Järelevalve tõhustamise eesmärgil teeme koostööd RIA küberturvalisuse teenistuse valdkondade ja teiste asutustega.
Vajadusel nõustame järelevalve käigus infosüsteemide omanikke kehtestatud nõuete osas.
Järelevalve käigus on meil õigus teha ettekirjutusi, kui tuvastame, et küberturvalisuse seaduse nõuded ei ole täielikult täidetud ja need tuleb kõrvaldada. Ettekirjutust rakendatakse seni kuni tuvastatud puudused on kõrvaldatud.
Turvameetmete rakendamist kontrollime:
- keskvalitsuse avaliku halduse üksuste infosüsteemides
- kohaliku omavalitsuse avaliku halduse üksuste infosüsteemides,
- elutähtsa teenuse osutajate infosüsteemides
- kriitilise tähtsusega side, mereraadioside ja operatiivraadiosidevõrgu teenuse osutajate infosüsteemides
- domeeninimede süsteemi teenuse osutajate infosüsteemides
- sideteenuse osutajate infosüsteemides
- kvalifitseeritud usaldusteenuse osutajate infosüsteemides
- tippdomeeninimede registri pidaja infosüsteemides
- paljudes teistes küberturvalisuse seaduses nimetatud valdkondades tegutsevate organisatsioonide infosüsteemides
Järelevalvemenetluse käik
Haldus- ja riikliku järelevalvemenetluse eesmärk on saada ülevaade sellest, kuidas on õigusaktidega kehtestatud nõuded asutuses täidetud.
Menetluse käigus fikseeritakse hetkeolukord ning kõrvaldatakse puudused. Menetlus lõpetatakse, kui nõuded on täidetud. Puuduste ilmnemisel tehakse ettekirjutus (haldusakt), milles tuuakse välja kõrvaldamist vajavad puudused ning lepitakse kokku nende puuduste kõrvaldamise tähtaeg.
Enne ettekirjutuse tegemist anname asutusele piisava ajavaruga võimaluse esitada enda arvamusi, vastuväiteid, selgitusi ja/või tõendeid. Selleks saadab menetlust läbiviiv ametnik asutusele eraldi teavituse, millel on märgitud vähemalt kavandatava otsustuse kokkuvõtlik sisu ning tähtaeg vastamiseks.
Samuti palume ettekirjutuse hoiatusele vastamisel asutuse omapoolset tähtaega, millal on võimalik ära täita kõik hoiatuses toodud tegevused. Menetlust läbiviiv ametnik kaalub pakutud tähtaega ning kui see on asjakohane, siis arvestab sellega ettekirjutuse tegemisel.
Haldusjärelevalvemenetluse kulg
- teavitus alustamisest
- dokumentidega tutvumine
- kontrollkäik (vestlus, serveriruumi külastus, füüsilise turbe vaatlus)
- kontrollakt
- nõuete täitmise hindamine ja otsuse langetamine (kas suunata lõpetamisele või puuduste kõrvaldamisele)
- ettekirjutuse hoiatus ja ärakuulamisõiguse andmine
- ettekirjutus
- ettekirjutuse täitmine
- ettekirjutuse täitmise kontrollimine esitatud teabe alusel ja otsuse langetamine (kas lõpetamisele või sunniraha tasumisele määramisele ja ettekirjutuse täitmiseks uue tähtaja andmisele)
- menetluse lõpetamine ja otsuse avalikustamine
Menetlustoimingud võivad olla tsüklilised ehk asja uurimise käigus mitmeid kordi käivituda seni, kuni toiminguga soovitud eesmärk on saavutatud.
Õigused ja kohustused haldusmenetluses
- õigus olla ära kuulatud
- õigus andmekaitsele
- õigus saada selgitusi
- õigus tutvuda menetlusdokumentidega
- õigus esitada taotlusi ja kaebusi
- õigus taotleda mõjuval põhjusel ettekirjutuse täitmise tähtaja pikendamist kahe kuu võrra
- õigus olla informeeritud menetluse tulemusest
- kohustus teha koostööd
- kohustus ilmuda
- ettekirjutuste täitmise kohustuslikkus
- õigus ettekirjutust vaidlustada
Avaliku teabe seaduse alusel valvame infosüsteemide andmevahetuskihiga liitumiste üle.
