NIS2 direktiiv võetakse Eestis üle küberturvalisuse seaduse (KüTS) ja teiste seaduste muutmise seadusega. Erinevalt mõnest naaberriigist oli Eestil juba 2018. aastast küberturvalisuse seadus, mistõttu NIS2 pigem laiendab olemasolevat raamistikku kui loob selle nullist. Kohaldamisala kasvab hinnanguliselt umbes 3 500 üksuselt 5 500–7 000 olulise ja tähtsa üksuseni. Järelevalvet teostab keskselt Riigi Infosüsteemi Amet (RIA) koos valdkonnapõhiste asutustega. Ausalt tuleb märkida, et Eesti ei jõudnud ülevõtmisega EL-i tähtajaks (17.10.2024) valmis ning Euroopa Komisjon saatis põhjendatud arvamuse ülevõtmisest teatamata jätmise eest. See juhend selgitab, keda NIS2 puudutab ja mida see nõuab.
Mis on NIS2 ja küberturvalisuse seadus?
NIS2 direktiiv (2022/2555) on EL-i küberturvalisuse direktiiv, mis asendab varasema NIS-direktiivi ja laiendab kohustusi oluliselt suuremale hulgale tegevusaladele. Eestis võetakse direktiiv üle olemasoleva küberturvalisuse seaduse muutmisega. Seadus kehtestab miinimummeetmed, mille kõik kohustatud üksused peavad küberturvalisuse riskide maandamiseks rakendama, ning kohustuse teavitada olulistest intsidentidest.
Ametlik teave on kättesaadav RIA veebilehel. Üldpilt kohalduvast õigusest: andmekaitse Eestis.
Ülevõtmise seis Eestis
Eesti ülevõtmisprotsess on olnud EL-i tähtajast aeglasem. Pärast avalikku konsultatsiooni 2024. aasta alguses ja kooskõlastusringi 2025. aasta alguses kiitis valitsus eelnõu heaks 2025. aasta aprillis ning see läbis esimese lugemise Riigikogus 2025. aasta oktoobris. Euroopa Komisjon saatis 2025. aasta mais põhjendatud arvamuse täieliku ülevõtmise teavitamata jätmise eest. Praktikas tähendab see, et osa NIS2 nõudeid kajastus juba olemasolevas KüTS-is, kuid täielik raamistik on jõustunud alles seaduse vastuvõtmisel. Kohustatud üksustel tasub valmistuda juba praegu, sest direktiivi nõuded on teada ja siduvad sõltumata siseriikliku ülevõtmise ajastusest.
Keda NIS2 Eestis puudutab?
NIS2 jagab üksused kahte klassi erineva järelevalve ja sanktsioonidega: olulised üksused (essential entities) ja tähtsad üksused (important entities). Klassifikatsiooni mõjutavad tegevusala ja ettevõtte suurus. Direktiivi tegevusaladeks on muu hulgas energeetika, transport, tervishoid, digitaalne taristu, avalik haldus, veevarustus, jäätmemajandus ja toit.
| Klass | Tegevusalade näiteid |
|---|---|
| Olulised üksused (lisa I) | Energeetika, transport, pangandus, finantsturu taristu, tervishoid, joogi- ja reovesi, digitaalne taristu, IKT-teenuste haldus, avalik haldus, kosmos |
| Tähtsad üksused (lisa II) | Posti- ja kulleriteenused, jäätmemajandus, kemikaalid, toit, tootmine (meditsiiniseadmed, elektroonika, masinad, sõidukid), digiteenused (turuplatvormid, otsingumootorid, sotsiaalvõrgustikud), teadustegevus |
Eesti käsituses laieneb kohustatud üksuste ring märkimisväärselt. Erinevus klasside vahel ei ole vaid vormiline: olulisi üksusi valvatakse ennetavalt ja pidevalt, tähtsaid üksusi peamiselt tagantjärele.
Peamised kohustused
| Kohustus | Sisu |
|---|---|
| Registreerimine | Teavitada end pädevale asutusele (RIA) |
| Riskijuhtimise meetmed | Kirjalik raamistik artikli 21 miinimummeetmetest |
| Intsidentidest teavitamine | Astmeline: varajane hoiatus, uuendus, lõpparuanne |
| Tarneahela turvalisus | Alltöövõtjate ja IKT-tarnijate riskide haldamine |
| Juhtkonna vastutus | Juht kinnitab ja jälgib meetmeid |
Riskijuhtimise miinimummeetmed on Eestis kavas siduda riigi E-ITS küberturvalisuse baaskontrollidega, mis annab kohalikule kontekstile konkreetse raamistiku. Intsidentidest teavitamine järgib astmelist mudelit: varajane hoiatus tavaliselt 24 tunni jooksul, täpsem uuendus 72 tunni jooksul ja lõpparuanne 30 päeva jooksul, mida koordineeritakse RIA CERT-EE / küberturvalisuse keskuse kaudu.
