Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu (739 SE) esimene lugemine

Liigume edasi teise päevakorrapunkti juurde, mis on Vabariigi Valitsuse algatatud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu 739 esimene lugemine. Ettekandja on justiits- ja digiminister Liisa-Ly Pakosta, palun!

Liigume edasi teise päevakorrapunkti juurde, milleks on Vabariigi Valitsuse algatatud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu 739 esimene lugemine. Ettekandja, justiits- ja digiminister Liisa-Ly Pakosta, palun!

Aitäh! Austatud Riigikogu! Mul on hea meel alustada selle punkti ettekandmist kiitusega Eesti politseinikele, kes just äsja lõpetasid eduka koostöö Läti politseinikega. Nimelt, rahvusvaheline politseioperatsioon SIMCARTEL lammutas kelmide võrgustiku, mis müüs sisuliselt erinevatesse riikidesse registreeritud telefoninumbreid. Nende telefoninumbrite kaudu tehti küberpettuseid, investeerimispettuseid ja ka eraisikute vastu suunatud pettuseid. PPA on tunnistanud, et ainuüksi suvel rööviti Eesti inimestelt küberpettustega vähemalt 4 miljonit eurot. Ja markantne on nimetada vast seda, et Lätis toimunud operatsiooni käigus võeti kinni ka üks Eestis tagaotsitavaks kuulutatud inimene ja ühtlasi konfiskeeriti 40 000 aktiivset SIM-kaarti. Platvormi abil oli loodud ligi 50 miljonit libakontot sotsiaalmeediasse. Ehk see 50 miljonit libakontot sotsiaalmeedias ja 40 000 hetkel aktiivset SIM-kaarti näitab vast väga lihtsustatult seda, kuivõrd suure küsimusega me tegeleme, kui me räägime küberturvalisuse vajalikkusest. Ka meil siinsamas just äsja oli küberrünne ühe Eesti haigla vastu. Haiglast saadi kätte kuue kasutaja paroolid ehk kuus inimest sellest haiglast läks õnge ja nende paroolide kaudu üritati vaid paar päeva hiljem siseneda haigla süsteemidesse, aga tänu küberkaitsemeetmetele see ebaõnnestus. Ehk kuus inimest olid läinud õngitsusel haneks, aga tänu küberturvalisuse meetmetele, mida Eesti tervishoiusektor juba kasutab, see rünnak ebaõnnestus. Nagu te nägite, need küsimused on piiriülesed ja see on ka põhjus, miks Euroopa Liit tervikuna küberturvalisuse küsimuste lahendamisega tegeleb. Ja isegi kui rünnak on suunatud ainult ühe riigi vastu, meenutame ka äsjaseid suuremaid näiteid, kus Inglismaal olid kuu aega maas kõik Land Roveri tehased, puudutas see nädalas kaotust 50 miljonit naela ja tööta istusid üle 100 000 inimese. Või siis võib-olla ka teid, head Riigikogu liikmed, puudutanud küberrünnak lennujaamade vastu, mis pööras segi Euroopa lennuliikluse. Eestis oleme näinud, et küberründed Eesti vastu sisuliselt on kahekordistunud igal aastal, alates täiemahulise sõja algusest Venemaa poolt Ukraina vastu. See küberrünnete väga kiire arvu kasv sunnib meid võtma küberturvalisust äärmiselt tõsiselt. Ja veel kord: need ründed ei ole peaaegu mitte kunagi ainult ühe riigi vastu suunatud, sageli mitme riigi vastu korraga. Ühes riigis alanud küberrünne võib kergesti üle kasvada küberrünnakuks ka teise riigi vastu. Ühtlasi oleme näinud ka tehnoloogia kiiret arengut, võrgu infosüsteemide keerukus on oluliselt kasvanud ja kõik see on suunanud Euroopa Liitu vastu võtma nn küberturvalisuse teist direktiivi, tuntud ka NIS2-direktiivina. Sisuliselt selle ning ühtlasi ka Euroopa Parlamendi ja nõukogu määrust, mis puudutab siis piiriüleste elektrivoogude küberturvalisust, nende kahe õigusakti ülevõtmisega me täna tegeleme. Mis on kõige olulisemad punktid lisaks sellele vajalikkusele? Uute nõuetega, uute küberturvalisuse nõuetega suurendatakse nende organisatsioonide ringi, kellel on karmimad küberturvalisuse nõuded ja suurem rünnetest teavitamise kohustus. Need nõuded ja kohustused tulenevad sellest, et tegemist on elutähtsate teenuste osutajatega või selliste organisatsioonidega, kelle vastu suunatud küberrünne, nagu me nägime Land Roveri tehastega, kui sul ikkagi keset talve võetakse näiteks kas sideteenuse osutaja või jäätmeettevõte kuuks ajaks maha, siis on see inimestele päris keeruline olukord, rääkimata sellest, kui maha võetakse kohalik soojatootja. Eelnõu seega suurendab umbes 3000 ettevõtte võrra Eestis neid subjekte, kelle kohta need karmimad küberturvalisuse nõuded hakkavad kehtima. Kuna me loeme siiski seda, et küberturvalisuse nõuete laienemine on halduskoormuse kasv, siis vastavalt Vabariigi Valitsuse poolt muudetud eelnõude ettevalmistamise korrale iga eelnõu, mis toob kaasa halduskoormuse kasvu, peab ühtlasi ka tegema midagi selle heaks, et halduskoormus kuskil mujal alaneks. Seda teie ees ei ole, aga rõhutan ära, sellele on ka seletuskirjas viidatud, et juba 1. oktoobrist on jõustunud Vabariigi Valitsuse määrus nr 121, millega omakorda vähendati küberturvalisuse nõudeid ja vähendati neid nõudeid väikestele asutustele ja ettevõtetele. Lühidalt öeldes oli enne nii, et sõltumata ettevõtte või organisatsiooni suurusest, kehtisid kõikidele ühesugused küberturvalisuse nõuded, aga me muutsime seda. Me muutsime seda niimoodi, et väikestele ettevõtetele ja asutustele, sealhulgas kohaliku omavalitsuse asutustele näiteks, on need nõuded leebemad, vähem koormavad. Selle mõte oli selles, et kui sa oled pisike, siis ka sinu mõju, juhul kui küberrünnaku tõttu sinu tegevus peatatakse või lõpetatakse, on oluliselt väiksem. Loomulikult on üleskutse, et kõik organisatsioonid ja ka kõik eraisikud võtaksid küberturvalisust äärmiselt tõsiselt, aga siis riigipoolsed otsesed nõuded on väikestele organisatsioonidele väiksemad. Ja see on juba jõustunud. Teine suur muudatus lisaks ettevõtete hulga kasvule selles eelnõus on see, et küberturvalisuse eest vastutab terve