KüTS: registreerimine ja teavitamine – kuidas täita?

Kätri Sarapuu

KüTS ei eelda, et riik loeks su mõtteid. Seepärast ongi olemas registreerimiskohustus - kui sa oled seaduse mõttes ülioluline või oluline teenuseosutaja, siis anna endast märku.

Mitte kriisi ajal. Mitte siis, kui keegi küsib. Vaid enne.

1. Mida KüTS tegelikult nõuab?

KüTS § 3¹ kohustab teenuseosutajat:

  • registreerima end Riigi Infosüsteemi Ameti (RIA) juures vastavas nimekirjas, ja
  • teavitama RIA-t, kui: andmed muutuvad, või teenuse osutamine algab või lõpeb.

See ei ole luba küsimine ega „eksam“.
See on teadlikkuse loomine, et kriisi korral ei alustataks nullist küsimusega:

„Kes te üldse olete ja mida te pakute?“


2. Keda see puudutab?

KüTS § 3¹ registreerimis- ja teavitamiskohustus kehtib järgmistele üksustele:

  • üliolulised üksused (teenuseosutaja),
  • olulised üksused (teenuseosutaja),
  • ning eraldi ka domeeninimede registreerimise teenuse osutajad (tippdomeenide registri pidaja või selle nimel tegutsev isik)
  • lisaks ka digitaalse teenuse osutajad.
Loe siit lähemalt, kellele KüTS kohaldub, et aru saada, milline üksus sinu ettevõte on.

Registreerimine RIA juures ei ole valikuline lisa. See on stardipunkt ja oluline osa juhi vastutusest küberturvalisuse juhtimisel.


3. Kuidas seda päriselt teha?

Praktikas on protsess üllatavalt sirgjooneline:

3.1.    Tuvasta, kas kuulud KüTS mõistes üliolulise, olulise üksuse alla või oled domeeninimede registreerimise teenuse osutaja või digitaalse teenuse osutaja.

3.2.    Esita RIA-le seaduses nõutud andmed - vaata hoolikalt, milline teenuseosutaja sa oled, sellest lähtuvalt erinevad ka tähtajad:

3.2.1. Teenuseosutaja või domeeninimede registreerimise teenuse osutaja
  1. Eelnev registreerimine (enne intsidendi tekkimist) üldjuhul 3 kuu jooksul teenuseosutaja või domeeninimede registreerimise teenuse osutaja tunnuste vastavuse tekkimisest alates
    Teenuseosutaja esitab Riigi Infosüsteemide Ametile:
    • Nimi ja registrikood
    • Tegevuskoha aadress ja ajakohased kontaktandmed, sh e-posti aadressid, internetiprotokollide aadressivahemikud ja telefoninumbrid
    • Asjakohasel juhul asjakohane sektor ja allsektor
    • Asjakohasel juhul nende riikide loetelu, kus osutad kohaldamisalasse kuuluvaid teenuseid
  2. Ajakohane haldus
    Iga kord, kui:
    • Muutub midagi punktis 1 kirjeldatust —
      tuleb RIA-d sellest teavitada viivitamata, kuid hiljemalt 2 nädalat pärast muudatuse tegemise kuupäeva.
  3. Tegevuse kehtestatud nõuetega vastavusse viimine
    • Kolme aasta jooksul teenuse osutaja, sh digitaalse teenuse osutaja tunnustele vastavuse tekkimisest arvates
  4. Intsidentide teatamine eraldi kanalit pidi
    Kui toimub küberintsident, peab teenuseosutaja tegema eraldi intsidenditeatise vastavalt KüTS § 8 nõuetele (nii künniste ületamisel kui ka raporteerimisprotsessi täitmisel) – loe selle kohta lähemalt siit.
3.2.2. Digitaalse teenuse osutaja

