Tere hommikust, lugupeetud Riigikogu liikmed ja külalised rõdul! Alustame Riigikogu täiskogu VI istungjärgu 6. töönädala neljapäevast istungit. Kõigepealt kohaloleku kontroll.
Kohalolijaks registreerus 53 Riigikogu liiget, puudub 48.
Ja nüüd on võimalus üle anda eelnõusid ja arupärimisi. Seda soovi ei ole. Läheme tänase, neljapäevase päevakorra juurde.
Eesti Vabariigi ja Omaani Sultaniriigi vahelise tulumaksudega topeltmaksustamise vältimise ning maksudest hoidumise tõkestamise lepingu ja selle juurde kuuluva protokolli ratifitseerimise seaduse eelnõu (692 SE) teine lugemine
Esimene päevakorrapunkt on Vabariigi Valitsuse algatatud Eesti Vabariigi ja Omaani Sultaniriigi vahelise tulumaksudega topeltmaksustamise vältimise ning maksudest hoidumise tõkestamise lepingu ja selle juurde kuuluva protokolli ratifitseerimise seaduse eelnõu 692 teine lugemine. Ettekandeks palun [kõnetooli] rahanduskomisjoni liikme Diana Ingeraineni.
Tere hommikust, hea Riigikogu juhataja! Head kolleegid! Rahanduskomisjon arutas eelnõu kahel korral, 14. ja 21. oktoobril. Ning 21. oktoobril võeti vastu konsensuslikud otsused: võtta eelnõu päevakorda neljapäeval, 23. oktoobril, lõpetada teine lugemine ja viia läbi lõpphääletus.
Aitäh! Teile on ka mõned küsimused. Vadim Belobrovtsev, palun!
Aitäh! Lugupeetud ettekandja! Kas te oskate öelda, kui palju üldse on selliseid riike, kellega meil ei ole selliseid kokkuleppeid ja kellega meil on lähitulevikus plaan neid [teha]?
Aitäh! Komisjonis me sellist ülevaadet ei küsinud ja ausalt öeldes ka ei saanud.
Lauri Laats, palun!
Aitäh, lugupeetud istungi juhataja! Hea ettekandja! Millised lisahüved selle otsusega Eestile kaasnevad? Ma mõtlen eksporti ja importi. Kas neid arve toodi ka komisjonis välja?
Aitäh selle küsimuse eest! Ei, sellisel kujul me neid komisjonis ei vaadanud. Küll aga tahtsin mina teada, milleks meil sellist lepingut vaja on. Ja tõepoolest, kaks riiki lepivad kokku selleks, et vältida topeltmaksustamist ja tõkestada maksudest hoidumist.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud ettekandja! Omaanist on juba räägitud ja teistest ka. Aga ikkagi, milline on meie kaubavahetuse ja majandusliku suhtlemise tase? Samuti võrdlus [selle vahel, et] nemad meile ja meie neile?
Rene Kokk, palun!
Aitäh, hea aseesimees! Lugupeetud ettekandja! Kas saate üle korrata, kui suurtest summadest me umbes räägime viimaste aastate jooksul ja mida see kahe riigi vaheline koostöö ja maksude regulatsioon puudutab? Mis summadest aastas räägitakse?
Aitäh! Nendest summadest me sellist ülevaadet ei küsinud ega saanud. Küll aga on [kokkuleppe] protokollis 30 artiklit, mis käivad üle, kuidas topeltmaksustamist vältida ja kuidas maksudest hoidumist tõkestada.
Priit Sibul, palun!
Aitäh, austatud istungi juhataja! Hea ettekandja! Kas teil oli ka juttu, millised on põhilised ettevõtlusliigid või -alad, mille puhul Eesti ja Omaani vahel ettevõtlus toimib?
Aitäh! Nii palju me arutasime, et initsiatiiv on tulnud IT-ettevõtetelt, kes on olnud sellest kõige rohkem huvitatud.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud ettekandja! Kas ma võin teha nüüd teie eelnevate vastuste põhjal järelduse, et seda, millised on meie suhted ja majanduslikud sidemed Omaani Sultaniriigiga, sisuliselt ei arutatud? Teie komisjon on tegutsenud valitsuse kummitemplina. Sisulist arutelu ei ole, paneme lihtsalt formaalselt templi peale, ja mitte ainult selle puhul. Sain ma õigesti aru?
Aitäh! Ei, ma ei tunnetanud seda. Aga me sellist arutelu ka läbi ei viinud, et kas me nüüd [arutame] formaalselt või sisuliselt.
Lauri Laats, palun!
Aitäh! Hea ettekandja! Teatavasti on Omaan päris autoritaarne riik. Seal on probleeme sõnavabadusega, väljendusvabadusega ja kogunemisvabadusega ning seal on naiste õigusi tugevasti piiratud. Kas te arvate ikkagi, teades ka teie erakonna maailmavaadet, et Eesti riigil on sellise mitte väga demokraatliku riigiga kohane selliseid lepinguid sõlmida?
Aitäh! Sellist küsimust me komisjonis ei arutanud.
