1. Uudised
  2. Riigikogu võttis vastu küberturvalisuse seaduse muudatused
11.12.2025

Riigikogu võttis vastu küberturvalisuse seaduse muudatused

Riigikogu võttis vastu küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu, millega võetakse Eesti õigusesse üle Euroopa Liidu uus NIS2 direktiiv. Direktiivi eesmärk on tõsta kogu EL-is küberturvalisuse taset ja laiendada ettevõtete ringi, kes peavad küberohutuse nõudeid järgima. Muudatused laiendavad oluliselt nende ettevõtete ringi, kellel tuleb hakata täitma rangeid küberturvalisuse nõudeid. 

Seaduse kohaldamisala laieneb
NIS2-direktiivi ülevõtmisega jagunevad küberturvalisuse seaduse kohaldamisalasse jäävad ettevõtted kaheks: üliolulised asutused ja olulised asutused. Need hõlmavad senisest palju laiemat hulka sektoreid, näiteks lennuettevõtjaid, raudteesektorit ja haiglaid, aga ka teatud toidukäitlemisettevõtteid, kes vastavad kindlatele suuruskriteeriumidele. NIS2-direktiivi ülevõtmine suurendab küberturvalisuse nõuete järgijate hulka Eestis ligikaudu 3000 võrra ja kokku kasvab nõuete järgijate hulk kuni 6500ni. Seega peavad uued ja juba olemasolevad küberturvalisuse seaduse subjektid tegelema küberturvalisuse tagamisega, rakendades turvameetmeid ning teavitades olulise mõjuga küberintsidendi korral sellest järelevalveasutust.

Lisaks muutub turvameetmete rakendamise loogika. Kui varasemate nõuete kohaselt tuli neid meetmeid erasektoris üldjuhul rakendada konkreetse teenuse (tegevuse) suhtes, siis muudatused näevad ette, et edaspidi tuleb neid meetmeid rakendada subjekti kogu organisatsiooni suhtes.

Üleminekuaeg kõikidele subjektidele
Tänu Koja ettepanekule on nii uutele kui ka juba olemasolevatele küberturvalisuse seaduse subjektidele ette nähtud kolme aastane üleminekuperiood, mille jooksul peavad nad oma tegevuse uute nõuetega kooskõlla viima ning neid rakendama hakkama. Algse eelnõu versiooni kohaselt oli üleminekuperioodi ainult uutele küberturvalisuse seaduse subjektidele ja elutähtsa teenuse osutajatele ning ülemineku perioodi ei olnud sätestatud nendele ettevõtetele, kes on juba praegu küberturvalisuse seaduse subjektid. 

Muudatused jõustuvad 1. jaanuaril 2026. Eelnõu menetlusega Riigikogus saab tutvuda SIIN.

0