KL Konsultatsioonid

Kellele kehtib E-ITS rakendamise kohustus? Ülevaade küberturvalisuse seadusest

Kellele kehtib E-ITS rakendamise kohustus? Ülevaade küberturvalisuse seadusest

Avaldatud: veebruar 2026

Küberturvalisus ei ole juba ammu ainult IT-osakonna mure. Alates 1. jaanuarist 2026 jõustusid Eestis küberturvalisuse seaduse (KüTS) olulised muudatused, millega võeti üle Euroopa Liidu NIS2 direktiiv. Selle tulemusel kasvas märkimisväärselt nende organisatsioonide arv, kes peavad oma küberturvalisust süstemaatiliselt haldama, rakendama Eesti infoturbestandardit (E-ITS) ning läbima vastavusauditeid. Käesolevas artiklis selgitame, kellele need kohustused kehtivad, millised on erandid väiksematele organisatsioonidele ja kuidas me saame teid selles protsessis aidata.

Mis on E-ITS ja miks see oluline on?

Eesti infoturbestandard ehk E-ITS on riiklik raamistik, mis aitab organisatsioonidel luua ja hoida toimivat infoturbe halduse süsteemi. E-ITS põhineb Saksa BSI IT-Grundschutz etalonturbe meetodil ja on üles ehitatud nii, et selle järgimine tagab ühtlasi vastavuse rahvusvahelise standardi ISO/IEC 27001 nõuetele.

E-ITS koosneb kolmest osast: nõuded infoturbe halduse süsteemile, etalonturbe kataloog (kus on kirjeldatud konkreetsed turvameetmed) ning auditeerimisjuhend. Alates 1. septembrist 2025 kehtib E-ITS-i 2024. aasta versioon, mis sisaldab ka uusi mooduleid, näiteks tehisintellektisüsteemide ja kliendi virtualiseerimise osas.

Kellele kehtib täismahus E-ITSi rakendamise ja auditeerimise kohustus?

Küberturvalisuse seaduse kohaselt on E-ITS-i rakendamine ja selle auditeerimine kohustuslik järgmistele organisatsioonidele:

Avaliku sektori asutused, sealhulgas ministeeriumid, riigiametid, kohalikud omavalitsused ning nende ametiasutused. Kohalike omavalitsuste puhul kehtib kohustus ka omavalitsuse enda infosüsteemidele ja andmekogudele.

Elutähtsa teenuse osutajad (ETO-d) — need on organisatsioonid, kelle teenuse katkemine ohustab vahetult inimeste elu, tervist või riigi toimimist. Siia kuuluvad näiteks energiaettevõtted, haiglad, vee-ettevõtjad ja sideettevõtjad. ETO-d peavad tagama turvaauditi läbimise vähemalt iga kolme aasta tagant.

Olulise teenuse osutajad, kes on NIS2 direktiivi ülevõtmisega lisandunud küberturvalisuse seaduse subjektide hulka. Alates 2026. aastast hõlmab see senisest oluliselt laiemat sektorite ringi.

NIS2 direktiiviga lisandunud sektorid ja subjektid

NIS2 direktiivi ülevõtmisega Eesti õigusesse laienes kohustatud organisatsioonide ring umbes 2000 uue subjekti võrra. Seadust kohaldatakse üldjuhul organisatsioonidele, kellel on vähemalt 50 töötajat ning kelle aastakäive või bilansimaht ületab 10 miljonit eurot, kui nad tegutsevad teatud kindlates sektorites.

Ülioluliste üksuste hulka kuuluvad näiteks:

  • elektriettevõtjad (sh müüjad, jaotusvõrgu- ja põhivõrguettevõtjad);
  • raudtee-ettevõtjad ja lennuvälja käitajad;
  • sadamateenuse osutajad;
  • sideettevõtjad ja üldkasutatava elektroonilise side võrgu pakkujad;
  • pangad ja finantssektori ettevõtted;
  • tervishoiuteenuse osutajad (sh haiglad);
  • joogivee- ja reovee käitlejad;
  • digitaalse taristu pakkujad (pilvandmetöötlus, andmekeskused);
  • avaliku sektori asutused (ministeeriumid, KOV-id).

Oluliste üksuste hulka kuuluvad muuhulgas:

  • perearstiabi osutajad;
  • postiteenuse ja kullerteenuse osutajad;
  • jäätmekäitlusettevõtted;
  • keemia- ja kemikaalitootjad;
  • toiduainete hulgimüügi ja tööstusliku tootmisega tegelevad ettevõtted;
  • meditsiiniseadmete tootjad;
  • mitmed tööstusettevõtted;
  • internetipõhiste kauplemiskohtade pidajad;
  • hallatud teenuste osutajad ja hallatud turbeteenuste osutajad.

Olenemata suurusest kohaldatakse seadust ka teatud organisatsioonidele, näiteks üldkasutatava elektroonilise side võrgu pakkujatele, usaldus- ja sertifitseerimisteenuste osutajatele ning domeeninimede registreerimise teenuse osutajatele.

Millised erandid kehtivad väikestele organisatsioonidele?