Vadim Belobrovtsev, palun!
Aitäh! Lugupeetud ettekandja! Aga no kindlasti arutati komisjonis seda, kust see initsiatiiv tuli, kas Omaani või Eesti poolt.
Aitäh! [Põgusalt] me seda arutasime. Tõenäoliselt see oli vastastikune. Aga mis mind hämmastas, [oli see,] et see protsess on nii pikk. Tegelikult see algas juba aastal 2011. Need asjad võtavad väga kaua aega.
Aitäh! Rohkem küsimusi teile ei ole. Avan läbirääkimised. Sõnasoove ei ole, sulgen läbirääkimised. Eelnõu kohta muudatusettepanekuid ei esitatud. Juhtivkomisjon on teinud ettepaneku viia läbi eelnõu 692 lõpphääletus. Alustame selle ettevalmistamist.
Lugupeetud Riigikogu liikmed! Panen lõpphääletusele Vabariigi Valitsuse algatatud Eesti Vabariigi ja Omaani Sultaniriigi vahelise tulumaksudega topeltmaksustamise vältimise ning maksudest hoidumise tõkestamise lepingu ja selle juurde kuuluva protokolli ratifitseerimise seaduse eelnõu 692. Palun võtta seisukoht ja hääletada!
Eelnõu poolt hääletas 51 Riigikogu liiget, vastu 0. Eelnõu on seadusena vastu võetud.
Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu (739 SE) esimene lugemine
Liigume edasi teise päevakorrapunkti juurde, mis on Vabariigi Valitsuse algatatud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu 739 esimene lugemine. Ettekandja on justiits- ja digiminister Liisa-Ly Pakosta, palun!
Aitäh! Austatud Riigikogu! Mul on hea meel alustada selle punkti ettekandmist kiitusega Eesti politseinikele, kes just äsja lõpetasid eduka koostöö Läti politseinikega. Nimelt, rahvusvaheline politseioperatsioon SIMCARTEL lammutas kelmide võrgustiku, mis müüs sisuliselt erinevates riikides registreeritud telefoninumbreid. Nende telefoninumbrite kaudu tehti küberpettuseid, investeerimispettuseid ja ka eraisikute vastu suunatud pettuseid. PPA on tunnistanud, et ainuüksi suvel rööviti Eesti inimestelt küberpettustega vähemalt 4 miljonit eurot. Ja markantne on see, et Lätis toimunud operatsiooni käigus võeti kinni ka üks Eestis tagaotsitavaks kuulutatud inimene. Ühtlasi konfiskeeriti 40 000 aktiivset SIM-kaarti. Platvormi abil oli loodud ligi 50 miljonit sotsiaalmeedia libakontot. Ehk see 50 miljonit libakontot sotsiaalmeedias ja 40 000 hetkel aktiivset SIM-kaarti näitab vast väga lihtsustatult seda, kuivõrd suure küsimusega me tegeleme, kui me räägime küberturvalisuse vajalikkusest.
Ka meil oli just äsja küberrünne ühe Eesti haigla vastu. Haiglast saadi kätte kuue kasutaja paroolid ehk kuus inimest sellest haiglast läks õnge ja nende paroolide kaudu üritati vaid paar päeva hiljem siseneda haigla süsteemidesse. Tänu küberkaitse meetmetele see ebaõnnestus. Kuus inimest olid läinud haneks, aga tänu küberturvalisuse meetmetele, mida Eesti tervishoiusektor juba kasutab, see rünnak ebaõnnestus. Nagu te näete, on need küsimused piiriülesed. See on ka põhjus, miks Euroopa Liit tegeleb tervikuna küberturvalisuse küsimuste lahendamisega.
Rünnak [võib ka olla] suunatud ainult ühe riigi vastu. Meenutame äsjast suurt näidet, kus Inglismaal olid kuu aega maas kõik Land Roveri tehased. See [tähendas] nädalas kaotust 50 miljonit naela ja tööta istusid üle 100 000 inimese. Või siis võib-olla ka teid, head Riigikogu liikmed, puudutanud küberrünnak lennujaamade vastu, mis pööras segi Euroopa lennuliikluse.
Oleme näinud, et küberründed Eesti vastu on sisuliselt kahekordistunud igal aastal alates Venemaa täiemahulise sõja algusest Ukraina vastu. Küberrünnete arvu väga kiire kasv sunnib meid võtma küberturvalisust äärmiselt tõsiselt. Ja veel kord: need ründed ei ole peaaegu mitte kunagi ainult ühe riigi vastu suunatud, vaid sageli mitme riigi vastu korraga. Ühes riigis alanud küberrünne võib kergesti üle kasvada küberrünnakuks ka teise riigi vastu.
Ühtlasi oleme näinud tehnoloogia kiiret arengut. Võrgu infosüsteemid on [muutunud] oluliselt keerukamaks ja see on suunanud Euroopa Liitu vastu võtma niinimetatud küberturvalisuse teist direktiivi, [mis on] tuntud ka NIS2 direktiivina. Sisuliselt nende kahe õigusakti ülevõtmisega – see ning ka Euroopa Parlamendi ja nõukogu määrus, mis puudutab piiriüleste elektrivoogude küberturvalisust – me täna tegeleme.
