Text size:

The description and requirements for ensuring the continuity of digital identification and digital signing as a vital service

Back to wordings

Issuer:Minister of Entrepreneurship and Information Technology
Type:regulation
In force from:18.01.2019
In force until: In force
Translation published:10.10.2019

The Regulation is established under subsection 37 (2) of the Emergency Act.

§ 1.  Description of the vital service

  Digital identification and digital signing as a vital service (hereinafter vital service) means the ensuring of the availability of the validity confirmation service for certificates by the certification service provider (hereinafter service provider) specified in subsection 94 (31) of the Identity Documents Act in order for the identification of a person, the verification of their identity and the digital signing in an electronic environment with the documents issued pursuant to the Identity Documents Act.

§ 2.  Requirements for the level of the vital service and the time permitted for an interruption

 (1) The service provider is required to ensure the continuity of the vital service for at least 361 calendar days per year.

 (2) The time permitted for an interruption of the vital service is a maximum of 45 minutes per working day between 9:00 a.m. and 6:00 p.m. and a maximum of 3 consecutive hours outside of working hours. The total duration of permitted interruptions shall ensure the continuity of the service on the level provided in subsection 2 (1).

 (3) In the event of an interruption of the vital service, the service provider shall act in accordance with the procedure for the restoration of the vital service as described in the continuity plan of the vital service specified in subsection 39 (1) of the Emergency Act.

§ 3.  Requirements for the prevention of interruptions of the vital service

 (1) In order to ensure the functioning and prevent interruptions of the vital service, the service provider shall take into account at least the following threats upon the preparation of the continuity risk analysis and plan referred to in subsection 39 (1) of the Emergency Act:
 1) interruption to the data communication service;
 2) electricity interruption;
 3) malevolent activity directed against the network and information system;
 4) serious technical failures.

 (2) In order to ensure the continuity of the vital service, the service provider shall apply at least the following measures:
 1) ensure the availability of an autonomous electricity supply system which guarantees the supply of electricity for at least 24 hours;
 2) ensure data communication which does not rely on a single cable route and a single provider of a data communication service.

§ 4.  Emergency caused by an interruption to the vital service

  An emergency caused by an extensive interruption of the vital service or an interruption of the vital service with severe consequences occurs if at least one of the following conditions is met:
 1) due to the interruption of the vital service, at least 200 000 users are unable to use the digital identification or digital signing service for a period exceeding 72 hours;
 2) the interruption leads to another emergency caused by an interruption of a service specified under section 36 of the Emergency Act.

§ 5.  The organisation of reporting of an emergency or a risk thereof

 (1) The service provider shall immediately inform the Information System Authority of an interruption to the vital service, a risk of an interruption, any event significantly interfering with the continuity of the vital service or an impending risk of such an event in a form which can be reproduced in writing.

 (2) If it is not reasonably possible to comply with the formal requirement specified in subsection (1) of this section due to the time-dependency of the situation, the service provider shall notify the Information System Authority in whatever manner possible, but shall thereafter and no later than within 24 hours send a notice in a form which allows reproduction in writing.

 (3) The notice must contain at least the following information about the interference or interruption:
 1) time and estimated duration;
 2) initial evaluation whether the interruption or interference was caused by human error, system failure, natural disaster, malevolent activity or an error by a third party;
 3) description of the cause;
 4) initial evaluation of the impact on the integrity, availability and confidentiality of the service;
 5) the measures applied and to be applied to eliminate the interference or interruption and mitigate the adverse impact;
 6) initial evaluation of the impact on a user of the service;
 7) initial evaluation of the impact on the continuity of other vital services;
 8) initial evaluation of the cross-border impact.

 (4) At the request of the Information System Authority, the service provider shall, not later than within 10 calendar days, submit to the Information System Authority a report on the interference or interruption, which contains at least the following information:
 1) date and time of the beginning and end of the interference or interruption;
 2) number of affected users, and the services and information systems affected;
 3) cross-border impact of the interference or interruption;
 4) explanation of whether the interference or interruption was caused by human error, system failure, natural disaster, malevolent activity or an error by a third party;
 5) date, time and manner of discovery of the reason for the interference or interruption;
 6) description of the reason and chronology of the interruption;
 7) impact on the integrity, availability and confidentiality of the service;
 8) the measures applied;
 9) overview of the current and planned communication to institutions, users and the public.

§ 6.  Entry into force

  Clause 3 (2) 2) of the regulation shall enter into force on 1 January 2020.

Väljaandja:Ettevõtlus- ja infotehnoloogiaminister
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:18.01.2019
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge:RT I, 15.01.2019, 11

Määrus kehtestatakse hädaolukorra seaduse § 37 lõike 2 alusel.

§ 1.  Elutähtsa teenuse kirjeldus

  Elektrooniline isikutuvastamine ja digitaalne allkirjastamine kui elutähtis teenus (edaspidi elutähtis teenus) on isikut tõendavate dokumentide seaduse alusel välja antud dokumentidega elektroonilises keskkonnas isiku tõendamiseks, isikusamasuse kontrollimiseks ja digitaalallkirja andmiseks vajalike sertifikaatide kehtivusinfo kättesaadavuse tagamine isikut tõendavate dokumentide seaduse § 94 lõikes 31 nimetatud sertifitseerimisteenuse osutaja (edaspidi teenuseosutaja) poolt.

