Küberintsidentide registri põhimäärus
Vastu võetud 17.08.2023 nr 53
Määrus kehtestatakse küberturvalisuse seaduse § 13 lõike 3 alusel.
1. peatükk Üldsätted
§ 1. Andmekogu asutamine ja selle nimetus
Määrusega asutatakse andmekogu nimetusega küberintsidentide register (edaspidi register).
§ 2. Registri pidamise eesmärk
Registri eesmärk on pidada küberintsidentide üle arvestust ning analüüsida küberintsidente nende lahendamiseks, ohuteadete edastamiseks ja järelevalvetoimingute tegemiseks.
§ 3. Registri vastutav töötleja
Registri vastutav töötleja on Riigi Infosüsteemi Amet (edaspidi vastutav töötleja).
§ 4. Registri turvalisus
Registri turvaklass on K1T1S2 ja turbeaste on M.
2. peatükk Andmekoosseis ja andmete esitamine registrisse
§ 5. Registriandmete koosseis
(1) Registrisse kantakse küberintsidendi kohta järgmised andmed nende olemasolul:
1) küberintsidendist mõjutatud võrgu- ja infosüsteemi haldaja nimi;
2) teave küberintsidendi avastamise, eeldatava tekkimise ja lahendamise aja kohta;
3) teave mõju ulatuse kohta;
4) teave nende võrgu- ja infosüsteemide kohta, mida küberintsident mõjutab või võib mõjutada;
5) teave tekkepõhjuse kohta;
6) teave andmeandja ja lahendaja kohta;
7) teave lahendamiseks kulunud aja ja rakendatud turvameetmete kohta;
8) küberintsidendi tuvastamiseks, analüüsimiseks ja lahendamiseks edastatud veebiaadress, fail ja süsteemi logi või manus.
(2) Lõike 1 punktis 6 sätestatud teave on:
1) küberintsidendist teavitanud juriidilise isiku nimi, esindaja ees- ja perenimi, telefoninumber ning e-posti aadress;
2) küberintsidenti lahendava juriidilise isiku nimi, esindaja ees- ja perenimi, telefoninumber ning e-posti aadress;
3) küberintsidendist teavitanud füüsilise isiku ees- ja perenimi, telefoninumber ning e-posti aadress.
§ 6. Andmeandja
Andmeandjaks on:
1) teenuse osutaja küberturvalisuse seaduse § 3 lõike 1 tähenduses;
2) teenuse osutajaga võrdsustatud isik küberturvalisuse seaduse § 3 lõike 4 tähenduses;
3) küberintsidendist teavitamise kohustuseta isik, kes teavitas küberintsidendist vastutavat töötlejat.
§ 7. Registritoimingud
(1) Registritoimingud on:
1) andmete registrisse kandmine;
2) andmete muutmine;
3) andmete vaatamine;
4) andmete edastamine;
5) andmete kustutamine.
(2) Registritoiminguid teeb vastutav töötleja.
(3) Registritoimingu kohta kogutakse järgmisi andmeid:
1) toimingu tegija andmed;
2) toimingu tegemise sisu, kuupäev ja kellaaeg.
(4) Lõikes 3 sätestatud andmeid säilitatakse kolm aastat.
§ 8. Registriandmete õigsus
(1) Andmeandja vastutab tema poolt vastutavale töötlejale edastatud andmete õigsuse eest.
(2) Registriandmetes vea tuvastamisel või veast teadasaamisel parandab vastutav töötleja vea.
3. peatükk Juurdepääs registriandmetele ja andmete säilitamine
§ 9. Juurdepääs registriandmetele
(1) Register on piiratud juurdepääsuga ja registriandmed on mõeldud asutusesiseseks kasutamiseks.
(2) Registritoimingute tegemise õigus on vastutava töötleja teenistujal küberturvalisuse seadusest tulenevate ülesannete täitmiseks.
(3) Registriandmeid võib väljastada:
1) andmeandjale tema esitatud teabe kohta;
2) andmekaitse järelevalveasutusele, kui küberintsident puudutab isikuandmeid, põhjustades töödeldavate isikuandmete juhusliku või ebaseadusliku kaotsimineku, hävitamise, muutmise või loata avalikustamise või neile juurdepääsu;
3) riigi julgeoleku tagamisega seotud ülesannete täitmiseks;
4) süütegude menetlemiseks;
5) kui see on vajalik suure mõjuga küberintsidendi lahendamiseks ja teabe edastamine on ette nähtud seadusega või rahvusvahelise lepinguga;
6) kui õigus saada teavet tuleneb seadusest, rahvusvahelisest lepingust või muust õigusaktist ja teave on vajalik asutusele või isikule õigusaktiga pandud ülesannete täitmiseks.
(4) Vastutav töötleja otsustab registriandmete väljastamise või sellest keeldumise ja andmete väljastamise ulatuse 30 päeva jooksul taotluse saamisest arvates. Vastutaval töötlejal on enne andmete väljastamist õigus küsida taotluse esitajalt lisateavet.
(5) Lõike 3 punktides 2 ja 5 sätestatud juhul võib vastutav töötleja väljastada registriandmeid omal algatusel, kui registriandmete väljastamine on ette nähtud seadusega või rahvusvahelise lepinguga või see on vajalik andmekaitse järelevalveasutusele isikuandmete kaitse nõuete järele valvamiseks.
(6) Vastutav töötleja registreerib registriandmete väljastamise.
§ 10. Registriandmete säilitamise tähtaeg
(1) Registriandmeid säilitatakse viis aastat alates intsidendi lahendamisest.
(2) Säilitamise tähtaja saabumisel registriandmed kustutatakse.
(3) Teabe, mis on registrisse kantud, kuid ei ole vajalik intsidendi analüüsimiseks, võib kustutada enne lõikes 1 sätestatud tähtaja saabumist.
4. peatükk Registri rahastamine ja likvideerimine
§ 11. Registri rahastamine
Registri pidamise kulu kaetakse vastutavale töötlejale riigieelarvest eraldatud vahenditest.
§ 12. Registri likvideerimine
(1) Registri likvideerimise otsustab valdkonna eest vastutav minister.
(2) Register likvideeritakse kooskõlas arhiiviseadusega.
Tiit Riisalo
Majandus- ja infotehnoloogiaminister
Ahti Kuningas
Kantsler
Facebook
Twitter