Mis on kõige olulisemad punktid lisaks selle vajalikkusele? Uute küberturvalisuse nõuetega suurendatakse nende organisatsioonide ringi, kellel on karmimad küberturvalisuse nõuded ja [rangem] rünnetest teavitamise kohustus. Need nõuded ja kohustused tulenevad sellest, et tegemist on elutähtsa teenuse osutajatega või organisatsioonidega, kelle vastu suunatud küberrünne – me nägime Land Roveri tehaste puhul, [mis saab], kui ikkagi keset talve võetakse näiteks kas sideteenuse osutaja või jäätmeettevõte kuuks ajaks maha – [tekitab] inimestele päris keerulise olukorra, rääkimata sellest, kui võetakse maha kohalik soojatootja. Eelnõu suurendab Eestis umbes 3000 ettevõtte võrra subjekte, kelle kohta karmimad küberturvalisuse nõuded hakkavad kehtima.
Kuna küberturvalisuse nõuete laienemist me loeme siiski halduskoormuse kasvuks, siis vastavalt Vabariigi Valitsuse muudetud eelnõude ettevalmistamise korrale peab iga eelnõu puhul, mis toob kaasa halduskoormuse kasvu, ühtlasi tegema midagi selle heaks, et halduskoormus kuskil mujal [väheneks]. Seda teie ees ei ole, aga sellele on seletuskirjas viidatud. Ehk rõhutan ära, et juba 1. oktoobrist on jõustunud Vabariigi Valitsuse määrus nr 121, millega vähendati küberturvalisuse nõudeid, vähendati nõudeid väikestele asutustele ja ettevõtetele.
Lühidalt öeldes oli enne nii, et sõltumata ettevõtte või organisatsiooni suurusest, kehtisid kõikidele ühesugused küberturvalisuse nõuded, aga me muutsime seda. Me muutsime seda niimoodi, et väikestele ettevõtetele ja asutustele, sealhulgas näiteks kohaliku omavalitsuse asutustele, on need nõuded leebemad, vähem koormavad. Mõte oli selles, et kui sa oled pisike, siis ka sinu mõju, juhul kui küberrünnaku tõttu sinu tegevus peatatakse või lõpetatakse, on oluliselt väiksem. Loomulikult [teen] üleskutse, et kõik organisatsioonid ja ka eraisikud võtaksid küberturvalisust äärmiselt tõsiselt. Aga otsesed riigipoolsed nõuded on väikestele organisatsioonidele [leebemad]. Ja see on juba jõustunud.
Teine suur muudatus selles eelnõus lisaks ettevõtete hulga kasvule on see, et küberturvalisuse eest vastutab terve organisatsioon. Varasemalt oli niimoodi, et kui organisatsioon [pakkus] elutähtsat teenust, siis tuli küberturvalisusega tegeleda üksnes selle teenuse ulatuses. Aga nagu me nägime selle äsjase haigla näite pealt Eestis, kui küberkurjategija saab ikkagi kätte organisatsiooni mõne töötaja parooli, siis on tal tegelikult võimalus siseneda ka selle teenusega [seotud võrku], isegi kui see inimene ei ole sellega seotud. Seetõttu on oluline, et me ei räägi ainult teenusest, vaid me räägime tervest organisatsioonist. Me kehtestame lihtsustatult öeldes sellise korra, et ikkagi asutuse või ettevõtte juht vastutab küberturvalisuse nõuete täitmise eest.
Ette on nähtud üleminekuaeg, üldreeglina kolm aastat. Ja ettevalmistamisel on ka küberturvalisuse taseme tõstmise toetus, mis on just mõeldud sellele umbes 3000 uuele küberturvalisuse rangemate nõuete alla sattuvale organisatsioonile. See on vast hästi lühidalt kokku võttes kõige olulisem selles eelnõus.
Nüüd mõned asjad veel, millele ma sooviksin Riigikogu tähelepanu pöörata. Selle eelnõu [menetlusel], kuna ta siiski puudutab väga paljusid organisatsioone, oli väga palju kaasamisringe ja arutelusid. Ma väga tänan kõiki, kes nendes osalesid, sest tegelikult me muutsime seda eelnõu nende arutelude põhjal väga märkimisväärsel määral.
Kõige lihtsam näide: üksikule perearstile maapiirkonnas need nõuded on nüüd oluliselt [leebemad]. Tõesti, me ei pea teda võrdsustama näiteks suure soojatootmisettevõttega, kes südatalvel varustab toasoojusega tervet Lasnamäge. Teine oluline muudatus on see, et me oleme need nõuded ikkagi samm-sammult läbi käinud ja rakendanud neid üksnes minimaalsel määral.
