Teksti suurus:

• Väike
• Keskmine
• Suur

Välja kuulutanud
Vabariigi President
01.08.2022 otsus nr 159

Küberturvalisuse seaduse ja teiste seaduste muutmise seadus

Vastu võetud 19.07.2022

§ 1.  Küberturvalisuse seaduse muutmine

Küberturvalisuse seaduses tehakse järgmised muudatused:

1) paragrahvi 1 lõikes 1 asendatakse sõnad „ning riigi ja kohaliku omavalitsuse üksuse” sõnadega „, sealhulgas avaliku sektori”;

2) paragrahvi 1 lõige 2 muudetakse ja sõnastatakse järgmiselt:

„(2) Käesolevat seadust ei kohaldata:
1) riigisaladuse ja salastatud välisteabe töötlemisele ning sellise teabe töötlussüsteemide pidamisele;
2) Kaitseministeeriumi valitsemisalas rahvusvaheliseks sõjaliseks koostööks ja riigi sõjalise kaitse ettevalmistamiseks vajalike süsteemide pidamisele.”;

3) paragrahvi 2 täiendatakse punktiga 2¹ järgmises sõnastuses:

„2¹) turvameetmed – rakendatavad organisatsioonilised, füüsilised ja infotehnilised toimingud või vahendid andmete ja süsteemide turvalisuse saavutamiseks ning säilitamiseks;”;

4) paragrahvi 3 lõike 1 punkt 4 muudetakse ja sõnastatakse järgmiselt:

„4) sadamateenuse osutaja, kes on sadamaseaduse tähenduses sellise sadama pidaja või sellise sadamarajatise valdaja, mis teenindab 500-se ja enama kogumahutavusega laevu või rahvusvahelises meresõidus sõitvaid reisilaevu sadama toimimise teenuse osutamisel;”;

5) paragrahvi 3 lõike 1 punkt 10 tunnistatakse kehtetuks;

6) paragrahvi 3 lõige 4 muudetakse ja sõnastatakse järgmiselt:

„(4) Käesolevas seaduses teenuse osutaja kohta sätestatut kohaldatakse ka:
1) andmekogu vastutavale töötlejale ja volitatud töötlejale;
2) Arenguseire Keskusele;
3) Eesti Pangale;
4) kohaliku omavalitsuse üksusele ja kohaliku omavalitsuse üksuste liidule;
5) kohtuasutusele;
6) riigi valimisteenistusele;
7) Riigikogu Kantseleile;
8) Riigikontrollile;
9) Riigimetsa Majandamise Keskusele;
10) seaduse alusel asutatud avalik-õiguslikule juriidilisele isikule;
11) Vabariigi Presidendi Kantseleile;
12) valitsusasutusele ja valitsusasutuse hallatavale riigiasutusele;
13) valla või linna ametiasutusele, valla või linna ametiasutuse hallatavale asutusele, osavallale, linnaosale, osavalla või linnaosa ametiasutusele, osavalla või linnaosa ametiasutuse hallatavale asutusele ning kohaliku omavalitsuse üksuste ühisametile ja -asutusele;
14) Õiguskantsleri Kantseleile.”;

7) seadust täiendatakse §-ga 5¹ järgmises sõnastuses:

„§ 5¹. Küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskus ning riiklik koordineerimiskeskus

(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2021/887, millega luuakse küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskus ning riiklike koordineerimiskeskuste võrgustik (ELT L 202, 08.06.2021, lk 1–31), artikli 12 tähenduses küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskuse nõukogu esindaja ja asendusliikme nimetab valdkonna eest vastutav minister käskkirjaga.

(2) Euroopa Parlamendi ja nõukogu määruse (EL) 2021/887 artikli 6 tähenduses riikliku koordineerimiskeskuse ülesandeid täidab Eesti küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute koordineerimisüksus.

