Avaleht > Uudised > Uus KüTS (üle võetud NIS2 direktiiv) – kaua oodatud, vähe igatsetud, kuid nüüd vältimatu

Uus KüTS (üle võetud NIS2 direktiiv) – kaua oodatud, vähe igatsetud, kuid nüüd vältimatu

14.01.2026

Andres Vallistu

Küberturbe ärisuuna juht

KüTS – Küberturvalisuse seadus
Seadus sätestab ühiskonna toimimise seisukohast oluliste, sealhulgas avaliku sektori võrgu- ja infosüsteemide pidamise nõuded, vastutuse ja järelevalve ning küberintsidentide ennetamise ja lahendamise alused.

Pikk teekond NIS2 direktiivi rakendamiseni

NIS2 direktiiv (Euroopa Parlamendi ja nõukogu direktiiv 2022/2555) võeti Euroopa Liidus vastu juba 14. detsembril 2022 ning jõustus 16. jaanuaril 2023. Liikmesriikidel oli direktiivi oma siseriiklikku õigusesse üle võtmiseks aega kuni 17. oktoobrini 2024.

Eestis on protsess kulgenud oodatust pikemalt, kuid nüüd, pärast pikka ootamist, võttis Riigikogu küberturvalisuse seaduse ja teiste seaduste muutmise seaduse vastu 10. detsembril 2025. Vabariigi President kuulutas seaduse välja 18. detsembril 2025 ja see jõustus 1. jaanuaril 2026.

NIS2 direktiivi eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu Euroopa Liidus, et parandada siseturu toimimist ning kaitsta ühiskonna ja majanduse jaoks kriitilise tähtsusega teenuseid küberrünnakute eest.

Kellele uus seadus kohaldub?

Uus seadus laiendab märkimisväärselt KüTS-i subjektide ringi, kellele küberturvalisuse nõuded kohalduvad. Kokku ulatub nõuete all olevate ettevõtete arv ligikaudu 6500ni (varasemalt ligikaudu 3000). Seadus eristab kahte peamist kategooriat.

Ühiskonna toimimise seisukohast üliolulised üksused

Nende hulka kuuluvad näiteks:

  • Domeeninimede süsteemi teenuse osutaja
  • Elutähtsa teenuse osutaja hädaolukorra seaduse tähenduses
  • Keskvalitsuse avaliku halduse üksus
  • Kohaliku omavalitsuse avaliku halduse üksus
  • Kriitilise tähtsusega side, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja
  • Kvalifitseeritud usaldusteenuse osutaja
  • Tippdomeeninimede registri pidaja
  • Suurettevõtted kriitilistes sektorites (250+ töötajat ja käive üle 50 mln eurot või bilansimaht üle 43 mln eurot)
  • Loetelu jätkub. Tutvu täieliku loeteluga: https://www.riigiteataja.ee/akt/130122025004, § 3. Teenuseosutaja.
Ühiskonna toimimise seisukohast olulised üksused

Oluliseks üksuseks loetakse organisatsioon, kellel on:

  • Vähemalt 50 töötajat majandusaasta jooksul
  • Aastakäive või bilansimaht ületab 10 miljonit eurot
  • Tegevus toimub NIS2 direktiiviga hõlmatud sektorites
  • Loetelu jätkub. Tutvu täieliku loeteluga: https://www.riigiteataja.ee/akt/130122025004, § 3. Teenuseosutaja.
Mõjutatud sektorite nimekiri on lai ja hõlmab:
  • Energia – elektri tootmine, põhivõrk, jaotusvõrk, maagaas, nafta, vesinik
  • Transport – õhu-, raudtee-, vee- ja maanteetransport
  • Tervishoid – haiglad, laborid, ravimite ja meditsiiniseadmete tootjad
  • Digitaalne infrastruktuur – pilveteenus, andmekeskused, sisulevivõrgud
  • Avalik haldus – riigi- ja kohaliku omavalitsuse asutused
  • Jäätmekäitlus – jäätmete kogumine, töötlemine ja kõrvaldamine
  • Toit – hulgimüük, tööstuslik tootmine ja töötlemine
  • Post ja kullerteenus
  • Keemiatööstus
  • Teadus ja arendus
  • jpt

Mis täpsemalt muutus?

Toome siinkohal välja mõned olulisemad muutused võrredes varasemaga.

