Avaleht > Artiklid > EU direktiiv NIS2 – juriidilised küsimused ja soovitused – kohustused ja vastutus

EU direktiiv NIS2 – juriidilised küsimused ja soovitused – kohustused ja vastutus

11.03.2025

Erki Markus

Küberturbe ja võrgu müügijuht

Mis on NIS2?

NIS2 (Network and Information Security Directive 2) on Euroopa Liidu direktiiv, mis seab kõrge ühise küberjulgeoleku taseme EL’i liikmesriikidele ja neis tegutsevatele kriitilistele ning olulistele üksustele/ettevõtetele. Selle eesmärk on parandada liikmesriikide küberturvalisust, kehtestades ühtse miinimumstandardi infosüteemide ja võrkude turvalisusele.

NIS2 direktiivi kohta loe meie blogi artiklist >

Juriidilised küsimused ja soovitused

Soovitusi ja selgitusi jagab advokaadibüroo TRINITI advokaat Kristena Kutti.

Kristena-Kutti

NIS2 direktiiv seab elutähtsate ja oluliste üksuste juhtorganitele kaks kohustust (artikkel 20).

1. Küberturvalisuse riskijuhtimismeetmete heakskiitmise ja rakendamise jälgimise kohustus

Juhtorganil tuleb heaks kiita küberturvalisuse riskijuhtimismeetmed ja jälgida nende rakendamist.
Riskijuhtimismeetmed on lühidalt öeldes kogu organisatsiooni tegevuses kasutatavaid võrgu- ja infosüsteemide turvalisust ohustavaid riske hõlmav raamistik. Riskijuhtimise raamistikuga püütakse kaitsta võrgu- ja infosüsteeme intsidentide eest ja ennetada või minimeerida intsidentide mõju teenuste saajatele ja muudele teenustele.
Kuivõrd küberturve organisatsioonis on pidevas muutumises, mistõttu tuleb riskijuhtimismeetmete rakendamist ka pidevalt jälgida. Seetõttu on oluline luua organisatsioonis küberturvalisuse rakendamise jälgimiseks nii sisemised protseduurid kui ka jälgimist dokumenteerida.

2. Küberturvalisuse alaste koolituste läbimise ja personali koolitamise kohustus

Juhtorgan peab läbima korrapäraselt küberturvalisuse teemalisi erikoolitusi. Samuti tuleb tagada, et sarnaseid koolitusi saavad ka organisatsiooni töötajad või ametnikud.
Koolituste eesmärgiks on piisavate teadmiste ja oskuste omandamine, et mõista ja hinnata küberturvalisuse riske, nendest tulenevat mõju osutatavatele teenustele ning viise riskide käsitlemiseks.
Eestis hetkel veel menetluses oleva küberturvalisuse seaduse muutmisega täpsustub koolituste sisu ning ilmselt ka oodatav regulaarsus nende läbimiseks.

Millal kohustused ja sellega kaasnev vastutus jõustuvad?

NIS2 direktiiv võetakse Eestis üle küberturvalisuse seadusesse. Eelnõud alles menetletakse ning millal täpselt seadusemuudatus jõustub, ei ole praeguse seisuga veel teada.

Kuivõrd direktiiv jätab teatud küsimustes liikmesriikidele paindlikkuse, võivad küberturvalisuse seaduse nõuded veel täpsustada või muutuda.

Kes teostab järelevalvet nõuete täitmise eest?

Järelevalvet küberturvalisuse seaduse täitmise üle teostab Riigi Infosüsteemi Amet (RIA). RIA teostab riiklikku- ja haldusjärelevalvet. Vajadusel viib läbi ka väärteomenetlusi.

Haldusjärelevalve raames on RIA-l laialdased õigused. Elutähtsate üksuste puhul on volitused laiemad kui oluliste üksuste puhul – seega volituste loetelu on olenevalt üksuse liigist erinev.

Nii elutähtsad kui ka olulised üksused peavad arvestama, et RIA-l on järelevalve teostamise raames õigus muu hulgas näiteks:

  • viia läbi kohapealseid kontrolle
  • teha turvaauditeid
  • küsida välja teavet ja dokumentatsiooni
  • nõuda kohustuste täitmise tõendamist
  • teha ettekirjutusi nõudmaks üksuse tegevuse viimist nõuetega kooskõlla

Järelevalveasutuse nõudmiste eiramine võib kaasa tuua tõsised tagajärjed

Kui esmased meetmed tulemust ei anna, võib järelevalveasutus elutähtsate üksuste puhul:

  • Sertifikaadi- või loakohustuslike üksuste sertifikaadi või loa ajutiselt peatada (või nõuda, et sertifikaati või luba väljastav organ või kohus selle peataks).
  • Elutähtsa üksuse tegevjuhi või seadusliku esindajana juhtimisülesandeid täitva füüsilise isiku ajutine juhtimisülesannete täitmise keelata.

Viimati mainitud võimalus keelata juriidilise isiku tegevjuhi või seadusliku esindaja juhtimisülesannete täitmine on Eesti õiguses seni üsnagi enneolematu ja ehmatav. Kuidas RIA-le antud volitust hakatakse praktikas ellu viima, selgitatakse ilmselt küberturvalisuse seaduse menetlemise käigus.

