Riigi Infosüsteemi Ameti põhimäärus

Määrus kehtestatakse „

” § 42 lõike 1 alusel.

1. peatükk ÜLDSÄTTED

§ 1. Riigi Infosüsteemi Ameti staatus

(1) Riigi Infosüsteemi Amet (edaspidi amet) on Justiits- ja Digiministeeriumi (edaspidi ministeerium) valitsemisalas tegutsev valitsusasutus, kellel on juhtimisfunktsioon ja kes täidab avalikke ülesandeid õigusaktides ettenähtud alustel ja ulatuses.

(2) Oma ülesannete täitmisel esindab amet riiki.

§ 2. Ameti nimetus inglise keeles

(1) Ameti nimetus inglise keeles on Information System Authority.

§ 3. Tegevuse koordineerimine ja aruandekohustus

(1) Amet on aruandekohustuslik digivaldkonna eest vastutava ministri (edaspidi minister) ees, kes suunab ja koordineerib ameti tegevust ja teeb ameti üle teenistuslikku järelevalvet õigusaktidega sätestatud korras.

(2) Ameti tegevust koordineerib ja koostööd ministeeriumiga korraldab kantsler.

(3) Amet kooskõlastab oma tegevuse ja teeb koostööd ministeeriumi osakondadega nende põhimäärustes sätestatud ülesannete ulatuses.

§ 4. Eelarve

(1) Ameti kulud kaetakse riigieelarvest, rahvusvahelistes koostööprojektides osalemisest tulenevatest eraldistest ning Euroopa Liidu poolt eraldatud vahenditest. Ameti eelarve kinnitab, muudab ja eelarve täitmist kontrollib minister.

(2) Ametil on arvelduskontod Riigikassa kontsernikonto koosseisus.

§ 5. Ameti pitsat

(1) Ametil on väikese riigivapi kujutise ja oma nimega pitsat.

§ 6. Ameti asukoht

(1) Amet asub Tallinnas. Väljaspool ameti asukohta paiknevate struktuuriüksuste aadressid näidatakse nende põhimäärustes.

2. peatükk TEGEVUSVALDKOND JA PÕHIÜLESANDED

§ 7. Tegevusvaldkond

(1) Amet teostab õigusaktidega sätestatud ulatuses tema pädevuses olevaid ülesandeid riigi infosüsteemi ja küberturvalisuse valdkonnas.

§ 8. Põhiülesanded

(1) Amet täidab oma tegevusvaldkondades järgmiseid põhiülesandeid:

1) ameti valduses olevale avalikule teabele juurdepääsu korraldamine;

2) ameti valduses oleva riigivara valdamine ja kasutamine õigusaktidega ettenähtud tingimustel;

3) ennetustöö ja avalikkuse ohtudest teavitamise korraldamine;

5) koolitus- ja nõustamistegevus;

6) märgukirjadele, selgitustaotlustele ning muudele pöördumistele vastamine;

7) oma ülesannete piires avalike huvide kaitseks kohtumenetluses osalemine;

8) uuringute, analüüside, aruannete ja ülevaadete koostamise korraldamine;

9) rahvusvahelise koostöö arendamine ja korraldamine ning rahvusvahelisel suhtlemisel riigi esindamine ameti pädevuse piires, sealhulgas rahvusvahelistes koostöövõrgustikes;

10) strateegiate, arengukavade ja projektide ettevalmistamises ning elluviimises osalemine;

11) õigusaktides ettenähtud juhtudel haldusaktide andmine, toimingute sooritamine ja halduslepingute sõlmimine;

12) õigusaktide väljatöötamisel osalemine, nende rakendamise korraldamine ning õigusaktidest tulenevate õiguste teostamiseks ja kohustuste täitmiseks juhiste andmine;

13) muude seadusest tulenevate ülesannete täitmine.

(2) Põhiülesannete täitmiseks töötleb amet teavet, koostab strateegia ja tööplaanid, eelarve eelnõu ja selle täitmise aruande ning muud sisemist tööd korraldavad dokumendid, teeb koostööd teiste täidesaatva riigivõimu asutuste ja kohaliku omavalitsuse üksustega ning sõlmib lepinguid.