organisatsioon. Varasemalt oli niimoodi, et kui organisatsioonil oli elutähtis teenus, siis tuli küberturvalisusega tegeleda üksnes selle teenuse ulatuses. Aga nagu me nägime sellel äsjasel haigla näitel Eestis, siis kui ikkagi küberkurjategija saab kätte selle organisatsiooni mõnede töötajate näiteks paroolid, siis on tegelikult tal võimalus ju siseneda ka sellesse teenusesse, isegi kui võib-olla esmaselt see inimene ei olnud sellega seotud. Seetõttu on oluline, et me ei räägi ainult teenusest, vaid me räägime tervest organisatsioonist. Sisuliselt me kehtestame lihtsustatult öeldes sellise korra, et asutuse või ettevõtte juht ikkagi vastutab küberturvalisuse nõuete täitmise eest. Ette on nähtud üleminekuaeg, üldreeglina kolm aastat. Ja ettevalmistamisel on ka küberturvalisuse taseme tõstmise toetus, mis on just mõeldud sellele umbes 3000-le uuele küberturvalisuse rangemate nõuete alla sattuvale organisatsioonile. See oleks vast hästi lühidalt kokku võttes kõige olulisem selles eelnõus. Nüüd mõned asjad veel, millele ma sooviksin Riigikogu tähelepanu pöörata. Selle eelnõuga, kuna ta siiski on väga paljusid organisatsioone puudutav, oli väga palju kaasamisringe, arutelusid. Ma väga tänan kõiki, kes nendes osalesid, sest tegelikult me muutsime seda eelnõu tulenevalt nendele aruteludele väga märkimisväärsel määral. Kõige lihtsam näide tõesti: üksikule perearstile maapiirkonnas need nõuded on nüüd oluliselt madalamad. Tõesti, me ei pea seda võrdsustama näiteks suure soojatootmisettevõttega, kes varustab tervet Lasnamäge südatalvel toasoojusega. Teine vast olulisem muudatus on see, et me neid nõudeid ikkagi oleme samm-sammult läbi käinud ja rakendanud üksnes minimaalsel määral. Head Riigikogu liikmed, see eelnõu sisaldab valgusfooriga tabelit. Selgitan juurde sellele, et kõikidel Euroopa Liidu õigust ülevõtvatel eelnõudel on alati juures tabel, kus on näha Euroopa Liidu õigusakti säte ja teises tulbas seda konkreetset sätet ülevõttev Eesti õiguse säte. Kõikidel Riigikogu liikmetel on võimalik neid kahte sätet võrrelda ja vaadata, kas siis me oleme ülekuldavalt Euroopa Liidu õigust üle võtnud või me oleme seda ikkagi õigesti üle võtnud ehk siis nii nagu vaja, ilma ülekuldamiseta. Me oleme seda tabelit täiendanud ja me oleme seda tabelit täiendanud kahe tulbaga. Kolmas tulp on selgitused ja neljas tulp on valgusfoor. Ehk kui on roheline, siis on ülevõtmine nagu täpne, ilma igasuguste liialdusteta, aga ilma ka vähendusteta. Kui on punane, siis on üle võetud rohkem, kui see Euroopa Liidu õigus ette näeb. Ja paari koha peal seda tõesti niimoodi tehtud on, me oleme pidanud seda otstarbekamaks, selle asemel, et mitu teadet esitada, piisab ühe teate esitamisest, aga kohe korralikumalt. Formaalses mõttes on see pisut üle piiri minek, seda saate teie otsustada ja arutada, kas see on õige. Sinine värv tähistab seda, kus me oleme võtnud Euroopa Liidu õigust üle vähem, kui Euroopa Liit ette näeb. Ja selles aktis on üks temaatika, mida jällegi Riigikogu liikmed saavad arutada ja otsustada. Meie oleme valitsuse poolt pakkunud sellise ikkagi variandi, mis puudutab alkoholi hulgimüüjaid, siis nende jaoks me ei ole Euroopa Liidu õigust üle võtnud. See nipp seisneb selles, et toidutarnijad, kuna toit on eluks tähtis, ja selleks et toiduainete hulgimüük toimiks, toiduainete hulgimüüjatele on karmimad küberturvalisuse nõuded ette nähtud. Eestis on alkohol toit, aga me oleme sealt ikkagi alkoholi hulgimüüjad välja arvanud. Me leiame, et see ei ole elutähtis teenus. See tabel on saanud sedavõrd palju head tagasisidet just ka erasektori poolt. Selle tabeli mõtles välja advokaadibüroo Widen, kes aitas meil seda eelnõu viia minimaalseks Euroopa Liidu õiguse ülevõtmiseks. Erasektor on palunud ja pakkunud, et sellist tabelit koos selle valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude puhul. Nii et ma väga loodan, et see praktikas tõesti hakkab ka selliselt rakenduma. Teine asi, millele ma sooviksin teie tähelepanu juhtida ja mida te saate ka arutada. Euroopa Liidu õigus ei näe ette ennetavat järelevalvet. Meie küberturvalisusega tegelevad ametnikud pidasid seda siiski oluliseks. Kuna minu eesmärgiks oli tuua Riigikogu ette minimaalne Euroopa Liidu õiguse ülevõtmine, kus ei ole ülekuldamist, siis eelnõus seda punkti ei ole. Ehk ametnike soovi teha ennetavat järelevalvet ma tõmbasin maha ja ütlesin, et te saate alati tegeleda ennetava nõustamisega. Aga kui nüüd Riigikogu peaks otsustama teistmoodi, siis mina olen selle ametkonna soovi teile edastanud. Nii et otsustuskohti siin mõned on, aga üldiselt kokkuvõttes on see eelnõu täiesti kitsalt Euroopa Liidu õiguse ülevõtmine. Mingit erilist revolutsiooni ta Eesti jaoks ei tähenda, kuna Eesti on juba maailmas üks kõige kõrgema küberturvalisuse tasemega riike. Me esimest küberturvalisuse direktiivi võtsime üle palju rohkem, palju laiemalt, kui Euroopa Liit seda ette nägi, mis on osutunud meile ka kasulikuks, heaks. Me oleme suutnud valdava-valdava-valdava osa küberründeid tõrjuda, Eesti inimesed on saanud elutähtsaid teenuseid, ettevõtted on saanud töötada. Vaatamata sellele, et küberrünnete arv on kogu aeg kahekordistunud, nüüdseks on jõudnud mõjuga küberintsidentide arv tänavu ainuüksi juba ligi 8000-ni – "mõjuga" tähendab seda, et küberrünne on õnnestunud kahjuks ja 8000 korral juba sellel aastal on see küberrünne õnnestunud –, siis ikkagi on meie tase maailma mastaabis väga kõrge ja väga hea. Ma tänan kõiki Eesti inimesi ja Eesti ettevõtteid, kes selle küberturvalisuse eest on hoolitsenud. Aga sellega selle eelnõu tutvustuse lõpetan. Aitäh!

