Tere hommikust, lugupeetud Riigikogu liikmed ja külalised rõdul! Alustame Riigikogu täiskogu VI istungjärgu 6. töönädala neljapäevast istungit. Kõigepealt kohaloleku kontroll.
Kohalolijaks registreerus 53 Riigikogu liiget, puudub 48.
Ja nüüd on võimalus üle anda eelnõusid ja arupärimisi. Seda soovi ei ole. Läheme tänase, neljapäevase päevakorra juurde.
Eesti Vabariigi ja Omaani Sultaniriigi vahelise tulumaksudega topeltmaksustamise vältimise ning maksudest hoidumise tõkestamise lepingu ja selle juurde kuuluva protokolli ratifitseerimise seaduse eelnõu (692 SE) teine lugemine
Esimene päevakorrapunkt on Vabariigi Valitsuse algatatud Eesti Vabariigi ja Omaani Sultaniriigi vahelise tulumaksudega topeltmaksustamise vältimise ning maksudest hoidumise tõkestamise lepingu ja selle juurde kuuluva protokolli ratifitseerimise seaduse eelnõu 692 teine lugemine. Ettekandjaks palun rahanduskomisjoni liikme Diana Ingeraineni.
Tere hommikust, hea Riigikogu juhataja! Head kolleegid! Rahanduskomisjon arutas eelnõu kahel korral – 14. ja 21. oktoobril – ning 21. oktoobril võeti vastu konsensuslik otsus: võtta eelnõu päevakorda neljapäeval, 23. oktoobril, lõpetada teine lugemine ja viia läbi lõpphääletus.
Aitäh! Teile on ka mõned küsimused. Vadim Belobrovtsev, palun!
Aitäh! Lugupeetud ettekandja! Kas te oskate öelda nagu, palju meil üldse on selliseid riike, kellel meil ei ole nagu selliseid kokkuleppeid, kellega meil on näiteks lähitulevikus plaan neid kehtestada?
Aitäh! Me komisjonis sellist ülevaadet ei küsinud ja ausalt öeldes ega ka ei saanud.
Lauri Laats, palun!
Aitäh, lugupeetud istungi juhataja! Hea ettekandja! Läbi selle otsuse, millised lisahüved siis Eestile kaasnevad, ma mõtlen eksport-import osas? Kas need arvud olid ka komisjonis välja toodud?
Aitäh selle küsimuse eest! Ei, sellisel kujul me neid komisjonis ei vaadanud. Küll aga mina tahtsin teada, milleks meil sellist lepingut vaja on. Ja tõepoolest, et siis kaks riiki lepivad kokku, et tulumaksudega topeltmaksustamise vältimist ei oleks, tähendab, et vältida topeltmaksustamist ja siis tõkestada ka maksudest hoidumist.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud ettekandja! Sellest Omaanist on juba räägitud ja teistest ka. Aga ikkagi, milline on meie kaubavahetuse ja majandusliku suhtlemise tase ja võrdlus nemad meile ja meie neile?
Rene Kokk, palun!
Aitäh, hea aseesimees! Lugupeetud ettekandja! Kas saate üle korrata, kui suurtest summadest me umbes räägime viimaste aastate jooksul ja mida see kahe riigi vaheline koostöö ja maksude regulatsioon puudutab? Mis summadest aastas räägitakse?
Aitäh! Nendest summadest me niimoodi ülevaadet ei küsinud ega saanud. Küll aga on seal protokollis 30 artiklit, mis käivad üle, kuidas topeltmaksustamist vältida ja kuidas maksudest hoidumist tõkestada.
Priit Sibul, palun!
Aitäh, austatud istungi juhataja! Hea ettekandja! Kas teil oli juttu ka, millised on need põhilised ettevõtlusliigid või alad, mille vahel Eesti ja Omaani vahel ettevõtlus toimib?
Aitäh! Nii palju me arutasime, et initsiatiiv on tulnud IT-ettevõtetelt, kes on olnud sellest kõige rohkem huvitatud.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud ettekandja! Kas ma võin teha nüüd teie eelnevatest vastustest järelduse, et seda, millised on meie suhted Omaani Sultaniriigi ja nende majanduslike sidemetega, sisuliselt ei arutatud? Me oleme tegutsenud valitsuse kummitemplina. Sisulist arutelu ei ole, oleme lihtsalt formaalselt pannud templi peale – ja mitte ainult selle puhul. Sain ma õigesti aru?
Aitäh! Ei, ma ei tunnetanud seda, aga me sellist arutelu läbi ei viinud, et kas me nüüd oleme formaalsed või sisulised.
Lauri Laats, palun!
Aitäh! Hea ettekandja! Teatavasti Omaan on päris autoritaarne riik ja seal on probleeme sõnavabadusega, väljendusvabadusega, kogunemisvabadusega, naiste õigusi on tugevasti piiratud. Kas te arvate ikkagi, teades ka teie nii-öelda erakonna maailmavaadet, kas Eesti riigil ikkagi sellise mitte väga demokraatliku ikkagi riigiga on kohane selliseid lepinguid sõlmida?
Aitäh! Sellist küsimust me komisjonis ei arutanud.
