Küberturvalisuse seadus

1. peatükk Üldsätted

§ 1. Seaduse reguleerimis- ja kohaldamisala

(1) Käesolev seadus sätestab:

1) ühiskonna toimimise seisukohast ülioluliste üksuste ja oluliste üksuste ning domeeninimede registreerimise teenuse osutajate kasutatavate võrgu- ja infosüsteemide pidamise nõuded, vastutuse ning järelevalve;

2) küberintsidentide käsitlemise alused ja nõuded turvahaavatavuse ning küberohtudega tegelemiseks;

3) ulatusliku küberintsidendi ja kriisi ennetamise ning lahendamise nõuded;

4) küberturvalisuse valdkonnas toimuva koostöö, teabevahetuse ja vastastikuse hindamise nõuded;

5) küberturvalisuse valdkonna pädevad asutused ja piiriüleste elektrivoogude valdkonnas küberturvalisuse järelevalvet tegeva pädeva asutuse määramise nõuded.

(2) Käesolevat seadust ei kohaldata:

1) riigisaladuse ja salastatud välisteabe töötlemisele ning sellise teabe töötlussüsteemide pidamisele;

2) Kaitseministeeriumi valitsemisalas rahvusvaheliseks sõjaliseks koostööks ja riigi sõjalise kaitse ettevalmistamiseks vajalike süsteemide pidamisele;

3) Eesti Vabariigi diplomaatilistele ja konsulaaresindustele kolmandates riikides ning nende võrgu- ja infosüsteemidele, kui sellised süsteemid asuvad esinduse ruumides või kui neid käitatakse kolmanda riigi kasutajate jaoks.

(2) Käesoleva paragrahvi lõikes 2 sätestatud erisust ei kohaldata usaldusteenuse osutajale.

(4) Kui teenuseosutaja võrgu- ja infosüsteemi pidamise ning küberintsidendist teavitamise nõuded on samaväärselt käesolevas seaduses sätestatuga reguleeritud välislepinguga, Euroopa Liidu õigusaktiga või muu seadusega, kohaldatakse käesolevat seadust välislepingust, Euroopa Liidu õigusaktist või muust seadusest tulenevate erisustega.

(5) Käesolevas seaduses sätestatud haldusmenetlusele kohaldatakse haldusmenetluse seaduse sätteid, arvestades käesoleva seaduse erisusi.

§ 2. Terminid

(1) Käesolevas seaduses kasutatakse termineid järgmises tähenduses:

1) andmekeskusteenus – teenus, millega pakutakse selliseid struktuure või struktuurirühmi, mis on ette nähtud andmete talletamiseks, töötlemiseks ning edastamiseks kasutatavate infotehnoloogia- ja võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, sealhulgas kõiki elektrivarustuse ning majutuskeskkonna kontrolliga seotud vahendeid ja taristuid;

2) digitaalse teenuse osutaja – üldnimetus, mille all mõeldakse domeeninimede süsteemi teenuse osutajat, tippdomeeninimede registri pidajat, domeeninimede registreerimise teenuse osutajat, pilvandmetöötlusteenuse osutajat, andmekeskusteenuse osutajat, sisulevivõrguteenuse osutajat, haldusteenuse osutajat, infoturbeteenuse osutajat, internetipõhise kauplemiskoha pidajat ja veebipõhise otsingumootori või sotsiaalmeediaplatvormi pakkujat;

3) digitaalse teenuse osutaja esindaja (edaspidi esindaja) – Euroopa Liidus asuv füüsiline või juriidiline isik, kes on määratud tegutsema väljaspool Euroopa Liitu asuva digitaalse teenuse osutaja nimel ja kelle poole võib Riigi Infosüsteemi Amet pöörduda seoses digitaalse teenuse osutaja kohustustega;

4) domeeninimede registreerimise teenuse osutaja – tippdomeeninimede registri pidaja või selle registri pidaja nimel tegutsev isik, näiteks registreerimisega seotud privaatsusteenuse või proksiteenuse osutaja või edasimüüja;