2025.a. aasta oktoobris jõustus oluline muudatus, mis puudutab just väiksemaid organisatsioone. Valitsus kehtestas nn. esmased turvameetmed, mis pakuvad selget ja jõukohast miinimumtaset organisatsioonidele, kellele täismahus E-ITS-i rakendamine oleks ebaproportsionaalselt koormav.

Esmaste turvameetmetega saavad piirduda (ehk ei pea järgima täismahus E-ITS-i):

  • alla 50 töötajaga mikro- ja väikeettevõtted, kelle aastakäive või bilansimaht ei ületa 10 miljonit eurot;
  • kohalike omavalitsuste hallatavad asutused (välja arvatud üldhariduskoolid, kes on andmekogu vastutavad või volitatud töötlejad);
  • riigile kuuluvad põhikoolid ja gümnaasiumid (neilt kaotati ka auditi tellimise kohustus).

Oluline on siiski rõhutada: esmased turvameetmed ei tähenda kohustuse puudumist. Ka väiksemad organisatsioonid peavad rakendama kehtestatud meetmeid ja tagama oma infosüsteemide baasturvalisuse. Esmased turvameetmed hõlmavad muu hulgas kaitset õngitsuste ja lunavararünnakute vastu.

Samuti — kui väikesel organisatsioonil on erimeetmeid vajavaid suuremahulisi või olulise mõjuga infosüsteeme, ei pruugi neile esmastest meetmetest piisata ja tuleb siiski rakendada täismahus E-ITS-i.

E-ITS-i auditit ei pea tegema teenuse osutajad, kellel on keskmiselt alla 10 töötaja ja kelle aasta bilansimaht või aastakäive ei ületa 2 miljonit eurot. Kuid ka nemad peavad E-ITS-i nõudeid järgima — lihtsalt ilma välise auditi kohustuseta.

Mis juhtub, kui nõudeid ei täideta?

Küberturvalisuse seaduse muudatustega kehtestati ka karmimad sanktsioonid. Üliolulisele üksusele saab nõuete rikkumise eest määrata trahvi kuni 10 miljonit eurot või 2% ettevõtte globaalsest käibest. Olulisele üksusele on ülemmäär kuni 7 miljonit eurot või 1,4% eelmise aasta kogukäibest. Lisaks saab riiklik järelevalve haldusmenetluse käigus teha ettekirjutusi ja rakendada sunniraha kuni 20 000 eurot korraga.

Oluline muudatus on ka see, et küberturvalisuse eest vastutab nüüd ettevõtte juhtkond isiklikult. Vähemalt üks juhatuse liige peab heaks kiitma turvameetmed ja jälgima nende rakendamist. Juhtorgani liikmed peavad läbima ka regulaarsed küberturvalisuse erikoolitused.

Kuidas me saame aidata?

Meie teenus on loodud just selleks, et aidata nii väikeettevõtteid kui ka kohalikke omavalitsusi küberturvalisuse nõuetega toime tulla — selgelt, praktiliselt ja jõukohaselt.

Väikeettevõtetele

Mõistame, et väikeettevõttel pole tavaliselt eraldi IT-turvameeskonda ega suurt eelarvet. Seetõttu pakume:

  • Esmaste turvameetmete rakendamise abi — aitame teil mõista, millised nõuded teie organisatsioonile kehtivad ja juurutame vajalikud meetmed lihtsalt ja arusaadavalt.
  • Küberturvalisuse baashindamist — kaardistame teie hetkeolukorra ja anname konkreetsed soovitused puuduste kõrvaldamiseks.
  • Koolitusi ja teadlikkuse tõstmist — sest suurem osa küberintsidente algab inimfaktorist.

Riigiasutustele ja kohalikele omavalitsustele

Avaliku sektori asutustele, kellel on täismahus E-ITS-i rakendamise ja auditeerimise kohustus, pakume:

  • E-ITS-i rakendamise nõustamist — alates infoturbe halduse süsteemi ülesehitamisest kuni auditiks ettevalmistamiseni.
  • Riskianalüüsi ja kaitsetarbe hindamist — aitame kaardistada teie äriprotsessid ja infosüsteemid ning määrata neile sobivad kaitsemeetmed.
  • Auditiks ettevalmistamist — tagame, et teie organisatsioon on auditiks valmis ja protsess kulgeb sujuvalt.
  • Juhtorgani koolitusi — aitame juhatuse liikmetel täita uut seaduslikku kohustust küberturvalisuse erikoolituse osas.

Kokkuvõte: kontrollige oma kohustusi juba täna

Küberturvalisuse seaduse muudatustega on Eestis tõusnud organisatsioonide arv, kes peavad süstemaatiliselt oma küberturvalisust haldama. Olenemata sellest, kas olete suur elutähtsa teenuse osutaja või väike kohaliku omavalitsuse hallatav asutus — mingi tasemel kohustus kehtib peaaegu kõigile.

Kõige olulisem on alustada. Kui te pole veel kindlad, kas ja millised nõuded teie organisatsioonile kehtivad, siis just selleks me olemegi olemas.

Võtke meiega ühendust ja aitame teil selgeks teha, millised kohustused teile kehtivad ning kuidas neid kõige mõistlikumalt täita.

KONTAKT

Kasulikud viited:

Katrin Leppik