Sanktsioonid
NIS2 sanktsioonid on olulised ja astmestatud üksuse klassi järgi. Olulisele üksusele võib haldustrahv olla kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest, tähtsale üksusele kuni 7 miljonit eurot või 1,4%. Lisaks võib juhtkonnale panna isiklikku vastutust. See on märkimisväärne kontrast andmekaitse valdkonnaga, kus Eesti trahvid on olnud tagasihoidlikud – vaata AKI trahvid 2025.
NIS2 ja GDPR kattuvad
Sama turvaintsident võib olla üheaegselt NIS2 küberturvalisuse intsident ja GDPR-i isikuandmetega seotud rikkumine. Sel juhul tekib kaks eraldi teavitamiskohustust eri asutustele eri tähtaegadega: RIA-le küberintsidendina ja AKI-le isikuandmete rikkumisena. Ühtne intsidentide klassifikatsioon ja dokumentatsioon säästab tööd. Legiscope hoiab andmekaitse põhikohustused EL-i majutuses, mis täiendab NIS2 küberturvalisuse tööd. Tööriistade võrdlus: parim NIS2 tarkvara.
Riskijuhtimise miinimummeetmed
Küberturvalisuse seadus eeldab, et kohustatud üksused rakendavad proportsionaalseid tehnilisi ja korralduslikke meetmeid. NIS2 artikli 21 kohane miinimumtase katab muu hulgas:
- riskijuhtimise ja infosüsteemide turvapoliitikad
- intsidentide käsitlemise ja avastamise
- talitluspidevuse, varukoopiad ja kriisijuhtimise
- tarneahela turvalisuse ja alltöövõtjate riskide haldamise
- turvalisuse süsteemide hankimisel, arendamisel ja hoolduses
- meetmete tõhususe hindamise korra
- küberhügieeni baastaseme ja personali koolituse
- krüpteerimise ja vajaduse korral tugeva autentimise
- juurdepääsu- ja varahalduse
Need meetmed peavad olema kirjalikult dokumenteeritud riskijuhtimise raamistikus, mille juhtkond kinnitab.
Kuidas NIS2-ks valmistuda
Praktiline ettevalmistus kulgeb süstemaatiliselt:
- Kohaldatavuse hindamine. Selgita välja, kas oled oluline või tähtis üksus tegevusala ja suuruse põhjal.
- Registreerimine. Teavita end pädevale asutusele (RIA) niipea, kui siseriiklik kord seda nõuab.
- Riskihindamine ja raamistik. Koosta kirjalik riskijuhtimise raamistik artikli 21 miinimummeetmetest, sidudes selle E-ITS baaskontrollidega.
- Intsidendiprotsess. Ehita avastamis- ja teavitamisprotsess 24 tunni varajase hoiatuse jaoks.
- Tarneahel. Hinda kriitiliste alltöövõtjate ja IKT-tarnijate riske.
- Juhtkonna vastutus. Taga, et juhtkond kinnitab ja jälgib meetmeid – vastutus on isiklik.
Juhtkonna vastutus ja personali roll
NIS2 oluline uuendus on juhtkonna isiklik vastutus. Üksuse juhtkond peab kinnitama küberturvalisuse riskijuhtimise meetmed, jälgima nende täitmist ja osalema korrapärases koolituses. Juhtkonna võib panna vastutusele tegematajätmiste eest ning pädev asutus võib äärmuslikul juhul keelata vastutaval isikul juhtimisülesannete täitmise, kuni puudused on kõrvaldatud. See tõstab küberturvalisuse juhatuse ja juhtkonna päevakorda – see ei ole enam üksnes IT-osakonna ülesanne.
Personali koolitus on osa artikli 21 miinimummeetmetest. Küberhügieeni baastase – tugevad tunnused, uuendused ja õngitsuse äratundmine – on nõutav kogu organisatsioonilt, sest suur osa intsidentidest algab inimlikust veast.
NIS2 ja DORA finantssektoris
Finantssektori üksuseid võivad puudutada nii NIS2 kui ka DORA, kuid DORA on finantssektori eriregulatsioon (lex specialis): selle IKT-riskijuhtimise ja intsidentidest teavitamise nõuded asendavad finantssektori üksuste puhul NIS2 vastavad kohustused. Eestis teostab DORA järelevalvet Finantsinspektsioon, mitte RIA. Piiritlemine: DORA Eestis.