  1. Eelnev registreerimine (enne intsidendi tekkimist) üldjuhul 3 kuu jooksul digitaalse teenuse osutaja tunnustele vastavuse tekkimisest arvates
    Teenuseosutaja esitab Riigi Infosüsteemide Ametile:
    • Nimi ja registrikood
    • Asjakohasel juhul asjakohane sektor ja allsektor
    • Peamise tegevuskoha aadress ja EL muude ametlike tegevuskohtade aadressid
    • Enda ja asjakohasel juhul oma esindaja ajakohased kontaktandmed, sh e-posti aadress ja telefoninumber
    • Liikmesriik või liikmesriigid, kus teenust osutatakse
    • internetiprotokollide aadressivahemikud
  2. Ajakohane haldus
    Iga kord, kui:
    • Muutub midagi punktis 1 kirjeldatust —
      tuleb RIA-d sellest teavitada viivitamata, kuid hiljemalt 3 kuud pärast muudatuse tegemise kuupäeva.
  3. Tegevuse kehtestatud nõuetega vastavusse viimine
    • Kolme aasta jooksul teenuse osutaja, sh digitaalse teenuse osutaja tunnustele vastavuse tekkimisest arvates
  4. Intsidentide teatamine eraldi kanalit pidi
    Kui toimub küberintsident, peab teenuseosutaja tegema eraldi intsidenditeatise vastavalt KüTS § 8 nõuetele (nii künniste ületamisel kui ka raporteerimisprotsessi täitmisel) – loe selle kohta lähemalt siit.

See ei ole „tee korra ja unusta“.
See on elav kohustus, nagu ka küberturve ise.


4. Miks see juhile tegelikult oluline on?

KüTS § 3¹ ei ole bürokraatia.
See on küberturbe aadressiraamat.

Kui nimekirjas pole:

  • tekib küsimus ettevõtte teadlikkusest,
  • see võib mõjutada hinnangut kogu ettevõtte riskijuhtimise küpsusele,
  • ja halvimal juhul jääb mulje, et ettevõte ei teadnud, et ta peaks teadma.

Kui midagi juhtub, on väga suur vahe, kas riik:

  • teab täpselt, kes sa oled ja kuidas sinuga ühendust võtta,
või

  • hakkab seda välja selgitama juba siis, kui aeg on kriitiline.

Hea küberturbe juhtimine algab sageli kõige igavamast sammust.
Ja § 3¹ on just see samm, mis hiljem osutub kõige targemaks.

Registreerimine ei suurenda riski.
Registreerimata olemine võib seda teha.

 

5. Defending Data registreerimiskohustuse vorm

RIA ootab sinult õigeid andmeid, õigel ajal ja õiges mahus, oma ametlike kanalite kaudu.

Just siin tehakse kõige sagedamini vigu:

  • jäetakse mõni kohustuslik väli täitmata,
  • segatakse teenuseosutaja kategooriad omavahel,
  • ei mõisteta, millal ja mida tuleb hiljem uuendada.

Selleks lõime tasuta Defending Data registreerimiskohustuse vormiVorm ei asenda RIA kanaleid, aga aitab sul minna sinna ettevalmistatult ja kindlalt.

Telli tasuta Defending Data registreerimiskohustuse vorm (ja tee üks kohustus väiksemaks, mitte suuremaks).

Registreerimiskohustuse vorm - TASUTA

 

6. KKK - korduma kippuvad küsimused - KüTS-i registreerimis- ja teavitamiskohustus

Kas KüTS § 3¹ registreerimiskohustus on kohustuslik?

Jah. See on kohustuslik kõikidele KüTS mõistes üliolulistele, olulistele, domeeninimede registreerimise ja digitaalse teenuse osutajatele.

Kas registreerimine tähendab loa küsimist riigilt?

Ei. Tegemist ei ole loa taotlemisega, vaid teavitamiskohustusega.

Kus toimub registreerimine KüTS § 3¹ alusel?

Registreerimine toimub Riigi Infosüsteemi Amet (RIA) juures, kasutades RIA ametlikke kanaleid.

Millal tuleb end registreerida?

Üldjuhul kuni 3 kuu jooksul alates hetkest, mil saad teada, et vastad seaduses sätestatud tunnustele.

Kas andmete muutumisel tuleb RIA-t teavitada?

Jah. Andmete muutumisest tuleb RIA-t teavitada viivitamata, kuid hiljemalt seaduses sätestatud tähtaja jooksul.

Kas KüTS § 3¹ asendab küberintsidentide teatamist?

Ei. Küberintsidendid tuleb teatada eraldi vastavalt KüTS § 8 nõuetele.

Loe ka järgmist artiklit, mis täpsustab, kuidas KüTS-i osas järelevalvet tehakse.

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.

Kommentaarid

Email again:

Jätka lugemist

Kätri Sarapuu
Kuidas alustada infoturbega? Teekond siin!
Kätri Sarapuu
ISO 27001 sertifikaat: aus juhend algusest lõpuni
Kätri Sarapuu
Defending Data ISMS alusdokumentide juhend

Eelmine

NIS2 vs KüTS: kellele need tegelikult kohalduvad?

Järgmine

Mida RIA kontrollib? KüTS järelevalve lihtsas keeles

Jaga seda artiklit