5) domeeninimede süsteem – hierarhiline ja hajus nimesüsteem, mis võimaldab tuvastada internetiteenuseid ja -ressursse, tehes lõppkasutaja seadmetel võimalikuks kasutada internetimarsruutimise ning ühenduvuse teenuseid, et jõuda nende teenuste ja ressurssideni;

6) domeeninimede süsteemi teenuse osutaja – üksus, kes osutab interneti lõppkasutajatele üldsusele kättesaadavat domeeninime rekursiivse teisendamise teenust või kes osutab kolmandatele isikutele kasutamiseks mõeldud domeeninime autoriteetse teisendamise teenust, välja arvatud juurnimeserveri teenust;

7) haldusteenuse osutaja – üksus, kes osutab teenuseid, mis on seotud IKT-toodete, võrkude, taristu, rakenduste või muude võrgu- ja infosüsteemide paigaldamise, haldamise, käitamise või hooldamisega toe või aktiivse haldamise kaudu kas kliendi ruumides või kaugjuhtimise teel;

8) IKT-protsess – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 07.06.2019, lk 15–69), artikli 2 punktis 14 määratletud IKT-protsess;

9) IKT-teenus – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 13 määratletud IKT-teenus;

10) IKT-toode – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 12 määratletud IKT-toode;

11) infoturbeteenuse osutaja – haldusteenuse osutaja, kes viib ellu riskide juhtimist või pakub selleks tuge;

12) interneti sõlmpunkt – ühenduspunkt, mis võimaldab rohkem kui kahe sõltumatu võrgu omavahelist ühendamist ja internetiliiklust nende vahel; see võimaldab üksnes autonoomsete süsteemide omavahelist ühendamist ega nõua, et internetiliiklus kahe osaleva autonoomse süsteemi vahel toimuks mõne kolmanda autonoomse süsteemi kaudu, ei muuda sellist liiklust ega sekku sellesse mingil muul viisil;

13) internetipõhine kauplemiskoht – internetipõhine kauplemiskoht tarbijakaitseseaduse tähenduses;

14) järelkontroll – järelevalve, mis on seotud küberintsidendile tagantjärele reageerimisega või küberintsidendi tekkimise vahetu ohu täiendava kontrolliga, lähtudes tõenditest, vihjetest või teabest, millega on juhitud järelevalveasutuse tähelepanu küberintsidendile või selle tekkimise vahetule ohule, avalikult kättesaadavast teabest või teabest, mis on saadud või loodud järelevalveasutuse muu ülesande täitmisel;

15) keskvalitsuse avaliku halduse üksus – Eesti Pank, kohtuasutus, riigi valimisteenistus, Riigikogu Kantselei, Riigikontroll, Vabariigi Presidendi Kantselei, valitsusasutus, valitsusasutuse hallatav riigiasutus ja Õiguskantsleri Kantselei;

16) kohaliku omavalitsuse avaliku halduse üksus – kohaliku omavalitsuse üksus, valla või linna ametiasutus, valla või linna ametiasutuse hallatav asutus, osavald, linnaosa, osavalla või linnaosa ametiasutus, osavalla või linnaosa ametiasutuse hallatav asutus ning kohaliku omavalitsuse üksuste ühisamet ja -asutus;

17) kvalifitseeritud usaldusteenuse osutaja – Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114) artikli 3 punktis 20 määratletud kvalifitseeritud usaldusteenuse osutaja;

18) küberintsidendi käsitlemine – toimingud ja menetlused, mille eesmärk on küberintsidenti ennetada, tuvastada, analüüsida, ohjata või lahendada ja sellest taastuda;

19) küberintsident – võrgu- ja infosüsteemis toimuv sündmus, mis ohustab või kahjustab võrgu- ja infosüsteemi turvalisust;

20) küberintsidentide käsitlemise üksus – ekspertide grupp, kelle ülesanne on teha küberintsidendi käsitlemist toetavaid toiminguid;

21) küberoht – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 8 määratletud küberoht;

22) küberturvalisus – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 1 määratletud küberturvalisus;

23) oluline küberoht – küberoht, mille tehniliste näitajate põhjal on võimalik eeldada, et sellel võib olla suur mõju üksuse võrgu- ja infosüsteemile või üksuse võrgu- ja infosüsteemi kasutajatele, tekitades märkimisväärset varalist või mittevaralist kahju;

