Kas sinu ettevõte on küberturvalisuse seaduse muudatusteks valmis?

12. märtsil toimus Ellex Raidla küberturvalisuse hommikuseminar „Küberturvalisuse seadus (KüTS) ja NIS2: mida teada ja teha?“, kus käsitleti küberturvalisuse seaduse ja NIS2 direktiivi olulisemaid muudatusi ning nende praktilist mõju ettevõtetele.

Seminaril esinesid Ellex Raidla eksperdid Merlin Liis-Toomela ja Hegle Pärna ning Riigi Infosüsteemi Ameti esindaja Lauri Kriisa. Ühiselt anti ülevaade sellest, kuidas uus regulatsioon mõjutab ettevõtteid, millised on peamised kohustused ning kuidas nendeks ette valmistuda.

Alates 1. jaanuarist 2026 kehtiv küberturvalisuse seadus võtab üle NIS2 direktiivi nõuded ning laiendab oluliselt kohaldamisala. Hinnanguliselt lisandub ligikaudu 3000 uut subjekt senisele 3500 subjektile, mis tähendab, et küberturvalisuse nõuded hakkavad puudutama oluliselt suuremat hulka ettevõtteid kui varem.

Millal ettevõte peab KüTS-i järgima?

Küberturvalisuse seaduse kohaldumine ei sõltu üksnes ettevõtte tegevusalast, vaid mitme teguri koosmõjust. Oluline on hinnata

  • kas ettevõte tegutseb seaduses nimetatud sektoris (nt energia, transport, tervishoid, digitaristu, jne);
  • ettevõtte suurust (sh kontserni ja sidusettevõtteid);
  • teenuse kriitilisust ja võimalikku mõju ühiskonnale;
  • rolli tarneahelas, sh seotust teiste KüTS subjektidega.

Tuleb silmas pidada, et hinnang peab põhinema tegelikul majandustegevusel, mitte üksnes äriregistri andmetel.

Juhtkonna roll ei ole enam formaalne

Seminaril rõhutati, et küberturvalisus on selgelt juhtimistasandi vastutus. Juhatus peab

  • määrama vastutava liikme küberturvalisuse eest;
  • olema teadlik peamistest riskidest;
  • tagama piisavad ressursid turvameetmete rakendamiseks.

Kohustuste rikkumine võib kaasa tuua nii haldus- kui ka tsiviilõiguslikke tagajärgi.

Riskijuhtimine peab olema sisuline

Üks keskseid sõnumeid oli, et riskijuhtimine ei saa piirduda dokumentide koostamisega. See peab olema

  • pidev ja süsteemne protsess;
  • integreeritud ettevõtte juhtimisse;
  • seotud tegelike riskide ja äriprotsessidega.

Praktikas tähendab see kriitiliste infosüsteemide kaardistamist, riskide hindamist ning meetmete regulaarset ülevaatamist.

Tarneahel toob nõuded ka neile, kellele seadus otseselt ei kohaldu

Küberturvalisuse nõuded ei piirdu üksnes otseste subjektidega. Kui ettevõte on osa tarneahelast, võivad nõuded jõuda temani lepinguliste kohustuste kaudu.

See tähendab, et

  • kliendid võivad nõuda vastavust KüTS ja NIS2 nõuetele;
  • lepingutesse lisatakse turvanõuded ja auditikohustused;
  • ettevõtted peavad arvestama alltöövõtjate ja partnerite riskidega.

Intsidentidest teavitamine ja tähtajad

Seadus täpsustab ka küberintsidentidest teavitamise korra. Olulisemad tähtajad on järgmised:

  • esmane teavitus 24 tunni jooksul;
  • vaheraport 72 tunni jooksul;
  • lõplik raport ühe kuu jooksul.

See eeldab, et ettevõttel on olemas selge ja toimiv intsidentide käsitlemise protsess.

Kui soovid hinnata, kas küberturvalisuse seadus (KüTS) ja NIS2 direktiiv sinu ettevõttele kohaldub või vajad abi nõuete rakendamisel, siis võta meiega ühendust.

Küberturvalisuse hommikuseminar „Küberturvalisuse seadus (KüTS) ja NIS2: mida teada ja teha?“

Seotud teenused

Valdkonna eksperdid

Person Item Background
Merlin Liis-Toomela
Merlin Liis-Toomela
Assotsieerunud partner / Eesti
Person Item Background
Hegle Pärna
Hegle Pärna
Advokaat / Eesti

Näeme kaugemale © 2026 Ellex

Õigusalane teave Küpsised
Eesti
Ahtri 4, Tallinn
T. +372 640 7170 Õigusteenuste tüüptingimused
Külasta veebilehte
Läti
K.Valdemara 62, Riga
T. +371 6781 4848
Külasta veebilehte
Leedu
J. Jasinskio g. 2, Vilnius
T. +370 5268 1888
Külasta veebilehte