Mida arvad sellest, et osadele teenuseosutajatele kaob kohustus rakendada infoturbestandardit?

Mis on plaanitavate muudatuste eesmärk?
Plaanitavate muudatuste eesmärk on muuta infoturbestandardi rakendamise kohustus proportsionaalsemaks ning vähendada nende ettevõtjate halduskoormust, kelle tegevus ei kuulu küberturvalisuse seaduse reguleerimisalasse.

Keda mõjutab?

• teenuseosutajaid, kes osutavad teenuseid riigi infosüsteemide või riigi andmekogudega seotud infosüsteemidele;
• ettevõtjaid ja organisatsioone, kes kuuluvad küberturvalisuse seaduse reguleerimisalasse;
• teenuseosutajaid, kellele on seni kehtinud infoturbestandardi rakendamise kohustus.

Mis on olulisemad plaanitavad muudatused?

• Eelnõu kohaselt piiratakse infoturbestandardi rakendamise kohustus edaspidi vaid nende teenuseosutajatega, kes kuuluvad küberturvalisuse seaduse reguleerimisalasse (eelnõu § 2 p 3). Kehtiva korra kohaselt võib infoturbestandardi rakendamise kohustus laieneda ka sellistele teenuseosutajatele, kes pakuvad teenuseid riigi infosüsteemidele või andmekogudele, kuid kes ise ei kuulu küberturvalisuse seaduse kohaldamisalasse. Muudatuse tulemusel kaob selliste teenuseosutajate kohustus rakendada infoturbestandardit .
• Plaanitavate muudatuste kohaselt saavad teenuseosutajad, kes jäävad KüTS reguleerimisalast välja, vabalt valida oma riskiprofiilile vastavad turvameetmed ega pea järgima riiklikku E-ITS standardit (eelnõu § 2 p 4). Hetkel on kohustuslik järgida ranget Eesti infoturbestandardit (E-ITS) või sellega samaväärset (nt ISO 27001), mis nõuab spetsiifilist ja mahukat dokumentatsiooni.
• Kehtiva määruse kohaselt kaardistab teenuseosutaja süsteemid ja nendega seotud teenused või protsessid ning dokumenteerib süsteemile rakendatavaid turvameetmeid ja riskianalüüsi. Plaanitavate muudatustega täpsustatakse riskianalüüsi sisu. Edaspidi peab riskianalüüs sisaldama vähemalt süsteemi turvalisust ja toimepidevust mõjutavate ning küberintsidenti põhjustavate riskide loetelu ning selles tuleb kindlaks määrata riskide realiseerumise tagajärgede raskusaste ja kirjeldada riskijuhtimismeetmeid (eelnõu § 2 p 8).

Millal jõustuvad muudatused?
Määrus jõustub 1. aprillil 2026.

Anna teada, mida arvad plaanitavatest muudatustest. Tagasisidet ootan hiljemalt 1. aprilliks e-posti aadressile ireen@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille saadan justiits- ja digiministeeriumile.