Millised on sanktsioonid nõuete rikkumise eest?

Kuigi NIS2 direktiiv näeb ette haldustrahvide kehtestamise, siis sellist instituuti Eesti õiguses olemas ei ole. Sarnaselt GDPR-i raamistikule viiakse ka NIS2 direktiiviga ette nähtud haldustrahvi määramise menetlus läbi väärteomenetluses. See tähendab, et küberturvalisuse seaduses kehtestatakse väärteokoosseisud.

Rikkumise eest üksusele ette nähtud trahvimäärad sõltuvad sellest, kas tegemist on elutähtsa või olulise üksusega. Lisaks eristatakse seda, kas elutähtsa või olulise üksuse näol on tegemist füüsilise või juriidilise isikuga. Ehk et võimalik on ka füüsilise isiku vastutus küberturvalisuse seaduse nõuete rikkumise eest, kui füüsiline isik on elutähtsa või olulise teenuse osutajaks.

Küberturvalisuse seadusega on planeeritud kehtestada väärteokoosseisud, mis näevad üldjoontes ette järgmised rahatrahvid:

  • Elutähtis üksus
    • Rahatrahv kuni 10MEUR – füüsiline isik
    • Rahatrahv kuni 10MEUR või kuni 2% ülemaailmsest aastasest kogukäibest (kõrgem kahest) – juriidiline isik
  • Oluline üksus
    • Rahatrahv kuni 7MEUR – füüsiline isik
    • Rahatrahv kuni 7MEUR või kuni 1,4% ülemaailmsest aastasest kogukäibest (kõrgem kahest) – juriidiline isik
  • Juhtorgan või juhtorgani liige
    • Rahatrahv kuni 300 trahviühikut. Alates 2025. a on trahviühiku suuruseks 8EUR, seega rahatrahv kuni 2400EUR.

Tegemist on rahatrahvide ülemmääradega. Rahatrahvi määramisel lähtutakse sellest, et rahatrahv oleks proportsionaalne, mõjus ja heidutav. Samuti tuleb arvesse võtta iga üksikjuhtumi asjaolusid. Näiteks rikkumise raskust ja rikutud sätete olulisust, rikkumise kestust, varasemaid rikkumisi ning rikkumise toimepanija tahtlust või hooletust.

Mida tähendab juriidilise isiku tegevjuhi või seadusliku esindaja isiklik vastutus?

Kui elutähtis ja oluline üksus vastutavad sisuliselt kõigi seaduse nõuete rikkumise eest, siis juhtorgan või juhtorgani liige vastutab üksnes juhtorgani liikme kohustuste rikkumise eest. Meenutuseks ülal toodust – juhtorgani liikme kohustuseks on küberturvalisuse riskijuhtimismeetmete heakskiitmine ja rakendamise jälgimine ning küberturvalisuse alaste koolituste läbimise ja personali koolitamine.

Kuigi juhatuse liikme isiklik vastutus võib arusaadavalt ettevõtjatele hirmutavalt kõlada ja EL poolt pidev regulatsioonide lisandumine peavalu tekitada, on küberturvalisuse nõuded ellu kutsutud selleks, et muuta kogu ühiskonna jaoks elutähtsad ja olulised teenused turvalisemaks ja vastupidavamaks.

Mida soovitada, et sanktsioone ei tuleks?

Tõsi on, et NIS2 direktiiv paneb ettevõtjatele üsna kõrge dokumentatsioonikoormuse. Õigusnõustajatena näeme, et nõuetele vastava dokumentatsiooni loomine ja korrashoid aitab kaasa õigusakti nõuete täitmisele.

Kuivõrd NIS2 direktiivi näol on tegemist õigusaktiga, mis nõuab nii IT-spetsiifilisi kui ka õigusalaseid teadmisi, siis on parim viis organisatsiooni küberturvalisusega tegelemiseks kaasata nii professionaalne IT-teenuse pakkuja kui ka õigusnõustajad. Sünergias sünnivad lahendused, mis vastavad nii tänapäevastele tehnilistele standarditele kui ka katavad õigusaktide spetsiifilisi nõudeid.

Kuidas olla vastav NIS2 direktiivile ja vastavuse saavutamise sammudest loe siit >

NIS2 vastavushindamise teenus

Loe rohkem ja küsi pakkumist

* OTO – Oluliste teenuste osutajad (Oluline üksus):
• teadusuuringud
• digiteenuste pakkumine
• tootmine
• toidu tootmine, töötlemine ja levitamine
• jäätmekäitlus
• kemikaalide tootmine, valmistamine ja levitamine
• posti- ja kullerteenused

** ETO – Elutähtsa teenuse osutajad (Elutähtis üksus):
• energia
• transport
• pangandus
• finantsturu infrastruktuurid
• tervishoid
• joogivesi
• reovesi
• digitaalne infrastruktuur
• IKT teenuse juhtimine (ärilt-ärile)
• avalik haldus
• kosmos