Aitäh! Austatud Riigikogu! Mul on hea meel alustada selle punkti ettekandmist kiitusega Eesti politseinikele, kes just äsja lõpetasid eduka koostöö Läti politseinikega. Nimelt, rahvusvaheline politseioperatsioon SIMCARTEL lammutas kelmide võrgustiku, mis müüs sisuliselt erinevates riikides registreeritud telefoninumbreid. Nende telefoninumbrite kaudu tehti küberpettuseid, investeerimispettuseid ja ka eraisikute vastu suunatud pettuseid. PPA on tunnistanud, et ainuüksi suvel rööviti Eesti inimestelt küberpettustega vähemalt 4 miljonit eurot. Ja markantne on see, et Lätis toimunud operatsiooni käigus võeti kinni ka üks Eestis tagaotsitavaks kuulutatud inimene. Ühtlasi konfiskeeriti 40 000 aktiivset SIM-kaarti. Platvormi abil oli loodud ligi 50 miljonit sotsiaalmeedia libakontot. Ehk see 50 miljonit libakontot sotsiaalmeedias ja 40 000 hetkel aktiivset SIM-kaarti näitab vast väga lihtsustatult seda, kuivõrd suure küsimusega me tegeleme, kui me räägime küberturvalisuse vajalikkusest. Ka meil oli just äsja küberrünne ühe Eesti haigla vastu. Haiglast saadi kätte kuue kasutaja paroolid ehk kuus inimest sellest haiglast läks õnge ja nende paroolide kaudu üritati vaid paar päeva hiljem siseneda haigla süsteemidesse. Tänu küberkaitse meetmetele see ebaõnnestus. Kuus inimest olid läinud haneks, aga tänu küberturvalisuse meetmetele, mida Eesti tervishoiusektor juba kasutab, see rünnak ebaõnnestus. Nagu te näete, on need küsimused piiriülesed. See on ka põhjus, miks Euroopa Liit tegeleb tervikuna küberturvalisuse küsimuste lahendamisega. Rünnak [võib ka olla] suunatud ainult ühe riigi vastu. Meenutame äsjast suurt näidet, kus Inglismaal olid kuu aega maas kõik Land Roveri tehased. See [tähendas] nädalas kaotust 50 miljonit naela ja tööta istusid üle 100 000 inimese. Või siis võib-olla ka teid, head Riigikogu liikmed, puudutanud küberrünnak lennujaamade vastu, mis pööras segi Euroopa lennuliikluse. Oleme näinud, et küberründed Eesti vastu on sisuliselt kahekordistunud igal aastal alates Venemaa täiemahulise sõja algusest Ukraina vastu. Küberrünnete arvu väga kiire kasv sunnib meid võtma küberturvalisust äärmiselt tõsiselt. Ja veel kord: need ründed ei ole peaaegu mitte kunagi ainult ühe riigi vastu suunatud, vaid sageli mitme riigi vastu korraga. Ühes riigis alanud küberrünne võib kergesti üle kasvada küberrünnakuks ka teise riigi vastu. Ühtlasi oleme näinud tehnoloogia kiiret arengut. Võrgu infosüsteemid on [muutunud] oluliselt keerukamaks ja see on suunanud Euroopa Liitu vastu võtma niinimetatud küberturvalisuse teist direktiivi, [mis on] tuntud ka NIS2 direktiivina. Sisuliselt nende kahe õigusakti ülevõtmisega – see ning ka Euroopa Parlamendi ja nõukogu määrus, mis puudutab piiriüleste elektrivoogude küberturvalisust – me täna tegeleme. Mis on kõige olulisemad punktid lisaks selle vajalikkusele? Uute küberturvalisuse nõuetega suurendatakse nende organisatsioonide ringi, kellel on karmimad küberturvalisuse nõuded ja [rangem] rünnetest teavitamise kohustus. Need nõuded ja kohustused tulenevad sellest, et tegemist on elutähtsa teenuse osutajatega või organisatsioonidega, kelle vastu suunatud küberrünne – me nägime Land Roveri tehaste puhul, [mis saab], kui ikkagi keset talve võetakse näiteks kas sideteenuse osutaja või jäätmeettevõte kuuks ajaks maha – [tekitab] inimestele päris keerulise olukorra, rääkimata sellest, kui võetakse maha kohalik soojatootja. Eelnõu suurendab Eestis umbes 3000 ettevõtte võrra subjekte, kelle kohta karmimad küberturvalisuse nõuded hakkavad kehtima. Kuna küberturvalisuse nõuete laienemist me loeme siiski halduskoormuse kasvuks, siis vastavalt Vabariigi Valitsuse muudetud eelnõude ettevalmistamise korrale peab iga eelnõu puhul, mis toob kaasa halduskoormuse kasvu, ühtlasi tegema midagi selle heaks, et halduskoormus kuskil mujal [väheneks]. Seda teie ees ei ole, aga sellele on seletuskirjas viidatud. Ehk rõhutan ära, et juba 1. oktoobrist on jõustunud Vabariigi Valitsuse määrus nr 121, millega vähendati küberturvalisuse nõudeid, vähendati nõudeid väikestele asutustele ja ettevõtetele. Lühidalt öeldes oli enne nii, et sõltumata ettevõtte või organisatsiooni suurusest, kehtisid kõikidele ühesugused küberturvalisuse nõuded, aga me muutsime seda. Me muutsime seda niimoodi, et väikestele ettevõtetele ja asutustele, sealhulgas näiteks kohaliku omavalitsuse asutustele, on need nõuded leebemad, vähem koormavad. Mõte oli selles, et kui sa oled pisike, siis ka sinu mõju, juhul kui küberrünnaku tõttu sinu tegevus peatatakse või lõpetatakse, on oluliselt väiksem. Loomulikult [teen] üleskutse, et kõik organisatsioonid ja ka eraisikud võtaksid küberturvalisust äärmiselt tõsiselt. Aga otsesed riigipoolsed nõuded on väikestele organisatsioonidele [leebemad]. Ja see on juba jõustunud. Teine suur muudatus selles eelnõus lisaks ettevõtete hulga kasvule on see, et küberturvalisuse eest vastutab terve organisatsioon. Varasemalt oli niimoodi, et kui organisatsioon [pakkus] elutähtsat teenust, siis tuli küberturvalisusega tegeleda üksnes selle teenuse ulatuses. Aga nagu me nägime selle äsjase haigla näite pealt Eestis, kui küberkurjategija saab ikkagi kätte organisatsiooni mõne töötaja parooli, siis on tal tegelikult võimalus siseneda ka selle teenusega [seotud võrku], isegi kui see inimene ei ole sellega seotud. Seetõttu on oluline, et me ei räägi ainult teenusest, vaid me räägime tervest organisatsioonist. Me kehtestame lihtsustatult öeldes sellise korra, et ikkagi asutuse või ettevõtte juht vastutab küberturvalisuse nõuete täitmise eest. Ette on nähtud üleminekuaeg, üldreeglina kolm aastat. Ja ettevalmistamisel on ka küberturvalisuse taseme tõstmise toetus, mis on just mõeldud sellele umbes 3000 uuele küberturvalisuse rangemate nõuete alla sattuvale organisatsioonile. See on vast hästi lühidalt kokku võttes kõige olulisem selles eelnõus. Nüüd mõned asjad veel, millele ma sooviksin Riigikogu tähelepanu pöörata. Selle eelnõu [menetlusel], kuna ta siiski puudutab väga paljusid organisatsioone, oli väga palju kaasamisringe ja arutelusid. Ma väga tänan kõiki, kes nendes osalesid, sest tegelikult me muutsime seda eelnõu nende arutelude põhjal väga märkimisväärsel määral. Kõige lihtsam näide: üksikule perearstile maapiirkonnas need nõuded on nüüd oluliselt [leebemad]. Tõesti, me ei pea teda võrdsustama näiteks suure soojatootmisettevõttega, kes südatalvel varustab toasoojusega tervet Lasnamäge. Teine oluline muudatus on see, et me oleme need nõuded ikkagi samm-sammult läbi käinud ja rakendanud neid üksnes minimaalsel määral. Head Riigikogu liikmed, see eelnõu sisaldab valgusfooriga tabelit. Selgitan sellele juurde, et kõikidel Euroopa Liidu õigust ülevõtvatel eelnõudel on alati juures tabel, kus on näha Euroopa Liidu õigusakti säte ja teises tulbas seda konkreetset sätet ülevõttev Eesti õiguse säte. Kõikidel Riigikogu liikmetel on võimalik neid kahte sätet võrrelda ja vaadata, kas me võtame Euroopa Liidu õigust üle ülekuldavalt või teeme seda ikkagi õigesti ehk siis nii nagu vaja, ilma ülekuldamiseta. Me oleme seda tabelit täiendanud kahe tulbaga. Kolmandas tulbas on selgitused ja neljandas tulbas valgusfoor. Kui on roheline, siis on ülevõtmine täpne, ilma igasuguste liialdusteta, aga ilma ka vähendusteta. Kui on punane, siis on üle võetud rohkem, kui Euroopa Liidu õigus ette näeb. Paari koha peal seda tõesti niimoodi tehtud on, sest me oleme pidanud seda otstarbekaks. [Näiteks] selle asemel, et mitu teadet esitada, piisab ühe teate esitamisest, aga [seda tuleb teha] kohe korralikult. Formaalses mõttes on see pisut üle piiri minek, aga te saate arutada ja otsustada, kas see on õige. Sinine värv tähistab seda, et me oleme võtnud Euroopa Liidu õigust üle vähem, kui Euroopa Liit ette näeb. Ja selles aktis on üks temaatika, mida jällegi Riigikogu liikmed saavad arutada ja otsustada. Meie oleme valitsuse poolt pakkunud sellise variandi, et alkoholi hulgimüüjate jaoks me Euroopa Liidu õigust üle ei võta. See nipp seisneb [järgmises]. Kuna toit on eluks tähtis, siis selleks, et toiduainete hulgimüük toimiks, on toiduainete hulgimüüjatele ette nähtud karmimad küberturvalisuse nõuded. Eestis [käib] alkohol toidu alla, aga me oleme [eelnõust] ikkagi alkoholi hulgimüüjad välja arvanud. Me leiame, et see ei ole elutähtis teenus. See tabel on saanud palju head tagasisidet, ka erasektorist. Selle tabeli mõtles välja advokaadibüroo WIDEN, kes aitas meil seda eelnõu viia selliseks, et võtta Euroopa Liidu õigus üle minimaalselt. Erasektor on palunud ja pakkunud, et sellist tabelit koos valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude puhul. Nii et ma väga loodan, et see praktikas tõesti hakkab ka selliselt rakenduma. Teine asi, millele ma sooviksin teie tähelepanu juhtida ja mida te saate arutada: Euroopa Liidu õigus ei näe ette ennetavat järelevalvet, aga meie küberturvalisusega tegelevad ametnikud pidasid seda siiski oluliseks. Kuna minu eesmärgiks oli tuua Riigikogu ette [eelnõu, millega] võetakse Euroopa Liidu õigus minimaalselt üle ja kus ei ole ülekuldamist, siis eelnõus seda punkti ei ole. Ehk ametnike soovi teha ennetavat järelevalvet ma tõmbasin maha ja ütlesin, et te saate alati tegeleda ennetava nõustamisega. Aga Riigikogu [võib] otsustada teistmoodi. Mina olen ametkonna soovi teile edastanud. Nii et mõni otsustuskoht siin on, aga kokkuvõttes võtab see eelnõu Euroopa Liidu õiguse üle täiesti kitsalt. Mingit erilist revolutsiooni ta Eesti jaoks ei tähenda, kuna Eesti on juba maailmas üks kõige kõrgema küberturvalisuse tasemega riike. Esimese küberturvalisuse direktiivi võtsime me üle palju laiemalt, kui Euroopa Liit seda ette nägi. See on osutunud meile kasulikuks ja heaks. Me oleme suutnud valdava osa küberründeid tõrjuda, Eesti inimesed on saanud elutähtsaid teenuseid ja ettevõtted on saanud töötada. Vaatamata sellele, et küberrünnete arv on kogu aeg kahekordistunud – nüüdseks on jõudnud ainuüksi tänavuste mõjuga küberintsidentide arv juba ligi 8000-ni – "mõjuga" tähendab seda, et küberrünne on kahjuks õnnestunud, ehk juba 8000 korral on sellel aastal küberrünne õnnestunud –, on ikkagi meie tase maailma mastaabis väga kõrge ja [küberturvalisus] väga hea. Ma tänan kõiki Eesti inimesi ja Eesti ettevõtteid, kes küberturvalisuse eest on hoolitsenud. Sellega lõpetan eelnõu tutvustuse. Aitäh!

