← Tagasi blogisse
NIS2

Küberturvalisuse seadus on jõus — aga enamik ettevõtteid pole end veel RIA-le teada andnud

21. juuni 2026 6 min lugemist HoneyLake™

1. jaanuaril 2026 jõustus Eestis küberturvalisuse seaduse (KuTS) muudatus, millega võeti lõplikult üle Euroopa Liidu NIS2 direktiiv. See pole enam tulevikuteema ega eelnõu — see on kehtiv seadus, mis puudutab juba praegu ligi 6500 Eesti ettevõtet ja asutust.

Huvitav on see, mida RIA enda andmed näitavad: suurest osast uutest ja vanadest subjektidest on end ametlikult teada andnud vaid murdosa. See artikkel selgitab, mida seadus täna nõuab, miks nii paljud ettevõtted on endiselt registreerimata ja mida sina saad täna teha, et mitte jääda hiljaks jäänute hulka.

Mis täpselt 1. jaanuaril muutus

Küberturvalisuse seaduse muudatusega laienes oluliselt nende ettevõtete ring, kellele kehtivad küberturvalisuse nõuded. RIA hinnangul kasvas subjektide arv ligikaudu 3000 võrra — senise umbes 3500 asemel on neid nüüd kokku ligi 6500.

Laienemine puudutab muu hulgas ettevõtteid, keda varem ei peetud küberturvalisuse kõrgendatud tähelepanu all olevaks: perearstiabi osutajad, jäätmekäitlusettevõtted, keemia- ja kemikaalitootjad, toiduainete hulgimüük ja tööstuslik tootmine, meditsiiniseadmete tootjad, veebipõhised kauplemiskohad, posti- ja kulleriteenuse osutajad ning sotsiaalmeediaplatvormid.

Suurusekriteerium jäi samaks: vähemalt 50 töötajat või aastakäive üle 10 miljoni euro ühes loetletud sektoris tähendab üldjuhul, et oled seaduse subjekt.

Kolme kuu reegel, mida enamik ei tea

Seadus paneb selge tähtaja: kui ettevõte muutub subjektiks, tuleb sellest RIA-le teada anda 3 kuu jooksul subjektsuse tekkimisest.

Ettevõtted, kes olid subjektid juba 1. jaanuari 2026 seisuga, pidid teavituse esitama hiljemalt 31. märtsil 2026. Teavitus tehakse riigiportaalis eesti.ee ja peab sisaldama vähemalt ettevõtte nime, registrikoodi, aadressi, kontaktandmeid ja mõnel juhul ka IP-aadresside vahemikku.

Siin tulebki üllatav osa: RIA enda hinnangul on esmase teavituse esitanud kogu nelja- kuni kuueteistkümne tuhande subjekti hulgast vaid ligikaudu tuhat ettevõtet. See tähendab, et suur osa — sealhulgas väga tõenäoliselt ka mitmed varem juba subjektiks olnud ettevõtted — ei ole oma kohustust täna veel täitnud.

Miks nii paljud on registreerimata

Probleem ei ole tingimata hoolimatuses. Eestis puudub täna avalik ja keskne register, mille alusel saaks ettevõte üheselt ja iseseisvalt kontrollida, kas ta on seaduse subjekt või mitte. RIA katsetas automaatset lahendust — ettevõtja oleks pidanud nägema eesti.ee lehele logides otsest kinnitust oma staatuse kohta — kuid see katse ebaõnnestus.

Täna peab ettevõtja ise tutvuma seaduse §-s 3 toodud määratlustega ja hindama, kas tema tegevus nendega kattub. See ei ole alati üheselt selge — hinnang sõltub teenuse olemusest, ulatusest ja riskist korraga. Kahtluse korral on võimalik pöörduda otse RIA poole päringuga või konsulteerida valdkonna spetsialistiga.

Praktiline tähelepanek: kui sinu ettevõte tegutseb mõnes loetletud sektoris ja täidab suurusekriteeriumi, ent sa pole kunagi RIA-lt midagi kuulnud — see ei tähenda, et seadus sind ei puuduta. Vastutus enese hindamise eest lasub ettevõttel endal.

Mida seadus nõuab, kui oled subjekt

Kui ettevõte kuulub küberturvalisuse seaduse kohaldamisalasse, tuleb:

Viimane punkt väärib eraldi tähelepanu: kui ettevõte juhatuse liiget ei määra, laienevad need kohustused automaatselt kõigile juhatuse liikmetele ühiselt. Küberturvalisus ei ole enam ainult IT-osakonna teema — seadus nihutab vastutuse selgelt juhtkonna tasandile.

Trahvid — Eesti konkreetsed numbrid

Erinevalt levinud arvamusest ei kasuta Eesti seadus otse ELi direktiivi üldist trahviraamistikku. Küberturvalisuse seadus sätestab konkreetsed Eesti määrad:

Kumbki neist pole väike summa väikese või keskmise ettevõtte jaoks. Ja oluline täpsustus: trahvioht ei ole ainus risk — RIA-l on järelevalve käigus õigus nõuda ka ettekirjutuste täitmist, mille tähtajaks jätmine toob kaasa lisasanktsioonid.

Kas audit on kohustuslik?

Levinud müüt tasub kohe ümber lükata: küberturvalisuse seadus ei kehtesta kõigile subjektidele automaatset kohustuslikku sertifitseerimis- või vastavusauditit, olgu selleks siis E-ITS või ISO 27001.

Samas annab seadus RIA-le õiguse nõuda auditit või sõltumatut hindamist, kui selleks tekib põhjendatud vajadus. Praktikas võib see juhtuda eelkõige siis, kui:

Teisisõnu: audit ei ole esimene samm, vaid võimalik tagajärg, kui põhialused on korrast ära. Täna on mõistlikum alustada riskianalüüsist ja põhiliste turvameetmete ülevaatamisest — mitte automaatselt sertifitseerimisprotsessi tellimisest.

Kolm sammu, mida täna teha

Kui lugesid eelmised lõigud ja tekkis küsimus "kas see puudutab ka meid?" — siin on järjekord, mida soovitame:

Kas teie ettevõte on subjekt — ja kas olete sellest teada andnud?

Tasuta 20-minutiline vestlus annab selge vastuse: kas KuTS teid puudutab, mis on järgmine samm ja kui kiire see on.

Tee NIS2 valmisoleku test

Loe ka meie täielikku NIS2 juhendit, mis katab kõik artikkel 21 nõuded ükshaaval läbi.