Küberturvalisuse seaduse eelnõu

ITL-i 24.10.2017 arvamus MKM-i poolt edastatud küberturvalisuse seaduse eelnõu kohta 

1. Üldised seisukohad

1.1. Eelnõu regulatsiooni ulatus

1.1.1. Eelnõuga reguleeritav valdkond ehk küberturvalisus on liiga lai. Kuigi eelnõu eesmärk on lisaks Euroopa Liidu direktiivi nr 2016/1148 (6. juulist 2016, meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus, edaspidi: NIS direktiiv) ülevõtmisele Riigi Infosüsteemi Ameti (edaspidi: RIA) kui küberintsidentide ennetamise ja lahendamise eest vastutava asutuse pädevuse ning volituste reguleerimine, ei käsitle eelnõu vaatamata selle pealkirjale kõiki küberturvalisusega seotud teemasid, näiteks küberjulgeolekut. Oleme seisukohal, et kõiki küberturvalisusega seotud teemasid ei saa ega peagi selles eelnõus käsitlema. 

Eelnõu seletuskirjas püütakse küll selgitada, miks käsitletakse „kübervaldkonda“. Ka need põhjendused (sh asjaolu, et nii on kirjas RIA põhimääruses) pigem toetavad arusaama, et nn kübervaldkond on oluliselt laiem kui antud seaduse regulatsiooniala. Seetõttu on ITL-i hinnangul eksitav nimetada see eelnõu küberturvalisuse seaduseks. Eelnõu reguleerimisala ja muuhulgas pealkiri peaks olema sarnaselt NIS-direktiivis kasutatavatele terminitele võrgu- ja infosüsteemide turvalisuse seadus.

Ka tunnistatakse eelnõu seletuskirjas (lk 3), et NIS direktiivi ülevõtmise ajaraami arvestades ei ole eelnõuga võimalik kogu nn kübervaldkonna normide laiapõhjaline revisjon, mistõttu puudutab eelnõu eelkõige NIS direktiivi ülevõtmise ja järelevalvemeetmetega seonduvat. Seetõttu on eksitav nimetada seda küberturvalisuse seaduseks. Seaduse pealkiri peab kajastama seaduse sisu. 

1.1.2. NIS direktiiv sätestab liikmesriigile kohustuse identifitseerida oluliste teenuste osutajad vastavalt direktiivi lisas II osutatud sektoritele ja allsektoritele. Eelnõus on otsustatud direktiivis sätestatud valdkondade kõrval nimetada olulise teenuse osutajateks ka kõik elutähtsa teenuse osutajad hädaolukorra seaduse (HOS) mõttes. See tähendab, et ühelt poolt laiendatakse direktiivi regulatsiooni ning teiselt poolt laiendatakse mõnes mõttes ka HOS-i regulatsiooni kehtestades kohustused ettevõtetele, kes uue (01.07.2017. jõustunud) HOS-i regulatsiooni alt välja jäeti. ITL on seisukohal, et Eestis ei tuleks laiendada direktiivi regulatsiooni sellises mahus. Vastamata on küsimus, miks laiendatakse Eestis NIS-direktiivi regulatsioon valdkondadesse, mida direktiiv reguleerimisalana ei kata. Näiteks elektroonilise side teenuse osutajad välistab direktiiv selgesõnaliselt, aga Eestis on nad elutähtsa teenuse osutajatena eelnõu kohaldamisalas.

Kuigi eelnõu § 3 lg 3 kohaselt identifitseerib RIA eelnõu kohaldamisalas olevad teenuse osutajad hiljemalt 09.11.2018, palume tungivalt teha seda varem, et kõigil asjaosalistel oleks üheselt selge, kellele see regulatsioon laieneb.

1.2. RIA õigused, volitused ja pädevused

1.2.1. Eelnõus keskendutakse väga suures mahus RIA-le lisaõiguste andmisele lõpuni põhjendamata, milliste probleemide lahendamiseks neid õiguseid vaja on ning milline on vastutus, kui neid õiguseid kasutatakse tasakaalustamatult või ebakompetentselt. Eelnõu kohaldub vaid teatud kindlatele ettevõtetele ehk elutähtsa teenuse osutajatele, kriitiliste infrastruktuuri haldajatele ning digitaalsete teenuste osujatajalele, aga samas antakse RIA-le nende üle järelevalve teostamiseks väga ulatuslikud õigused. Leiame, et tegu on ebaproportsionaalse sekkumisega ettevõtlusvabadusse. Kui reaalne praktika nõuaks tõepoolest selliseid meetmeid, peaks RIA-l olema õigus kohaldada neid kõikide ettevõtete suhtes.