Vadim Belobrovtsev, palun!
Aitäh! Lugupeetud ettekandja! Aga no kindlasti arutati komisjonis seda, kust see initsiatiiv tuli, kas Omaani või Eesti poolt.
Aitäh! Kergelt me arutasime ja tõenäoliselt see oli vastastikune. Aga mis mind hämmastas, et see protsess on nii pikk, et tegelikult see algas juba 2011. Need asjad võtavad väga kaua aega.
Aitäh! Rohkem küsimusi teile ei ole. Avan läbirääkimised. Sõnasoove ei ole, sulgen läbirääkimised. Eelnõu kohta muudatusettepanekuid ei esitatud. Juhtivkomisjon on teinud ettepaneku viia läbi eelnõu 692 lõpphääletus. Alustame selle ettevalmistamist.
Lugupeetud Riigikogu liikmed! Panen lõpphääletusele Vabariigi Valitsuse algatatud Eesti Vabariigi ja Omaani Sultaniriigi vahelise tulumaksudega topeltmaksustamise vältimise ning maksudest hoidumise tõkestamise lepingu ja selle juurde kuuluva protokolli ratifitseerimise seaduse eelnõu 692. Palun võtta seisukoht ja hääletada!
Eelnõu poolt hääletas 51 Riigikogu liiget, vastu 0. Eelnõu on seadusena vastu võetud.
Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu (739 SE) esimene lugemine
Liigume edasi teise päevakorrapunkti juurde, milleks on Vabariigi Valitsuse algatatud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu 739 esimene lugemine. Ettekandja, justiits- ja digiminister Liisa-Ly Pakosta, palun!
Aitäh! Austatud Riigikogu! Mul on hea meel alustada selle punkti ettekandmist kiitusega Eesti politseinikele, kes just äsja lõpetasid eduka koostöö Läti politseinikega. Nimelt, rahvusvaheline politseioperatsioon SIMCARTEL lammutas kelmide võrgustiku, mis müüs sisuliselt erinevatesse riikidesse registreeritud telefoninumbreid. Nende telefoninumbrite kaudu tehti küberpettuseid, investeerimispettuseid ja ka eraisikute vastu suunatud pettuseid. PPA on tunnistanud, et ainuüksi suvel rööviti Eesti inimestelt küberpettustega vähemalt 4 miljonit eurot. Ja markantne on nimetada vast seda, et Lätis toimunud operatsiooni käigus võeti kinni ka üks Eestis tagaotsitavaks kuulutatud inimene ja ühtlasi konfiskeeriti 40 000 aktiivset SIM-kaarti. Platvormi abil oli loodud ligi 50 miljonit libakontot sotsiaalmeediasse. Ehk see 50 miljonit libakontot sotsiaalmeedias ja 40 000 hetkel aktiivset SIM-kaarti näitab vast väga lihtsustatult seda, kuivõrd suure küsimusega me tegeleme, kui me räägime küberturvalisuse vajalikkusest.
Ka meil siinsamas just äsja oli küberrünne ühe Eesti haigla vastu. Haiglast saadi kätte kuue kasutaja paroolid ehk kuus inimest sellest haiglast läks õnge ja nende paroolide kaudu üritati vaid paar päeva hiljem siseneda haigla süsteemidesse, aga tänu küberkaitsemeetmetele see ebaõnnestus. Ehk kuus inimest olid läinud õngitsusel haneks, aga tänu küberturvalisuse meetmetele, mida Eesti tervishoiusektor juba kasutab, see rünnak ebaõnnestus.
Nagu te nägite, need küsimused on piiriülesed ja see on ka põhjus, miks Euroopa Liit tervikuna küberturvalisuse küsimuste lahendamisega tegeleb. Ja isegi kui rünnak on suunatud ainult ühe riigi vastu, meenutame ka äsjaseid suuremaid näiteid, kus Inglismaal olid kuu aega maas kõik Land Roveri tehased, puudutas see nädalas kaotust 50 miljonit naela ja tööta istusid üle 100 000 inimese. Või siis võib-olla ka teid, head Riigikogu liikmed, puudutanud küberrünnak lennujaamade vastu, mis pööras segi Euroopa lennuliikluse.
Eestis oleme näinud, et küberründed Eesti vastu sisuliselt on kahekordistunud igal aastal, alates täiemahulise sõja algusest Venemaa poolt Ukraina vastu. See küberrünnete väga kiire arvu kasv sunnib meid võtma küberturvalisust äärmiselt tõsiselt.
Ja veel kord: need ründed ei ole peaaegu mitte kunagi ainult ühe riigi vastu suunatud, sageli mitme riigi vastu korraga. Ühes riigis alanud küberrünne võib kergesti üle kasvada küberrünnakuks ka teise riigi vastu. Ühtlasi oleme näinud ka tehnoloogia kiiret arengut, võrgu infosüsteemide keerukus on oluliselt kasvanud ja kõik see on suunanud Euroopa Liitu vastu võtma nn küberturvalisuse teist direktiivi, tuntud ka NIS2-direktiivina. Sisuliselt selle ning ühtlasi ka Euroopa Parlamendi ja nõukogu määrust, mis puudutab siis piiriüleste elektrivoogude küberturvalisust, nende kahe õigusakti ülevõtmisega me täna tegeleme.
