1. jaanuaril 2026 jõustus Eestis küberturvalisuse seaduse (KuTS) muudatus, millega võeti lõplikult üle Euroopa Liidu NIS2 direktiiv. See pole enam tulevikuteema ega eelnõu — see on kehtiv seadus, mis puudutab juba praegu ligi 6500 Eesti ettevõtet ja asutust.
Huvitav on see, mida RIA enda andmed näitavad: suurest osast uutest ja vanadest subjektidest on end ametlikult teada andnud vaid murdosa. See artikkel selgitab, mida seadus täna nõuab, miks nii paljud ettevõtted on endiselt registreerimata ja mida sina saad täna teha, et mitte jääda hiljaks jäänute hulka.
Laienemine puudutab muu hulgas ettevõtteid, keda varem ei peetud küberturvalisuse kõrgendatud tähelepanu all olevaks: perearstiabi osutajad, jäätmekäitlusettevõtted, keemia- ja kemikaalitootjad, toiduainete hulgimüük ja tööstuslik tootmine, meditsiiniseadmete tootjad, veebipõhised kauplemiskohad, posti- ja kulleriteenuse osutajad ning sotsiaalmeediaplatvormid.
Suurusekriteerium jäi samaks: vähemalt 50 töötajat või aastakäive üle 10 miljoni euro ühes loetletud sektoris tähendab üldjuhul, et oled seaduse subjekt.
Ettevõtted, kes olid subjektid juba 1. jaanuari 2026 seisuga, pidid teavituse esitama hiljemalt 31. märtsil 2026. Teavitus tehakse riigiportaalis eesti.ee ja peab sisaldama vähemalt ettevõtte nime, registrikoodi, aadressi, kontaktandmeid ja mõnel juhul ka IP-aadresside vahemikku.
Siin tulebki üllatav osa: RIA enda hinnangul on esmase teavituse esitanud kogu nelja- kuni kuueteistkümne tuhande subjekti hulgast vaid ligikaudu tuhat ettevõtet. See tähendab, et suur osa — sealhulgas väga tõenäoliselt ka mitmed varem juba subjektiks olnud ettevõtted — ei ole oma kohustust täna veel täitnud.
Täna peab ettevõtja ise tutvuma seaduse §-s 3 toodud määratlustega ja hindama, kas tema tegevus nendega kattub. See ei ole alati üheselt selge — hinnang sõltub teenuse olemusest, ulatusest ja riskist korraga. Kahtluse korral on võimalik pöörduda otse RIA poole päringuga või konsulteerida valdkonna spetsialistiga.
Viimane punkt väärib eraldi tähelepanu: kui ettevõte juhatuse liiget ei määra, laienevad need kohustused automaatselt kõigile juhatuse liikmetele ühiselt. Küberturvalisus ei ole enam ainult IT-osakonna teema — seadus nihutab vastutuse selgelt juhtkonna tasandile.
Kumbki neist pole väike summa väikese või keskmise ettevõtte jaoks. Ja oluline täpsustus: trahvioht ei ole ainus risk — RIA-l on järelevalve käigus õigus nõuda ka ettekirjutuste täitmist, mille tähtajaks jätmine toob kaasa lisasanktsioonid.
Samas annab seadus RIA-le õiguse nõuda auditit või sõltumatut hindamist, kui selleks tekib põhjendatud vajadus. Praktikas võib see juhtuda eelkõige siis, kui:
Teisisõnu: audit ei ole esimene samm, vaid võimalik tagajärg, kui põhialused on korrast ära. Täna on mõistlikum alustada riskianalüüsist ja põhiliste turvameetmete ülevaatamisest — mitte automaatselt sertifitseerimisprotsessi tellimisest.
Tasuta 20-minutiline vestlus annab selge vastuse: kas KuTS teid puudutab, mis on järgmine samm ja kui kiire see on.
Loe ka meie täielikku NIS2 juhendit, mis katab kõik artikkel 21 nõuded ükshaaval läbi.