Kas sinu ettevõte kuulub uue küberturvalisuse seaduse (KüTS) kohaldumisalasse?

13 февраля, 2026 о наших новостях

NIS2 ülevõtmise ja uue KüTSi valguses on ettevõtete üks sagedasemaid küsimusi: “Kas mina olen see, kellele seadus kohaldub või mitte?” 

Aus vastus on, et kohaldumise tuvastamine on iga ettevõtte enda vastutus. Ühtki avalikku või salajast terviknimekirja, kust saaks end lihtsalt üles otsida, ei eksisteeri. Seadus lähtub sellest, millist teenust ettevõte osutab ja mõnel juhul ka sellest, millise suurusega ettevõttega tegu on.  

Hea kokkuvõtliku ülevaate leiad sellest dokumendist: LINK. Allpool on ka praktiline raamistik, kuidas ettevõttena ise hinnang teostada. 

Mida KüTS “kohaldumine” üldse tähendab? 

KüTSi loogika järgi jagunevad kohaldumisalas olevad üksused laias plaanis kolmeks: 

• üliolulised üksused, 
• olulised üksused, 
• teatud muud teenuse osutajad (sh nt domeeninimede registreerimise teenuse osutajad).  

Praktikas tähendab see, et kui ettevõte kvalifitseerub kohaldumisalla, kaasnevad sellega mh RIA teavitamise kohustus ning rida sisulisi infoturbe- ja juhtimiskohustusi.  

RIA-t tuleb teavitada 31. märtsiks 2026 

Uue KüTSi järgi on ettevõttel kohustus ise RIA-t teavitada, et kuulutakse kohaldumisalasse. Teavitamine tuleb teha hiljemalt 31. märtsiks 2026.   

Oluline nüanss: RIA võib küll enda jaoks ettevõtteid nimekirjastada, kuid need ei ole avalikud kontrollnimekirjad, kust igaüks end otsida saab. RIA koostab nimekirja perioodiliselt ning see on asutusesisene teave.  

Seega ei tasu jääda ootama, et keegi KüTSi kohaldumisalasse kuulumisest teavitaks. Kõige korrektsem on enda kuuluvust ise hinnata, see hinnang dokumenteerida ning vajadusel nõu küsida. 

Kuidas kuuluvust ise hinnata: 2-sammuline loogika 

KüTSi kohaldumisalasse kuulumisel tuleb läbi käia kaks olulist sammu: 

• tuvasta, kas kuulud tegevusvaldkondade/üksuste loetellu, 
• tuvasta, kas ettevõtte suurus mängib rolli.  

Seega tuleb esmajoones tuvastada, kas sinu ettevõtte tegevusala kuulub loetellu. Näiteks on eraldi välja toodud, et ülioluline üksus on sõltumata suurusest mh: 

• elutähtsa teenuse osutaja vastava regulatsiooni tähenduses, 
• teatud avaliku sektori üksused, 
• kvalifitseeritud usaldusteenuse osutaja, 
• DNS teenuse osutaja ja tippdomeeni registri pidaja, 
• kriitilise tähtsusega side/raadioside teenuse osutajad.  

Mitmes valdkonnas eristatakse, kas oled suur ettevõte (või keskmise suurusega. Ettevõtteid eristatakse suuruse järgi näiteks järgmiste tegevusvaldkondade puhul: 

• energeetika (elekter, gaas, küte, nafta, vesinik), 
• transport (lennundus, raudtee, vee- ja maanteetransport), 
• pangandus ja finantsturu taristud, 
• tervishoid (nt teatud esmatähtsate meditsiiniseadmete tootjad; ravimitega seotud rollid).  

Samuti on eraldi välja toodud digitaristu ja IKT-teenused ja nende tüüpilised rollid (nt pilveteenus, andmekeskus, sisulevivõrk/CDN, infoturbeteenus, internetisõlmpunkt, haldusteenused).  

Lisaks on esile toodud rida potentsiaalsete olulise/üliolulise üksuste tegevusalasid, nt jäätmekäitlus, kemikaalid, toiduhulgimüük/tööstuslik tootmine (tingimusliku kriteeriumiga), teatud tootmissektorid, internetipõhise kauplemiskoha pidamine, post- ja kullerteenused, sotsiaalmeedia/otsingumootor, teadusasutused jpm.  

Praktiline soovitus: koosta enda ettevõtte kohta 1-leheküljeline “teenusekaart”: 

• mida sa tegelikult turul pakud (mitte ainult EMTAK kood), 
• kellele, 
• milline osa käibest on millise teenuse all, 
• kas oled osa kontsernist või tarneahelast, kus roll võib laieneda. 

Teise olulise sammuna tuleb lahti mõelda küsimus, kas ja kuidas mõjutab kohaldumist ettevõtte suurus. Osade üksuste puhul mängib suurus rolli, sest sama valdkonna sees võib keskmise suurusega ettevõte olla “oluline”, suur ettevõte aga “ülioluline”.  

Mida see ettevõtte jaoks tähendab: 

• Ära eelda automaatselt, et ettevõte on KüTSi kohaldumiseks liiga väike, sest osa üksusi kohalduvad sõltumata suurusest automaatselt. Lisaks tuleb teine kord üksuse suurust hinnata kontsernipõhiselt. 
• Samas ära eelda ka vastupidist. Näiteks IT-ettevõttele ei kohaldu KüTS automaatselt, vaid sõltub konkreetsest rollist (nt kas osutad pilveteenust, infoturbeteenust, haldusteenust jne). 

Olen endiselt kahtlev. Kuidas käituda? 

Kui piiripealne või hägune olukord tekitab ebakindlust, on kõige mõistlikum teha järgmist: 

• dokumenteeri oma hinnang (millise loetelu alla sa arvad end kuuluvat / mitte kuuluvat ja miks); 
• kogu tõendid (teenuse kirjeldused, lepingutüübid, käibe jaotus, struktuur); 
• küsi vajadusel asjatundjalt nõu – “meie tegevusala on X ja Y; kas see kvalifitseerub loetelu punkti Z alla ning kuidas suuruse kriteeriumi rakendada?” 

Nendest küsimuses saab ettevõtteid nõustada WIDENi partner, andmekaitse ja küberõiguse valdkonna juht Хенри Ратник. 

Kokkuvõtte 

Kohaldumise määramine ja hindamine on ettevõtte vastutus. Samuti on ettevõtetel kohustus kohaldumisest ka RIA-t teavitada. 

Hea riskijuhtimine ei jää ootavale ja vaatlevale positsioonile, vaid teeb hinnangu varakult ja viib vajadusel sisse muudatused vastavuse tagamiseks.