Aitäh! Teile on ka mõned küsimused. Vadim Belobrovtsev, palun!

Aitäh! Lugupeetud minister! See seletuskiri on peaaegu 140 lehekülge. Kas te saaksite väga konkreetselt, kahe-kolme lausega tuua välja, mis on selle eelnõu kõige olulisem koht?

Aitäh! Kõige suurema mõjuga koht selles eelnõus on see, et umbes 3000-le Eesti ettevõttele hakkavad kehtima karmimad küberturvalisuse nõuded. Eelnõu ise ja eelnõu seletuskiri selgitavad detailselt neid nõudeid ja nende rakendamist. Kokku saab Eestis olema umbes 6500 organisatsiooni ja ettevõtet, kellele hakkavad kehtima rangemad küberturvalisuse nõuded. Umbes 3500 organisatsioonile ja ettevõttele kehtivad need juba praegu, aga muutub see, et küberturvalisuse nõuded laienevad üle terve organisatsiooni tegevuse, mitte ainult konkreetsele teenusele, vaid kõige puhul organisatsioonis. See on kõige olulisem.

Aitäh! Kõige suurema mõjuga koht selle eelnõu puhul on see, et umbes 3000-le Eesti ettevõttele hakkavad kehtima karmimad küberturvalisuse nõuded. Eelnõu ise ja eelnõu seletuskiri selgitavad detailselt neid nõudeid ja nende rakendamist. Kokku saab Eestis olema umbes 6500 organisatsiooni ja ettevõtet, kellele hakkavad kehtima rangemad küberturvalisuse nõuded, umbes 3500 organisatsioonile ja ettevõttele kehtivad juba praegu. Kõikide puhul muutub see, et küberturvalisuse nõuded hakkavad laienema üle terve organisatsiooni tegevuse, mitte ainult konkreetsele teenusele, vaid kõige puhul selles organisatsioonis. See on kõige olulisem.

Lauri Laats, palun!

Aitäh, hea istungi juhataja! Hea ettekandja! See tähendab ju ka seda, et loomulikult kaasnevad sellega ka kulud, eriti nende ettevõtete poolt, kelle osas see nõue rakendub. Tõesti, siin seletuskirjas on välja toodud, nii nagu te ise ütlesite, et lisanduvad uued subjektid. Ja teie vastusest kindlasti saime aru, et ei piirdu ainult ETO-dega, vaid see ring on tunduvalt laiem. Ja sellest lähtuvalt küsingi. Ma olen kindlasti selle poolt, et küberturvalisusega tuleb tegeleda ja lisaturvameetmeid tuleb rakendada, sellepärast et see, mis praegu toimub. Ja teiselt poolt seda olukorda kasutatakse ära ja inimesed kannatavad igapäevaselt, nii nagu me teame. Aga kas see majandusliku mõju analüüs on ka kuidagi tehtud selle eelnõu raames või seda ikkagi ei ole?

Aitäh, hea istungi juhataja! Hea ettekandja! See tähendab ju ka seda, et loomulikult kaasnevad sellega kulud, eriti nendele ettevõtetele, kellele see nõue rakendub. Tõesti, siin seletuskirjas on välja toodud, nagu te ise ütlesite, et lisanduvad uued subjektid. Teie vastusest saime aru, et see ei piirdu ainult ETO-dega, vaid see ring on tunduvalt laiem. Ja sellest lähtuvalt küsingi. Ma olen kindlasti selle poolt, et küberturvalisusega tuleb tegeleda ja lisaturvameetmeid tuleb rakendada selle pärast, mis praegu toimub. Olukorda kasutatakse ära ja inimesed kannatavad igapäevaselt, nii nagu me teame. Aga kas majandusliku mõju analüüs on ka tehtud selle eelnõu raames või seda ei ole?

Aitäh! Me oleme eelnõu seletuskirjas ausalt tunnistanud, et kuna see organisatsioonide hulk on suur, siis meil ei ole täpset ülevaadet selle 3000 uue organisatsiooni osas, mis nende tegelik vajadus on rahalises mõttes. Meil ei ole analüüsitud, mis on nende praegune tase ja kui palju oleks vaja üldse muudatusi teha. Tõenäoliselt osal pole vaja üldse muudatusi teha, nad juba rakendavadki kõrgemaid küberturvalisuse nõudeid. Meil seda informatsiooni ei ole ja selle tõttu täpne majanduslik mõju on hindamata. Seda ei oleks lihtsalt võimalik mõistlikul või adekvaatsel moel teha. Küll aga, nagu öeldud, kui eelnõu jõustub, siis avaneb toetusmeede, mis on just mõeldud neile umbes 3000 uuele subjektile. Kui ettevõttel tekib küsimus, kas ta vastab sellele, kas ta on selles rivis, kes peab neid karmimaid nõudeid rakendama, siis selline vastavustabel on Riigi Infosüsteemi Ameti kodulehel juba leitav. Samuti on juba avatud Digiriigi Akadeemia kodulehel tasuta veebikursused ehk ettevõtted ei pea raha kulutama koolituste ostmiseks. Neid kursusi ja koolitusi ka kogu aeg sinna lisandub. Lisaks on Riigi Infosüsteemi Amet välja töötanud erinevaid lahendusi, kuidas toetada ettevõtteid, just et halduskoormus nende muudatuste tegemisel oleks võimalikult väike.

Aitäh! Me oleme eelnõu seletuskirjas ausalt tunnistanud, et kuna organisatsioonide hulk on nii suur, 3000 organisatsiooni, siis meil ei ole täpset ülevaadet, mis nende tegelik vajadus on rahalises mõttes. Me ei ole analüüsinud, mis on nende praegune tase ja kui palju oleks vaja üldse muudatusi teha. Tõenäoliselt pole osal vaja üldse muudatusi teha, sest nad juba rakendavadki kõrgemaid küberturvalisuse nõudeid. Meil seda informatsiooni ei ole ja selle tõttu täpne majanduslik mõju on hindamata. Seda ei ole lihtsalt võimalik mõistlikul või adekvaatsel moel teha. Küll aga, nagu öeldud, kui eelnõu jõustub, siis avaneb toetusmeede, mis on just mõeldud neile umbes 3000 uuele subjektile. Kui ettevõttel tekib küsimus, kas ta on selles rivis, kes peab karmimaid nõudeid rakendama, siis selline vastavustabel on Riigi Infosüsteemi Ameti kodulehel leitav. Samuti on Digiriigi Akadeemia kodulehel juba avatud tasuta veebikursused ehk ettevõtted ei pea koolituste ostmiseks raha kulutama. Neid kursusi ja koolitusi kogu aeg lisandub sinna. Lisaks on Riigi Infosüsteemi Amet välja töötanud erinevaid lahendusi, kuidas toetada ettevõtteid, et halduskoormus nende muudatuste tegemisel oleks võimalikult väike.

Peeter Ernits, palun!

Hea juhataja! Lugupeetud minister! Ma olen lugenud huviga arvamusi [eelnõu kohta] ja need on olnud hävitavad. Eesti Advokatuur ütleb, et eelnõu tekst ei ole loetav. Vastus on see, et Euroopa Liidu määruse ülevõtmisel ei ole teksti ümberkirjutamine lubatud, direktiivi puhul oleks see võimalik. Mida te kostate advokatuurile, et tulete sellise rämpsuga siia?