(3) Riigi infosüsteemi valdkonnas amet:

1) korraldab Eesti teabevärava eesti.ee, valimiste infosüsteemide, infosüsteemide andmevahetuskihi, riigi infosüsteemi haldussüsteemi, asutustevahelise dokumendivahetussüsteemi ning autentimist, digitaalallkirjastamist ja krüpteerimist võimaldava tarkvara ja internetipõhise autentimis- ja allkirjastamissüsteemi ning riigivõrgu elektroonilise side teenuse arendamist, haldamist ja majutamist ning koordineerib nende kasutamist;

2) kooskõlastab andmekogude tehnilist dokumentatsiooni ja registreerib andmekogusid;

3) hindab ja kontrollib isikut tõendava dokumendi andmekandja tehniliste omaduste nõuetelevastavust ja peab Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114) artikli 22 kohast usaldusnimekirja ja võib korraldada usaldusteenuste infrastruktuuri loomist, haldamist ja ajakohastamist;

4) korraldab riigi infosüsteemi kuuluvate kesksete platvormide arendamist, haldamist ja majutamist.

(4) Küberturvalisuse valdkonnas amet:

1) korraldab kriitilise informatsiooni infrastruktuuri kaitset;

2) korraldab infosüsteemide turvameetmete süsteemi arendamist ja koordineerib infoturbemeetmete rakendamist;

3) täidab küberturvalisuse seaduse § 5 tähenduses pädeva asutuse, ühtse kontaktpunkti, ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse, küberintsidentide käsitlemise üksuse ja turvahaavatavuse koordineeritult avaldamise koordinaatori ülesandeid ning koordineerib küberintsidentide käsitlemist;

3¹) osaleb oma pädevuse kohaselt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), artiklis 14 nimetatud koostöörühma tegevuses, artiklis 16 nimetatud Euroopa küberkriisiga tegelevate kontaktasutuste võrgustiku töös ja küberturvalisuse seaduse §-s 5 nimetatud küberintsidentide käsitlemise riiklike üksuste võrgustiku töös;

4) korraldab küberturvalisust ohustavate riskide seiret, analüüsi ja ohtudest teavitamist;

5) juhib välisprojekte ameti pädevuse piires;

6) teostab õigusaktide alusel haldus- ja riiklikku järelevalvet, haldussunni rakendamist ja väärtegude kohtuvälist menetlemist.

§ 9. Tegevus põhiülesannete täitmiseks

§ 9¹. Ameti töökorralduslikud ja muud kohustused

(1) Amet:

1) tagab oma sidekanalite laialdase ja pideva kättesaadavuse, kasutades selleks mitmesuguseid töökindlaid vahendeid, mis võimaldavad tal teistega ja teistel temaga igal ajal ühendust võtta;

2) määrab kindlaks sidekanalid ning teeb need teatavaks oma sihtrühmadele ja koostööpartneritele;

3) tagab, et tema ametiruumid ja tööd toetavad infosüsteemid asuvad turvalises kohas ning et teenuste toimepidevuse eesmärgil on olemas ka varusüsteemid ja -tööruumid;

4) tagab sellise päringute haldamiseks ja suunamiseks sobiva infosüsteemi olemasolu, mis võimaldab ka töid tõhusalt üle anda;

5) tagab oma tegevuse konfidentsiaalsuse ja usaldusväärsuse;

6) tagab oma teenuste pideva kättesaadavuse eesmärgil piisava arvu töötajate ja ametnike olemasolu;

7) tagab oma töötajatele ja ametnikele asjakohase väljaõppe.

3. peatükk STRUKTUUR JA STRUKTUURIÜKSUSTE PÕHIÜLESANDED

§ 10. Struktuuriüksused

(1) Ameti struktuuriüksused on küberturvalisuse keskus, riigi infosüsteemi teenistus ja peadirektorile vahetult alluvad osakonnad. Lisaks võivad ameti struktuuri kuuluda teenistujad, kes ei ole ühegi struktuuriüksuse koosseisus ning kes alluvad vahetult peadirektorile või peadirektori määratud teenistujale.

(2) Teenistuse ja keskuse koosseisu võivad kuuluda osakonnad ja osakondade koosseisu võivad kuuluda allstruktuuriüksused, mille pädevus määratakse kindlaks struktuuriüksuse põhimääruses. Osakonna koosseisu võivad kuuluda ametnikud ja töötajad, kes ei ole ühegi allstruktuuriüksuse koosseisus, vaid alluvad vahetult osakonnajuhatajale ja kelle ülesanded määratakse ametijuhendiga.

(3) Ameti teenistuskohtade maksimaalse arvu kinnitab minister peadirektori ettepanekul. Ameti teenistuskohtade koosseisu kinnitab peadirektor.

§ 11. Struktuuriüksuse struktuur ja ülesanded ning ametnike ja töötajate õigused, kohustused ja vastutus

(1) Struktuuriüksuse struktuur ja ülesanded määratakse peadirektori poolt kinnitatud struktuuriüksuse põhimäärusega.