§ 2.  Nõuded elutähtsa teenuse tasemele ja lubatud katkestuse aeg

  (1) Teenuseosutaja tagab elutähtsa teenuse toimimise aastas vähemalt 361 kalendripäeval.

  (2) Elutähtsa teenuse lubatud katkestuste aeg on kokku maksimaalselt 45 minutit tööpäeval ajavahemikus kell 9:00–18:00 ja tööpäeva väliselt maksimaalselt 3 järjestikust tundi. Lubatud katkestuste summeeritud kestus peab kindlustama teenuse toimimise lõikes 1 sätestatud tasemel.

  (3) Elutähtsa teenuse katkestuse korral lähtub teenuseosutaja hädaolukorra seaduse § 39 lõikes 1 nimetatud toimepidevuse plaanis kirjeldatud teenuse taastamise korrast.

§ 3.  Nõuded elutähtsa teenuse katkestuse ennetamiseks

  (1) Elutähtsa teenuse toimimise tagamiseks ja katkestuse ennetamiseks peab teenuseosutaja hädaolukorra seaduse § 39 lõikes 1 nimetatud toimepidevuse riskianalüüsi ja plaani koostamisel arvestama vähemalt järgmiste ohtudega:
  1) andmesideteenuse katkestus;
  2) elektrikatkestus;
  3) võrgu- ja infosüsteemi vastu suunatud pahatahtlik tegevus;
  4) olulised tehnilised rikked.

  (2) Elutähtsa teenuse toimepidevuse tagamiseks peab teenuseosutaja rakendama vähemalt järgmiseid meetmeid:
  1) tagama autonoomse elektritoitesüsteemi olemasolu, mis kindlustab elektritoite vähemalt 24 tunniks;
  2) tagama ühest kaablitrassist ja andmesideteenuse osutajast sõltumatu andmesideühenduse.

§ 4.  Elutähtsa teenuse katkestusest põhjustatud hädaolukord

  Elutähtsa teenuse ulatuslikust või raskete tagajärgedega katkestusest põhjustatud hädaolukord esineb juhul, kui on täidetud vähemalt üks järgmistest tingimustest:
  1) elutähtsa teenuse katkestuse tõttu ei ole vähemalt 200 000 kasutajal enam kui 72 tunni vältel võimalik kasutada elektroonilise isikutuvastamise või digitaalse allkirjastamise teenust;
  2) katkestus toob kaasa muu hädaolukorra seaduse §-s 36 nimetatud teenuse katkestusest põhjustatud hädaolukorra.

§ 5.  Hädaolukorrast või selle ohust teavitamise korraldus

  (1) Teenuseosutaja teavitab viivitamata elutähtsa teenuse katkestusest, katkestuse ohust, elutähtsa teenuse toimepidavust oluliselt häirivast sündmusest või sellise sündmuse toimumise vahetust ohust Riigi Infosüsteemi Ametit kirjalikku taasesitamist võimaldavas vormis.

  (2) Kui käesoleva paragrahvi lõikes 1 nimetatud vorminõude järgimine ei ole olukorra ajakriitilisuse tõttu mõistlikult võimalik, teavitab teenuseosutaja Riigi Infosüsteemi Ametit mistahes viisil, kuid edastab kirjalikku taasesitamist võimaldavas vormis teavituse seejärel hiljemalt 24 tunni jooksul.

  (3) Teavitus sisaldab häire või katkestuse kohta vähemalt järgmist teavet:
  1) toimumise aeg ja hinnanguline kestus;
  2) esialgne hinnang, kas katkestuse või häire põhjustas inimviga, süsteemi tõrge, loodusõnnetus, pahaloomuline tegevus või kolmanda osapoole viga;
  3) põhjuse kirjeldus;
  4) esialgne hinnang mõju kohta teenuse terviklusele, käideldavusele ja konfidentsiaalsusele;
  5) häire või katkestuse likvideerimiseks ning kahjuliku mõju vähendamiseks rakendatud ja rakendatavad meetmed;
  6) esialgne hinnang mõju kohta teenuse kasutajale;
  7) esialgne hinnang mõju kohta teiste elutähtsate teenuste toimepidevusele;
  8) esialgne hinnang piiriülese mõju kohta.

  (4) Riigi Infosüsteemi Ameti nõudel esitab teenuseosutaja hiljemalt 10 kalendripäeva jooksul Riigi Infosüsteemi Ametile häire või katkestuse kohta raporti, mis sisaldab vähemalt järgmist teavet:
  1) häire või katkestuse alguse ja lõpu kuupäev ning kellaaeg;
  2) mõjutatud kasutajate arv ning teenused ja infosüsteemid;
  3) häire või katkestuse piiriülene mõju;
  4) selgitus, kas häire või katkestuse põhjustas inimviga, süsteemi tõrge, loodusõnnetus, pahaloomuline tegevus või kolmanda osapoole viga;
  5) häire või katkestuse põhjuse avastamise kuupäev, kellaaeg ja viis;
  6) põhjuse kirjeldus ja katkestuse kronoloogia;
  7) mõju teenuse terviklusele, käideldavusele ja konfidentsiaalsusele;
  8) rakendatud abinõud;
  9) ülevaade senisest ja planeeritud kommunikatsioonist asutustele, kasutajatele ja avalikkusele.

§ 6.  Määruse jõustumine

  Määruse § 3 lõike 2 punkt 2 jõustub 2020. aasta 1. jaanuaril.

https://www.riigiteataja.ee/otsingu_soovitused.json