Valitsus leevendas küberturvalisuse nõudeid väikeettevõtetele ja -asutustele

Muudatusega tuuakse selgemalt välja meetmed, mida iga organisatsioon peaks esmalt jälgima, et muuta oma infotehnoloogia vahendid ja neis hoitav teave vastupidavamaks välistele küberohtudele, sealhulgas andmepüügile, andmehõivele ja lunavara rünnetele.

Justiits- ja digiminister Liisa Pakosta sõnul leevendab muudatus eelkõige mikro- ja väikeettevõtjate, perearstide ning kohaliku omavalitsuse hallatavate asutuste küberturvalisusega seonduvat töö- või halduskoormust.

Määruse kohaselt ei pea edaspidi järgima täismahus Eesti infoturbestandardit (E-ITS) või rahvusvahelist standardit (ISO/IEC 27001) alla 50 töötajaga järgmised organisatsioonid:

• mikro- ja väikeettevõtted, kellel aastakäive või bilansimaht ei ületa 10 miljonit eurot;
• kohaliku omavalitsuste hallatavad asutused (välja arvatud üldhariduskoolid);
• riigimuuseumid ning
• kohaliku omavalitsuste üksuste liidud.

Ministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas selgitas, et esmased turvameetmed ei hakka asendama E-ITSi, mis on mõeldud eelkõige suurematele ja küpsematele organisatsioonidele.

Esmaste turvameetmete eesmärk on pakkuda selget ja jõukohast miinimumtaset, mis sobib ka oma küberturvalisuse tõstmiseks ja hoidmiseks väiksematele organisatsioonidele. Seetõttu saavad need organisatsioonid kohe rakendada määrusega kehtestatavaid esmaseid turvameetmeid.

Ta lisas, et muudatusega lõpetatakse riigile kuuluvate põhikoolide ja gümnaasiumitel E-ITSi täitmisel auditi tellimise kohustus, võrdsustades riigikoolid kohaliku omavalitsuse üksuste poolt hallatavate koolidega, millel täna sarnane kohustus puudub. Need üldhariduskoolid peavad vastava välise E-ITSi auditi tegema, kui nad on avaliku teabe seaduse kohase andmekogu vastutavad töötlejad või volitatud töötlejad.

Ettevõtete ja asutuste nõustajaks küberturvalisuse nõuete küsimustes jääb jätkuvalt Riigi Infosüsteemi Amet (RIA).

RIA riigi infoturbe meetme osakonna juhataja Rain Ojastu sõnas, et RIA eesmärk on teha küberturvalisuse miinimumnõuded väiksematele organisatsioonidele arusaadavaks ja jõukohaseks, et ka piiratud ressurssidega ettevõtjad ja asutused saaksid oma süsteeme turvaliselt hallata.

"Turvalisus ei pea olema koormav kohustus, vaid loomulik osa igapäevasest tööst. Omaltpoolt kindlasti nõustame ja toetame praktiliste juhistega, et ükski perearst, kool ega väikeettevõte ei jääks üksi oma küberturvalisuse tagamisel," lisas ta.

Muudatus ei vähenda väikeste organisatsioonide vastutust ega üldist küberjulgeoleku taset riigis, kuid võimaldab nõudeid täita proportsionaalselt ning riskipõhiselt. Väikesed ettevõtjad ja asutused, kes ei oma erimeetmeid vajavaid suuremahulisi või mõjuga võrgu- ja infosüsteeme, võivad piirduda esmaste meetmete rakendamisega.

Ettevõtja või asutus, kes juba järgib E-ITSi või rahvusvahelise standardi ISO/IEC 27001 meetmeid, ei pea oma tegevuses midagi muutma.

Valitsuse määrus jõustub 1. oktoobril 2025.