24) pilvandmetöötlusteenus – infoühiskonna teenus, mis võimaldab nõude põhjal hallata skaleeritavaid ja paindlikke jagatavaid andmetöötlusressursse ning ulatuslikku kaugpääsu neile, sealhulgas juhul, kui need ressursid paiknevad hajutatult eri kohtades;

25) risk – küberintsidendist tingitud kahju või häire tekke võimalus, mis väljendub kahju või häire ulatuse ja küberintsidendi esinemise tõenäosuse kombineeritud näitajana;

26) sihipärane turvaaudit – võrgu- ja infosüsteemi andmike ja toimingute sõltumatu läbivaatus ning uurimine, et kontrollida võrgu- ja infosüsteemi turvameetmete adekvaatsust ning vastavust kehtivale infoturvapoliitikale ja tööprotseduuridele, avastada turvarikkeid ning soovitada võimalikke järelduvaid meetme-, poliitika- ja protseduurimuudatusi;

27) sisulevivõrk – geograafiliselt hajutatud serverite võrk, mille eesmärk on tagada digisisu ja infoühiskonna teenuste laialdane kättesaadavus, juurdepääsetavus või kiire edastamine internetikasutajatele sisu- ja teenusepakkujate nimel;

28) sotsiaalmeediaplatvorm – platvorm, mis võimaldab lõppkasutajatel vastastikku ühendust pidada, sisu jagada, teavet otsida ning suhelda mitme seadme kaudu, eelkõige vestluste, postituste, videote ja soovituste vormis;

29) teadusasutus – üksus, kelle peamine tegevus on teha rakendusuuringuid või tootearendust eesmärgiga kasutada selliste uuringute või arenduste tulemusi ärilistel eesmärkidel, kuid kes ei ole haridusasutus;

30) tippdomeeninimede registri pidaja – üksus, kelle vastutusel on Eesti maatunnusega seotud tippdomeen ning kes vastutab selle tippdomeeni haldamise eest, sealhulgas tippdomeeni alamdomeeninimede registreerimise eest ja tippdomeeni tehnilise toimimise eest, sealhulgas nimeserverite käitamise ja andmebaaside hooldamise eest ning tippdomeeni tsoonifailide jaotamise eest nimeserverite vahel, olenemata sellest, kas mõne neist toimingutest teeb üksus ise või ostetakse mõni toiming sisse, kuid välja arvatud juhul, kui registri pidaja kasutab tippdomeeninimesid ainult enda tarbeks;

31) turvahaavatavus – IKT-toote või IKT-teenuse nõrkus, vastuvõtlikkus või viga, mida küberoht võib ära kasutada;

32) turvalisuse kontroll – võrgu- ja infosüsteemi tehniline ning korralduslik uurimine, et tuvastada võrgu- ja infosüsteemi turvahaavatavust või võrgu- ja infosüsteemi turvameetmete nõuetele mittevastavust;

33) turvameetmed – rakendatavad organisatsioonilised, füüsilised ja infotehnilised toimingud või vahendid andmete ning võrgu- ja infosüsteemide turvalisuse saavutamiseks ning säilitamiseks;

34) ulatuslik küberintsident – küberintsident, mille põhjustatud häired on niivõrd laialdased, et üks Euroopa Liidu liikmesriik ei suuda nendega toime tulla, või millel on märkimisväärne mõju vähemalt kahele Euroopa Liidu liikmesriigile;

35) usaldusteenuse osutaja – Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 3 punktis 19 määratletud usaldusteenuse osutaja;

36) veebipõhine otsingumootor – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/1150, mis käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks (ELT L 186, 11.07.2019, lk 57–79), artikli 2 punktis 5 määratletud veebipõhine otsingumootor;

37) võrgu- ja infosüsteem (edaspidi süsteem) – elektroonilise side võrk elektroonilise side seaduse § 2 punkti 8 tähenduses, seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne programmi kohaselt digitaalsete andmete automaatne töötlemine, või digitaalsed andmed, mida eelnimetatud komponendid nende töö, kasutamise, kaitsmise või hooldamise jaoks salvestavad, töötlevad, saavad päringuga või edastavad;