Mis on kõige olulisemad punktid lisaks sellele vajalikkusele? Uute nõuetega, uute küberturvalisuse nõuetega suurendatakse nende organisatsioonide ringi, kellel on karmimad küberturvalisuse nõuded ja suurem rünnetest teavitamise kohustus. Need nõuded ja kohustused tulenevad sellest, et tegemist on elutähtsate teenuste osutajatega või selliste organisatsioonidega, kelle vastu suunatud küberrünne, nagu me nägime Land Roveri tehastega, kui sul ikkagi keset talve võetakse näiteks kas sideteenuse osutaja või jäätmeettevõte kuuks ajaks maha, siis on see inimestele päris keeruline olukord, rääkimata sellest, kui maha võetakse kohalik soojatootja. Eelnõu seega suurendab umbes 3000 ettevõtte võrra Eestis neid subjekte, kelle kohta need karmimad küberturvalisuse nõuded hakkavad kehtima.
Kuna me loeme siiski seda, et küberturvalisuse nõuete laienemine on halduskoormuse kasv, siis vastavalt Vabariigi Valitsuse poolt muudetud eelnõude ettevalmistamise korrale iga eelnõu, mis toob kaasa halduskoormuse kasvu, peab ühtlasi ka tegema midagi selle heaks, et halduskoormus kuskil mujal alaneks. Seda teie ees ei ole, aga rõhutan ära, sellele on ka seletuskirjas viidatud, et juba 1. oktoobrist on jõustunud Vabariigi Valitsuse määrus nr 121, millega omakorda vähendati küberturvalisuse nõudeid ja vähendati neid nõudeid väikestele asutustele ja ettevõtetele. Lühidalt öeldes oli enne nii, et sõltumata ettevõtte või organisatsiooni suurusest, kehtisid kõikidele ühesugused küberturvalisuse nõuded, aga me muutsime seda. Me muutsime seda niimoodi, et väikestele ettevõtetele ja asutustele, sealhulgas kohaliku omavalitsuse asutustele näiteks, on need nõuded leebemad, vähem koormavad. Selle mõte oli selles, et kui sa oled pisike, siis ka sinu mõju, juhul kui küberrünnaku tõttu sinu tegevus peatatakse või lõpetatakse, on oluliselt väiksem. Loomulikult on üleskutse, et kõik organisatsioonid ja ka kõik eraisikud võtaksid küberturvalisust äärmiselt tõsiselt, aga siis riigipoolsed otsesed nõuded on väikestele organisatsioonidele väiksemad. Ja see on juba jõustunud.
Teine suur muudatus lisaks ettevõtete hulga kasvule selles eelnõus on see, et küberturvalisuse eest vastutab terve organisatsioon. Varasemalt oli niimoodi, et kui organisatsioonil oli elutähtis teenus, siis tuli küberturvalisusega tegeleda üksnes selle teenuse ulatuses. Aga nagu me nägime sellel äsjasel haigla näitel Eestis, siis kui ikkagi küberkurjategija saab kätte selle organisatsiooni mõnede töötajate näiteks paroolid, siis on tegelikult tal võimalus ju siseneda ka sellesse teenusesse, isegi kui võib-olla esmaselt see inimene ei olnud sellega seotud. Seetõttu on oluline, et me ei räägi ainult teenusest, vaid me räägime tervest organisatsioonist. Sisuliselt me kehtestame lihtsustatult öeldes sellise korra, et asutuse või ettevõtte juht ikkagi vastutab küberturvalisuse nõuete täitmise eest.
Ette on nähtud üleminekuaeg, üldreeglina kolm aastat. Ja ettevalmistamisel on ka küberturvalisuse taseme tõstmise toetus, mis on just mõeldud sellele umbes 3000-le uuele küberturvalisuse rangemate nõuete alla sattuvale organisatsioonile. See oleks vast hästi lühidalt kokku võttes kõige olulisem selles eelnõus.
Nüüd mõned asjad veel, millele ma sooviksin Riigikogu tähelepanu pöörata. Selle eelnõuga, kuna ta siiski on väga paljusid organisatsioone puudutav, oli väga palju kaasamisringe, arutelusid. Ma väga tänan kõiki, kes nendes osalesid, sest tegelikult me muutsime seda eelnõu tulenevalt nendele aruteludele väga märkimisväärsel määral.
Kõige lihtsam näide tõesti: üksikule perearstile maapiirkonnas need nõuded on nüüd oluliselt madalamad. Tõesti, me ei pea seda võrdsustama näiteks suure soojatootmisettevõttega, kes varustab tervet Lasnamäge südatalvel toasoojusega.
Teine vast olulisem muudatus on see, et me neid nõudeid ikkagi oleme samm-sammult läbi käinud ja rakendanud üksnes minimaalsel määral.