E-ITS baaskontrollid: Eesti eripära
Eesti NIS2 raamistiku üks olulisi eripärasid on riskijuhtimise sidumine E-ITS-iga (Eesti infoturbe standard). Selle asemel et jätta artikli 21 miinimummeetmed abstraktseks, annab E-ITS Eesti üksustele konkreetse kontrollide kataloogi, mille vastu vastavust hinnata. See on praktiline eelis: organisatsioon ei pea NIS2 nõudeid nullist tõlgendama, vaid saab tugineda riigi väljakujunenud raamistikule.
E-ITS on astmeline – see määrab turvameetmed vastavalt organisatsiooni ja tema andmete kriitilisusele. NIS2 kontekstis tähendab see, et oluline üksus peab rakendama rangema taseme kontrolle kui tähtis üksus. Tööriist, mis suudab kontrollid E-ITS-i vastu kaardistada, säästab Eesti üksusel märkimisväärselt tõlketööd võrreldes üldise rahvusvahelise raamistikuga. Just seetõttu tasub NIS2 tarkvara valikul kontrollida E-ITS joondust. Ametlik teave: RIA veebileht.
Miks ettevalmistust ei tasu edasi lükata
Kuigi Eesti jäi NIS2 ülevõtmisega EL-i tähtajast maha, oleks viga tõlgendada seda ajapikendusena. Direktiivi nõuded on teada ja siduvad ning suur osa neist kajastub juba olemasolevas küberturvalisuse seaduses ja E-ITS-i baaskontrollides. Kohustatud üksus, kes ootab seaduse lõplikku vastuvõtmist, jätab endale vähem aega riskijuhtimise raamistiku, intsidendiprotsessi ja tarneahela halduse ülesehitamiseks – ülesanded, mis nõuavad kuid, mitte nädalaid.
Praktiline soovitus on alustada juba praegu kolmest asjast: hinnata kohaldatavust (kas oled oluline või tähtis üksus), kaardistada olemasolevad kontrollid E-ITS-i mõistes ja ehitada astmeline intsidenditeavituse protsess. Kuna juhtkonna vastutus on isiklik ja sanktsioonid ulatuvad olulisel üksusel 10 miljoni euroni või 2%-ni käibest, on varane ettevalmistus ühtaegu vastavuse ja juhtkonna enda kaitse. Ootamine ei vähenda kohustust – see üksnes surub selle kokku lühemasse aknasse.
Korduma kippuvad küsimused
Kuidas võetakse NIS2 Eestis üle?
NIS2 võetakse üle olemasoleva küberturvalisuse seaduse (KüTS) muutmisega. Eesti ei jõudnud ülevõtmisega EL-i tähtajaks (17.10.2024) valmis ning eelnõu on läbinud Riigikogus lugemisi; Euroopa Komisjon saatis 2025. aasta mais põhjendatud arvamuse.
Kes teostab NIS2 järelevalvet Eestis?
Keskselt Riigi Infosüsteemi Amet (RIA), mis tegutseb ka CERT-EE / küberturvalisuse keskusena. Lisaks on valdkonnapõhiseid pädevaid asutusi.
Mida NIS2 rikkumine kaasa toob?
Olulisele üksusele kuni 10 miljonit eurot või 2% käibest, tähtsale üksusele kuni 7 miljonit eurot või 1,4%. Lisaks võib juhtkond olla isiklikult vastutav.
Milliseid tegevusalasid NIS2 Eestis puudutab?
Muu hulgas energeetikat, transporti, tervishoidu, digitaalset taristut, avalikku haldust, vee- ja jäätmemajandust, toitu, posti- ja kulleriteenuseid ning teadustegevust. Kohaldamisala kasvab hinnanguliselt 5 500–7 000 üksuseni.
Kas NIS2 on sama mis GDPR?
Ei. NIS2 puudutab küberturvalisust ja organisatsiooni talitluskindlust, GDPR isikuandmete kaitset. Sama intsident võib siiski käivitada mõlema teavitamiskohustuse eri asutustele eri tähtaegadega.
Kokkuvõte
NIS2 võetakse Eestis üle küberturvalisuse seaduse muutmisega ning selle üle teostab järelevalvet RIA. Eesti jäi ülevõtmisega EL-i tähtajast maha, kuid direktiivi nõuded on teada ja siduvad. Kohustatud üksustel tasub juba praegu koostada riskijuhtimise raamistik, ehitada intsidendiprotsess ja tagada juhtkonna kaasatus. Kuna NIS2 ja GDPR intsidentides kattuvad, tasub dokumentatsioon ühtlustada. Vaata ka DORA Eestis ja andmekaitse Eestis.
Viimati üle vaadatud: juuli 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial