182–185 sätestatud väärtegu on seotud isikuandmete töötlemise nõuete rikkumisega, kohaldatakse väärteomenetluse puhul isikuandmete kaitse seadust.”;
53) paragrahvi 19 täiendatakse lõikega 4 järgmises sõnastuses:
„(4) Käesoleva seaduse §-des 182–184 sätestatud väärtegude aegumistähtaeg on kolm aastat.”;
54) paragrahv 20 muudetakse ja sõnastatakse järgmiselt:
„§ 20. Riigi Infosüsteemi Ameti ülesanded
(1) Riigi Infosüsteemi Amet koostab käesoleva seaduse § 31 lõikes 2 nimetatud nimekirja kuue kuu jooksul viidatud lõike jõustumisest arvates.
(2) Riigi Infosüsteemi Amet edastab käesoleva seaduse § 31 lõigetes 5–7 nimetatud teabe kuue kuu jooksul viidatud lõigete jõustumisest arvates.
(3) Riigi Infosüsteemi Amet edastab käesoleva seaduse § 12 lõike 41 kohase esimese koondaruande kolme kuu jooksul viidatud lõike jõustumisest arvates.”;
55) seadust täiendatakse §-ga 281 järgmises sõnastuses:
„§ 281. Teenuseosutaja tegevuse kooskõlla viimine käesoleva seadusega seoses Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 ülevõtmisega
(1) Teenuseosutaja, kes vastas enne käesoleva seaduse § 31 lõike 1 jõustumist käesolevas seaduses sätestatud teenuseosutaja tunnustele, täidab nimetatud lõikes sätestatud kohustuse kolme kuu jooksul viidatud lõike jõustumisest arvates.
(2) Digitaalse teenuse osutaja, kes vastas enne käesoleva seaduse § 4 lõike 7 jõustumist käesolevas seaduses sätestatud teenuseosutaja tunnustele, täidab käesoleva seaduse § 4 lõigetes 1 ja 10 sätestatud kohustused kolme kuu jooksul käesoleva seaduse § 4 lõike 7 jõustumisest arvates.
(3) Teenuseosutaja, sealhulgas digitaalse teenuse osutaja, kes vastas enne käesoleva seaduse § 31 lõike 1 jõustumist käesolevas seaduses sätestatud teenuseosutaja tunnustele, viib oma tegevuse käesoleva seaduse ja selle alusel kehtestatud nõuetega vastavusse kolme aasta jooksul viidatud lõike jõustumisest arvates. Käesoleva paragrahvi lõigetes 1 ja 2 sätestatud kohustuse täidab teenuseosutaja nimetatud lõigetes määratud tähtajal.
(4) Elutähtsa teenuse osutaja, kellel tekkis esmakordselt käesoleva seaduse järgimise kohustus pärast 2024. aasta 18. oktoobrit ja kes vastas enne käesoleva seaduse § 31 lõike 1 jõustumist käesolevas seaduses sätestatud teenuseosutaja tunnustele, viib oma tegevuse vastavusse käesoleva seaduse ja selle alusel kehtestatud nõuetega hädaolukorra seaduse § 38 lõike 13 punktis 3 sätestatud korras määratud tähtajal. Käesoleva paragrahvi lõigetes 1 ja 2 sätestatud kohustuse täidab elutähtsa teenuse osutaja nimetatud lõigetes määratud tähtajal.”;
56) seaduse normitehniline märkus muudetakse ja sõnastatakse järgmiselt:
„1 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152).”.
§ 2. E-identimise ja e-tehingute usaldusteenuste seaduse muutmine
E-identimise ja e-tehingute usaldusteenuste seaduse § 4 tunnistatakse kehtetuks.
§ 3. Eesti Rahvusringhäälingu seaduse muutmine
Eesti Rahvusringhäälingu seaduse § 5 lõige 21 ja § 34 lõige 41 tunnistatakse kehtetuks.
§ 4. Elektroonilise side seaduse muutmine
Elektroonilise side seaduse § 872, § 1003 lõige 3, § 1004 lõige 2, § 1005 lõige 2, § 133 lõige 5, § 1701 ja § 188 lõige 8 tunnistatakse kehtetuks.
§ 5. Hädaolukorra seaduse muutmine
Hädaolukorra seaduses tehakse järgmised muudatused:
1) paragrahvi 38 lõike 13 punkti 3 täiendatakse pärast tekstiosa „seaduse §-s 41” tekstiosaga „ning küberturvalisuse seaduses”;
2) paragrahvi 38 lõikes 14 asendatakse tekstiosa „§ 41 lõikes 1” tekstiosaga „küberturvalisuse seaduses”;
3) paragrahvi 41 lõige 1 tunnistatakse kehtetuks.
§ 6. Käibemaksuseaduse muutmine
Käibemaksuseaduse § 4 lõikes 12 asendatakse sõna „küberturvalisuse” sõnaga „tarbijakaitse”.
§ 7. Lennundusseaduse muutmine
Lennundusseaduses tehakse järgmised muudatused:
1) paragrahvi 5025 lõiked 1 ja 2 muudetakse ning sõnastatakse järgmiselt:
„(1) Maapealne teenindaja ja omakäitleja täidavad lennujaama haldaja kasutatava asjakohase võrgu- ja infosüsteemi turvalisuse tagamiseks küberturvalisuse seaduse nõudeid ulatuses, milles nende tegevus või tegevusetus mõjutab selle süsteemi turvalisust.
(2) Maapealne teenindaja ja omakäitleja teevad lennujaama haldajaga koostööd käesoleva paragrahvi lõikes 1 sätestatud süsteemi turvalisuse tagamisel.”;
2) paragrahv 591, § 601 lõige 5 ja § 6056 lõige 3 tunnistatakse kehtetuks.
§ 8. Raudteeseaduse muutmine
Raudteeseaduses tehakse järgmised muudatused:
1) paragrahv 8 ning § 143 lõike 1 punkt 6 ja lõige 8 tunnistatakse kehtetuks;
2) paragrahvi 148 tekstist jäetakse välja tekstiosa „, Riigi Infosüsteemide Amet”.
§ 9. Sadamaseaduse muutmine
Sadamaseaduse § 13 lõige 4 ja § 42 lõige 5 tunnistatakse kehtetuks.
§ 10. Tervishoiuteenuste korraldamise seaduse muutmine
Tervishoiuteenuste korraldamise seaduse § 10 lõige 2, § 17 lõige 12, § 22 lõige 42 ja § 60 lõige 2 tunnistatakse kehtetuks.
§ 11. Seaduse jõustumine
Käesolev seadus jõustub 2026. aasta 1. jaanuaril.
Lauri Hussar
Riigikogu esimees
Facebook
X.com