Head Riigikogu liikmed, see eelnõu sisaldab valgusfooriga tabelit. Selgitan juurde sellele, et kõikidel Euroopa Liidu õigust ülevõtvatel eelnõudel on alati juures tabel, kus on näha Euroopa Liidu õigusakti säte ja teises tulbas seda konkreetset sätet ülevõttev Eesti õiguse säte. Kõikidel Riigikogu liikmetel on võimalik neid kahte sätet võrrelda ja vaadata, kas siis me oleme ülekuldavalt Euroopa Liidu õigust üle võtnud või me oleme seda ikkagi õigesti üle võtnud ehk siis nii nagu vaja, ilma ülekuldamiseta. Me oleme seda tabelit täiendanud ja me oleme seda tabelit täiendanud kahe tulbaga. Kolmas tulp on selgitused ja neljas tulp on valgusfoor. Ehk kui on roheline, siis on ülevõtmine nagu täpne, ilma igasuguste liialdusteta, aga ilma ka vähendusteta. Kui on punane, siis on üle võetud rohkem, kui see Euroopa Liidu õigus ette näeb. Ja paari koha peal seda tõesti niimoodi tehtud on, me oleme pidanud seda otstarbekamaks, selle asemel, et mitu teadet esitada, piisab ühe teate esitamisest, aga kohe korralikumalt. Formaalses mõttes on see pisut üle piiri minek, seda saate teie otsustada ja arutada, kas see on õige. Sinine värv tähistab seda, kus me oleme võtnud Euroopa Liidu õigust üle vähem, kui Euroopa Liit ette näeb. Ja selles aktis on üks temaatika, mida jällegi Riigikogu liikmed saavad arutada ja otsustada. Meie oleme valitsuse poolt pakkunud sellise ikkagi variandi, mis puudutab alkoholi hulgimüüjaid, siis nende jaoks me ei ole Euroopa Liidu õigust üle võtnud. See nipp seisneb selles, et toidutarnijad, kuna toit on eluks tähtis, ja selleks et toiduainete hulgimüük toimiks, toiduainete hulgimüüjatele on karmimad küberturvalisuse nõuded ette nähtud. Eestis on alkohol toit, aga me oleme sealt ikkagi alkoholi hulgimüüjad välja arvanud. Me leiame, et see ei ole elutähtis teenus.
See tabel on saanud sedavõrd palju head tagasisidet just ka erasektori poolt. Selle tabeli mõtles välja advokaadibüroo Widen, kes aitas meil seda eelnõu viia minimaalseks Euroopa Liidu õiguse ülevõtmiseks. Erasektor on palunud ja pakkunud, et sellist tabelit koos selle valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude puhul. Nii et ma väga loodan, et see praktikas tõesti hakkab ka selliselt rakenduma.
Teine asi, millele ma sooviksin teie tähelepanu juhtida ja mida te saate ka arutada. Euroopa Liidu õigus ei näe ette ennetavat järelevalvet. Meie küberturvalisusega tegelevad ametnikud pidasid seda siiski oluliseks. Kuna minu eesmärgiks oli tuua Riigikogu ette minimaalne Euroopa Liidu õiguse ülevõtmine, kus ei ole ülekuldamist, siis eelnõus seda punkti ei ole. Ehk ametnike soovi teha ennetavat järelevalvet ma tõmbasin maha ja ütlesin, et te saate alati tegeleda ennetava nõustamisega. Aga kui nüüd Riigikogu peaks otsustama teistmoodi, siis mina olen selle ametkonna soovi teile edastanud.
Nii et otsustuskohti siin mõned on, aga üldiselt kokkuvõttes on see eelnõu täiesti kitsalt Euroopa Liidu õiguse ülevõtmine. Mingit erilist revolutsiooni ta Eesti jaoks ei tähenda, kuna Eesti on juba maailmas üks kõige kõrgema küberturvalisuse tasemega riike. Me esimest küberturvalisuse direktiivi võtsime üle palju rohkem, palju laiemalt, kui Euroopa Liit seda ette nägi, mis on osutunud meile ka kasulikuks, heaks. Me oleme suutnud valdava-valdava-valdava osa küberründeid tõrjuda, Eesti inimesed on saanud elutähtsaid teenuseid, ettevõtted on saanud töötada. Vaatamata sellele, et küberrünnete arv on kogu aeg kahekordistunud, nüüdseks on jõudnud mõjuga küberintsidentide arv tänavu ainuüksi juba ligi 8000-ni – "mõjuga" tähendab seda, et küberrünne on õnnestunud kahjuks ja 8000 korral juba sellel aastal on see küberrünne õnnestunud –, siis ikkagi on meie tase maailma mastaabis väga kõrge ja väga hea. Ma tänan kõiki Eesti inimesi ja Eesti ettevõtteid, kes selle küberturvalisuse eest on hoolitsenud. Aga sellega selle eelnõu tutvustuse lõpetan. Aitäh!
Aitäh! Teile on ka mõned küsimused. Vadim Belobrovtsev, palun!
Aitäh! Lugupeetud minister! See seletuskiri on peaaegu 140 lehekülge. Kas te saaksite väga konkreetselt, kahe-kolme lausega tuua välja, mis on selle eelnõu kõige olulisem koht?