(2) Ametnike ja töötajate õigused, kohustused ja vastutus määratakse peadirektori poolt kinnitatud ametijuhendiga.

§ 12. Struktuuriüksuse juhtimine

(1) Struktuuriüksust juhib peadirektori asetäitja, osakonnajuhataja või peadirektori määratud ametnik või töötaja, kes vastutab struktuuriüksusele pandud ülesannete täitmise eest.

§ 13. Ameti struktuuriüksused ja nende põhiülesanded

(1) Küberturvalisuse keskuse ülesanded on:

1) Eesti riigi tasemel CERT (Computer Emergency Response Team), küberintsidentide käsitlemise üksuse ja turvahaavatavuse koordineeritult avaldamise koordinaatori ülesannete täitmine, sealhulgas Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemine;

2) küberturvalisuse tagamise ning küberintsidentide ennetamise ja lahendamise koordineerimine ning üldise küberteadlikkuse tõstmine küberintsidentide ärahoidmiseks ja küberintsidentidele reageerimiseks;

2¹) küberintsidendist lähtuva ohu avalikustamine, kui see on kooskõlastatud riigisisese või rahvusvahelise koostöö alusel;

3) Eesti arvutivõrkudes toimunud küberintsidentide ja pahavara leviku kohta raportite koostamine;

4) Eesti Interneti protokolli aadressiruumis ning Eesti riigitunnusega seotud domeenide vaatluse teostamine, võrgu- ja infosüsteemide turvalisust ohustavate riskide ning nende mõju analüüsimine ja ohuteadete edastamine;

5) küberturvalisuse valdkonna alaste õigusaktide, strateegiate, arengukavade, sihtprogrammide ja eelarvete väljatöötamisel osalemine ning riikliku ja haldusjärelevalve teostamine, väärtegude menetlemine ja kvalifitseeritud usaldusteenuste osutamise tegevuslubade taotluste lahendamine;

6) nõustamine võrgu- ja infosüsteemide turvalisuse tagamiseks ettenähtud meetmete nõuetekohaseks rakendamiseks;

7) küberturvalisuse alase teadus- ja arendustegevuse korraldamine ja koordineerimine ning valdkonna teadus- ja uurimisasutustega koostöö tegemine.

(1) Küberturvalisuse keskus täidab küberintsidentide käsitlemise üksuse ülesandeid järgmiselt:

1) tegeleb oma ülesannete piires vähemalt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 I ja II lisas osutatud sektorite, allsektorite või viidatud liiki üksustega ja vastutab küberintsidentide käsitlemise eest kindla menetluse kohaselt;

2) osaleb küberturvalisuse seaduses sätestatud vastastikuses hindamises;

3) teeb koostööd teiste Euroopa Liidu liikmesriikide küberintsidentide käsitlemise üksustega;

4) võib teha koostööd kolmandate riikide küberintsidentide käsitlemise riiklike üksustega või samaväärsete asutustega, sealhulgas küberturvalisusalase abi andmiseks;

5) teeb koostööd teenuseosutajate sektoripõhiste või -vaheliste kogukondadega, sealhulgas vahetab vajaduse korral nendega teavet, arvestades küberturvalisuse seaduses küberturvalisusalase teabevahetuse kokkuleppe kohta sätestatud nõudeid;

6) korraldab küberohtude, turvahaavatavuste ja küberintsidentide seiret ning analüüsi riiklikul tasandil;

7) taotluse korral osutab asjaomastele teenuseosutajatele abi nende võrgu- ja infosüsteemide reaalajalise või reaalajalähedase seirega;

8) tagab küberohu, turvahaavatavuse ja küberintsidendi kohta varajase hoiatuse, hoiatuse ja teate edastamise ning teabe levitamise asjaomastele teenuseosutajatele, pädevatele asutustele ja muudele asjaomastele sidusrühmadele, võimaluse korral edastatakse varajane hoiatus, hoiatus ja teade reaalajalähedaselt;

9) lahendab küberintsidente ja asjakohasel juhul abistab asjaomaseid teenuseosutajaid;

10) kogub ja analüüsib digitaalkriminalistika andmeid, analüüsib järjepidevalt riske ja küberintsidente, ning tagab teadlikkuse küberturvalisuse olukorrast;

11) kontrollib potentsiaalselt olulise mõjuga turvahaavatavuse kindlakstegemiseks ennetavalt teenuseosutaja taotlusel teenuseosutaja võrgu- ja infosüsteemi;