(3) Käesoleva paragrahvi lõikes 2 nimetatud koordineerimisüksuse määrab ja tema ülesannete täitmise korra kehtestab valdkonna eest vastutav minister määrusega.”;

8) paragrahvi 7 lõike 1 sissejuhatavast lauseosast jäetakse välja sõnad „organisatsioonilisi, füüsilisi ja infotehnilisi”;

9) paragrahvi 7 lõike 2 punktid 5 ja 6 ning lõige 4 tunnistatakse kehtetuks;

10) paragrahvi 7 täiendatakse lõikega 5 järgmises sõnastuses:

„(5) Vabariigi Valitsus või tema volitatud minister kehtestab määrusega käesolevas paragrahvis sätestatud kohustuste täitmise ja süsteemide küberturvalisuse tagamiseks:
1) infoturbe halduse nõuded üldnimetusega Eesti infoturbestandard;
2) turvameetmete üldnõuded;
3) süsteemide turvameetmete erinõuded ja nende kohaldamise ulatuse.”;

11) paragrahvi 8 täiendatakse lõikega 1¹ järgmises sõnastuses:

„(1¹) Kui teenuse osutaja volitab süsteemi haldamise teisele isikule või majutab süsteemi teise isiku juures, vastutab teenuse osutaja selle eest, et teine isik teavitab teenuse osutajat hiljemalt 24 tundi pärast käesoleva paragrahvi lõikes 1 nimetatud küberintsidendist teada saamist.”;

12) paragrahv 9 tunnistatakse kehtetuks;

13) seadust täiendatakse 3¹. peatükiga järgmises sõnastuses:

„3¹. peatükk
Küberturvalisuse sertifitseerimine

§ 13¹. Riiklik küberturvalisuse sertifitseerimise asutus

Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 07.06.2019, lk 15–69), artikli 58 lõike 1 tähenduses riiklik küberturvalisuse sertifitseerimise asutus on Tarbijakaitse ja Tehnilise Järelevalve Amet.

§ 13². Küberturvalisuse valdkonna vastavushindamisasutus

Vastavushindamisasutusena tegutsemisele ja vastavushindamisasutusele tegevusloa andmisele kohaldatakse toote nõuetele vastavuse seaduse §-e 22–31 ja 33 ning § 35 lõiget 1, arvestades Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artiklites 60 ja 61 ning artikli 61 alusel vastu võetud Euroopa Komisjoni rakendusaktis ning sama määruse lisas toodud erisusi.”;

14) paragrahvi 14 lõige 3 tunnistatakse kehtetuks;

15) paragrahvi 14 täiendatakse lõigetega 4 ja 5 järgmises sõnastuses:

„(4) Tarbijakaitse ja Tehnilise Järelevalve Amet teeb riiklikku ja haldusjärelevalvet Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 58 lõikes 7 sätestatud ulatuses.

(5) Käesolevas seaduses ja selle alusel kehtestatud õigusaktides julgeolekuasutuse süsteemidele sätestatud nõuete täitmise üle teeb haldusjärelevalvet asjakohane julgeolekuasutus.”;

16) paragrahvi 16 täiendatakse lõikega 1¹ järgmises sõnastuses:

„(1¹) Tarbijakaitse ja Tehnilise Järelevalve Amet võib riikliku järelevalve tegemiseks rakendada Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 58 lõikes 8 sätestatud meetmeid.”;

17) seaduse 4. peatükki täiendatakse §-dega 17¹ ja 17² järgmises sõnastuses:

„§ 17¹. Sunniraha määr

Riikliku järelevalvemenetluse käigus ettekirjutuse täitmata jätmise korral on asendustäitmise ja sunniraha seaduses sätestatud korras rakendatava sunniraha kohaldamise igakordne ülemmäär 20 000 eurot.

§ 17². Kaebuse läbivaatamise tähtaeg

(1) Tarbijakaitse ja Tehnilise Järelevalve Amet lahendab Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artiklis 63 sätestatud kaebuse hiljemalt 90. päeval kaebuse saamisest arvates.