Hea juhataja! Lugupeetud minister! Ma olen lugenud huviga nende arvamuskülgi ja need on olnud hävitavad. Eesti Advokatuur ütleb, et eelnõu tekst ei ole loetav, aga vastus on see, et Euroopa Liidu määruse ülevõtmisel teksti ümberkirjutamine ei ole lubatud, direktiivi puhul oleks see võimalik. Mida te kostate advokatuurile, et tulete sellise rämpsuga siia?

Aitäh! Nii nagu ma ka ettekandes ütlesin, oli kaasamisringe ja arutelusid väga palju. Me muutsime eelnõu lõppfaasis ikkagi päris palju, viimased muudatused tehti veel septembrikuus. Tõepoolest, määruse tekst on otsekohalduv. Määruse teksti me selle tõttu ümber kirjutada ei saa. Direktiivi ülevõtmisel saame anda oma parima. Konkreetne eelnõu võtabki üle NIS2 direktiivi ja selle direktiivi ülevõtmise sõnastuse kohta teie esitatud kriitika ei käi. Mis puudutab konkreetselt määrust – määrus on elektrivarustusega seonduv –, siis selle teksti me tõesti ümber kirjutada ei saa. Sellega, et Euroopa Liidu õigus on sageli segases sõnastuses, saab üksnes nõustuda. Saab kahjuks nõustuda ka sellega, et sageli ei ole tõlge kõige õnnestunum. Aga inimesed muidugi püüavad kogu aeg seda paremini teha.

Aitäh! Nii nagu ma ka ettekandes ütlesin, oli kaasamisringe ja arutelusid väga palju. Me muutsime eelnõu tegelikult ikkagi lõppfaasis päris palju, viimased muudatused tehti veel septembrikuus. Tõepoolest, määruse tekst on otsekohalduv. Määruse teksti me selle tõttu ümber kirjutada ei saa. Direktiivi ülevõtmisel saame anda oma parima. Konkreetne eelnõu võtabki üle nn NIS2 direktiivi ja selle direktiivi ülevõtmise sõnastuse kohta teie esitatud kriitika ei käi. Mis puudutab konkreetselt määrust – määrus oli elektrivarustusega seonduv –, siis määruse teksti me tõesti ümber kirjutada ei saa. Sellega, et Euroopa Liidu õigus on sageli segases sõnastuses, saab üksnes nõustuda. Saab kahjuks nõustuda ka sellega, et sageli ei ole tõlge kõige õnnestunum, aga inimesed muidugi püüavad kogu aeg seda paremini teha.

Urve Tiidus, palun!

Lugupeetud juhataja! Lugupeetud minister! Seda küsimust ajendas teie tänase ettekande sissejuhatus õnnestunud politsei koostööst kahe riigi vahel küberturvalisuse parendamiseks. Küsimus puudutab seda, kui palju meil on võimalik ja vaja teha elanikele teavitustööd, et ei oleks nii palju pettuste ohvreid. Kas see seadus aitab sellele kuidagi kaasa? Ja kuidas te näete võimalust inimesi rohkem harida, eriti küpsemas eas inimesi?

Lugupeetud juhataja! Lugupeetud minister! Seda küsimust ajendas teie sissejuhatus tänasele ettekandele õnnestunud politsei koostööst kahe riigi vahel küberturvalisuse parendamiseks. Küsimus puudutab seda, kui palju meil on võimalik ja vaja teha elanike teavitustööd, et ei oleks nii palju pettuste ohvreid. Kas see seadus aitab sellele kuidagi kaasa ja kuidas te näete võimalust inimesi rohkem harida, eriti küpsemas eas inimesi?

Aitäh! Väga hea ja õige küsimus! Vaatamata sellele, et küberturvalisuse nõuete uuendamine tuleneb muu hulgas tehnoloogilistest arengutest, on endiselt umbes 80% küberrünnetest edukad seetõttu, et inimene teeb midagi valesti. Mitte ei ole süsteemis auk, vaid inimene teeb midagi valesti. Ma tõin ka haigla näite, kus kuus inimest tegid midagi valesti, aga süsteem oli sedavõrd turvaline, et nende eksimus ei kulmineerunud kahjuks. Tõepoolest, see eelnõu näeb 6500 organisatsioonile, seal hulgas on nii riigi-, kohaliku omavalitsuse asutused kui ka eraettevõtted, ette suurema koolitusvajaduse. Nii nagu ma ütlesin, riik keskselt neid koolitusi veebikursustena tasuta pakub, et ettevõtted ei peaks sellele täiendavalt raha kulutama. Ja need digikursused ei ole mitte sellised, kus sa lihtsalt vaatad [materjale], vaid sa pead ikkagi testi ka pärast läbima, [tõendamaks,] et sa kinnistasid need teadmised, ja saad ka väikese tõendi selle kohta, et sa oled [kursuse] läbinud. Lisaks sellele on valitsus otsustanud, et tuleb parandada Eesti kui väikese rahva digirahva digi- ja küberteadlikkust laiemalt. Me oleme ette näinud, et algklassidesse peaks tekkima aastane kursus toimetulekust digiühiskonnas. See hõlmab tegelikult elementaarset küberhügieeni, vaimse tervise hoidmist – kõike seda, mis selle seondub – ja ka oskusi aru saada, mis on libakonto, mis on õngitsus, mis on mingisugune muu oht. See [teema] vajab täiesti põhjalikku avamist algklassilaste tasemel. Meie arutelud, mis on siiamaani olnud, viitavad isegi sellele, et tegelikult tuleks alustada lasteaiast. Kui need materjalid valmis saavad, siis nad on lihtsas keeles, hästi selged ja väheste kohandustega kasutatavad ka laiemalt elanikkonnas. See on see tee, mille me praegu oleme valinud. Me alustame küll lastest, aga see [materjal] on lihtsasti kohandatav kogu elanikkonnale. Uus on see kõigile, sõltumata vanusest.

Aitäh! Väga hea ja õige küsimus! Vaatamata sellele, et küberturvalisuse nõuete uuendamine on tulenenud tehnoloogilistest arengutest muu hulgas, on endiselt umbes 80% küberrünnetest edukad seetõttu, et inimene teeb midagi valesti. Mitte ei ole süsteemis auk, vaid inimene teeb midagi valesti. Ma tõin ka selle haigla näite: kuus inimest tegid midagi valesti, aga süsteem oli sedavõrd turvaline, et nende eksimus ei kulmineerunud kahjuks. Tõepoolest, see eelnõu näeb ette 6500 organisatsioonile, sealhulgas on nii riigi- kui ka kohaliku omavalitsuse asutused kui ka eraettevõtted, suurema koolitusvajaduse. Ja nii nagu ma ütlesin, neid koolitusi me tasuta veebikursustena riigi poolt keskselt pakume, et ettevõtted ei peaks sellele täiendavalt raha kulutama. Ja need digikursused ei ole mitte sellised lihtsalt, kus sa vaatad seda, vaid sa pead ikkagi selle testi ka pärast läbima, et sa kinnistad need teadmised ja saad ka väikese tõendi selle kohta, et sa oled selle läbinud. Lisaks sellele on valitsus otsustanud, et parandada tuleb Eesti kui väikese vahva digirahva digi- ja küberteadlikkust laiemalt. Me oleme ette näinud, et algklassidesse peaks tekkima aastane kursus toimetulekust digiühiskonnas. See hõlmab tegelikult ikkagi elementaarset küberhügieeni, vaimse tervise hoidmist – kõike seda, mis selle kõigega seondub – ja ka oskusi aru saada, kus on libakonto, kus on õngitsus, kus on mingisugune muu oht. See vajab täiesti põhjalikku avamist algklassilaste tasemel. Meie arutelud, mis on siiamaani olnud, viitavad isegi juba sellele, et tegelikult tuleks alustada lasteaiast. Kui need materjalid valmis saavad, siis nad on lihtsas keeles, hästi selged ja väheste kohandustega kasutatavad ka laiemalt elanikkonnas. See on see tee, mille me praegu oleme valinud. Me alustame küll lastest, aga see on lihtsasti kohandatav tegelikult kogu elanikkonnale. Sest uus on see kõigile, sõltumata vanusest.