Aitäh! Kõige suurema mõjuga koht selle eelnõu puhul on see, et umbes 3000-le Eesti ettevõttele hakkavad kehtima karmimad küberturvalisuse nõuded. Eelnõu ise ja eelnõu seletuskiri selgitavad detailselt neid nõudeid ja nende rakendamist. Kokku saab Eestis olema umbes 6500 organisatsiooni ja ettevõtet, kellele hakkavad kehtima rangemad küberturvalisuse nõuded, umbes 3500 organisatsioonile ja ettevõttele kehtivad juba praegu. Kõikide puhul muutub see, et küberturvalisuse nõuded hakkavad laienema üle terve organisatsiooni tegevuse, mitte ainult konkreetsele teenusele, vaid kõige puhul selles organisatsioonis. See on kõige olulisem.
Lauri Laats, palun!
Aitäh, hea istungi juhataja! Hea ettekandja! See tähendab ju ka seda, et loomulikult kaasnevad sellega ka kulud, eriti nende ettevõtete poolt, kelle osas see nõue rakendub. Tõesti, siin seletuskirjas on välja toodud, nii nagu te ise ütlesite, et lisanduvad uued subjektid. Ja teie vastusest kindlasti saime aru, et ei piirdu ainult ETO-dega, vaid see ring on tunduvalt laiem. Ja sellest lähtuvalt küsingi. Ma olen kindlasti selle poolt, et küberturvalisusega tuleb tegeleda ja lisaturvameetmeid tuleb rakendada, sellepärast et see, mis praegu toimub. Ja teiselt poolt seda olukorda kasutatakse ära ja inimesed kannatavad igapäevaselt, nii nagu me teame. Aga kas see majandusliku mõju analüüs on ka kuidagi tehtud selle eelnõu raames või seda ikkagi ei ole?
Aitäh! Me oleme eelnõu seletuskirjas ausalt tunnistanud, et kuna see organisatsioonide hulk on suur, siis meil ei ole täpset ülevaadet selle 3000 uue organisatsiooni osas, mis nende tegelik vajadus on rahalises mõttes. Meil ei ole analüüsitud, mis on nende praegune tase ja kui palju oleks vaja üldse muudatusi teha. Tõenäoliselt osal pole vaja üldse muudatusi teha, nad juba rakendavadki kõrgemaid küberturvalisuse nõudeid. Meil seda informatsiooni ei ole ja selle tõttu täpne majanduslik mõju on hindamata. Seda ei oleks lihtsalt võimalik mõistlikul või adekvaatsel moel teha.
Küll aga, nagu öeldud, kui eelnõu jõustub, siis avaneb toetusmeede, mis on just mõeldud neile umbes 3000 uuele subjektile. Kui ettevõttel tekib küsimus, kas ta vastab sellele, kas ta on selles rivis, kes peab neid karmimaid nõudeid rakendama, siis selline vastavustabel on Riigi Infosüsteemi Ameti kodulehel juba leitav. Samuti on juba avatud Digiriigi Akadeemia kodulehel tasuta veebikursused ehk ettevõtted ei pea raha kulutama koolituste ostmiseks. Neid kursusi ja koolitusi ka kogu aeg sinna lisandub. Lisaks on Riigi Infosüsteemi Amet välja töötanud erinevaid lahendusi, kuidas toetada ettevõtteid, just et halduskoormus nende muudatuste tegemisel oleks võimalikult väike.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud minister! Ma olen lugenud huviga nende arvamuskülgi ja need on olnud hävitavad. Eesti Advokatuur ütleb, et eelnõu tekst ei ole loetav, aga vastus on see, et Euroopa Liidu määruse ülevõtmisel teksti ümberkirjutamine ei ole lubatud, direktiivi puhul oleks see võimalik. Mida te kostate advokatuurile, et tulete sellise rämpsuga siia?
Aitäh! Nii nagu ma ka ettekandes ütlesin, oli kaasamisringe ja arutelusid väga palju. Me muutsime eelnõu tegelikult ikkagi lõppfaasis päris palju, viimased muudatused tehti veel septembrikuus. Tõepoolest, määruse tekst on otsekohalduv. Määruse teksti me selle tõttu ümber kirjutada ei saa. Direktiivi ülevõtmisel saame anda oma parima.
Konkreetne eelnõu võtabki üle nn NIS2 direktiivi ja selle direktiivi ülevõtmise sõnastuse kohta teie esitatud kriitika ei käi. Mis puudutab konkreetselt määrust – määrus oli elektrivarustusega seonduv –, siis määruse teksti me tõesti ümber kirjutada ei saa. Sellega, et Euroopa Liidu õigus on sageli segases sõnastuses, saab üksnes nõustuda. Saab kahjuks nõustuda ka sellega, et sageli ei ole tõlge kõige õnnestunum, aga inimesed muidugi püüavad kogu aeg seda paremini teha.
Urve Tiidus, palun!
Lugupeetud juhataja! Lugupeetud minister! Seda küsimust ajendas teie sissejuhatus tänasele ettekandele õnnestunud politsei koostööst kahe riigi vahel küberturvalisuse parendamiseks. Küsimus puudutab seda, kui palju meil on võimalik ja vaja teha elanike teavitustööd, et ei oleks nii palju pettuste ohvreid. Kas see seadus aitab sellele kuidagi kaasa ja kuidas te näete võimalust inimesi rohkem harida, eriti küpsemas eas inimesi?