(2) Kui käesoleva paragrahvi lõikes 1 nimetatud kaebuse lahendamiseks on vaja teha koostööd teise riigi riikliku küberturvalisuse sertifitseerimise asutusega, on Tarbijakaitse ja Tehnilise Järelevalve Ametil õigus pikendada kaebuse läbivaatamise tähtaega aja võrra, mis on vajalik asutuse arvamuse ärakuulamiseks. Kaebuse läbivaatamise tähtaja pikendamisest teavitatakse kaebuse esitajat kirjalikult.”;

18) seadust täiendatakse §-ga 18¹ järgmises sõnastuses:

„§ 18¹. Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 nõuete rikkumine

(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 53 lõikes 2 sätestatud tingimustele mittevastava vastavusdeklaratsiooni väljastamise eest või artikli 55 lõikes 1 nimetatud teabe korral sama artikli lõikes 2 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 200 trahviühikut.

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 20 000 eurot.”;

19) paragrahvi 19 täiendatakse lõikega 3 järgmises sõnastuses:

„(3) Käesoleva seaduse §-s 18¹ sätestatud väärteo kohtuväline menetleja on Tarbijakaitse ja Tehnilise Järelevalve Amet.”.

§ 2.  Avaliku teabe seaduse muutmine

Avaliku teabe seaduses tehakse järgmised muudatused:

1) paragrahvi 43⁹ lõike 1 punkt 4 tunnistatakse kehtetuks;

2) paragrahvi 43⁹ lõike 3 teine lause muudetakse ja sõnastatakse järgmiselt:

„Käesoleva seaduse § 43³ lõikes 4 nimetatud andmekogu pidamiseks on kohustuslikud käesoleva paragrahvi lõike 1 punktides 1, 2 ja 6 nimetatud kindlustavad süsteemid.”;

3) paragrahvi 53¹ lõikest 1 jäetakse välja sõnad „infosüsteemide turvameetmete süsteemi rakendamise ning”.

§ 3.  Eesti Rahvusringhäälingu seaduse muutmine

Eesti Rahvusringhäälingu seaduse § 5 lõikest 2¹ jäetakse välja sõnad „käesoleva paragrahvi lõike 1 punktis 10 sätestatud ülesande täitmiseks kasutatavate”.

§ 4.  Infoühiskonna teenuse seaduse muutmine

Infoühiskonna teenuse seadust täiendatakse §-ga 13¹ järgmises sõnastuses:

„§ 13¹. Tarbijakaitse ja Tehnilise Järelevalve Ameti õigus nõuda infoühiskonna teenuse piiramist

(1) Kui infoühiskonna teenuse kaudu üldsusele levitatud teabega kihutatakse vihkamisele, vägivallale või diskrimineerimisele kodakondsuse, etnilise päritolu, keele, usutunnistuse või muude Eesti Vabariigi põhiseaduse §-s 12 nimetatud asjaolude tõttu, õhutatakse sõda või õigustatakse sõjakuritegusid ning kui see on vajalik riigi julgeoleku tagamiseks ja sellise teabe levitamise lõpetamiseks ning ohu tõrjumiseks puuduvad muud tõhusad võimalused, on Tarbijakaitse ja Tehnilise Järelevalve Ametil õigus teha infoühiskonna teenuse osutajale ettekirjutus ja nõuda infoühiskonna teenuse kaudu esitatava teabe kõrvaldamist või teabele juurdepääsu piiramist, arvestades käesoleva paragrahvi lõigetes 2 ja 3 sätestatud erisusi.

(2) Internetiühendust pakkuv üldkasutatava elektroonilise side teenuse osutaja on kohustatud Tarbijakaitse ja Tehnilise Järelevalve Ameti ettekirjutuse alusel blokeerima ettekirjutuses nimetatud domeeninime talle kuuluvates nimeserverites.

(3) Domeeniregistri haldaja ja domeeniregistri pidaja on kohustatud Tarbijakaitse ja Tehnilise Järelevalve Ameti ettekirjutuse alusel blokeerima juurdepääsu domeenile või kustutama ettekirjutuses nimetatud domeeninime registreeringu ning võimaldama ametil see domeeninimi registreerida enda nimele.”.

§ 5.  Seaduse jõustumine

  (1) Käesoleva seaduse § 2 jõustub 2023. aasta 1. jaanuaril.

  (2) Käesoleva seaduse § 1 punkt 5 ja § 3 jõustuvad 2027. aasta 1. jaanuaril.