küberturvalisus
02.02 2026

Küberjamadega pannakse nüüd juhatuse pea pakule

 KPMG Balticsi küberturvalisuse valdkonna juht Mihkel Kuke sõnul tähistavad hiljuti vastu võetud küberturvalisuse seaduse muudatused olulist nihet. Küberturvalisus ei ole enam pelgalt IT‑teema, vaid sellega kaasneb selge juhtimisvastutus. Varasemast rangemad nõuded kehtivad küberintsidendist teavitamisele, mis kriitiliste IT-teenuste osutajate puhul peab nüüd toimuma viivitamatult.
 Kui organisatsiooni tabab küberintsident, siis see on olnud tehnilise tiimi rida, kes tegeleb tõrke lokaliseerimise ja normaalse olukorra taastamisega. Nüüd on küberturvalisuse seaduse (KüTS) muudatustega antud konkreetsed juhised, mis puudutab juhtimistasandi teavitusi, otsuseid, vastutust ja järelevalvet.

Küberturvalisuse 2. direktiivi (NIS2) ülevõtmisega kaasnevate muudatustega liigub küberturvalisus selgelt juhtimistasandile. Seadus täpsustab, kellele kohustused laienevad, millised on miinimumootused võrgu- ja infosüsteemide turvameetmetele, millised on intsidentidest teavitamise nõuded ja tähtajad ning kuidas riik järelevalvet teeb. Seda kõike mitte abstraktselt, vaid konkreetsete rollide, tähtaegade ja protsessidena.

Kellele rakenduvad küberturvalisuse seaduse muudatused?


Ettevõtted peavad nüüd täpselt teadma, kas nad kuuluvad “üliolulise” või “olulise” üksuse kategooriasse. KüTS-i kohaselt toimub jaotus nii tegevusalade kui ka ettevõtte tegevusnäitajate põhjal, kus vaadatakse nt töötajate arvu, käivet või bilansimahtu. Lisaks on selgelt esile toodud ka mitmed digitaalse teenuse osutajad ning domeeninimede registreerimise teenuse osutajad. „Kui te tegutsete valdkonnas, kus teenuse katkestus või andmekadu mõjutab laiemalt ühiskonda, partnereid või tarbijaid, tasub eeldada, et teie regulatiivne nähtavus ja tähelepanu on kasvanud,“ märgib Kukk.

Teine samm on nähtavuse formaliseerimine. Teenuseosutajad ning domeeninimede registreerimise teenuse osutajad peavad esitama Riigi Infosüsteemi Ametile (RIA) info, mille alusel koostatakse iga kahe aasta järel vastav teenuseosutajate nimekiri, mis edastatakse Euroopa Komisjonile ning vastavale koostöörühmale. Muuhulgas hõlmab see identifitseerimis- ja kontaktandmeid ning vajadusel sektori ja allsektori märget. Oluline detail juhtkonnale – muudatustest tuleb RIA-t teavitada viivitamata, kuid hiljemalt kahe nädala jooksul. See tähendab, et “meie kontaktid ja rollid on kuskil dokumendis olemas” ei ole enam piisav – need peavad olema igapäevaselt hallatud.

Juhatuse liikme kohustuse lisamine

Kuke sõnul on kolmas ja kõige suurem muudatus juhatuse liikme kohustuse lisamine. Teenuseosutaja peab määrama vähemalt ühe juhatuse liikme, kes kiidab heaks turvameetmed, jälgib nende rakendamist ja vastutab selle eest. Seda nõuet ei kohaldata teenuseosutajale, kus on üks juhatuse liige. Praktikas tähendab see, et küberriskid peavad jõudma regulaarselt juhatuse aruteludesse samasuguse selgusega nagu finants- või õigusriski teemad.

Neljandaks muutub ootus turvameetmetele konkreetsemaks riskipõhisuse mõttes. Teenuseosutaja peab rakendama alaliselt asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja korralduslikke turvameetmeid ning sealhulgas koostama riskianalüüsi. See ei tähenda automaatselt suuremaid investeeringuid, vaid paremini põhjendatud kontrollikeskkonda: mida me kaitseme, miks just nii, ja kuidas me mõõdame, et see päriselt töötab.