Aitäh! Väga hea ja õige küsimus! Vaatamata sellele, et küberturvalisuse nõuete uuendamine on tulenenud tehnoloogilistest arengutest muu hulgas, on endiselt umbes 80% küberrünnetest edukad seetõttu, et inimene teeb midagi valesti. Mitte ei ole süsteemis auk, vaid inimene teeb midagi valesti. Ma tõin ka selle haigla näite: kuus inimest tegid midagi valesti, aga süsteem oli sedavõrd turvaline, et nende eksimus ei kulmineerunud kahjuks.
Tõepoolest, see eelnõu näeb ette 6500 organisatsioonile, sealhulgas on nii riigi- kui ka kohaliku omavalitsuse asutused kui ka eraettevõtted, suurema koolitusvajaduse. Ja nii nagu ma ütlesin, neid koolitusi me tasuta veebikursustena riigi poolt keskselt pakume, et ettevõtted ei peaks sellele täiendavalt raha kulutama. Ja need digikursused ei ole mitte sellised lihtsalt, kus sa vaatad seda, vaid sa pead ikkagi selle testi ka pärast läbima, et sa kinnistad need teadmised ja saad ka väikese tõendi selle kohta, et sa oled selle läbinud.
Lisaks sellele on valitsus otsustanud, et parandada tuleb Eesti kui väikese vahva digirahva digi- ja küberteadlikkust laiemalt. Me oleme ette näinud, et algklassidesse peaks tekkima aastane kursus toimetulekust digiühiskonnas. See hõlmab tegelikult ikkagi elementaarset küberhügieeni, vaimse tervise hoidmist – kõike seda, mis selle kõigega seondub – ja ka oskusi aru saada, kus on libakonto, kus on õngitsus, kus on mingisugune muu oht. See vajab täiesti põhjalikku avamist algklassilaste tasemel. Meie arutelud, mis on siiamaani olnud, viitavad isegi juba sellele, et tegelikult tuleks alustada lasteaiast. Kui need materjalid valmis saavad, siis nad on lihtsas keeles, hästi selged ja väheste kohandustega kasutatavad ka laiemalt elanikkonnas.
See on see tee, mille me praegu oleme valinud. Me alustame küll lastest, aga see on lihtsasti kohandatav tegelikult kogu elanikkonnale. Sest uus on see kõigile, sõltumata vanusest.
Jüri Jaanson, palun!
Suur tänu! Austatud minister! Kulude suhtes on välja toodud küll, et avaliku sektori või liikmesriikide kulu eelarvetele ja haldusasutustele suureneb keskmiselt veerandi võrra, samuti keskmise suurusega ja suurematele ettevõtetele kulud tulevad. Aga mind huvitab hoopis see punkt, et enne te rääkisite siin valgusfoorist direktiivide ülevõtmisel. Samuti kasutati sõnastust, et see direktiiv on üle võetud minimalistlikult. Kuidas te selle lahti seote ja seletate nüüd, just eelkõige kulude mõttes? Kas see minimalistlik on mõeldud nii, et toob ka vähem kulusid või vähendab selle võrra turvalisust? Või kuidas see ülesvõtmise nii-öelda võrdluses välja paistab?
Aitäh! Tõepoolest, siin on juba olnud viited selle kohta, et esmane eelnõu versioon tekitas ühiskonnas väga palju küsimusi. Esmane eelnõu versioon oli küberturvalisuses igapäevaselt töötavate inimeste ideaal, et kui kõrged need küberturvalisuse nõuded siis ikkagi tegelikult peaksid olema. Nii nagu me teame, ideaal ei ole sageli kogu rahvastikule jõukohane. Me tegime otsuse, et tegelikult me võtame Euroopa Liidu õiguse üle, aga me ei võta seda üle ülekuldavalt ehk me ei lisa teiste riikidega võrreldes täiendavaid nõudeid riigi poolt kohustuslikkusena. Ma rõhutan siinkohal üle, et igal organisatsioonil, kes soovib küberturvalisust täita, on loomulikult õigus ja võimalus teha palju rohkem, kui riigi seatud nõuded ette näevad. Aga see on vabatahtlik, mitte me riigi sunniga ei sunni seda tegema.
Riigi sunniga ehk see seaduseelnõu, mis teie ees on, on Euroopa Liidu õiguse ülevõtmine selles ulatuses, nagu Euroopa Liit seda ette näeb. Selle kohta võib-olla tõesti isegi "minimalistlik" on vale sõna, sest ta on nii, nagu ette on nähtud. Sinna ei ole kuldamist peale pandud, sinna ei ole rohkem nõudeid peale pandud. See on olnud meil üsna läbiv probleem Eestis, et me kipume Euroopa Liidu õigust üle võtma ülekuldavalt ehk me võtame üle Euroopa Liidu kehtivad reeglid ja siis lisame sinna veel omalt poolt igasuguseid ägedaid nõudeid ja piiranguid juurde. Selles eelnõus seda tehtud ei ole, siia ei ole juurde lisatud igasuguseid uusi ja põnevaid asju, mida Euroopa Liidu õigus ette ei näe.
