Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel
Vastu võetud 03.01.2024 nr 1
Määrus kehtestatakse avaliku teabe seaduse § 43 lõike 3 ja küberturvalisuse seaduse § 7 lõike 5 punkti 3 alusel.
§ 1. Kohaldamisala
(1) Määrust kohaldatakse, kui küberturvalisuse seaduse § 3 lõikes 4 nimetatud asutus või isik (edaspidi teabepidaja) kasutab avaliku teabe seaduse § 3 lõikes 1 sätestatud avaliku teabe (edaspidi avalik teave) töötlemiseks:
1) andmetöötlusressursside kogumit, mis on paindlikult jagatav ja laiendatav võrgu- ja infosüsteemi ennast muutmata ning millele pakub juurdepääsu kohaliku omavalitsuse üksus või küberturvalisuse seaduse § 3 lõike 4 punktides 12 ja 13 nimetatud asutus või isik (edaspidi avaliku sektori osutatav pilvteenus);
2) pilvandmetöötlusteenust.
(2) Kui teabepidaja annab avaliku ülesande täitmise üle teisele asutusele või isikule, peab teabepidaja tagama käesoleva määruse nõuete täitmise avaliku teabe töötlemisel.
(3) Määrust ei kohaldata:
1) avaliku teabe töötlemisele andmetöötlusressursside kogumis, mis on paindlikult jagatav ja laiendatav võrgu- ja infosüsteemi ennast muutmata ning millele pakub juurdepääsu välislepingu alusel rahvusvaheline institutsioon või organisatsioon;
2) riigisaladuse ja salastatud välisteabe töötlemisele ning sellise teabe töötlussüsteemide pidamisele;
3) Kaitseministeeriumi valitsemisalas rahvusvahelise sõjalise koostööga ja riigi sõjalise kaitse ettevalmistamisega seotud teabe töötlemisele;
4) avaliku teabe töötlemisele, kui seda töödeldakse andmetöötlusressursside kogumis, mis on paindlikult jagatav ja laiendatav võrgu- ja infosüsteemi ennast muutmata ning mis on mõeldud punktides 2 ja 3 nimetatud teabe töötlemiseks.
§ 2. Avaliku sektori osutatava pilvteenuse ja pilvandmetöötlusteenuse kasutusele võtmise eeldused
(1) Teabepidaja, kes soovib avaliku teabe töötlemiseks kasutusele võtta avaliku sektori osutatava pilvteenuse või pilvandmetöötlusteenuse (edaspidi koos pilvteenus), peab hindama muu hulgas:
1) pilvteenuse kaudu töödelda kavatsetava avaliku teabe olemust ning riske avaliku teabe tervikluse, käideldavuse ja konfidentsiaalsuse kahjustamise korral;
2) nõudeid pilvteenuse kaudu töödelda kavatsetava avaliku teabe tervikluse, käideldavuse ja konfidentsiaalsuse kohta;
3) avaliku teabe töötlemise etappi, milleks pilvteenust kasutada soovitakse;
4) pilvandmetöötlusteenuse pakkuja ja toote nõuetele vastavuse seaduse tähenduses tema volitatud esindaja, importija või levitaja usaldusväärsust;
5) kasutatavat tehnoloogia ja pilvteenuse toimemudelit ning nende mõju olemasoleva võrgu- ja infosüsteemi arhitektuurile;
6) pilvteenuse turvalisust ja kasutatavaid turvameetmeid.
(2) Lõike 1 punktis 4 sätestatud usaldusväärsuse hindamist ei tehta avaliku sektori osutatava pilvteenuse pakkuja suhtes.
(3) Lõike 1 punktides 4–6 sätestatu hindamisel võib muu hulgas arvesse võtta pilvteenuse pakkuja või tema osutatava teenuse suhtes tehtud kehtiva auditi tulemusi ning pilvteenuse pakkuja või tema osutatava teenuse kohta väljastatud rahvusvaheliselt ja Eestis tunnustatud kehtivat sertifikaati või hindamist pilvteenuse pakkuja võrgu- ja infosüsteemide või usaldusväärsuse kohta.
(4) Lõike 1 punktides 4–6 sätestatu hindamise võib jätta tegemata, kui avalik teave antakse teisele asutusele või isikule üle avaliku ülesande täitmise ühekordseks toetamiseks avaliku teabe taaskasutamise eesmärgil avaliku teabe seaduse § 31 lõike 1 tähenduses.
(5) Kui pilvteenuse pakkuja kasutab pilvteenuse osutamiseks muud pilvandmetöötlusteenust, siis hinnatakse ka selle pilvandmetöötlusteenuse pakkujaga seonduvat, lähtudes lõigetes 1 ja 3 sätestatust.
