Küberintsidentide registri põhimäärus

Määrus kehtestatakse

§ 13 lõike 3 alusel.

1. peatükk Üldsätted

§ 1. Andmekogu asutamine ja selle nimetus

(1) Määrusega asutatakse andmekogu nimetusega küberintsidentide register (edaspidi register).

§ 2. Registri pidamise eesmärk

(1) Registri eesmärk on pidada arvestust küberintsidentide, küberohtude ja turvahaavatavuste üle ning analüüsida registrisse esitatud teavet küberintsidentide, küberohtude ja turvahaavatavuse ennetamiseks või lahendamiseks, ohuteadete edastamiseks ning järelevalvetoimingute tegemiseks.

§ 3. Registri vastutav töötleja

(1) Registri vastutav töötleja on Riigi Infosüsteemi Amet (edaspidi vastutav töötleja).

§ 4. Registri turvalisus

(1) Registri turvaklass on K1T1S2 ja turbeaste on M.

2. peatükk Andmekoosseis ja andmete esitamine registrisse

§ 5. Registriandmete koosseis

(1) Registrisse kantakse küberintsidendi kohta järgmised andmed nende olemasolul:

1) küberintsidendist, küberohust või turvahaavatavusest mõjutatud võrgu- ja infosüsteemi haldaja nimi;

2) teave küberintsidendi, küberohu või turvahaavatavuse avastamise, eeldatava tekkimise ja lahendamise aja kohta;

3) teave mõju ulatuse kohta;

4) teave nende võrgu- ja infosüsteemide kohta, mida küberintsident, küberoht või turvahaavatavus mõjutab või võib mõjutada;

5) teave tekkepõhjuse kohta;

6) teave andmeandja, lahendaja ja käsitleja kohta;

7) teave lahendamiseks kulunud aja ja rakendatud turvameetmete kohta;

8) küberintsidendi, küberohu või turvahaavatavuse tuvastamiseks, analüüsimiseks ja lahendamiseks edastatud veebiaadress, fail ja süsteemi logi või manus.

(2) Lõike 1 punktis 6 sätestatud teave on:

1) küberintsidendist, küberohust või turvahaavatavusest teavitanud juriidilise isiku nimi, esindaja ees- ja perenimi, telefoninumber ning e-posti aadress;

2) küberintsidenti lahendava ning küberohtu või turvahaavatavust käsitleva juriidilise isiku nimi, esindaja ees- ja perenimi, telefoninumber ning e-posti aadress;

3) küberintsidendist, küberohust või turvahaavatavusest teavitanud füüsilise isiku ees- ja perenimi, telefoninumber ning e-posti aadress;

4) selle füüsilise isiku, kellega toimub küberintsidendi lahendamisega seotud edasine suhtlus, ees- ja perenimi, telefoninumber ja e-posti aadress.

§ 6. Andmeandja

(1) Andmeandjaks on:

1) teenuseosutaja;

2) muu isik kui teenuseosutaja.

§ 7. Registritoimingud

(1) Registritoimingud on:

1) andmete registrisse kandmine;

2) andmete muutmine;

3) andmete vaatamine;

4) andmete edastamine;

5) andmete kustutamine.

(2) Registritoiminguid teeb vastutav töötleja.

(3) Registritoimingu kohta kogutakse järgmisi andmeid:

1) toimingu tegija andmed;

2) toimingu tegemise sisu, kuupäev ja kellaaeg.

§ 8. Registriandmete õigsus

(1) Andmeandja vastutab tema poolt vastutavale töötlejale edastatud andmete õigsuse eest.

(2) Registriandmetes vea tuvastamisel või veast teadasaamisel parandab vastutav töötleja vea.

3. peatükk Juurdepääs registriandmetele ja andmete säilitamine

§ 9. Juurdepääs registriandmetele

(1) Register on piiratud juurdepääsuga ja registriandmed on mõeldud asutusesiseseks kasutamiseks.

(2) Registritoimingute tegemise õigus on vastutava töötleja teenistujal küberturvalisuse seadusest tulenevate ülesannete täitmiseks.

(3) Registriandmeid võib väljastada:

1) andmeandjale tema esitatud teabe kohta;

2) andmekaitse järelevalveasutusele, kui küberintsident, küberoht või turvahaavatavus puudutab isikuandmeid, põhjustades töödeldavate isikuandmete juhusliku või ebaseadusliku kaotsimineku, hävitamise, muutmise või loata avalikustamise või neile juurdepääsu;

3) riigi julgeoleku tagamisega seotud ülesannete täitmiseks;

4) süütegude menetlemiseks;

5) kui see on vajalik suure mõjuga küberintsidendi lahendamiseks ja teabe edastamine on ette nähtud seadusega või rahvusvahelise lepinguga;

6) kui õigus saada teavet tuleneb seadusest, rahvusvahelisest lepingust või muust õigusaktist ja teave on vajalik asutusele või isikule õigusaktiga pandud ülesannete täitmiseks.

(4) Vastutav töötleja otsustab registriandmete väljastamise või sellest keeldumise ja andmete väljastamise ulatuse 30 päeva jooksul taotluse saamisest arvates. Vastutaval töötlejal on enne andmete väljastamist õigus küsida taotluse esitajalt lisateavet.

(5) Lõike 3 punktides 2 ja 5 sätestatud juhul võib vastutav töötleja väljastada registriandmeid omal algatusel, kui registriandmete väljastamine on ette nähtud seadusega või rahvusvahelise lepinguga või see on vajalik andmekaitse järelevalveasutusele isikuandmete kaitse nõuete järele valvamiseks.

(6) Vastutav töötleja registreerib registriandmete väljastamise.

§ 10. Registriandmete ja registritoimingute andmete säilitamise tingimused

(1) Andmed, mis on registrisse kantud, kuid ei ole vajalikud küberintsidendi, küberohu või turvahaavatavuse analüüsimiseks, võib kustutada enne seaduses sätestatud tähtaja saabumist.

4. peatükk Registri rahastamine ja likvideerimine

§ 11. Registri rahastamine

(1) Registri pidamise kulu kaetakse vastutavale töötlejale riigieelarvest eraldatud vahenditest.

§ 12. Registri likvideerimine

(1) Registri likvideerimise otsustab valdkonna eest vastutav minister.

(2) Register likvideeritakse kooskõlas arhiiviseadusega.