12) osaleb küberintsidentide käsitlemise riiklike üksuste võrgustiku töös ja osutab teisele võrgustiku liikmele taotluse korral oma võimete ja pädevuse kohast abi;

13) täidab turvahaavatavuse koordineeritult avaldamise koordinaatori ülesandeid;

14) aitab teenuseosutajatel ja asjaomastel sidusrühmadel kasutusele võtta nendega teabe turvaliseks vahetamiseks mõeldud vahendeid;

15) teeb vajaduse korral teenuseosutaja üldkasutatava võrgu- ja infosüsteemi ennetavat välist kontrolli, mille eesmärk on tuvastada haavatav või ebaturvaliselt seadistatud süsteem ja teavitada sellest asjaomast teenuseosutajat, tagades, et kontroll ei avalda negatiivset mõju teenuseosutaja teenuse toimimisele;

16) loob koostöösuhteid erasektori asjaomaste sidusrühmadega ning toetab koostöö hõlbustamiseks ühtsete või standardsete tavade ja liigitamissüsteemide kasutuselevõttu seoses küberintsidendi käsitlemise menetluse, kriisiohje ja turvahaavatavuse koordineeritud avaldamisega.

(1) Lõike 1¹ punktides 6–14 sätestatud ülesandeid võib riski- või ohuprognoosipõhise lähenemisviisi alusel prioriseerida.

(1) Küberturvalisuse keskus täidab turvahaavatavuse koordineeritult avaldamise koordinaatori ülesandeid järgmiselt:

1) tegutseb usaldusväärse vahendajana, hõlbustades vajaduse korral turvahaavatavusest teavitava füüsilise või juriidilise isiku ja potentsiaalse turvahaavatavusega IKT-toote tootja või IKT-teenuse osutaja vahelist suhtlust, tegutsedes ükskõik kumma poole taotlusel;

2) teeb kindlaks teavitatud potentsiaalse turvahaavatavuse või turvahaavatavusega seotud üksuse ja võtab temaga ühendust;

3) abistab potentsiaalsest turvahaavatavusest ja turvahaavatavusest teavitavat füüsilist või juriidilist isikut;

4) peab läbirääkimisi avalikkuse turvahaavatavusest teavitamise tähtaja üle;

5) haldab mitut teenuseosutajat mõjutavat turvahaavatavust;

6) tagab, et teatatud turvahaavatavusega seoses võetakse hoolikalt järelmeetmeid;

7) tagab potentsiaalsest turvahaavatavusest või turvahaavatavusest teatava füüsilise või juriidilise isiku anonüümsuse;

8) teeb küberintsidentide käsitlemise riiklike üksuste võrgustikus koostööd teise Euroopa Liidu liikmesriigi poolt turvahaavatavuse koordineeritult avaldamise koordinaatori ülesandeid täitma määratud küberintsidentide käsitlemise riikliku üksusega, kui teatatud turvahaavatavus võib oluliselt mõjutada teenuseosutajaid rohkem kui ühes Euroopa Liidu liikmesriigis.

(1) Ameti peadirektor võib lõike 1 punktis 4 ning lõigetes 1¹ ja 1³ sätestatud ülesandeid § 15 punkti 2 alusel üle anda teisele struktuuriüksusele, sätestades ülesande vastava struktuuriüksuse põhimääruses.

(2) Riigi infosüsteemi teenistuse ülesanded on:

1) riigiasutusele ja kohaliku omavalitsuse üksuse organile ja asutusele ning nende hallatavale asutusele ning ülekaaluka avaliku huvi esinemise korral muule isikule elektroonilise side teenuse osutamine, selleks vajaliku infrastruktuuri arendamine ja haldamine;

2) riigi infosüsteemi haldussüsteemi, infosüsteemide andmevahetuskihi, asutustevahelise dokumendivahetussüsteemi, Eesti teabevärava eesti.ee ning valimiste infosüsteemide arendamise, haldamise ja majutamise korraldamine;

3) andmekogude kooskõlastamine ja registreerimine ning infosüsteemide andmevahetuskihiga liitumise korraldamine;

4) autentimist, digitaalallkirjastamist ja krüpteerimist võimaldava tarkvara ja internetipõhise autentimis- ja allkirjastamissüsteemi arendamise ja haldamise korraldamine ning Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 22 kohase usaldusnimekirja pidamine ning e-identimise ja e-tehingute usaldusteenuste seaduse § 3 lõike 2 kohaselt usaldusteenuste infrastruktuuri loomine, haldamine ja ajakohastamine;

5) riigi infosüsteemi valdkonnaspetsiifiliste koolituste läbiviimine ja ürituste korraldamine teadlikkuse tõstmiseks;

6) riigi infosüsteemi valdkonna alaste õigusaktide, strateegiate, arengukavade, sihtprogrammide ja eelarvete väljatöötamisel osalemine;

8) masinõppel ja keeletehnoloogial põhinevate riigi infosüsteemi toimimiseks vajalike infosüsteemide arendamise ja haldamise korraldamine;

9) riigi e-teenuste personaalse ja sündmuspõhise pakkumise korraldamine.