Hädaolukorra seaduse alusel on RIA ülesanne järele valvata elutähtsa teenuse osutamiseks kasutatavate infosüsteemide ning nendega seotud infovarade turvameetmete alalise rakendamise üle.
Küberturvalisuse seaduse alusel teeme järelevalvet ühiskonna toimimise seisukohast oluliste teenuste võrgu- ja infosüsteemide ning riigi ja kohaliku omavalitsuse üksuse võrgu- ja infosüsteemide pidamiseks kehtestatud nõuete täitmise üle, lisaks teeme järelevalvet digitaalsete teenuste osutajate üle.
Elektroonilise side seaduse alusel valvame selle üle, et sideteenuse osutajatele kehtestatud sidevõrkude ja -teenuste turvalisuse ning terviklikkuse tagamise nõueded oleksid täidetud.
E-identimise ja e-tehingute usaldusteenuste seaduse alusel teeme järelevalvet usaldusteenuse osutajatele kehtestatud nõuete täitmise üle.
Riigi Infosüsteemi Amet täidab eIDAS määruses sätestatud järelevalveasutuse ülesandeid:
- hindab usaldusteenuste kvalifitseeritud staatust ja väljastab tegevuslube
- haldab usaldusteenuste nimekirja
- jälgib registreeritud usaldusteenuse pakkujale ja tema teenusele kehtestatud nõuete täitmist
- kogub, analüüsib ja lahendab turvaintsidente ja teavitab nendest ENISAt
- loob nii siseriiklikele kui ka piiriülestele e-teenustele juurdepääsuks tehnilised lahendused/platvormi
Usaldusteenuste osutaja tegevusluba
Tegevusluba on vaja taotleda neil, kes soovivad hakata osutama kvalifitseeritud usaldusteenust ning soovivad, et nende teenus oleks kantud Eesti usaldusnimekirja.
Usaldusnimekirja saamiseks ei pea ilmtingimata osutama kvalifitseeritud staatusega usaldusteenust, võib osutada ka mittekvalifitseeritud staatusega teenust.
Tegevusloa taotlus esitatakse Riigi Infosüsteemi Ametile, kes kontrollib taotleja ja teenuse vastavust nõuetele. Loa väljastamise korral kannab RIA usaldusteenuse osutaja ja usaldusteenuse kümne päeva jooksul usaldusnimekirja. Kanne tehakse kaheks aastaks ning pärast seda nimekirjas püsimiseks tuleb taotleda korduv tegevusluba.
Kui taotluses esitatud andmed või usaldusteenuse sisu muutuvad või kui teenuseosutaja lõpetab usaldusteenuse osutamise või majandustegevuse, tuleb sellest Riigi Infosüsteemi Ametit eelnevalt teavitada.
Täpsem info tegevusloa ja selle taotlemise kohta riigiportaalis eesti.ee.
Õigusaktid
Usaldusteenustega seotud tegevust reguleerivad järgmised õigusaktid:
- e-identimise- ja e-tehingute usaldusteenuste seadus (EUTS)
- äriseadustik
- riigilõivuseadus
- majandustegevuse seadustiku üldosa seadus
- eIDAS määrus (ehk Euroopa Parlamendi ja nõukogu määrus (EL) 2024/1183, 11. aprill 2024 ja seda muutev Euroopa Parlamendi ja nõukogu määrus (EL) 2024/1183)
- usaldusteenuse osutaja ja usaldusteenuse vastavushindamise kord
- avalikult heakskiidetud teenusepõhised Euroopa Telekommunikatsiooni Standardite Instituudi (ETSI) standardid või muud samaväärsed asjakohased spetsifikatsioonid
- Äriregistri seadus
Seotud viited
Seotud dokumendid
Viimati uuendatud 12.05.2026
