Euroopa Komisjon avaldas kolm uut küberturvalisuse ja digitaristu ettepanekut, mis puudutavad tuhandeid ettevõtteid üle kogu Euroopa Liidu

Euroopa Komisjon avaldas jaanuaris 2026 kolm ettepanekut, mis kujundavad küberturvalisuse ja digitaristu reformipaketi: küberturvalisuse 2. direktiivi (NIS2) muudatused, uus küberturvalisuse määrus (CSA2) ning digivõrkude määrus (DNA). Koos moodustavad need raamistiku, mille eesmärk on tugevdada EL-i küberturvalisuse võimekust, vähendada siseturu killustatust ning kaasajastada digitaristu regulatsiooni. 

NIS2 direktiivi muutmine 

NIS2 direktiivi muutmise ettepaneku eesmärk on lihtsustada küberturvalisuse raamistikku, suurendada õiguskindlust, vähendada ettevõtete halduskoormust ning ühtlustada rakendamist liikmesriikide vahel. 

Peamised elemendid: 

• Reguleerimisala täpsustub ja laieneb – direktiivi kohaldamisala laieneb ja täpsustub mitmetes sektorites, sh tervishoiu-, elektritootmise- ning keemiasektoris. Reguleerimisalasse lisatakse Euroopa digitaalse identiteedi rahakottide ja ärirahakottide pakkujad ning allveeandmesidekaablite taristu operaatorid. Samal ajal eemaldatakse reguleerimisalast mikro- ja väikeettevõttest DNS-teenuse osutajad. 

• Uus kategooria – kehtestatakse väikese keskmise turukapitalisatsiooniga ettevõtte (small mid-cap enterprise) kategooria. Sellesse kategooriasse kuuluvad üksused liigitatakse oluliseks üksuseks, mis vähendab nende vastavuskoormust. 

• Tehniliste nõuete ühtlustamine – kui Euroopa Komisjon kehtestab rakendusaktid küberturvalisuse riskijuhtimismeetmete kohta, ei tohi liikmesriigid asjaomastele üksustele enam täiendavaid nõudeid kehtestada. 

• Küberpositsiooni sertifikaat – ettevõtted saavad vastavust tõendada EL-i küberturvalisuse sertifitseerimisskeemi alusel. 

• Lunavararünnakute raporteerimine – kehtestatakse ühtlustatud andmete kogumise raamistik lunavararünnakute kohta. Üksustel tuleb teavitada rünnakuvektorist ja rakendusmeetmetest ning CSIRT-i või pädeva asutuse nõudmisel esitada teavet lunaraha nõudmise ja tasumise kohta. 

Muudatused tuleb liikmesriikidel üle võtta 12 kuu jooksul pärast direktiivi jõustumist. Eestis tähendab see küberturvalisuse seaduse (KüTS) taas muutmist. Ettepanek on alles menetluse algusfaasis ning täpne ajakava ei ole praegu teada. 

Küberturvalisuse 2. määrus (CSA2) 

CSA2 on määruse ettepanek, mis asendab kehtiva EL-i küberturvalisuse määruse (2019/881). Selle eesmärk on tugevdada EL-i küberturvalisuse võimekust, ühtlustada siseturgu ning luua ühtne raamistik info- ja kommunikatsioonitehnoloogia (IKT) tarneahela turvalisuse riskide käsitlemiseks. 

Peamised elemendid: 

• IKT tarneahela turvalisus – Euroopa Komisjon saab õiguse hinnata kolmandate riikide ja nendega seotud ettevõtete küberturvariske ning kehtestada piiranguid kõrge riskiga tarnijate kasutamisele kriitilistes IKT tarneahelates. 

• Euroopa Liidu Küberturvalisuse Ameti (ENISA) rolli tugevnemine – agentuuri mandaat ja ressursid suurenevad, sh eelarve kasv üle 80%. ENISA hakkab arendama haavatavuste haldamise võimekust, toetama operatiivset koostööd ning koordineerima EL-i küberturvalisuse õppuseid. 

• Trahvid – IKT tarneahela turvameetmete rikkumise korral võivad sanktsioonid ulatuda kuni 7% ettevõtte ülemaailmsest aastakäibest. 

CSA2 on määrus, mis kohaldub pärast vastuvõtmist otse kõigis liikmesriikides. Ettepanek on menetluse algusfaasis.

Digivõrkude määrus (DNA) 

DNA on määruse ettepanek, mis koondab senise EL-i elektroonilise side õigusraamistiku – eelkõige Euroopa elektroonilise side seadustiku (EECC) ja sellega seotud õigusaktid – üheks otsekohalduvaks määruseks. Eesmärk on luua kaasaegsem raamistik, mis toetab investeeringuid digitaristusse ning uute tehnoloogiate (sh tehisintellekt, pilvandmetöötlus) kasutuselevõttu. 

Peamised elemendid: 

• Single Passport – ühtne autoriseerimismehhanism, mis võimaldab osutada teenuseid mitmes liikmesriigis ühe teavituse alusel. 

• Vastupidavuse raamistik – sektoriülene raamistik sidevõrkude ja -teenuste vastupidavuseks ja valmisolekuks suurte kriiside korral. 

• Ühtlustatud üldloa tingimused ning lihtsustatud teatamis- ja aruandlusnõuded. 

DNA on määrus, mis kohaldub pärast vastuvõtmist otse kõigis liikmesriikides. Samas võib see Eestis eeldada elektroonilise side seaduse (ESS) kohandamist, kuna määrus asendab senise Euroopa elektroonilise side seadustiku (EECC), mille sätted on praegu ESS-is üle võetud. 

Mida tasub juba praegu silmas pidada? 

Kuna tegemist on alles Euroopa Komisjoni ettepanekutega, võivad regulatsioonid seadusandliku menetluse käigus muutuda. Praegu on mõistlik eelkõige arengutel silma peal hoida ning hinnata võimalikku mõju ettevõtte tegevusele siis, kui ettepanekute lõplik sisu on selgem. 

Lähemalt meie infotehnoloogia ja kommunikatsiooni valdkonna kohta.

Küsimuste korral võtke meiega ühendust!