Head Riigikogu liikmed, see eelnõu sisaldab valgusfooriga tabelit. Selgitan sellele juurde, et kõikidel Euroopa Liidu õigust ülevõtvatel eelnõudel on alati juures tabel, kus on näha Euroopa Liidu õigusakti säte ja teises tulbas seda konkreetset sätet ülevõttev Eesti õiguse säte. Kõikidel Riigikogu liikmetel on võimalik neid kahte sätet võrrelda ja vaadata, kas me võtame Euroopa Liidu õigust üle ülekuldavalt või teeme seda ikkagi õigesti ehk siis nii nagu vaja, ilma ülekuldamiseta.
Me oleme seda tabelit täiendanud kahe tulbaga. Kolmandas tulbas on selgitused ja neljandas tulbas valgusfoor. Kui on roheline, siis on ülevõtmine täpne, ilma igasuguste liialdusteta, aga ilma ka vähendusteta. Kui on punane, siis on üle võetud rohkem, kui Euroopa Liidu õigus ette näeb. Paari koha peal seda tõesti niimoodi tehtud on, sest me oleme pidanud seda otstarbekaks. [Näiteks] selle asemel, et mitu teadet esitada, piisab ühe teate esitamisest, aga [seda tuleb teha] kohe korralikult. Formaalses mõttes on see pisut üle piiri minek, aga te saate arutada ja otsustada, kas see on õige.
Sinine värv tähistab seda, et me oleme võtnud Euroopa Liidu õigust üle vähem, kui Euroopa Liit ette näeb. Ja selles aktis on üks temaatika, mida jällegi Riigikogu liikmed saavad arutada ja otsustada. Meie oleme valitsuse poolt pakkunud sellise variandi, et alkoholi hulgimüüjate jaoks me Euroopa Liidu õigust üle ei võta. See nipp seisneb [järgmises]. Kuna toit on eluks tähtis, siis selleks, et toiduainete hulgimüük toimiks, on toiduainete hulgimüüjatele ette nähtud karmimad küberturvalisuse nõuded. Eestis [käib] alkohol toidu alla, aga me oleme [eelnõust] ikkagi alkoholi hulgimüüjad välja arvanud. Me leiame, et see ei ole elutähtis teenus.
See tabel on saanud palju head tagasisidet, ka erasektorist. Selle tabeli mõtles välja advokaadibüroo WIDEN, kes aitas meil seda eelnõu viia selliseks, et võtta Euroopa Liidu õigus üle minimaalselt. Erasektor on palunud ja pakkunud, et sellist tabelit koos valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude puhul. Nii et ma väga loodan, et see praktikas tõesti hakkab ka selliselt rakenduma.
Teine asi, millele ma sooviksin teie tähelepanu juhtida ja mida te saate arutada: Euroopa Liidu õigus ei näe ette ennetavat järelevalvet, aga meie küberturvalisusega tegelevad ametnikud pidasid seda siiski oluliseks. Kuna minu eesmärgiks oli tuua Riigikogu ette [eelnõu, millega] võetakse Euroopa Liidu õigus minimaalselt üle ja kus ei ole ülekuldamist, siis eelnõus seda punkti ei ole. Ehk ametnike soovi teha ennetavat järelevalvet ma tõmbasin maha ja ütlesin, et te saate alati tegeleda ennetava nõustamisega. Aga Riigikogu [võib] otsustada teistmoodi. Mina olen ametkonna soovi teile edastanud.
Nii et mõni otsustuskoht siin on, aga kokkuvõttes võtab see eelnõu Euroopa Liidu õiguse üle täiesti kitsalt. Mingit erilist revolutsiooni ta Eesti jaoks ei tähenda, kuna Eesti on juba maailmas üks kõige kõrgema küberturvalisuse tasemega riike. Esimese küberturvalisuse direktiivi võtsime me üle palju laiemalt, kui Euroopa Liit seda ette nägi. See on osutunud meile kasulikuks ja heaks. Me oleme suutnud valdava osa küberründeid tõrjuda, Eesti inimesed on saanud elutähtsaid teenuseid ja ettevõtted on saanud töötada. Vaatamata sellele, et küberrünnete arv on kogu aeg kahekordistunud – nüüdseks on jõudnud ainuüksi tänavuste mõjuga küberintsidentide arv juba ligi 8000-ni – "mõjuga" tähendab seda, et küberrünne on kahjuks õnnestunud, ehk juba 8000 korral on sellel aastal küberrünne õnnestunud –, on ikkagi meie tase maailma mastaabis väga kõrge ja [küberturvalisus] väga hea. Ma tänan kõiki Eesti inimesi ja Eesti ettevõtteid, kes küberturvalisuse eest on hoolitsenud. Sellega lõpetan eelnõu tutvustuse. Aitäh!
Aitäh! Teile on ka mõned küsimused. Vadim Belobrovtsev, palun!
Aitäh! Lugupeetud minister! See seletuskiri on peaaegu 140 lehekülge. Kas te saaksite väga konkreetselt, kahe-kolme lausega tuua välja, mis on selle eelnõu kõige olulisem koht?