(6) Lõikes 1 sätestatud hindamise etappide raames hinnatavate asjaolude näitlik kontrollküsimustik ja meetmete näidis on esitatud määruse lisas.
(7) Teabepidaja dokumenteerib lõikes 1 ette nähtud hindamise enne, kui hakkab pilvteenust kasutama. Teabepidaja võib dokumenteerimise teha muu õigusakti alusel koostatava dokumentatsiooni osana.
(8) Pilvteenuse kasutusele võtmisest hoidutakse, kui teenuse hindamise tulemusel selgub, et esineb vähemalt üks järgmine asjaolu:
1) Eesti või Euroopa Liidu õigusakti või välislepingu kohaselt ei ole pilvteenuse kasutamine avaliku teabe töötlemiseks lubatud;
2) pilvteenuse kasutuselevõtmise korral ei ole tagatud avaliku teabe nõuetekohane terviklus, käideldavus, konfidentsiaalsus või ei ole võimalik hinnata eelnimetatud nõuetega seotud riskide esinemist;
3) on suur tõenäosus, et avalik teave võib teatavaks saada isikutele, kellel puudub teadmisvajadus või sellele teabele juurdepääsu õigus, või on suur tõenäosus, et nimetatud isikud võivad avalikku teavet muuta;
4) pilvteenuse pakkuja ei suuda tagada pakutava pilvteenuse vajalikku kättesaadavust;
5) esineb muu põhjus, mille tõttu võib tekkida oht riigi julgeolekule, avalikule korrale või isiku eraelu puutumatusele, või ei ole võimalik hinnata eelnimetatud nõuetega seotud riskide esinemist.
§ 3. Pilvteenuse kasutamise alustamine
(1) Enne, kui avaliku teabe töötlemiseks võetakse kasutusele pilvteenus, määratakse kindlaks järgmine:
1) pilvteenuse kaudu töödeldavale avalikule teabele rakendatavad käideldavuse, tervikluse ja konfidentsiaalsuse nõuded;
2) pilvteenuse osutamisel edastatud avaliku teabe juurdepääsu ja töötlemise tingimused, sealhulgas pilvteenuse pakkuja suhtes rakendatavad piirangud avaliku teabe töötlemisel;
3) teabepidaja poolt pilvteenuse pakkujale töötlemiseks antud avaliku teabega või pilvteenuse pakkuja avaliku teabe töötlemiseks kasutatava võrgu- ja infosüsteemiga seotud küberintsidentidest teavitamise tingimused;
4) pilvteenuse kaudu töödeldava avaliku teabe seiratavus, töötlemise toimingute tegemise tuvastamine ja vastava teabe kasutamine;
5) pilvteenuse osutamise raames kasutatavad muud pilvandmetöötlusteenuse pakkujad;
6) pilvteenuse kasutamise ja avaliku teabe töötlemise lõpetamise tingimused, sealhulgas andmete arhiveerimise, üleandmise ja kustutamise nõuded ning avaliku teabe edasise kasutamise keeld.
(2) Lõikes 1 sätestatu, sealhulgas mõlema poole õigused ja kohustused, fikseerivad teabepidaja ja avaliku sektori pilvteenuse pakkuja või pilvandmetöötlusteenuse pakkuja või tema volitatud esindaja, importija või levitaja kirjalikult taasesitatavas vormis.
(3) Kui pilvandmetöötlusteenuse pakkuja pilvandmetöötlusteenus võetakse kasutusele pilvandmetöötlusteenuse pakkuja volitatud esindaja, importija või levitaja vahendusel, kohaldatakse pilvteenuse kasutusele võtmisel nende suhtes ka lõigetes 1 ja 2 sätestatut.
(4) Pilvteenuse kasutamise alustamisest teavitab teabepidaja, välja arvatud julgeolekuasutus, viivitamata Riigi Infosüsteemi Ametit. Julgeolekuasutusest teabepidaja teavitab viivitamata küberturvalisuse seaduse § 14 lõikes 5 nimetatud haldusjärelevalve tegijat.
(5) Lõikes 4 nimetatud teavitus peab sisaldama vähemalt järgmist:
1) millist pilvandmetöötlusteenuse pakkujat ja tema volitatud esindajat, importijat või levitajat või millist avaliku sektori osutatava pilvteenuse pakkujat kasutatakse;
2) teave selle kohta, kas pilvteenuse pakkuja kasutab muu pilvandmetöötlusteenuse pakkuja teenuseid;
3) millises ulatuses kasutatakse avaliku teabe töötlemisel pilvteenust;
4) kas pilvteenuse kasutamisel töödeldakse asutusesiseseks kasutamiseks mõeldud teavet.
