Justiits- ja digimister Liisa Pakosta sõnul puudutab muudatus kokku ligikaudu 1200 ettevõtet ja asutust, kelle jaoks väheneb oluliselt töökoormus võrgu- ja infosüsteemide turvalisuse tagamisel ning võimaldab lihtsustada nõuete täitmist.
„Võrreldes senise korraga säilitame nende jaoks üksnes nõude järgida küberturvalisuse põhialuseid. Toimuma saab tohutu halduskoormuse vähenemine – vabastame nad kohustusest koostada ja rakendada detailset infoturbehalduse süsteemi ning tellida auditeid,“ ütles minister.
Muudatuse tulemusel väheneb vähem kui 50 töötajaga kohaliku omavalitsuse hallatava asutuse või riigimuuseumi töökoormus mahuni, kus üldiste turvameetmete hindamiseks kulub üksnes kuni kaks tundi.
„Näitena tooksin välja ka väikesed ühe nimistuga perearstikeskused, kus töötab perearst koos paari õega. Nad ei oma enamasti infoturbealast eriteadmist ega -kompetentsi. Nende põhieesmärk on inimeste ravimine, mitte IT-turbe tagamine. Esmaste turvameetmete raamistik aitabki tagada, et patsiendiandmed oleksid kaitstud ning tervishoiutöötajad saaksid keskenduda oma põhitegevusele,“ märkis Pakosta.
Justiits- ja Digiministeerium leiab, et muudatus ei vähenda väikeste organisatsioonide vastutust ega riigi küberjulgeoleku taset, kuid võimaldab nõudeid täita proportsionaalselt ning riskipõhiselt.
Eelnõu kohaselt kaob kohustus järgida täismahus Eesti infoturbestandardit (E-ITS) või rahvusvahelist standardit (ISO/IEC 27001) alla 50 töötajaga järgmistel asutustel:
mikro- ja väikeettevõtetel, kellel aastakäive või bilansimaht ei ületa 10 miljonit eurot (mõlemad tingimused peavad olema täidetud);
kohaliku omavalitsuste allasutustel ning
riigimuuseumidel.
Ministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas selgitas, et esmased turvameetmed ei hakka asendama E-ITSi, mis on mõeldud eelkõige suurematele ja küpsematele organisatsioonidele. Esmaste turvameetmete eesmärk on pakkuda selget ja jõukohast miinimumtaset, mis sobib väiksematele asutustele ja organisatsioonidele.
„Esmaste turvameetmete rakendamiseks on Riigi Infosüsteemi Ameti kodulehel selgitavad tekstid, millest arusaamine nõuete rakendamisel ei eelda infoturbe kompetentsi olemasolu ettevõttes või asutuses,“ ütles Viilukas.
Ta rõhutas, et samuti lõpetatakse riigikoolidel Eesti infoturbestandardi täitmisel auditi tellimise kohustus, selleks võrdsustades riigikoolid kohaliku omavalitsuse üksuste poolt hallatavate koolidega, millel sarnane kohustus puudub.
Ettevõtete ja asutuste nõustajaks küberturvalisuse nõuete küsimustes jääb jätkuvalt Riigi Infosüsteemi Amet (RIA). Kaasaaitamine seisneb organisatsioonide nõustamises, rakendamise toetamiseks soovituslike suuniste, rakendamise ettepanekute ja selgituste avaldamises oma veebilehel.
RIA infoturbemeetmete osakonna juhataja Rain Ojastu sõnul on esmaste turvameetmete koguarv kokkuleppeliselt piiratud alla saja, kuid RIA jälgib ja ajakohastab neid pidevalt, et tagada asjakohane ja piisav küberturvalisuse tase.
Valitsuse määruse jõustumine on planeeritud juba 1. septembrile 2025. Kooskõlastusi eelnõule ootab ministeerium 8. augustini.
https://www.justdigi.ee/uudised/vaikeettevotete-koolide-ja-omavalitsuste-koormus-kubernouete-taitmisel-vaheneb-kordades