38) võrgu- ja infosüsteemi turvalisus (edaspidi süsteemi turvalisus) – süsteemi võime osutada vastupanu mis tahes sündmusele, mis ohustab süsteemis töödeldavate andmete või süsteemi kaudu osutatavate või juurdepääsetavate teenuste käideldavust, autentsust, terviklust ja konfidentsiaalsust;

39) üksus – juriidiline isik, kes on asutatud ja keda tunnustatakse tema tegevuskohajärgse riigi õiguse kohaselt ning kellel võivad olla õigused ja kohustused, või füüsiline isik;

40) üldkasutatav elektroonilise side teenus – üldkasutatav elektroonilise side teenus elektroonilise side seaduse tähenduses;

41) üldkasutatav elektroonilise side võrk – üldkasutatav elektroonilise side võrk elektroonilise side seaduse tähenduses.

§ 3. Teenuseosutaja

(1) Teenuseosutaja käesoleva seaduse tähenduses on ühiskonna toimimise seisukohast ülioluline üksus (edaspidi ülioluline üksus) ja ühiskonna toimimise seisukohast oluline üksus (edaspidi oluline üksus).

(2) Ülioluline üksus on:

1) domeeninimede süsteemi teenuse osutaja;

2) elutähtsa teenuse osutaja hädaolukorra seaduse tähenduses;

3) keskvalitsuse avaliku halduse üksus;

4) kohaliku omavalitsuse avaliku halduse üksus;

5) kriitilise tähtsusega side, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja;

6) kvalifitseeritud usaldusteenuse osutaja;

7) tippdomeeninimede registri pidaja;

8) üldkasutatava elektroonilise side võrgu teenuse osutaja või üldkasutatava elektroonilise side teenuse osutaja, kellel on Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta (ELT L 124, 20.05.2003, lk 36–41) esitatud keskmise suurusega ettevõtja määratluse kohaselt majandusaasta jooksul 50 või rohkem töötajat ja kelle aastabilansimaht või aastakäive ületab 10 miljonit eurot.

(3) Lisaks käesoleva paragrahvi lõikes 2 sätestatule loetakse ülioluliseks üksuseks ka üksus, kellel on Euroopa Komisjoni soovituses 2003/361/EÜ esitatud keskmise suurusega ettevõtja määratluse kohaselt majandusaasta jooksul 250 või rohkem töötajat ja kelle aastabilansimaht ületab 43 miljonit eurot või aastakäive ületab 50 miljonit eurot ning kes on:

1) andmekeskusteenuse osutaja;

2) elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia müügiga, kaasa arvatud selle edasimüügiga elektrienergia hulgimüüjale või lõpptarbijale;

3) elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia tootmisega;

4) ettevõtja, kes tegeleb nõukogu direktiivi 91/271/EMÜ asulareovee puhastamise kohta (EÜT L 135, 30.05.1991, lk 40–52) artikli 2 punktides 1, 2 ja 3 määratletud asulareovee, olmereovee või tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtja, kelle puhul on asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine tema üldise tegevuse väheoluline osa;

5) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 laevade ja sadamarajatiste turvalisuse tugevdamise kohta (ELT L 129, 29.04.2004, lk 6–91) I lisas meretranspordi puhul osutatud ettevõtja, kes tegeleb reisijate ja kauba vedamisega sisevetes, merel ja rannavetes, välja arvatud kõnealuse ettevõtja käitatavad üksikud laevad;

6) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/123, mis käsitleb Euroopa Ravimiameti suuremat rolli ravimite ja meditsiiniseadmete alases kriisivalmiduses ja -ohjes (ELT L 20, 31.01.2022, lk 1–37), artiklis 22 nimetatud rahvatervise hädaolukorras esmatähtsa meditsiiniseadme tootja;

7) Euroopa Liidu majanduse tegevusalade statistilise klassifikaatori NACE Revision 2 C jao osas 21 osutatud põhifarmaatsiatoote ja ravimpreparaadi tootja;