Juhatuse vastutus

Üks olulisemaid muudatusi puudutab juhatuse liikmete isiklikku vastutust. Vähemalt üks juhatuse liige peab:

  • Kiitma heaks turvameetmed
  • Jälgima nende rakendamist
  • Vastutama küberturvalisuse eest organisatsioonis
  • Läbima regulaarselt koolitusi küberriskide mõistmiseks
  • NB! Kui ettevõte ei määra ühte konkreetset juhatuse liiget, rakendub kohustus kõigile juhatuse liikmetele.
Rangemad teavitamiskohustused
  • Esmane teade - Viivitamata, kuid hiljemalt 24 tunni jooksul pärast olulise mõjuga küberintsidendist teada saamist tuleb esitada esmane teade Riigi Infosüsteemi Ametile (RIA).
  • Intsidenditeade – 72 tunni jooksul tuleb esitada põhjalikum intsidenditeade, mis täpsustab intsidendi asjaolusid.
  • Lõpparuanne – Ühe kuu jooksul pärast intsidenditeate esitamist tuleb esitada lõpparuanne. Kui intsident ei ole lahendatud, käsitletakse seda vahearuandena.
  • Avalik teavitamine – Vajaduse korral tuleb teavitada ka mõjutatud isikuid või avalikkust.

Teavitamiskohustuste täitmine eeldab märkimisväärset tehnilist ja organisatsioonilist võimekust ning võib osutuda väiksematele organisatsioonidele üsna keeruliseks väljakutseks. Praktikas eeldab see:

  • selgelt defineeritud intsidentide käsitlemise protsessi (Incident Response, IR);
  • võimekust analüüsida juhtunu põhjuseid ja ulatust (sh digitaalkriminalistika);
  • teadmist, millal on tegemist teavitusnõuet käivitava intsidendiga ja millal mitte.

Ilma tehnilise nähtavuseta ei ole võimalik neid nõudeid täita. Seetõttu on KüTS subjektidel vaja aktiivset seiret ja logide korrelatsiooni, et küberintsidente üldse avastada – eriti olukordades, kus rünne ei põhjusta kohest teenusekatkestust.

Ulatuslikud riskijuhtimismeetmed

Ettevõtted peavad rakendama alaliselt asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ning korralduslikke turvameetmeid, näiteks:

  • Riskianalüüs – Regulaarne süsteemide ja teenuste turvariskide hindamine
  • Turvameetmed – Asjakohaste tehniliste ja organisatsiooniliste meetmete rakendamine
  • Intsidentide käsitlemise võimekus – Intsidentide tuvastamise, analüüsimise ja lahendamise protsessid
  • Toimepidevusplaanid – Plaanid teenuse jätkamiseks ka küberintsidendi korral
  • Varukoopiahaldus – Regulaarsed ja ajakohased varukoopiad
  • Tarneahela turvalisus – Tarnijate turvatase ja lepingulised kohustused
  • Ligipääsukontroll ja autentimine – Tugevdatud kasutajate ja süsteemide autentimine
  • Krüptograafia – Andmete krüpteerimine ja turvaline salvestamine
Tugevdatud järelevalve

RIA-le on antud laialdased järelevalve õigused, sealhulgas:

  • Kohapealsed kontrollid ja kaugjärelevalve
  • Pisteline järelevalve
  • Sihipärase turvaauditi nõudmine
  • Ettekirjutuste tegemine
  • Äärmuslikel juhtudel ka teenuse osutamise peatamine või juhatuse liikme volituste ajutine peatamine

Millised on sanktsioonid, kui ma ei tegele vastavuse tagamisega?

Kui vastavuse tagamisele vilistatakse, rakenduvad märkimisväärsed rahatrahvid või juhatuse liikme volituse ajutine peatamine nagu eelmises punktis ka mainitud oli. Trahvide määramisel võetakse arvesse rikkumise raskust, kestust, varasemaid rikkumisi ning ettevõtja tahtlust.

Rahatrahvide määrad

Ülioluliste üksuste puhul:

  • Kuni 10 miljonit eurot või kuni 2% ülemaailmsest aastakäibest (kõrgem kahest) – juriidiline isik
  • Kuni 300 trahviühikut (2400 eurot alates 2025 a.) – füüsiline isik

Oluliste üksuste puhul:

  • Kuni 7 miljonit eurot või kuni 1,4% ülemaailmsest aastakäibest (kõrgem kahest) – juriidiline isik
  • Kuni 300 trahviühikut – füüsiline isik

Kuidas ma tean, kas olen KüTS subjekt?