Aitäh! Kõige suurema mõjuga koht selles eelnõus on see, et umbes 3000-le Eesti ettevõttele hakkavad kehtima karmimad küberturvalisuse nõuded. Eelnõu ise ja eelnõu seletuskiri selgitavad detailselt neid nõudeid ja nende rakendamist. Kokku saab Eestis olema umbes 6500 organisatsiooni ja ettevõtet, kellele hakkavad kehtima rangemad küberturvalisuse nõuded. Umbes 3500 organisatsioonile ja ettevõttele kehtivad need juba praegu, aga muutub see, et küberturvalisuse nõuded laienevad üle terve organisatsiooni tegevuse, mitte ainult konkreetsele teenusele, vaid kõige puhul organisatsioonis. See on kõige olulisem.
Lauri Laats, palun!
Aitäh, hea istungi juhataja! Hea ettekandja! See tähendab ju ka seda, et loomulikult kaasnevad sellega kulud, eriti nendele ettevõtetele, kellele see nõue rakendub. Tõesti, siin seletuskirjas on välja toodud, nagu te ise ütlesite, et lisanduvad uued subjektid. Teie vastusest saime aru, et see ei piirdu ainult ETO-dega, vaid see ring on tunduvalt laiem. Ja sellest lähtuvalt küsingi. Ma olen kindlasti selle poolt, et küberturvalisusega tuleb tegeleda ja lisaturvameetmeid tuleb rakendada selle pärast, mis praegu toimub. Olukorda kasutatakse ära ja inimesed kannatavad igapäevaselt, nii nagu me teame. Aga kas majandusliku mõju analüüs on ka tehtud selle eelnõu raames või seda ei ole?
Aitäh! Me oleme eelnõu seletuskirjas ausalt tunnistanud, et kuna organisatsioonide hulk on nii suur, 3000 organisatsiooni, siis meil ei ole täpset ülevaadet, mis nende tegelik vajadus on rahalises mõttes. Me ei ole analüüsinud, mis on nende praegune tase ja kui palju oleks vaja üldse muudatusi teha. Tõenäoliselt pole osal vaja üldse muudatusi teha, sest nad juba rakendavadki kõrgemaid küberturvalisuse nõudeid. Meil seda informatsiooni ei ole ja selle tõttu täpne majanduslik mõju on hindamata. Seda ei ole lihtsalt võimalik mõistlikul või adekvaatsel moel teha.
Küll aga, nagu öeldud, kui eelnõu jõustub, siis avaneb toetusmeede, mis on just mõeldud neile umbes 3000 uuele subjektile. Kui ettevõttel tekib küsimus, kas ta on selles rivis, kes peab karmimaid nõudeid rakendama, siis selline vastavustabel on Riigi Infosüsteemi Ameti kodulehel leitav. Samuti on Digiriigi Akadeemia kodulehel juba avatud tasuta veebikursused ehk ettevõtted ei pea koolituste ostmiseks raha kulutama. Neid kursusi ja koolitusi kogu aeg lisandub sinna. Lisaks on Riigi Infosüsteemi Amet välja töötanud erinevaid lahendusi, kuidas toetada ettevõtteid, et halduskoormus nende muudatuste tegemisel oleks võimalikult väike.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud minister! Ma olen lugenud huviga arvamusi [eelnõu kohta] ja need on olnud hävitavad. Eesti Advokatuur ütleb, et eelnõu tekst ei ole loetav. Vastus on see, et Euroopa Liidu määruse ülevõtmisel ei ole teksti ümberkirjutamine lubatud, direktiivi puhul oleks see võimalik. Mida te kostate advokatuurile, et tulete sellise rämpsuga siia?
Aitäh! Nii nagu ma ka ettekandes ütlesin, oli kaasamisringe ja arutelusid väga palju. Me muutsime eelnõu lõppfaasis ikkagi päris palju, viimased muudatused tehti veel septembrikuus. Tõepoolest, määruse tekst on otsekohalduv. Määruse teksti me selle tõttu ümber kirjutada ei saa. Direktiivi ülevõtmisel saame anda oma parima.
Konkreetne eelnõu võtabki üle NIS2 direktiivi ja selle direktiivi ülevõtmise sõnastuse kohta teie esitatud kriitika ei käi. Mis puudutab konkreetselt määrust – määrus on elektrivarustusega seonduv –, siis selle teksti me tõesti ümber kirjutada ei saa. Sellega, et Euroopa Liidu õigus on sageli segases sõnastuses, saab üksnes nõustuda. Saab kahjuks nõustuda ka sellega, et sageli ei ole tõlge kõige õnnestunum. Aga inimesed muidugi püüavad kogu aeg seda paremini teha.
Urve Tiidus, palun!
Lugupeetud juhataja! Lugupeetud minister! Seda küsimust ajendas teie tänase ettekande sissejuhatus õnnestunud politsei koostööst kahe riigi vahel küberturvalisuse parendamiseks. Küsimus puudutab seda, kui palju meil on võimalik ja vaja teha elanikele teavitustööd, et ei oleks nii palju pettuste ohvreid. Kas see seadus aitab sellele kuidagi kaasa? Ja kuidas te näete võimalust inimesi rohkem harida, eriti küpsemas eas inimesi?