Lauri Laats, palun!
Aitäh, hea istungi juhataja! Hea ettekandja! Selle seaduseelnõuga muudetakse tegelikult kümme seadust: küberturvalisuse seadus, sadamaseadus, raudteeseadus, lennundusseadus ja nii edasi, nii edasi. Ja selge on see, et see finantskoormus, mis ettevõtetele läbi selle seaduseelnõu siis lasub, ma arvan, iseenesest on päris suur, kuigi seda analüüsi ei ole, ei ole ka minu ega teie poolt. Ehk siis tõenäoliselt minu arvamus on praegu hetkel subjektiivne, aga ikkagi selline nii-öelda finantskoormus tuleb juurde, sellest me saame ju kõik aru. Mina võtaks praegu selle teise poole, see karistuse poole. Ehk siis samad pätid küberrünnakuid kes korraldavad. Kas me kuidagi ka Eesti riigi poolt kavatseme neid rohkem karistada, karmistada siis karistust? Kas see on üldse meie võimuses? Tõenäoliselt on, aga kas te olete ka selle peale mõelnud?
Aitäh! Jaa, ei, see on väga õige küsimus. Kahjuks on õige see, et kõigepealt tuleb need pätid kätte saada. Ja teiseks, isegi kui politseioperatsioon õnnestub, siis kübermaailmas on äärmiselt keeruline omistamine ehk selle tõendamine, et just see inimene tegi just seda asja. Selle tehnoloogia võimalused on väga laiad, et seda seost tõendatult oleks keeruline luua. Ja vastus sellele on jah, prokuratuur tugevdab oma nii-öelda küberturvalisusega seotud teadmisi, Politsei- ja Piirivalveamet on tugevdanud seda osa ja ka kohtud võtavad seda teemat väga tõsiselt. See on nagu üks pool.
Ja nüüd teine pool, mis puudutab neid karistusmäärasid, siis nii nagu me nägime sellest Land Roveri näitest, need kahjud võivad olla tegelikult massiivsed. See küsimus ei puuduta ainult isegi mitte, kas karistused on aja- ja asjakohased. Land Roveri näitel, nii nagu on avalikust meediast lugeda, tegelikult tuli välja, et nende kindlustuskaitse oli pisut ebaselge, et kas see küberrünnete vastu üldse kaitseb. Kuidas see lõpuks lahenenud on, ma ei tea. See oli avalikust meediast kättesaadav info lihtsalt.
Ehk loomulikult seda tuleb jälgida, seda tuleb vaadata. Praegu me lähtume sellest üldpõhimõttest, et ei ole oluline, kas kuritegu tehti arvutis või väljaspool arvutit. Oluline on tekitatud kahju, ja karistuse raskus tuleneb sellest tekitatud kahjust.
Peeter Ernits, palun!
Hea juhataja! Lugupeetud minister! Ma jätkan. Kahjuks küsimusi on kaks. Aga ma küsin, miks te viskate meile siia toore – kordan, toore! – ja raskesti seeditava lihakäntsaka seedimiseks, kui näiteks Eesti Infotehnoloogia ja Telekommunikatsiooni Liit ütleb – tsiteerin –, et eelnõu on väga raskesti loetav, kordab advokatuuri sõnu. Teiseks, mõjuhinnang on puudulik ehk sisuliselt tegemata. Eelnõu tegelik mõju on väga suur, samas on välja toodud ainult positiivsed mõjud, ja lõpetab nii: eelnõu on ilmselgelt ebaküps ning vajab väga põhjalikke muudatusi ehk uue seaduse kirjutamist. Aga küsimusi on kahjuks kaks, ma võiksin lugeda teile neid veel ja veel. Miks tulete sellise ebaküpse, toore juriidilise tekstiga meie juurde uhkelt siia?
Aitäh! Kui te vaatate selle eelnõu valmimise protsessi, siis, nagu ma ka ettekandes rõhutasin, tõesti, kaasamist oleme võtnud väga tõsiselt ja ka kriitikat oleme võtnud väga tõsiselt. Selleks, et teha see eelnõu korda, oleme me kaasanud lausa kaks advokaadibürood ehk erasektori enda. Esimese tööga me ei jäänud lõpuni rahule, sest me nägime, et seal on veel parandamisvõimalusi. Tõesti, teist korda advokaadibüroo abi kasutades, kuna nende küsimuste hulk, mida tuli lahendada, oli lihtsalt niivõrd suur, et koostöös erasektoriga oli seda mõistlik teha, me jõudsime selle tabelini, mida ma siin teile reklaamisin, kus on see valgusfoor juures ja kus te saate vaadata säte sätte haaval, kuidas see asi on kujunenud, kus on ilusti kommentaar ja valgusfoor juures. Sellega jäi erasektor, ka ITL, väga rahule. Just nimelt ITL oli see, kes viimasel kohtumisel ütles, et see on väga hea, et selline tabel on tehtud ja nüüd on seda eelnõu veel muudetud, ja just ITL oli ka see, kes tegi esimesena ettepaneku, et sellist tabelit valgusfooriga võiks kasutada kõikide Euroopa Liidu õigust ülevõtvate eelnõude juures. Selles mõttes ma olen teile toonud ikkagi hästi läbiküpsetatud ja sõna otseses mõttes asjakohaste värvidega eelnõu.