Jüri Jaanson, palun!

Suur tänu! Austatud minister! Kulude suhtes on välja toodud küll, et avaliku sektori või liikmesriikide kulu eelarvetele ja haldusasutustele suureneb keskmiselt veerandi võrra, samuti keskmise suurusega ja suurematele ettevõtetele kulud tulevad. Aga mind huvitab hoopis see punkt, et enne te rääkisite siin valgusfoorist direktiivide ülevõtmisel. Samuti kasutati sõnastust, et see direktiiv on üle võetud minimalistlikult. Kuidas te selle lahti seote ja seletate nüüd, just eelkõige kulude mõttes? Kas see minimalistlik on mõeldud nii, et toob ka vähem kulusid või vähendab selle võrra turvalisust? Või kuidas see ülesvõtmise nii-öelda võrdluses välja paistab?

Suur tänu! Austatud minister! Kulude puhul on küll välja toodud, et avaliku sektori või liikmesriikide kulu eelarvetes ja haldusasutustele suureneb keskmiselt veerandi võrra, samuti tulevad keskmise suurusega ja suurematele ettevõtetele kulud. Aga mind huvitab hoopis see, et enne te rääkisite siin direktiivide ülevõtmisel valgusfoorist. Samuti kasutasite sõnastust, et see direktiiv on üle võetud minimalistlikult. Kuidas te nüüd selle lahti seote ja seda seletate, just eelkõige kulude mõttes? Kas [sõna] minimalistlik on mõeldud nii, et see toob ka vähem kulusid või väheneb selle võrra turvalisus? Kuidas see ülevõtmise võrdluses välja paistab?

Aitäh! Tõepoolest, siin on juba olnud viiteid selle kohta, et esmane eelnõu versioon tekitas ühiskonnas väga palju küsimusi. Esmane eelnõu versioon [kujutas] küberturvalisuses igapäevaselt töötavate inimeste ideaali ja seda, kui kõrged küberturvalisuse nõuded tegelikult ikkagi peaksid olema. Nii nagu me teame, ideaal ei ole sageli kogu rahvastikule jõukohane. Me tegime otsuse, et me ei võta Euroopa Liidu õigust üle ülekuldavalt ehk me ei lisa teiste riikidega võrreldes täiendavaid nõudeid, mis [kehtestataks] riigi poolt kohustuslikuna. Ma rõhutan siinkohal üle, et igal organisatsioonil, kes soovib küberturvalisust [tõsta], on loomulikult õigus ja võimalus teha palju rohkem, kui riigi seatud nõuded ette näevad, aga see on vabatahtlik, mitte me ei sunni riigina seda tegema. Ehk selle seaduseelnõuga, mis teie ees on, võetakse Euroopa Liidu õigus üle selles ulatuses, nagu Euroopa Liit seda ette näeb. Selle kohta võib tõesti olla "minimalistlik" isegi vale sõna, sest ta on nii, nagu ette on nähtud. Seal ei ole kuldamist, sinna ei ole rohkem nõudeid peale pandud. Meil on Eestis olnud üsna läbiv probleem, et me kipume Euroopa Liidu õigust üle võtma ülekuldavalt ehk me võtame üle Euroopa Liidu kehtivad reeglid ja siis lisame sinna omalt poolt veel igasuguseid ägedaid nõudeid ja piiranguid juurde. Selles eelnõus seda tehtud ei ole, siia ei ole juurde lisatud igasuguseid uusi ja põnevaid asju, mida Euroopa Liidu õigus ette ei näe.

Aitäh! Tõepoolest, siin on juba olnud viited selle kohta, et esmane eelnõu versioon tekitas ühiskonnas väga palju küsimusi. Esmane eelnõu versioon oli küberturvalisuses igapäevaselt töötavate inimeste ideaal, et kui kõrged need küberturvalisuse nõuded siis ikkagi tegelikult peaksid olema. Nii nagu me teame, ideaal ei ole sageli kogu rahvastikule jõukohane. Me tegime otsuse, et tegelikult me võtame Euroopa Liidu õiguse üle, aga me ei võta seda üle ülekuldavalt ehk me ei lisa teiste riikidega võrreldes täiendavaid nõudeid riigi poolt kohustuslikkusena. Ma rõhutan siinkohal üle, et igal organisatsioonil, kes soovib küberturvalisust täita, on loomulikult õigus ja võimalus teha palju rohkem, kui riigi seatud nõuded ette näevad. Aga see on vabatahtlik, mitte me riigi sunniga ei sunni seda tegema. Riigi sunniga ehk see seaduseelnõu, mis teie ees on, on Euroopa Liidu õiguse ülevõtmine selles ulatuses, nagu Euroopa Liit seda ette näeb. Selle kohta võib-olla tõesti isegi "minimalistlik" on vale sõna, sest ta on nii, nagu ette on nähtud. Sinna ei ole kuldamist peale pandud, sinna ei ole rohkem nõudeid peale pandud. See on olnud meil üsna läbiv probleem Eestis, et me kipume Euroopa Liidu õigust üle võtma ülekuldavalt ehk me võtame üle Euroopa Liidu kehtivad reeglid ja siis lisame sinna veel omalt poolt igasuguseid ägedaid nõudeid ja piiranguid juurde. Selles eelnõus seda tehtud ei ole, siia ei ole juurde lisatud igasuguseid uusi ja põnevaid asju, mida Euroopa Liidu õigus ette ei näe.

Lauri Laats, palun!

Aitäh, hea istungi juhataja! Hea ettekandja! Selle seaduseelnõuga muudetakse tegelikult kümme seadust: küberturvalisuse seadus, sadamaseadus, raudteeseadus, lennundusseadus ja nii edasi, nii edasi. Ja selge on see, et see finantskoormus, mis ettevõtetele läbi selle seaduseelnõu siis lasub, ma arvan, iseenesest on päris suur, kuigi seda analüüsi ei ole, ei ole ka minu ega teie poolt. Ehk siis tõenäoliselt minu arvamus on praegu hetkel subjektiivne, aga ikkagi selline nii-öelda finantskoormus tuleb juurde, sellest me saame ju kõik aru. Mina võtaks praegu selle teise poole, see karistuse poole. Ehk siis samad pätid küberrünnakuid kes korraldavad. Kas me kuidagi ka Eesti riigi poolt kavatseme neid rohkem karistada, karmistada siis karistust? Kas see on üldse meie võimuses? Tõenäoliselt on, aga kas te olete ka selle peale mõelnud?

Aitäh, hea istungi juhataja! Hea ettekandja! Selle seaduseelnõuga muudetakse tegelikult kümmet seadust: küberturvalisuse seadus, sadamaseadus, raudteeseadus, lennundusseadus ja nii edasi. Ma arvan, et selge on see, et finantskoormus, mis ettevõtetele selle seaduseelnõuga lasub, on iseenesest päris suur, kuigi sellekohast analüüsi ei ole, ei ole [teinud] ei mina ega teie. Tõenäoliselt on minu arvamus praegu subjektiivne, aga ikkagi [võib öelda, et] finantskoormust tuleb juurde, sellest me saame ju kõik aru. Mina võtaks praegu selle teise poole, karistuse poole ehk siis pätid, kes küberrünnakuid korraldavad. Kas me kuidagi kavatseme neid Eesti riigi poolt rohkem karistada ja karmistada karistust? Kas see on üldse meie võimuses? Tõenäoliselt on, aga kas te olete ka selle peale mõelnud?

Aitäh! Jaa, see on väga õige küsimus. Kahjuks on see õige, et kõigepealt tuleb pätid kätte saada. Ja teiseks, isegi kui politseioperatsioon õnnestub, siis kübermaailmas on äärmiselt keeruline [süü] omistamine ehk tõendamine, et just see inimene tegi just seda asja. Tehnoloogia võimalused on väga laiad ja seda seost tõendatult on keeruline luua. Ja vastus sellele on, et jah, prokuratuur tugevdab oma küberturvalisusega seotud teadmisi, Politsei- ja Piirivalveamet on juba tugevdanud neid ja ka kohtud võtavad seda teemat väga tõsiselt. See on nagu üks pool. Ja nüüd teine pool puudutab karistusmäärasid. Nii nagu me nägime sellest Land Roveri näitest, kahjud võivad olla tegelikult massiivsed. See küsimus ei puuduta isegi mitte ainult seda, kas karistused on aja- ja asjakohased. Land Roveri näitel, nii nagu [võib] avalikust meediast lugeda, tuli tegelikult välja, et nende kindlustuskaitse oli pisut ebaselge, kas see küberrünnete vastu üldse kaitseb. Kuidas see lõpuks lahenenud on, ma ei tea. See on lihtsalt avalikust meediast kättesaadav info. Ehk loomulikult tuleb seda jälgida, seda vaadata. Praegu me lähtume sellest üldpõhimõttest, et ei ole oluline, kas kuritegu tehti arvutis või väljaspool arvutit, vaid oluline on tekitatud kahju, ja karistuse raskus tuleneb tekitatud kahjust.