Artikli kirjutamise hetkel puudub Eestis avalik ja keskne register, mille alusel saaks ettevõte üheselt kontrollida, kas ta on Küberturvalisuse seaduse (KüTS) subjekt. Küll aga peaks olema lisandunud äriregistrisse teavitus, mis annab ettevõttele märku, kui ta kuulub KüTSi kohaldamisalasse.

Esmaseks enesehindamiseks tasub tutvuda KüTS § 3-s toodud teenuseosutajate ja üksuste definitsioonidega. Samas ei pruugi ka see alati anda ühest ja lõplikku vastust, kuna hinnang sõltub nii teenuse olemusest, ulatusest kui ka riskist.

Kahtluse korral on võimalik pöörduda Riigi Infosüsteemi Ameti (RIA) poole ja esitada asjakohane päring, et selgitada välja, kas ettevõte kuulub KüTSi kohaldamisalasse või konsulteerida mõne advokaadibürooga, kelle pädevusse NIS2 kuulub, näiteks Advokaadibüroo TRINITI või Advokaadibüroo WIDEN.

Ma olen KüTS subjekt, kuidas nüüd edasi?

  • Täida teavitamiskohustus RIA-le (KüTS § 31) – NB! Kõik KüTS subjektid peavad end ise RIA-le “üles andma” kolme kuu jooksul.
  • Määra vastutav juhatuse liige (KüTS § 61) – Määra vähemalt üks juhatuse liige, kes vastutab küberturvalisuse eest ja teavita RIA-d vastutava juhatuse liikme nimest ja kontaktandmetest.
  • Soovitav on viia läbi esmane KüTS/NIS2 vastavushindamine - Saad teada, millised meetmed on juba paigas, kus on lüngad ja milline on edasine tegevuskava.
  • Rakenda ettevõttes infoturbe juhtimissüsteem ja riskihaldus - Juhtimissüsteemi ja riskihalduse raamistiku valikul soovitame kaaluda ja rakendada ISO 27001 või E-ITS standardil põhinevat süsteemi.
  • Koolita ettevõtte töötajaid ja juhatuse liikmeid - Töötajad peavad tundma küberturvalisuse põhialuseid ja juhatuse liikmed lisaks baasteadmisi riskihaldusest, KüTS/NIS2 nõuetest ja kriisijuhtimisest.
  • Loo intsidentide tuvastuse võimekus ja rakenda muud vajalikud tehnilised meetmed – Oluline on tagada süsteemide logide ja turvasündmuste talletus ja analüütika.
  • Tööta välja intsidentide käsitlemise ja kriisijuhtimise protsessid ning toimepidevusplaanid - Soovitav on loodud protsessid ja plaanid ka teatud regulaarsusega “läbi mängida”.

Kaua on mul aega vastavuse tagamiseks?

Subjektidele on ette nähtud kolme aastane üleminekuperiood, mille jooksul peavad nad oma tegevuse uute nõuetega kooskõlla viima ning neid rakendama hakkama. Siinkohal peab ka arvestama, et kolme aasta jooksul peab olema audit teostatud. Ehk siis meetmetega kooskõlla viimiseks on aega ca 2,5 aastat!

Lisaks peavad subjektid teatama Riigi Infosüsteemi Ametile oma tegevuse andmed kolme kuu jooksul. Elutähtsa teenuse osutajatel on erand – nemad lähtuvad kehtiva õiguse ehk hädaolukorra seaduse tõttu viieaastasest tähtajast, alates elutähtsa teenuse osutajaks määramisest arvates.

Kolmeaastane üleminekuperiood võib esmapilgul tunduda piisavalt pikk, kuid praktikas ei ole see nii pikk, kui arvata võiks. Eriti ettevõtete jaoks, kelle infoturbe juhtimine ei ole seni olnud süsteemselt üles ehitatud.

Näiteks võib infoturbe juhtimissüsteemi (nt E-ITS või ISO 27001) rakendamine võtta keskmise suurusega ettevõtte puhul aasta või enamgi ja seda eeldusel, et ettevõttel on piisavad sisemised ressursid ja otsustusvõimekus. Sageli lisandub sellele vajadus rakendada täiendavaid tehnilisi ja organisatsioonilisi turvameetmeid, mille planeerimine, hankimine ja juurutamine võib omakorda olla ajamahukas.

