Küberturvalisuse seaduse muudatused peavad olema ettevõtjatele selged ja jõukohased
Koda esitas Riigikogu riigikaitsekomisjonile arvamuse küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu kohta, millega võetakse Eesti õigusesse üle Euroopa Liidu uus NIS2 direktiiv. Direktiivi eesmärk on tõsta kogu EL-is küberturvalisuse taset ja laiendada ettevõtete ringi, kes peavad küberohutuse nõudeid järgima. Eelnõu toob kaasa olulisi muudatusi, laiendades oluliselt nende ettevõtete ringi, kellel tuleb hakata täitma rangeid küberturvalisuse nõudeid. Koda rõhutas, et seadus peab olema ettevõtjatele lihtne ja arusaadav, nõuded proportsionaalsed ning riik peab tagama uutele subjektidele piisava toe.
Seaduse kohaldamisala laieneb
NIS2 direktiivi ülevõtmisega jagunevad küberturvalisuse seaduse kohaldamisalasse jäävad ettevõtted kaheks: üliolulised asutused ja olulised asutused. Need hõlmavad senisest palju laiemat hulka sektoreid, nagu näiteks lennuettevõtjad, raudteed, haiglad, aga ka näiteks teatud toidukäitlemise ettevõtteid, kes vastavad teatud suuruskriteeriumitele. Kaubanduskoda näeb suurt probleemi selles, et ettevõtjatel on praeguse eelnõu sõnastuse põhjal äärmiselt keeruline iseseisvalt hinnata, kas neile kohalduvad küberturvalisuse seaduse nõuded või mitte.
Koda tõi oma arvamuses välja, et subjektide kindlakstegemine eeldab hetkel mitmetasandiliste kriteeriumide arvestamist ja teiste EL-i õigusaktide tundmist. Kui seaduse kohaldumisala mõistmine eeldab iga kord õigusspetsialisti abi, ei ole see praktikas toimiv ega õiglane. Seadus peab olema lihtne ja selge. Palusime eelnõud muuta selles osas selgemaks ning ministeeriumil koostöös Riigi Infosüsteemide Ametiga koostada lihtsad ja selged juhised, et ettevõtted saaksid ise aru, kas seadus neile kohaldub ja millised kohustused neile laienevad.
Nõudeid tuleks rakendada seal, kus risk on suurim
Eelnõu lähtub NIS2 direktiivis sätestatud organisatsioonipõhisest lähenemisest, mis tähendab, et kui ettevõte osutab vähemalt üht direktiivis loetletud teenust (nt väikesemahulist pilveteenust kõrvaltegevusena), peab ta küberturbemeetmeid rakendama kogu oma tegevuses. Koda leidis, et selline lähenemine võib tekitada ebaproportsionaalset halduskoormust, kui küberturvalisuse seaduse nõuded laienevad ka ettevõtte tegevustele, millel puudub sisuline seos küberriskiga. See tähendab, et turvameetmete rakendamine tuleb siduda eelkõige selle teenusega, mille osutamise tõttu ettevõte küberturvalisuse seaduse alla kuulub, võimaldades ettevõtetel keskenduda kriitiliste süsteemide kaitsele. Tõime välja, et see tagaks riskipõhise ja mõistliku rakendamise.
Vaja on korraliku mõjuanalüüsi ja riigipoolset toetust
Koda tunneb muret, et eelnõu mõjuanalüüs on puudulik. Seal ei sisaldu sisulist hinnangut selle kohta, milliseid kulutusi ja koormusi uued küberturvalisuse seaduse nõuded, mis tähendavad märkimisväärseid investeeringuid IT-taristusse, intsidentide haldamise võimekuse loomist ja töötajate koolitamist, ettevõtetele kaasa toovad. Eriti oluline on see nende ettevõtete puhul, kellele varem küberturvalisuse seaduse nõuded ei kohaldunud.
Lisaks majandusliku mõju analüüsile rõhutasime, et toetusmeetmete kättesaadavuse tähtsust. Kuigi ministeerium kavandab uut toetusmeedet, puudub selle kohta hetkel ametlik kinnitus koos ajakava ja tingimustega. Tõime välja, et muudatuste vastuvõtmist peab olema välja töötatud ja kooskõlastusringil ka vastav toetusmeetme eelnõu.
Trahvid peavad olema proportsionaalsed
Eelnõu järgi võib seaduse rikkumise eest määrata trahvi kuni kümme miljonit eurot või 2% ettevõtte käibest. Kaubanduskoja hinnangul on sellised summad Eesti ettevõtete jaoks ebarealistlikult suured ja ei arvesta kohaliku majanduse eripära. Tegime ettepaneku, et trahvimäärasid tuleks leevendada ja seaduse jõustumise esimestel aastatel keskenduda nõustamisele ja abistamisele, mitte karistamisele.
Ettevõtjad vajavad selgeid juhiseid ja teavitusi
Lisaks nõuete sisulisele selgusele peab Koda oluliseks, et riik valmistaks ette ühtsed ja arusaadavad juhised koos ajajoonega. See peab selgelt näitama, millal erinevad nõuded ja kohustused jõustuvad ning kuidas toimub üleminek kolme aasta jooksul. See toetaks ettevõtjaid üleminekuperioodi planeerimisel. Samuti võiks Riigi Infosüsteemi Amet ettevõtteid aktiivselt teavitada, kui nad võivad olla seaduse subjektid – see aitaks vältida teadmatuse tõttu tekkivaid rikkumisi ja tagaks kiirema seaduse kohaldamise.
Eelnõu kohaselt jõustuvad muudatused 1. jaanuaril 2026. Eelnõu menetlusega Riigikogus saab tutvuda SIIN.