1.2.2. Eelnõu koostamisel on lähtutud eeldusest, et suured ja turvalisusse tegelikult investeerivad ettevõtted tähtsustavad ikkagi võrkude ja infosüsteemide turvalisust liiga vähe ja seepärast peab RIA olema nende süsteemide olukorraga reaalajas kursis, samas kui eelnevalt on ettevõtted läbinud kõik ettenähtud analüüsid, auditid, jms. Samas jäävad eelnõu skoobist välja näiteks valdav enamik sideettevõtjaid. Täna tegutseb Eestis  vastavalt Tehnilise Järelevalve Ameti aastaraamatule 2016216 sideettevõtet, kellest elutähtsat teenust või eelnõus nimetatud tingimustel kaabelleviteenust osutavad ITL-i hinnangul kuus ettevõtet. 

1.2.3. ITL-i liikmeskonda kuuluvate ettevõtete hinnangul toimuks eelnõu käesoleval kujul vastuvõtmise järgselt liiga ulatuslik sekkumine ettevõtlusvabadusse. Näiteks on eelnõu loogika kohaselt iga intsidendi puhul tegu küberintsidendiga, kuni pole tõestatud vastupidist. See ei arvesta aga ettevõtete lepinguvabadust ehk õigust omavahel kokku leppida teenuse tasemetes (teenustaseme/SLA kokkulepped) ja lubatud katkestuste aegades.

1.2.4. Eelnõu annab RIA-le õiguse saada seireinfot teenuse osutajate süsteeme ohustava  tegevuse või tarkvara kohta (§ 7 lg 2 p 3) ning samuti õiguse võtta süsteemide juhtimine üle (§ 17). Leiame, et eelnõu annab võimaluse nn tagauste loomiseks RIA-le ning meie hinnangul ei ole selliste nn tagauste loomine tänases Eesti ühiskonnas aktsepteeritav, mistõttu on ITL kindlalt selliste kohustuste kehtestamise vastu. Eesti soovib eelnõu seletuskirja kohaselt olla maailmas küberturvalisuse vallas juhtiv riik ning samast eeldusest on lähtutud ka eelnõu koostamisel. Leiame, et nn tagauste soodustamine ja julgustamine õigusaktiga on midagi, mida peaks häbenema, mitte eeskujuks seadma. 

1.2.5. Eelnõu eksib oluliselt rollide lahususe põhimõtte vastu lubades RIA-l anda ise endale volitusi teatud korrakaitseliste toimingute tegemiseks. Oleme seisukohal, et ka küberturvalisuse alaste rikkumiste ja järelevalve korral tuleb lähtuda üldisest põhimõttest, mille kohaselt on korrakaitse teostamine Siseministeeriumi haldusalas ning lubasid erimeetmete rakendamiseks annavad prokuratuur ja kohtud. ITL ei näe põhjust, miks infotehnoloogia valdkonda teisiti käsitletakse ning kogu pädevus selles vallas RIA-le antakse. Lisaks on RIA ise avalikus sektoris üks olulisemaid teenuseosutajaid X-tee ning ASO võrguga, kellest sõltuvad teised teenused. Samas on RIA selle eelnõu kontekstis järelevalve teostaja. See on ka põhjuseks, miks peab olema korraldatud rollide lahusus.

1.2.6. Täna on RIA küberintsidentide ennetamisel ja lahendamisel ettevõtetele nõustavaks partneriks ning tegevusi tehakse kokkulepete alusel. ITL-ile teadaolevalt töötab see praktikas hästi, mistõttu leiame, et koostöö võiks ka edaspidi olla küberturvalisuse tagamisel olulisel kohal.

1.3. Eelnõu mõjud

1.3.1. Eelnõu kasvatab oluliselt ettevõtete halduskoormust, sest see mõjutab mitmeid erinevaid ettevõtteid ja riigiasutusi ning ettevõtetele kehtestatavate kohustustega sekkutakse oluliselt nende tegutsemisvabadusse. Samal ajal hinnatakse eelnõu seletuskirjas (p 6.3) ekslikult halduskoormuse kasvu ettevõtetele väikeseks. Eelnõu § 22 p 5 sätestatud uue päringu vastuse koostamiseks kuluvat aega hinnatakse eelnõu seletuskirjas 15 minutile, tegelikkuses on see pikem ning isegi kui see aeg oleks õige ja päringuid oleks maksimaalselt 200, siis teeb see 50 töötundi aastas.

1.3.1. Eelnõu koostamise käigus toimunud mitmete kohtumiste põhjal on ITL-il tekkinud arusaam, et regulatsiooni kõiki aspekte selle tegelikuks rakendamiseks ja mõjusid ettevõtetele ei ole koostamise käigus läbi analüüsitud.

Loe: ITL-i poolt MKM-ile esitatud arvamus küberturvalisuse seaduse eelnõu kohta täismahus