Küberturvalisuse seaduse muudatused toovad paljudele ettevõtetele uusi kohustusi

Alates 1. jaanuarist 2026 hakkab Eestis kehtima uus küberturvalisuse seadus, millega viiakse Eesti õigus kooskõlla Euroopa Liidu NIS2 direktiiviga. Seadus laiendab oluliselt ettevõtete ringi, kellele kehtivad küberturvalisuse nõuded, ning muudab ka juba täna kohustatud ettevõtete kohustusi.

Kellele nõuded kehtivad?
Küberturvalisuse seaduse muudatused puudutavad ettevõtteid, kes pakuvad üliolulisi või olulisi teenuseid.

Üliolulisteks üksusteks loetakse eelkõige ettevõtteid ja organisatsioone, mille teenuste katkemine mõjutaks oluliselt ühiskonna toimimist, näiteks energia- ja transpordisektoris. Mõned ettevõtted on seaduse järgi üliolulised sõltumata oma suurusest. Nende hulka kuuluvad näiteks elutähtsa teenuse osutajad, domeeninimede süsteemi teenuse pakkujad ning kriitilise tähtsusega side-, mereraadioside- ja operatiivraadiosidevõrkude teenuse osutajad. Teised ülioluliste teenuste osutajad kuuluvad seaduse alla juhul, kui nad vastavad kindlatele suuruskriteeriumitele. Üldjuhul loetakse ettevõte ülioluliseks, kui tal on vähemalt 250 töötajat, aastakäive vähemalt 50 miljonit eurot või bilansimaht vähemalt 43 miljonit eurot. Sellisteks ettevõteteks võivad olla näiteks gaasiettevõtjad, elektri jaotusvõrguettevõtjad, haldus- ja infoturbeteenuse osutajad, andmekeskusteenuse osutajad ja lennuettevõtjad.

Olulisteks üksusteks loetakse seaduse järgi näiteks perearstiabi osutajad, kes ei ole elutähtsa teenuse osutajad. Samuti kuuluvad oluliste üksuste hulka ka keskmise suurusega ettevõtted, kellel on vähemalt 50 töötajat ning kelle aastakäive või bilansimaht ületab 10 miljonit eurot, kui nad tegutsevad kindlates sektorites. Nende hulka kuuluvad näiteks jäätmekäitlusettevõtted, keemia- ja kemikaalitootjad, toiduainete hulgimüügi ja tööstusliku tootmisega tegelevad ettevõtted, meditsiiniseadmete tootjad, mitmed tööstusettevõtted, internetipõhiste kauplemiskohtade pidajad, postiteenuse ja kullerteenuse osutajad, sotsiaalmeediaplatvormide ja veebipõhiste otsingumootorite pakkujad.

Alates 2026. aastast hõlmavad need rühmad senisest palju laiemat hulka sektoreid kui varem. Nende Eesti ettevõtete arv, kes peavad küberturvalisuse nõudeid järgima, kasvas 2026. aastast umbes 3000 võrra.

Millised kohustused tekivad?
Uue küberturvalisuse seaduse järgi peavad ettevõtted regulaarselt hindama, millised küberohud võivad nende tegevust mõjutada, ning võtma kasutusele meetmed nende riskide vähendamiseks. See tähendab näiteks oluliste infosüsteemide ja protsesside kaardistamist ning selgete turvareeglite kehtestamist. Lisaks tuleb tagada, et ka teenusepakkujad ja tarneahel järgiksid turvanõudeid. Lisaks muutub turvameetmete rakendamise loogika, sest kui seniste nõuete kohaselt tuli neid meetmeid üldjuhul erasektoris rakendada konkreetse teenuse (tegevuse) suhtes, siis edaspidi tuleb neid meetmeid rakendada subjekti kogu organisatsiooni suhtes.

Üks olulisemaid muudatusi on see, et küberturvalisuse eest vastutab ettevõtte juhtkond ehk see ei ole enam vaid IT-osakonna küsimus. Juhtkond on kohustatud tegema järelevalvet ning heaks kiitma ettevõttega seotud küberturvalisuse meetmeid, sealhulgas olles ise teadlik ja koolitatud küberriskidest. Samuti tuleb teavitada olulistest küberintsidentidest riiklikku järelevalveasutust ja pidada dokumentatsiooni, mis tõendab meetmete rakendamist.

Seaduse nõuete rikkumise eest saab üliolulisele üksusele määrata trahvi kuni 10 miljonit eurot või 2% ettevõtte käibest ning olulisele üksusele kuni 7 miljonit eurot või 1,4% eelmise aasta kogukäibest.

Üleminekuperiood võimaldab ette valmistuda
Kuigi seadus jõustub ametlikult 1. jaanuaril 2026, on ettevõtetele antud ka kolmeaastane üleminekuperiood, et oma tegevus uute nõuetega vastavusse viia. Üleminekuperiood annab aega oma infosüsteemide ja protsesside ülevaatuseks, riskide hindamiseks ja vajalike turvameetmete rakendamiseks. Samuti on see aeg, et kaasata juhtkond ja kehtestada selge küberturvalisuse juhtimise kord. Lisaks peavad nii uued kui ka olemasolevad seaduse subjektid teatama Riigi Infosüsteemi Ametile oma tegevusandmed kolme kuu jooksul. Erand on ette nähtud aga elutähtsa teenuse osutajatele, kes peavad lähtuma hädaolukorra seaduses sätestatud viieaastasest tähtajast alates elutähtsa teenuse osutajaks määramisest.