(16) Peadirektorile vahetult alluvate osakondade ülesanded on:

1) ameti sisekommunikatsiooni korraldamine;

2) avalikkust ja partnereid mõjutada võivatest ameti tegevustest teavitamine;

3) teavitus- ja ennetustegevuse korraldamine, et suurendada arvutikasutajate teadlikkust nii e-lahenduste kui ka arvutiturbe osas;

4) kriisiolukordades avalikkuse teavitamise korraldamine;

5) ameti teeninduse ja kliendikogemuse juhtimine ja parendamine;

6) strateegilise planeerimis- ja tulemusjuhtimissüsteemi arendamine ja rakendamise koordineerimine;

7) ameti teenuste portfelli keskne haldamine;

8) transpordi- ja büroohalduse korraldamine;

9) asjaajamise korraldamine ja juhtkonna tegevuse toetamine;

10) personalijuhtimise ja -teenuse korraldamine;

11) ameti infoturbe koordineerimine ja riskihalduse korraldamine;

12) teenistujate infoturbe alase teadlikkuse tõstmine ja nõuete täitmise kontrollimine;

13) riigisaladuse kaitse ja tuleohutuse nõuete täitmise korraldamine;

14) teenistuskohustuste rikkumise ennetamine, tõkestamine, avastamine ja menetlemine;

15) infotehnoloogiliste arendusprojektide juhtimine;

16) ameti õigusnõustamine;

17) riigihangete läbiviimise koordineerimine;

18) ameti tegevusvaldkonnaga seotud õigusaktide väljatöötamisel osalemine;

19) ameti õigushuvide esindamise korraldamine;

20) isikuandmete kaitse nõuete täitmise korraldamine;

21) finantsjuhtimise ja varahalduse korraldamine ning eelarve eelnõude koostamise koordineerimine.

4. peatükk JUHTIMINE

§ 14. Juhtimine

(1) Ametit juhib peadirektor, kelle nimetab ametisse ja kelle vabastab ametist minister kantsleri ettepanekul.

(2) Peadirektori äraolekul asendab teda peadirektori asetäitja, osakonnajuhataja või muu peadirektori määratud ametnik.

§ 15. Peadirektori õigused, kohustused ja vastutus

(1) Ameti peadirektor:

1) juhib ameti tööd peadirektori asetäitjate, osakonnajuhatajate ja peadirektorile vahetult alluvate ametnike ja töötajate kaudu, otsustab ja korraldab ameti pädevusse kuuluvate ülesannete täitmist ning vastutab ameti tegevuse tulemuste eest;

2) kinnitab osakondade ja teiste struktuuriüksuste põhimäärused, ameti asjaajamiskorra, töökorralduse reeglid ja muud töökorralduslikud dokumendid, ametnike ja töötajate töötasu ning ametijuhendid vastavuses õigusaktidega;

3) nimetab ametisse ja vabastab ametist koosseisu kuuluvad ametnikud ja sõlmib, muudab ja lõpetab töölepingud töötajatega;

4) rakendab otstarbeka sisekontrolli süsteemi;

5) nimetab siseauditi kutsetegevuse eest vastutava isiku;

6) teeb teenistuslikku järelevalvet õigusaktidega ettenähtud korras, määrab ergutusi ja distsiplinaarkaristusi;

7) esitab ministrile ettepanekuid ameti kulude eelarve kohta, tagab eelarve täpse ja otstarbeka täitmise ning riigivara sihipärase kasutamise;

8) käsutab riigivara „Riigivaraseaduses” sätestatud korras;

9) esindab ametit ja annab volitusi ameti esindamiseks;

10) teeb otsuseid sõltumatult ja iseseisvalt kooskõlas õigusaktidega;

11) esitab ministrile ettepanekuid ameti tegevusvaldkonna korraldamiseks;

12) kehtestab ameti pitsati kasutamise korra ja tagab selle järgimise;

13) moodustab töörühmi tegevusvaldkonna üksikküsimuste lahendamiseks;

14) teeb õigusaktidega ettenähtud juhtudel ettekirjutusi;