(6) Lõike 5 punktis 2 sätestatut ei kohaldata teavituse suhtes, mis esitatakse kasutatava avaliku sektori osutatava pilvteenuse pakkuja kohta.
(7) Lõikes 4 sätestatud pilvteenuse kasutamise alustamise teavitust ei tehta, kui teabepidaja on jätnud pilvteenuse hindamata § 2 lõikes 4 sätestatud alusel.
§ 4. Pilvteenuse kasutamise nõuded
(1) Pilvteenuse kasutamise kestel jälgib teabepidaja avaliku teabe käideldavuse, tervikluse ja konfidentsiaalsuse nõuete täitmist ning rakendab nende täitmiseks asjakohaseid meetmeid.
(2) Kui § 2 lõigetes 1, 3 ja 5 sätestatud asjaolud muutuvad, hinnatakse muutust ja selle mõju pilvteenuse kasutamisele. Muutust hinnatakse enne muutuse toimumist või 30 päeva jooksul muutusest teada saamisest arvates.
(3) Paragrahvi 3 lõikes 5 sätestatud asjaolude muutumise korral teavitab teabepidaja, välja arvatud julgeolekuasutus, viivitamata Riigi Infosüsteemi Ametit. Julgeolekuasutusest teabepidaja teavitab küberturvalisuse seaduse § 14 lõikes 5 nimetatud haldusjärelevalve tegijat.
§ 5. Pilvteenuse kasutamise lõppemine
(1) Pilvteenuse kasutamise lõppemise korral peab olema tagatud, et pilvteenuse pakkuja töödeldud avalik teave kustutataks viisil, mis välistab selle taastamise või edasise töötlemise pilvteenuse kaudu, sealhulgas pilvteenuse pakkuja enda või pilvandmetöötlusteenuse pakkuja volitatud esindaja, importija või levitaja poolt.
(2) Kui pilvteenuse kasutamise lõppemisega samal ajal ei lõppe avaliku teabe töötlemine pilvteenuse pakkuja poolt, ei või avaliku teabe töötlemine kesta pikemalt kui 90 päeva pilvteenuse kasutamise lõppemisest arvates.
(3) Kui pilvteenuse pakkuja kasutas pilvteenuse osutamisel muu pilvandmetöötlusteenuse pakkuja pilvandmetöötlusteenust, järgitakse pilvteenuse kasutamise lõppemise korral või pilvteenuse pakkuja poolt muu pilvteenuse pakkuja pilvandmetöötlusteenuse kasutamise lõppemise korral lõigetes 1 ja 2 sätestatut.
(4) Pilvteenuse kasutamise lõppemisest teavitab teabepidaja, välja arvatud julgeolekuasutus, viivitamata Riigi Infosüsteemi Ametit. Julgeolekuasutusest teabepidaja teavitab küberturvalisuse seaduse § 14 lõikes 5 nimetatud haldusjärelevalve tegijat.
§ 6. Määruse rakendamine
(1) Käesoleva määruse jõustumise ajal kasutuses oleva pilvteenuse osas täidetakse § 3 lõikes 4 nimetatud teavitamiskohustus esmakordselt 1. maiks 2024. a.
(2) Avaliku teabe töötlemisel pilvteenust kasutav teabepidaja viib avaliku teabe töötlemise käesoleva määrusega kooskõlla hiljemalt 1. juuliks 2024. a.
(3) Kui teabepidajal ei ole võimalik viia avaliku teabe töötlemist kooskõlla lõikes 2 sätestatud tähtajaks, teavitab ta sellest Riigi Infosüsteemi Ametit või küberturvalisuse seaduse § 14 lõikes 5 nimetatud haldusjärelevalve tegijat hiljemalt 1. juunil 2024. a. Teavitus peab sisaldama teabepidaja tegevus- ja ajakava pilvteenuse kasutamise viimiseks kooskõlla käesoleva määruse nõuetega ning tähtajaks nõuete täitmata jätmisega seotud riskide ülevaadet.
(4) Lõikes 3 nimetatud tegevus- ja ajakava viiakse ellu hiljemalt 30. juuniks 2025. a.
Kaja Kallas
Peaminister
Tiit Riisalo
Majandus- ja infotehnoloogiaminister
Taimar Peterkop
Riigisekretär
Lisa Näitlik kontrolliküsimustik ja meetmete näidis
Facebook
Twitter