Lisaks tasub arvestada ka turuolukorraga juhul, kui soovite kasutada vastavuse tagamiseks mõne küberturbe teenuseosutaja abi. Kui paljud ettevõtted jätavad vastavusega tegelemise viimasele hetkele, võib juhtuda, et küberturbe teenusepakkujate võimekus ei kata korraga kõigi vajadusi. Sellisel juhul ei pruugi sobiv partner olla kohe kättesaadav ning vastavuse tagamine võib venida üle mõistliku aja.

Seetõttu on mõistlik alustada vastavuse tagamisega esimesel võimalusel – mitte selleks, et “kõik kohe valmis teha”, vaid selleks, et liikuda rahulikus tempos, läbimõeldult ja ilma tarbetu ajasurveta.

Kas minu ettevõte on auditi kohuslane?

Uus Küberturvalisuse seadus (KüTS) ei kehtesta kõigile subjektidele kohustuslikku regulaarset sertifitseerimis- või vastavusauditit (nt E-ITS või ISO 27001 auditit). Samas annab seadus järelevalveasutusele (RIA) õiguse nõuda auditit või sõltumatut hindamist, kui selleks on põhjendatud vajadus.

Millal võib auditikohustus tekkida? Hetkel on veel pisut ebaselge, millal on audit nõutud ja millal mitte, kuid KüTS-st võib välja lugeda järgmist.

Audit võib muutuda kohustuslikuks eelkõige siis, kui:

  • Oled ülioluline üksus ja sinu teenus on ühiskonna toimimise seisukohalt kriitiline.
  • RIA tuvastab järelevalve käigus puudujääke küberturbe meetmetes.
  • Toimub oluline küberintsident, mis viitab ebapiisavale riskijuhtimisele.
  • Organisatsioon ei suuda muul viisil tõendada, et KüTSi nõuded on täidetud.
  • Varasemalt tehtud ettekirjutusi ei ole tähtaegselt täidetud.

Sellisel juhul võib RIA nõuda sihipärast turvaauditit või sõltumatut vastavushindamist, mille kulud jäävad ettevõtte kanda.

Oluline vs ülioluline üksus – kas vahe on?

Jah, vahe on oluline:

  • Ülioluliste üksuste puhul on järelevalve intensiivsem ning auditite nõudmise tõenäosus suurem.
  • Oluliste üksuste puhul on lähenemine üldjuhul riskipõhine ja proportsionaalne, kuid auditinõue on siiski võimalik.

Seaduse vaates ei ole audit eesmärk omaette, vaid vahend vastavuse kontrollimiseks, kui muud meetodid ei ole piisavad.

Meie soovitame auditi läbi viia ka siis, kui see ei ole otseselt kohustuslik. Hästi tehtud audit on parim viis tuvastada küberturbe nõrgad kohad ja seada õiged prioriteedid nende parandamiseks.

Auditi ainus eesmärk ei tohiks olla selle abil vastavuse tõendamine, vaid küberturvalisuse küpsustaseme tõstmine ja parem kaitse küberohtude eest. Praktikas on audit investeering, mis aitab ennetada oluliselt kulukamaid intsidente tulevikus.

Kuidas OIXIO aidata saab?

OIXIO Cyber küberturbe portfell katab kogu küberturvalisuse elutsükli ning võimaldab pakkuda KüTS-i ja NIS2 nõuetele vastavuse tagamist „võtmed kätte“ põhimõttel.

OIXIO Cyber aitab organisatsioone:

  • KüTS/NIS2 hetkeolukorra vastavuse hindamine
  • Infoturbe juhtimine, riskianalüüs ja juhtimissüsteemi rakendamine (nt E-ITS või ISO 27001)
  • Koolitused töötajatele ja juhtkonnale
  • Intsidentide tuvastus, reageerimine ja juurdlus (SOCaaS teenusena)
  • Turbetehnoloogiate rakendamine

Selline terviklik lähenemine tagab, et vastavus ei jää pelgalt „linnukeseks kontrollnimekirjas“, vaid muutub praktiliseks, toimivaks ja auditeeritavaks süsteemiks, mis kaitseb äritegevust ka reaalsete küberrünnete korral.

LOE LISAKS:

TRINITI advokaadibüroo: KüTS 2026: küberturvalisuse eest vastutab juhatus, mitte IT-osakond

KÜSI LISA

Andres Vallistu

Linkedin

Küberturbe ärisuuna juht