Aitäh! Väga hea ja õige küsimus! Vaatamata sellele, et küberturvalisuse nõuete uuendamine tuleneb muu hulgas tehnoloogilistest arengutest, on endiselt umbes 80% küberrünnetest edukad seetõttu, et inimene teeb midagi valesti. Mitte ei ole süsteemis auk, vaid inimene teeb midagi valesti. Ma tõin ka haigla näite, kus kuus inimest tegid midagi valesti, aga süsteem oli sedavõrd turvaline, et nende eksimus ei kulmineerunud kahjuks.
Tõepoolest, see eelnõu näeb 6500 organisatsioonile, seal hulgas on nii riigi-, kohaliku omavalitsuse asutused kui ka eraettevõtted, ette suurema koolitusvajaduse. Nii nagu ma ütlesin, riik keskselt neid koolitusi veebikursustena tasuta pakub, et ettevõtted ei peaks sellele täiendavalt raha kulutama. Ja need digikursused ei ole mitte sellised, kus sa lihtsalt vaatad [materjale], vaid sa pead ikkagi testi ka pärast läbima, [tõendamaks,] et sa kinnistasid need teadmised, ja saad ka väikese tõendi selle kohta, et sa oled [kursuse] läbinud.
Lisaks sellele on valitsus otsustanud, et tuleb parandada Eesti kui väikese rahva digirahva digi- ja küberteadlikkust laiemalt. Me oleme ette näinud, et algklassidesse peaks tekkima aastane kursus toimetulekust digiühiskonnas. See hõlmab tegelikult elementaarset küberhügieeni, vaimse tervise hoidmist – kõike seda, mis selle seondub – ja ka oskusi aru saada, mis on libakonto, mis on õngitsus, mis on mingisugune muu oht. See [teema] vajab täiesti põhjalikku avamist algklassilaste tasemel. Meie arutelud, mis on siiamaani olnud, viitavad isegi sellele, et tegelikult tuleks alustada lasteaiast. Kui need materjalid valmis saavad, siis nad on lihtsas keeles, hästi selged ja väheste kohandustega kasutatavad ka laiemalt elanikkonnas. See on see tee, mille me praegu oleme valinud. Me alustame küll lastest, aga see [materjal] on lihtsasti kohandatav kogu elanikkonnale. Uus on see kõigile, sõltumata vanusest.
Jüri Jaanson, palun!
Suur tänu! Austatud minister! Kulude puhul on küll välja toodud, et avaliku sektori või liikmesriikide kulu eelarvetes ja haldusasutustele suureneb keskmiselt veerandi võrra, samuti tulevad keskmise suurusega ja suurematele ettevõtetele kulud. Aga mind huvitab hoopis see, et enne te rääkisite siin direktiivide ülevõtmisel valgusfoorist. Samuti kasutasite sõnastust, et see direktiiv on üle võetud minimalistlikult. Kuidas te nüüd selle lahti seote ja seda seletate, just eelkõige kulude mõttes? Kas [sõna] minimalistlik on mõeldud nii, et see toob ka vähem kulusid või väheneb selle võrra turvalisus? Kuidas see ülevõtmise võrdluses välja paistab?
Aitäh! Tõepoolest, siin on juba olnud viiteid selle kohta, et esmane eelnõu versioon tekitas ühiskonnas väga palju küsimusi. Esmane eelnõu versioon [kujutas] küberturvalisuses igapäevaselt töötavate inimeste ideaali ja seda, kui kõrged küberturvalisuse nõuded tegelikult ikkagi peaksid olema. Nii nagu me teame, ideaal ei ole sageli kogu rahvastikule jõukohane. Me tegime otsuse, et me ei võta Euroopa Liidu õigust üle ülekuldavalt ehk me ei lisa teiste riikidega võrreldes täiendavaid nõudeid, mis [kehtestataks] riigi poolt kohustuslikuna. Ma rõhutan siinkohal üle, et igal organisatsioonil, kes soovib küberturvalisust [tõsta], on loomulikult õigus ja võimalus teha palju rohkem, kui riigi seatud nõuded ette näevad, aga see on vabatahtlik, mitte me ei sunni riigina seda tegema.
Ehk selle seaduseelnõuga, mis teie ees on, võetakse Euroopa Liidu õigus üle selles ulatuses, nagu Euroopa Liit seda ette näeb. Selle kohta võib tõesti olla "minimalistlik" isegi vale sõna, sest ta on nii, nagu ette on nähtud. Seal ei ole kuldamist, sinna ei ole rohkem nõudeid peale pandud. Meil on Eestis olnud üsna läbiv probleem, et me kipume Euroopa Liidu õigust üle võtma ülekuldavalt ehk me võtame üle Euroopa Liidu kehtivad reeglid ja siis lisame sinna omalt poolt veel igasuguseid ägedaid nõudeid ja piiranguid juurde. Selles eelnõus seda tehtud ei ole, siia ei ole juurde lisatud igasuguseid uusi ja põnevaid asju, mida Euroopa Liidu õigus ette ei näe.
