2026. aasta alguses jõustus küberturvalisuse seaduse (KüTS) uus redaktsioon, millega võeti Eesti õigusesse üle NIS2 direktiiv. Uue seaduse valguses ei ole küberturvalisus enam IT-funktsioon, vaid juhatuse tasandi vastutus- ja juhtimisküsimus.
Paljude ettevõtjate jaoks tähendab see esmakordselt olukorda, kus küberturberiskide juhtimine on võrreldav finants-, tööohutuse või andmekaitseriskidega – valdkonnad, mille eest juhatuse liikmed vastutavad isiklikult ja milles „paberil korras“ lahendustest ei piisa.
Keda KüTS 2026 puudutab?
Arusaam, et KüTS rakendub vaid elutähtsate teenuste osutajatele või riigiasutustele, ei pea paika. Uue redaktsiooni kohaldamisala on märkimisväärselt laienenud ning hõlmab nii riigi kui kohaliku omavalitsuse avaliku halduse üksuseid, kõiki avalik-õiguslikke juriidilisi isikuid, paljusid energia-, transpordi-, finants-, tervishoiu- ja tööstusettevõtteid ning, info- ja sideteenuste osutajaid.
Kuigi KüTS puudutab avaliku sektori kõrval ennekõike vähemalt 50 töötajaga ettevõtjaid, kelle bilanss ja/või aastakäive ületavad 10 miljonit eurot, pole mõnedes eriti tundlikes valdkondades tegutsevate ettevõtjate suurus üldse oluline. Kohustatud subjektide hulgas on kõik perearstiteenuse, domeeninimede registreerimise teenuse ja usaldusteenuste osutajad, aga ka riiklike andmekogude volitatud töötlejad.
Mida KüTS 2026 nõuab?
KüTS seab kohustatud subjektidele kolm keskset ajaraami. Seejuures pole vahet, kas tegemist on üliolulise või olulise üksusega: nõuded on kõigile teenuseosutajatele ühesugused. Erinevus on vaid järelevalve teostamise viisis ja võimalike sanktsioonide ulatuses.
Esiteks tuleb kolme kuu jooksul teavitada Riigi Infosüsteemi Ametit (RIA) teenuseosutajaks kvalifitseerumisest. Teiseks tuleb oma tegevus KüTSi nõuetega vastavusse viia üldjuhul kolme aasta jooksul (erandiks on elutähtsate teenuste osutajad, kellele kehtib hädaolukorra seaduses sätestatud tähtaeg — viis aastat ETO-ks määramisest). Kolmandaks tuleb RIA-t olulise mõjuga küberintsidentidest teavitada 24 tunni jooksul nendest teada saamisest.
Just viimane tähtaeg toob sageli välja tegeliku probleemi: kui kaua võtab ettevõttes aega, enne kui tehniline intsident jõuab juhatuseni ja sealt edasi RIA-ni? Kui vastus on „me ei ole seda mõõtnud“, on tegemist juhtimisriski, mitte tehnilise detailiga.
Juhatuse roll ja isiklik vastutus
KüTS 2026 üks olulisemaid muudatusi on see, et küberturbenõuete järgimine on sõnaselgelt juhatuse vastutusvaldkond. Seadus näeb ette, et juhatus määrab vähemalt ühe liikme, kes vastutab turvameetmete heakskiitmise ja rakendamise järelevalve eest ning kes omandab regulaarselt teadmisi küberturberiskide ja nende mõju kohta.
Kui sellist vastutavat juhatuse liiget ei määrata, laieneb vastutus kõigile juhatuse liikmetele. Oluline on mõista, et vastutust ei ole võimalik lepingutega allteenuseosutajatele delegeerida. Teenuseid võib sisse osta, kuid vastutus jääb. Veelgi enam — allteenuseosutajaid kasutav KüTS kohustatud subjekt vastutab ka selle eest, et allteenuseosutaja teavitab teda intsidentidest 24 tunni jooksul.
See seab juhatuse liikmed olukorda, kus küberturvalisuse ignoreerimine või selle käsitlemine pelgalt IT-osakonna teemana võib kaasa tuua hoolsuskohustuse rikkumise riski.
Governance, mitte compliance
KüTS ei nõua dokumentide kogumit ega sertifikaati seinal. Seaduse loogika on selgelt riskipõhine: rakendada tuleb asjakohaseid ja proportsionaalseid tehnilisi, korralduslikke ja tegevuslikke meetmeid, mis vastavad konkreetse ettevõtte riskiprofiilile.
See tähendab, et „korras paberimajandus“ ei vabasta ei ettevõtet ega juhatust vastutusest, kui intsidentide ennetamise ja käsitlemise protsessid tegelikkuses ei toimi. Küberturvalisus on KüTSi mõttes on juhtimismudel, mitte kontrollnimekiri.
Järelevalve ja sanktsioonid
RIA teeb ülioluliste üksuste suhtes proaktiivset järelevalvet ning oluliste üksuste puhul järelkontrolli, kui on alust arvata, et nõudeid ei täideta. Rahalised sanktsioonid võivad ulatuda kuni 10 miljoni euroni või 2 protsendini ülemaailmsest käibest ülioluliste üksuste puhul ning kuni 7 miljoni euroni või 1,4 protsendini käibest oluliste üksuste puhul.
Oluline on rõhutada, et rahatrahv ei ole ainus risk. Juhatuse liikmete isiklik vastutus võib aktualiseeruda ka tsiviilõiguslikus plaanis, kui küberturberiskide juhtimata jätmine põhjustab ettevõttele või kolmandatele isikutele kahju.
Mida peaksid ettevõtjad tegema nüüd ja kohe?
Esimene samm on saada aru sellest, kas ettevõte kvalifitseerub KüTSi kohustatud subjektiks või mitte, ning kui jah, siis esitada RIA-le hiljemalt märtsi lõpuks vastav teade. Seejärel tuleb hakata välja töötama ja rakendama ettevõttesiseseid küberturbe ja intsidendihalduse kordasid ning otsustada, kas hakata mõnd olemasolevat juhatuse liiget koolitama või tuua infoturbe- või IT-juht juhatusse.
Kuna ohupilt on pidevas muutumises, ei tohi ka ettevõtte küberturbe kord jääda ühekordselt kokku kirjutatud dokumendiks kuskil sahtlipõhjas. Ja kuna intsidentidest teavitamise kohustus on seaduse sanktsiooniga surutud kõige lühemasse ajaraami, tuleb teavitusketti ka aeg-ajalt praktikas läbi mängida.
Kuidas TRINITI saab aidata?
Advokaadibüroo ei saa asendada IT- või infoturbeeksperte, vaid aidata oma kliente õiguslikult ja juhtimislikult toimiva raamistiku ülesehitamisel. See hõlmab muu hulgas kvalifitseerumishinnanguid, juhatuse vastutuse kaardistamist ning ettevõttesiseste poliitikate ja kordade seaduse nõuetele vastavuse kontrolli.
