Küberturvalisus peab olema sama iseenesestmõistetav kui toimiv elekter või puhas joogivesi. Küberturvalisuse seaduse muudatused ongi samm selle nimel, et Eesti elutähtsad teenused ja küberruum püsiksid töökorras ja usaldusväärsena ka kiiresti muutuvas ohupildis.
Küberturvalisuse seaduse muudatus tõi kaasa olulisi uuendusi, mille tulemusel laienes märkimisväärselt nende ettevõtete ja asutuste hulk, kellele kehtivad kohustuslikud küberturvalisuse nõuded. Nende Eesti ettevõtete arv, kes peavad küberturvalisuse nõudeid järgima, kasvas 2026. aastast umbes 3000 võrra – 6500ni.
Küberturvalisus ei ole ammu enam üksikute asutuste või spetsialistide teema, vaid ühine pingutus, mis puudutab kogu ühiskonda. Seadusemuudatused loovad raamistiku, mis aitab eri sektoritel tegutseda ühtsete põhimõtete alusel.
Direktiivi ülevõtmisega jagunevad küberturbeseaduse kohaldamisalasse jäävad ettevõtted üliolulisteks ja olulisteks ning hõlmavad senisest palju laiemat hulka sektoreid. Näiteks puudutavad muudatused lennuettevõtjaid, raudteesektorit, elektriettevõtjaid, kaugkütte pakkujaid, sadama pidajaid, krediidiasutusi, pilvandmetöötlusteenuse osutajaid ja haiglaid, aga ka teatud toidukäitlemisettevõtteid, postiteenuse osutajaid ning jäätmekäitlusettevõtteid, kes vastavad kindlatele suuruskriteeriumidele.
Küberturvalisuse seaduse subjektid peavad regulaarselt hindama oma küberturvalisuse riske ja võtma kasutusele vastavaid kaitsemeetmeid riskide leevendamiseks. Senisest selgemalt nihkub vastutus küberturvalisuse tagamise eest ettevõtte juhtkonna tasandile. Lisaks tuleb arendada küberintsidentide tuvastamise ja neile reageerimise võimekust, rakendada vajalikke meetmeid tundlike andmete kaitseks ning korraldada regulaarseid koolitusi küberturvalisuse teemal nii töötajatele kui ka ettevõtte juhtidele.
Seeläbi kujuneb küberturvalisus organisatsioonides loomulikuks osaks strateegilisest juhtimisest ja igapäevasest toimimisest, mitte üksnes tehniliseks kõrvalteemaks. Pikemas vaates aitab see ennetada intsidente, vähendada katkestuste riski ning tugevdada usaldust digiteenuste vastu.
Nõuete järgijad peavad rakendama turvameetmeid ja teavitama olulise mõjuga küberintsidendist järelevalveasutust ehk Riigi Infosüsteemi Ametit, kelle ülesannete hulka lisandub Euroopa Komisjoni määruse alusel ka elektrivõrkude küberturvalisuse järelevalve.
Subjektidele on ette nähtud kolme aastane üleminekuperiood, mille jooksul peavad nad oma tegevuse uute nõuetega kooskõlla viima ning neid rakendama hakkama. Lisaks peavad subjektid teatama Riigi Infosüsteemi Ametile oma tegevuse andmed kolme kuu jooksul. Elutähtsa teenuse osutajatel on erand – nemad lähtuvad kehtiva õiguse ehk hädaolukorra seaduse tõttu viieaastasest tähtajast, alates elutähtsa teenuse osutajaks määramisest arvates.
Üleminekuperiood on mõeldud eelkõige selleks, et organisatsioonidel oleks aega küberturvalisuse nõudeid sisuliselt mõista ning neid oma tegevusse läbimõeldult integreerida..
Kõik need muudatused kannavad üht eesmärki: tugevdada Eesti digiühiskonna vastupanuvõimet ning kaitsta inimeste, ettevõtete ja riigi jaoks elutähtsaid teenuseid üha keerukamas küberohumaastikus.
Seaduse nõuete rikkumise eest saab üliolulisele üksusele määrata trahvi kuni kümme miljonit eurot või kaks protsenti ettevõtte käibest ning olulisele üksusele kuni seitse miljonit eurot või kuni 1,4 protsenti eelmise aasta kogukäibest.
Täpsemalt saab seadusega tutvuda siin: https://www.riigiteataja.ee/oigusuudised/eelvaadeSeadusUudis/2505