Lauri Laats, palun!
Aitäh, hea istungi juhataja! Hea ettekandja! Selle seaduseelnõuga muudetakse tegelikult kümmet seadust: küberturvalisuse seadus, sadamaseadus, raudteeseadus, lennundusseadus ja nii edasi. Ma arvan, et selge on see, et finantskoormus, mis ettevõtetele selle seaduseelnõuga lasub, on iseenesest päris suur, kuigi sellekohast analüüsi ei ole, ei ole [teinud] ei mina ega teie. Tõenäoliselt on minu arvamus praegu subjektiivne, aga ikkagi [võib öelda, et] finantskoormust tuleb juurde, sellest me saame ju kõik aru. Mina võtaks praegu selle teise poole, karistuse poole ehk siis pätid, kes küberrünnakuid korraldavad. Kas me kuidagi kavatseme neid Eesti riigi poolt rohkem karistada ja karmistada karistust? Kas see on üldse meie võimuses? Tõenäoliselt on, aga kas te olete ka selle peale mõelnud?
Aitäh! Jaa, see on väga õige küsimus. Kahjuks on see õige, et kõigepealt tuleb pätid kätte saada. Ja teiseks, isegi kui politseioperatsioon õnnestub, siis kübermaailmas on äärmiselt keeruline [süü] omistamine ehk tõendamine, et just see inimene tegi just seda asja. Tehnoloogia võimalused on väga laiad ja seda seost tõendatult on keeruline luua. Ja vastus sellele on, et jah, prokuratuur tugevdab oma küberturvalisusega seotud teadmisi, Politsei- ja Piirivalveamet on juba tugevdanud neid ja ka kohtud võtavad seda teemat väga tõsiselt. See on nagu üks pool.
Ja nüüd teine pool puudutab karistusmäärasid. Nii nagu me nägime sellest Land Roveri näitest, kahjud võivad olla tegelikult massiivsed. See küsimus ei puuduta isegi mitte ainult seda, kas karistused on aja- ja asjakohased. Land Roveri näitel, nii nagu [võib] avalikust meediast lugeda, tuli tegelikult välja, et nende kindlustuskaitse oli pisut ebaselge, kas see küberrünnete vastu üldse kaitseb. Kuidas see lõpuks lahenenud on, ma ei tea. See on lihtsalt avalikust meediast kättesaadav info.
Ehk loomulikult tuleb seda jälgida, seda vaadata. Praegu me lähtume sellest üldpõhimõttest, et ei ole oluline, kas kuritegu tehti arvutis või väljaspool arvutit, vaid oluline on tekitatud kahju, ja karistuse raskus tuleneb tekitatud kahjust.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud minister! Ma jätkan. Kahjuks on küsimusi kaks. Ma küsin, miks te viskate meile siia toore – kordan, toore! – ja raskesti seeditava lihakäntsaka seedimiseks. Näiteks Eesti Infotehnoloogia ja Telekommunikatsiooni Liit ütleb, et eelnõu on väga raskesti loetav. Ta kordab advokatuuri sõnu. Teiseks, mõjuhinnang on puudulik, sisuliselt tegemata. Eelnõu tegelik mõju on väga suur, kuid välja on toodud ainult positiivne mõju. Ja ta lõpetab nii, et eelnõu on ilmselgelt ebaküps ning vajab väga põhjalikke muudatusi ehk uue seaduse kirjutamist. Aga küsimusi on kahjuks kaks, kuigi ma võiksin lugeda teile neid [näiteid] veel ja veel. Miks te tulete uhkelt sellise ebaküpse, toore juriidilise tekstiga siia meie juurde?
Aitäh! Kui te vaatate selle eelnõu valmimise protsessi, nagu ma ka ettekandes rõhutasin, siis tõesti, kaasamist oleme võtnud väga tõsiselt ja ka kriitikat oleme võtnud väga tõsiselt. Selleks, et teha see eelnõu korda, oleme me kaasanud lausa kaks advokaadibürood ehk erasektori enda. Esimese tööga me lõpuni rahule ei jäänud, sest me nägime, et seal on veel parandamisvõimalusi. Kuna nende küsimuste hulk, mida tuli lahendada, oli lihtsalt niivõrd suur, oli mõistlik seda teha koostöös erasektoriga. Teist korda advokaadibüroo abi kasutades me jõudsime tabelini, mida ma siin teile reklaamisin, kus on valgusfoor juures ja kus te saate vaadata säte sätte haaval, kuidas see asi on kujunenud. Seal on ilusti kommentaar ja valgusfoor juures. Sellega jäi erasektor, ka ITL väga rahule. Just nimelt ITL oli see, kes viimasel kohtumisel ütles, et on väga hea, et selline tabel on tehtud. Nüüd on seda eelnõu veel muudetud. Ja just ITL oli ka see, kes tegi esimesena ettepaneku, et sellist tabelit valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude juures. Selles mõttes olen teile toonud ikkagi hästi läbiküpsetatud ja sõna otseses mõttes asjakohaste värvidega eelnõu.