Aitäh! Jaa, ei, see on väga õige küsimus. Kahjuks on õige see, et kõigepealt tuleb need pätid kätte saada. Ja teiseks, isegi kui politseioperatsioon õnnestub, siis kübermaailmas on äärmiselt keeruline omistamine ehk selle tõendamine, et just see inimene tegi just seda asja. Selle tehnoloogia võimalused on väga laiad, et seda seost tõendatult oleks keeruline luua. Ja vastus sellele on jah, prokuratuur tugevdab oma nii-öelda küberturvalisusega seotud teadmisi, Politsei- ja Piirivalveamet on tugevdanud seda osa ja ka kohtud võtavad seda teemat väga tõsiselt. See on nagu üks pool. Ja nüüd teine pool, mis puudutab neid karistusmäärasid, siis nii nagu me nägime sellest Land Roveri näitest, need kahjud võivad olla tegelikult massiivsed. See küsimus ei puuduta ainult isegi mitte, kas karistused on aja- ja asjakohased. Land Roveri näitel, nii nagu on avalikust meediast lugeda, tegelikult tuli välja, et nende kindlustuskaitse oli pisut ebaselge, et kas see küberrünnete vastu üldse kaitseb. Kuidas see lõpuks lahenenud on, ma ei tea. See oli avalikust meediast kättesaadav info lihtsalt. Ehk loomulikult seda tuleb jälgida, seda tuleb vaadata. Praegu me lähtume sellest üldpõhimõttest, et ei ole oluline, kas kuritegu tehti arvutis või väljaspool arvutit. Oluline on tekitatud kahju, ja karistuse raskus tuleneb sellest tekitatud kahjust.

Peeter Ernits, palun!

Hea juhataja! Lugupeetud minister! Ma jätkan. Kahjuks on küsimusi kaks. Ma küsin, miks te viskate meile siia toore – kordan, toore! – ja raskesti seeditava lihakäntsaka seedimiseks. Näiteks Eesti Infotehnoloogia ja Telekommunikatsiooni Liit ütleb, et eelnõu on väga raskesti loetav. Ta kordab advokatuuri sõnu. Teiseks, mõjuhinnang on puudulik, sisuliselt tegemata. Eelnõu tegelik mõju on väga suur, kuid välja on toodud ainult positiivne mõju. Ja ta lõpetab nii, et eelnõu on ilmselgelt ebaküps ning vajab väga põhjalikke muudatusi ehk uue seaduse kirjutamist. Aga küsimusi on kahjuks kaks, kuigi ma võiksin lugeda teile neid [näiteid] veel ja veel. Miks te tulete uhkelt sellise ebaküpse, toore juriidilise tekstiga siia meie juurde?

Hea juhataja! Lugupeetud minister! Ma jätkan. Kahjuks küsimusi on kaks. Aga ma küsin, miks te viskate meile siia toore – kordan, toore! – ja raskesti seeditava lihakäntsaka seedimiseks, kui näiteks Eesti Infotehnoloogia ja Telekommunikatsiooni Liit ütleb – tsiteerin –, et eelnõu on väga raskesti loetav, kordab advokatuuri sõnu. Teiseks, mõjuhinnang on puudulik ehk sisuliselt tegemata. Eelnõu tegelik mõju on väga suur, samas on välja toodud ainult positiivsed mõjud, ja lõpetab nii: eelnõu on ilmselgelt ebaküps ning vajab väga põhjalikke muudatusi ehk uue seaduse kirjutamist. Aga küsimusi on kahjuks kaks, ma võiksin lugeda teile neid veel ja veel. Miks tulete sellise ebaküpse, toore juriidilise tekstiga meie juurde uhkelt siia?

Aitäh! Kui te vaatate selle eelnõu valmimise protsessi, siis, nagu ma ka ettekandes rõhutasin, tõesti, kaasamist oleme võtnud väga tõsiselt ja ka kriitikat oleme võtnud väga tõsiselt. Selleks, et teha see eelnõu korda, oleme me kaasanud lausa kaks advokaadibürood ehk erasektori enda. Esimese tööga me ei jäänud lõpuni rahule, sest me nägime, et seal on veel parandamisvõimalusi. Tõesti, teist korda advokaadibüroo abi kasutades, kuna nende küsimuste hulk, mida tuli lahendada, oli lihtsalt niivõrd suur, et koostöös erasektoriga oli seda mõistlik teha, me jõudsime selle tabelini, mida ma siin teile reklaamisin, kus on see valgusfoor juures ja kus te saate vaadata säte sätte haaval, kuidas see asi on kujunenud, kus on ilusti kommentaar ja valgusfoor juures. Sellega jäi erasektor, ka ITL, väga rahule. Just nimelt ITL oli see, kes viimasel kohtumisel ütles, et see on väga hea, et selline tabel on tehtud ja nüüd on seda eelnõu veel muudetud, ja just ITL oli ka see, kes tegi esimesena ettepaneku, et sellist tabelit valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude juures. Selles mõttes ma olen teile toonud ikkagi hästi läbiküpsetatud ja sõna otseses mõttes asjakohaste värvidega eelnõu.

Aitäh! Kui te vaatate selle eelnõu valmimise protsessi, nagu ma ka ettekandes rõhutasin, siis tõesti, kaasamist oleme võtnud väga tõsiselt ja ka kriitikat oleme võtnud väga tõsiselt. Selleks, et teha see eelnõu korda, oleme me kaasanud lausa kaks advokaadibürood ehk erasektori enda. Esimese tööga me lõpuni rahule ei jäänud, sest me nägime, et seal on veel parandamisvõimalusi. Kuna nende küsimuste hulk, mida tuli lahendada, oli lihtsalt niivõrd suur, oli mõistlik seda teha koostöös erasektoriga. Teist korda advokaadibüroo abi kasutades me jõudsime tabelini, mida ma siin teile reklaamisin, kus on valgusfoor juures ja kus te saate vaadata säte sätte haaval, kuidas see asi on kujunenud. Seal on ilusti kommentaar ja valgusfoor juures. Sellega jäi erasektor, ka ITL väga rahule. Just nimelt ITL oli see, kes viimasel kohtumisel ütles, et on väga hea, et selline tabel on tehtud. Nüüd on seda eelnõu veel muudetud. Ja just ITL oli ka see, kes tegi esimesena ettepaneku, et sellist tabelit valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude juures. Selles mõttes olen teile toonud ikkagi hästi läbiküpsetatud ja sõna otseses mõttes asjakohaste värvidega eelnõu.

Eero Merilind, palun!

Hea istungi juhataja! Hea minister! Ma vaatan seda infoturbe standardi auditeerimise teemat. Me oleme seda teiega varem ka arutanud. Praegu on haiglal olnud kaks aastat, tervisekeskusel kolm aastat. Kas oleks mõistlik seda perioodi pikendada, kuna see on suhteliselt aja- ja ressursimahukas?

Hea istungi juhataja! Hea minister! Ma vaatan seda infoturbe standardi auditeerimise teemat. Me oleme seda teiega varem ka arutanud. Praegu on haiglatel olnud kaks aastat, tervisekeskustel kolm aastat. Kas oleks mõistlik seda perioodi pikendada, kuna see on suhteliselt aja- ja ressursimahukas?

Praegu on tõesti kolmeaastane periood. See maksimaalne aeg, mida on üldse võimalik kasutada üleminekuks, on viis aastat. Kui praktika käigus [tekib] probleeme, siis kindlasti saab tähtaja üle vaadata. Lisaks on meil need standardid ülevaatamisel. 700-leheküljeline standard ei ole isegi doktorikraadiga inimesele lihtsasti loetav ja jälgitav. Aga nii nagu me siin küsimuste ja arutelude käigus oleme näinud, oluline on see, et inimesed saavad aru, mida nad peavad tegema ja kuidas küberturvalisus just nende tööd puudutab. Nende standardite ülevaatust me oleme alustanud. Nii et kui need lihtsustuvad, siis ehk see [dokument] nii hull ei olegi.