Eero Merilind, palun!
Hea istungi juhataja! Hea minister! Ma vaatan seda infoturbe standardi auditeerimise teemat. Me oleme seda teiega varem ka arutanud. Praegu on haiglal olnud kaks aastat, tervisekeskusel kolm aastat. Kas oleks mõistlik seda perioodi pikendada, kuna see on suhteliselt aja- ja ressursimahukas?
Praegu on tõesti kolmeaastane periood. See maksimaalne aeg, mida on üldse võimalik kasutada üleminekuks, on viis aastat. Kui praktika käigus on probleeme, siis kindlasti saab seda tähtaega üle vaadata. Lisaks on meil need standardid ülevaatusel. 700-leheküljeline standard ei ole isegi doktorikraadiga inimesele lihtsasti loetav ja jälgitav, aga nii nagu me siin küsimuste ja arutelude käigus oleme näinud, oluline on see, et inimesed saavad aru, mida nad peavad tegema ja kuidas küberturvalisus just tema tööd puudutab. Nende standardite ülevaatust teistpidi me oleme ka alustanud. Nii et kui see lihtsustub, siis ehk see nii hull ei olegi.
Aitäh! Rohkem küsimusi teile ei ole. Läheme edasi juhtivkomisjonis toimunud arutelu ülevaatega. Ettekandjaks, palun, riigikaitsekomisjoni esimees Kalev Stoicescu!
Austatud istungi juhataja! Justiits- ja digiminister! Head kolleegid! Nagu eelkõneleja, justiits- ja digiminister, oma ettekandes märkis, võetakse eelnõuga Eesti õigusesse üle Euroopa Liidu küberturvalisuse 2. direktiiv, NIS2, mille eesmärk on tõsta kogu Euroopa Liidus küberturvalisuse taset ja ühtlustada reegleid. Pädevaks asutuseks määratakse Riigi Infosüsteemi Amet, kelle ülesannete hulka lisandub ka Euroopa Komisjoni uue määruse alusel elektrivõrkude küberturvalisuse järelevalve.
Riigikaitsekomisjon arutas eelnõu enne esimest lugemist oma käesoleva aasta 16. oktoobri istungil, kus eelnõu algataja esindajana osalesid Justiits- ja Digiministeeriumi kantsler Tiina Uudeberg, Justiits- ja Digiministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas ning riikliku küberturvalisuse talituse küberturvalisuse õigusnõunik Raavo Palu.
Riigikaitsekomisjoni aruteludes juhiti tähelepanu, et eelnõu muudab hädaolukorra seadust, mille tsiviilkriisi ja riigikaitse seaduse eelnõu 668 kehtetuks tunnistab. Kuid viimase § 217 muudab omakorda küberturvalisuse seadust, mistõttu tuleb edasise menetluse käigus mõlemad eelnõud omavahel kooskõlla viia. Riigikaitsekomisjonis juhiti tähelepanu, et arutluse all oleva eelnõu valguses oleks mõistlik riigikaitse eesmärkidesse fikseerida ka küberruumi suveräänsuse eest seismine. Seda viimast saaks näiteks kajastada koostamisel olevas uues julgeolekupoliitika aluste dokumendis. Samas märgiti, et kuna küberruumil ei ole piire, siis selle kaitsmine on väga keeruline.
Vastates komisjoni liikmete küsimustele, kinnitasid eelnõu algataja esindajad, et seaduse rakendumisel ei ole eesmärk trahvida, vaid tagada, et kriitilised ja olulised ettevõtted neid nõudeid täidaksid. Tuleb leida mõistlik tasakaal ja läbi rääkida ettevõtete ja liitudega, et saaks ikkagi kätte maksimumi, mida küberturvalisuse tagamiseks vaja on.
Kokku võttes, riigikaitsekomisjoni liikmed toetavad eelnõu üldpõhimõtteid ning sellest tulenevalt on riigikaitsekomisjoni konsensuslikud menetluslikud otsused järgmised. Teha Riigikogu juhatusele ettepanek lülitada arutluse all olev seaduseelnõu esimeseks lugemiseks Riigikogu tänase istungi päevakorda ja teha Riigikogule ettepanek eelnõu esimene lugemine lõpetada. Eelnõu komisjoni ettekandjaks määrati mind. Eelnõu kohta muudatusettepanekute esitamise tähtajaks on Riigikogu kodu- ja töökorra seadusest tulenev kümme tööpäeva. Aitäh!
Aitäh! Küsimusi teile ei ole. Nüüd avan fraktsioonide läbirääkimised. Läbirääkimiste soovi ei ole, sulgen läbirääkimised. Juhtivkomisjoni ettepanek on eelnõu 739 esimene lugemine lõpetada. Esimene lugemine on lõpetatud ja muudatusettepanekute esitamise tähtaeg on käesoleva aasta 6. november kell 17.15. Oleme läbinud ka teise päevakorrapunkti ning istung on lõppenud.