Eero Merilind, palun!
Hea istungi juhataja! Hea minister! Ma vaatan seda infoturbe standardi auditeerimise teemat. Me oleme seda teiega varem ka arutanud. Praegu on haiglatel olnud kaks aastat, tervisekeskustel kolm aastat. Kas oleks mõistlik seda perioodi pikendada, kuna see on suhteliselt aja- ja ressursimahukas?
Praegu on tõesti kolmeaastane periood. See maksimaalne aeg, mida on üldse võimalik kasutada üleminekuks, on viis aastat. Kui praktika käigus [tekib] probleeme, siis kindlasti saab tähtaja üle vaadata. Lisaks on meil need standardid ülevaatamisel. 700-leheküljeline standard ei ole isegi doktorikraadiga inimesele lihtsasti loetav ja jälgitav. Aga nii nagu me siin küsimuste ja arutelude käigus oleme näinud, oluline on see, et inimesed saavad aru, mida nad peavad tegema ja kuidas küberturvalisus just nende tööd puudutab. Nende standardite ülevaatust me oleme alustanud. Nii et kui need lihtsustuvad, siis ehk see [dokument] nii hull ei olegi.
Aitäh! Rohkem küsimusi teile ei ole. Läheme edasi juhtivkomisjonis toimunud arutelu ülevaatega. Ettekandjaks on riigikaitsekomisjoni esimees Kalev Stoicescu! Palun!
Austatud istungi juhataja! Justiits- ja digiminister! Head kolleegid! Nagu eelkõneleja, justiits- ja digiminister, oma ettekandes märkis, võetakse eelnõuga Eesti õigusesse üle Euroopa Liidu küberturvalisuse 2. direktiiv, NIS2, mille eesmärk on tõsta kogu Euroopa Liidus küberturvalisuse taset ja ühtlustada reegleid. Pädevaks asutuseks määratakse Riigi Infosüsteemi Amet, kelle ülesannete hulka lisandub ka Euroopa Komisjoni uue määruse alusel elektrivõrkude küberturvalisuse järelevalve.
Riigikaitsekomisjon arutas eelnõu enne esimest lugemist oma käesoleva aasta 16. oktoobri istungil, kus eelnõu algataja esindajana osalesid Justiits- ja Digiministeeriumi kantsler Tiina Uudeberg, Justiits- ja Digiministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas ning riikliku küberturvalisuse talituse küberturvalisuse õigusnõunik Raavo Palu.
Riigikaitsekomisjoni arutelus juhiti tähelepanu, et eelnõu muudab hädaolukorra seadust, mille tsiviilkriisi ja riigikaitse seaduse eelnõu 668 kehtetuks tunnistab. Kuid viimase § 217 muudab omakorda küberturvalisuse seadust, mistõttu tuleb edasise menetluse käigus mõlemad eelnõud omavahel kooskõlla viia.
Riigikaitsekomisjonis juhiti ka tähelepanu, et arutluse all oleva eelnõu valguses oleks mõistlik riigikaitse eesmärkides fikseerida ka küberruumi suveräänsuse eest seismine. Seda viimast saaks näiteks kajastada koostamisel olevas uues julgeolekupoliitika aluste dokumendis. Samas märgiti, et kuna küberruumil ei ole piire, siis selle kaitsmine on väga keeruline.
Vastates komisjoni liikmete küsimustele, kinnitasid eelnõu algataja esindajad, et seaduse rakendumise eesmärk ei ole trahvida, vaid tagada, et kriitilised ja olulised ettevõtted neid nõudeid täidaksid. Tuleb leida mõistlik tasakaal ja läbi rääkida ettevõtete ja liitudega, et saaks ikkagi kätte maksimumi, mida küberturvalisuse tagamiseks vaja on.
Kokkuvõttes, riigikaitsekomisjoni liikmed toetavad eelnõu üldpõhimõtteid ning sellest tulenevalt on riigikaitsekomisjoni konsensuslikud menetluslikud otsused järgmised. Teha Riigikogu juhatusele ettepanek lülitada arutluse all olev seaduseelnõu esimeseks lugemiseks Riigikogu tänase istungi päevakorda ja teha Riigikogule ettepanek eelnõu esimene lugemine lõpetada. Eelnõu komisjoni ettekandjaks määrati mind. Eelnõu kohta muudatusettepanekute esitamise tähtajaks on Riigikogu kodu- ja töökorra seadusest tulenev kümme tööpäeva. Aitäh!
Aitäh! Küsimusi teile ei ole. Nüüd avan läbirääkimised fraktsioonidele. Läbirääkimiste soovi ei ole. Sulgen läbirääkimised. Juhtivkomisjoni ettepanek on eelnõu 739 esimene lugemine lõpetada. Esimene lugemine on lõpetatud ja muudatusettepanekute esitamise tähtaeg on käesoleva aasta 6. november kell 17.15. Oleme läbinud ka teise päevakorrapunkti ning istung on lõppenud.