Praegu on tõesti kolmeaastane periood. See maksimaalne aeg, mida on üldse võimalik kasutada üleminekuks, on viis aastat. Kui praktika käigus on probleeme, siis kindlasti saab seda tähtaega üle vaadata. Lisaks on meil need standardid ülevaatusel. 700-leheküljeline standard ei ole isegi doktorikraadiga inimesele lihtsasti loetav ja jälgitav, aga nii nagu me siin küsimuste ja arutelude käigus oleme näinud, oluline on see, et inimesed saavad aru, mida nad peavad tegema ja kuidas küberturvalisus just tema tööd puudutab. Nende standardite ülevaatust teistpidi me oleme ka alustanud. Nii et kui see lihtsustub, siis ehk see nii hull ei olegi.

Aitäh! Rohkem küsimusi teile ei ole. Läheme edasi juhtivkomisjonis toimunud arutelu ülevaatega. Ettekandjaks, palun, riigikaitsekomisjoni esimees Kalev Stoicescu!

Aitäh! Rohkem küsimusi teile ei ole. Läheme edasi juhtivkomisjonis toimunud arutelu ülevaatega. Ettekandjaks on riigikaitsekomisjoni esimees Kalev Stoicescu! Palun!

Austatud istungi juhataja! Justiits- ja digiminister! Head kolleegid! Nagu eelkõneleja, justiits- ja digiminister, oma ettekandes märkis, võetakse eelnõuga Eesti õigusesse üle Euroopa Liidu küberturvalisuse 2. direktiiv, NIS2, mille eesmärk on tõsta kogu Euroopa Liidus küberturvalisuse taset ja ühtlustada reegleid. Pädevaks asutuseks määratakse Riigi Infosüsteemi Amet, kelle ülesannete hulka lisandub ka Euroopa Komisjoni uue määruse alusel elektrivõrkude küberturvalisuse järelevalve. Riigikaitsekomisjon arutas eelnõu enne esimest lugemist oma käesoleva aasta 16. oktoobri istungil, kus eelnõu algataja esindajana osalesid Justiits- ja Digiministeeriumi kantsler Tiina Uudeberg, Justiits- ja Digiministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas ning riikliku küberturvalisuse talituse küberturvalisuse õigusnõunik Raavo Palu. Riigikaitsekomisjoni aruteludes juhiti tähelepanu, et eelnõu muudab hädaolukorra seadust, mille tsiviilkriisi ja riigikaitse seaduse eelnõu 668 kehtetuks tunnistab. Kuid viimase § 217 muudab omakorda küberturvalisuse seadust, mistõttu tuleb edasise menetluse käigus mõlemad eelnõud omavahel kooskõlla viia. Riigikaitsekomisjonis juhiti tähelepanu, et arutluse all oleva eelnõu valguses oleks mõistlik riigikaitse eesmärkidesse fikseerida ka küberruumi suveräänsuse eest seismine. Seda viimast saaks näiteks kajastada koostamisel olevas uues julgeolekupoliitika aluste dokumendis. Samas märgiti, et kuna küberruumil ei ole piire, siis selle kaitsmine on väga keeruline. Vastates komisjoni liikmete küsimustele, kinnitasid eelnõu algataja esindajad, et seaduse rakendumisel ei ole eesmärk trahvida, vaid tagada, et kriitilised ja olulised ettevõtted neid nõudeid täidaksid. Tuleb leida mõistlik tasakaal ja läbi rääkida ettevõtete ja liitudega, et saaks ikkagi kätte maksimumi, mida küberturvalisuse tagamiseks vaja on. Kokku võttes, riigikaitsekomisjoni liikmed toetavad eelnõu üldpõhimõtteid ning sellest tulenevalt on riigikaitsekomisjoni konsensuslikud menetluslikud otsused järgmised. Teha Riigikogu juhatusele ettepanek lülitada arutluse all olev seaduseelnõu esimeseks lugemiseks Riigikogu tänase istungi päevakorda ja teha Riigikogule ettepanek eelnõu esimene lugemine lõpetada. Eelnõu komisjoni ettekandjaks määrati mind. Eelnõu kohta muudatusettepanekute esitamise tähtajaks on Riigikogu kodu- ja töökorra seadusest tulenev kümme tööpäeva. Aitäh!

Austatud istungi juhataja! Justiits- ja digiminister! Head kolleegid! Nagu eelkõneleja, justiits- ja digiminister, oma ettekandes märkis, võetakse eelnõuga Eesti õigusesse üle Euroopa Liidu küberturvalisuse 2. direktiiv, NIS2, mille eesmärk on tõsta kogu Euroopa Liidus küberturvalisuse taset ja ühtlustada reegleid. Pädevaks asutuseks määratakse Riigi Infosüsteemi Amet, kelle ülesannete hulka lisandub ka Euroopa Komisjoni uue määruse alusel elektrivõrkude küberturvalisuse järelevalve. Riigikaitsekomisjon arutas eelnõu enne esimest lugemist oma käesoleva aasta 16. oktoobri istungil, kus eelnõu algataja esindajana osalesid Justiits- ja Digiministeeriumi kantsler Tiina Uudeberg, Justiits- ja Digiministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas ning riikliku küberturvalisuse talituse küberturvalisuse õigusnõunik Raavo Palu. Riigikaitsekomisjoni arutelus juhiti tähelepanu, et eelnõu muudab hädaolukorra seadust, mille tsiviilkriisi ja riigikaitse seaduse eelnõu 668 kehtetuks tunnistab. Kuid viimase § 217 muudab omakorda küberturvalisuse seadust, mistõttu tuleb edasise menetluse käigus mõlemad eelnõud omavahel kooskõlla viia. Riigikaitsekomisjonis juhiti ka tähelepanu, et arutluse all oleva eelnõu valguses oleks mõistlik riigikaitse eesmärkides fikseerida ka küberruumi suveräänsuse eest seismine. Seda viimast saaks näiteks kajastada koostamisel olevas uues julgeolekupoliitika aluste dokumendis. Samas märgiti, et kuna küberruumil ei ole piire, siis selle kaitsmine on väga keeruline. Vastates komisjoni liikmete küsimustele, kinnitasid eelnõu algataja esindajad, et seaduse rakendumise eesmärk ei ole trahvida, vaid tagada, et kriitilised ja olulised ettevõtted neid nõudeid täidaksid. Tuleb leida mõistlik tasakaal ja läbi rääkida ettevõtete ja liitudega, et saaks ikkagi kätte maksimumi, mida küberturvalisuse tagamiseks vaja on. Kokkuvõttes, riigikaitsekomisjoni liikmed toetavad eelnõu üldpõhimõtteid ning sellest tulenevalt on riigikaitsekomisjoni konsensuslikud menetluslikud otsused järgmised. Teha Riigikogu juhatusele ettepanek lülitada arutluse all olev seaduseelnõu esimeseks lugemiseks Riigikogu tänase istungi päevakorda ja teha Riigikogule ettepanek eelnõu esimene lugemine lõpetada. Eelnõu komisjoni ettekandjaks määrati mind. Eelnõu kohta muudatusettepanekute esitamise tähtajaks on Riigikogu kodu- ja töökorra seadusest tulenev kümme tööpäeva. Aitäh!

Aitäh! Küsimusi teile ei ole. Nüüd avan fraktsioonide läbirääkimised. Läbirääkimiste soovi ei ole, sulgen läbirääkimised. Juhtivkomisjoni ettepanek on eelnõu 739 esimene lugemine lõpetada. Esimene lugemine on lõpetatud ja muudatusettepanekute esitamise tähtaeg on käesoleva aasta 6. november kell 17.15. Oleme läbinud ka teise päevakorrapunkti ning istung on lõppenud.

Aitäh! Küsimusi teile ei ole. Nüüd avan läbirääkimised fraktsioonidele. Läbirääkimiste soovi ei ole. Sulgen läbirääkimised. Juhtivkomisjoni ettepanek on eelnõu 739 esimene lugemine lõpetada. Esimene lugemine on lõpetatud ja muudatusettepanekute esitamise tähtaeg on käesoleva aasta 6. november kell 17.15. Oleme läbinud ka teise päevakorrapunkti ning istung on lõppenud.