8) gaasiettevõtja maagaasiseaduse tähenduses;

9) haldusteenuse osutaja;

10) hoidlatevõrgu haldur maagaasiseaduse tähenduses;

11) infoturbeteenuse osutaja;

12) interneti sõlmpunkti teenuse osutaja;

13) jaotusvõrguettevõtja elektrituruseaduse tähenduses;

14) kaugkütte- ja kaugjahutussüsteemi käitaja kaugkütteseaduse tähenduses;

15) kauplemiskoha korraldaja väärtpaberituru seaduse tähenduses;

16) keskne vastaspool Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.07.2012, lk 1–59) artikli 2 punkti 1 tähenduses;

17) kosmosepõhise teenuse osutamist toetav Eesti Vabariigi või eraõigusliku isiku omandis oleva, hallatava või käitatava maapealse taristu käitaja, kes ei ole üldkasutatava elektroonilise side võrgu teenuse osutaja;

18) krediidiasutus Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337) artikli 4 punkti 1 tähenduses;

19) laadimispunkti käitaja elektrituruseaduse tähenduses, kes vastutab laadimispunkti haldamise ja käitamise eest, osutades lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest;

20) lennuettevõtja Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 09.04.2008, lk 72–84), artikli 3 punkti 4 tähenduses, kes tegeleb ärilise lennutranspordiga;

21) Euroopa Parlamendi ja nõukogu direktiivi 2009/12/EÜ lennujaamatasude kohta (ELT L 70, 14.03.2009, lk 11–16) artikli 2 punktis 1 määratletud lennujaama haldaja ning lennujaama abirajatiste käitaja;

22) lennujaama haldaja lennundusseaduse tähenduses;

23) lennujuhtimise teenust Euroopa Parlamendi ja nõukogu määruse (EL) 2024/2803 ühtse Euroopa taeva algatuse rakendamise kohta (uuesti sõnastatud) (ELT L, 2024/2803, 11.11.2024) artikli 2 punkti 6 tähenduses osutav lennuliikluskorraldusettevõtja;

24) liiklusseadusekohase intelligentse transpordisüsteemi käitaja;

25) maagaasi rafineerimise ja töötlemise rajatise käitaja;

26) maagaasi, sealhulgas veeldatud maagaasi müügiga ning hulgimüüjale, lõpptarbijale ja maagaasi ostvale gaasiettevõtjale maagaasi edasimüügiga tegelev gaasiettevõtja maagaasiseaduse tähenduses;

27) määratud elektriturukorraldaja Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (uuesti sõnastatud) (ELT L 158, 14.06.2019, lk 54–124), artikli 2 punkti 8 tähenduses;

28) nafta tootmise, rafineerimise ja töötlemise rajatiste käitamise ning nafta hoiustamise ja ülekandmisega tegelev ettevõtja;

29) pilvandmetöötlusteenuse osutaja;

30) põhivõrguettevõtja elektrituruseaduse tähenduses;

31) raudteeinfrastruktuuriettevõtja ja raudteeveoettevõtja, sealhulgas teenindusrajatise käitaja raudteeseaduse tähenduses;

32) sadama pidaja või sadamarajatise valdaja sadamaseaduse tähenduses, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 artikli 2 punktis 11 määratletud sadamarajatiste valdaja, ning sadamates tööde ja varustuse haldamisega tegelev üksus;

33) sisulevivõrguteenuse osutaja;

34) turuosaline Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943 artikli 2 punkti 25 tähenduses, kes osutab agregeerimis-, tarbimiskaja- või elektrienergia salvestamise teenust elektrituruseaduse tähenduses;

35) veeldatud gaasi terminali haldur maagaasiseaduse tähenduses;

36) veeliikluse juhtimise keskus;

37) veeseaduse § 17 lõike 1 kohase joogiveega varustaja ja selle jaotaja, välja arvatud jaotaja, kelle puhul on joogivee jaotamine tema üldise muude tarbekaupade ning kaupade tarnimise tegevuse väheoluline osa;

38) vesiniku tootmise, hoiustamise ja ülekandmisega tegelev ettevõtja;