Küberintsidendist tuleb viivitamatult teatada


Viiendaks muutub intsidentidest teavitamine ajas selgemaks ja lühemaks. Teenuseosutaja peab esitama RIA-le esmase teate viivitamata, kuid hiljemalt 24 tunni jooksul pärast intsidendist teada saamist ning edastades sellele järgneva täpsustatud intsidenditeate hiljemalt 72 tunni jooksul. Seejuures usaldusteenuse osutajad peavad vastava info edastama 24 tunni jooksul. Teavitamiskohustus ei piirdu üksnes „teavitasime ära“ hetkega, sest seadus nõuab ühe kuu jooksul pärast intsidenditeadet lõppraporti koostamist ning vajadusel ka vahearuannete esitamist RIA taotlusel.

Lisaks peab teenuseosutajal teavitama mõistliku aja jooksul ka neid, keda intsident või oluline küberoht võib mõjutada. Teatud juhtudel võib RIA avalikkust teavitada või nõuda seda teenuseosutajalt. Juhtkonna vaates tähendab see, et kriisijuhtimine peab olema eelnevalt läbi mängitud ning paika pandud. Et kes otsustab, kes räägib, mis on faktipõhine sõnum ja kuidas hoitakse teenuse taastamine ning usaldus samaaegselt kontrolli all.

Järelevalves on rõhk riskipõhisel lähenemisel


Kuues oluline muudatus on järelevalve loogika. RIA võib järelevalves prioriseerida riskipõhist lähenemist; ülioluliste asutuste puhul tehakse järelevalvet laiemalt. Oluliste üksuste puhul rõhutatakse järelkontrolli, kui on alus arvata, et nõudeid ei täideta. Seadus kirjeldab ka järelevalvemeetmete kaalumisel arvesse minevaid tegureid ning toob näiteid rasketest rikkumistest, sh teavituskohustuse täitmata jätmine või olulise mõjuga intsidendi korral vajalike turvameetmete kasutamata jätmine. Lisaks on ette nähtud ettekirjutuste meetmed, sh nõue rakendada turvaauditi soovitusi või isegi määrata üliolulisele üksusele ajutine vastavushaldur. See kõik on signaal, et infoturbe küpsus peab olema tõendatav, mitte ainult deklaratiivne.

Lõpuks tasub tähele panna rakendumise ajastust. Mitmed teavituskohustused (nt nimekirja koostamiseks vajalike andmete esitamine) tuleb täita kolme kuu jooksul alates hetkest, mil üksus hakkab tingimustele vastama, ning üldine nõuetele vastavusse viimise tähtaeg ulatub kuni kolme aastani. See on piisav aeg teha asjad õigesti, kuid liiga lühike aeg, et jääda lootma “küll kuidagi jõuab”.
Kui võtta need muudatused kokku ühe lausega juhtkonna jaoks, siis KüTS muudatused teevad küberriskist formaalse juhtimisriski, kus edu mõõdetakse valmisoleku, reageerimiskiiruse ja tõendatava kontrollikeskkonna kaudu.


Mihkel Kukk

KPMG Balticsi küberturvalisuse teenuste juht

Küberturvalisuse eelarve on strateegiline investeering, mitte kulu

Aasta lõpus kõlab igal juhatuse koosolekul küsimus, et kui palju peaks ettevõte järgmisel aastal i..
küberturvalisus

Kas Sinu ettevõtte süsteemid on tegelikult turvalised?

Läbistustest näitab, kui vastupidavad on Sinu infosüsteemid rünnakule.
IT-turvalisus küberturvalisus

Kas turvalisus on organisatsiooni tõukejõud või pidur?

Viimase paari aasta jooksul olen näinud kümneid meeskondi, kes alustasid küberturvalisuse teekond..
küberturvalisus

Audit, mis seob äri ja tehnoloogia üheks tervikuks

Parimad lahendused sünnivad siis, kui tehniline meeskond ja finantsosakond töötavad ühtse tiimina...

Miks Purple Teaming on puuduv lüli tänapäevases küberturvalisuses?

Tänasel küberturvalisuse maastikul leiavad enamik organisatsioone end kahe reaalsuse vahel: nad te..
küberturvalisus

Muuda ohud võimalusteks

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
 ${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.
Email again: