Ülevaade
Küberturvalisuse nõuded (NIS2 direktiiv)
NIS2 direktiiv (EL) 2022/2555 seab küberturbele ühtse raamistiku, kuid iga liikmesriik võtab selle üle oma seadusega — ja seadused, tähtajad ning regulaatorite ootused erinevad riigiti. Allpool on ülevaade peamistest nõuetest riikides, kus oleme tegutsenud.
Ülevaade on loodud juuni 2026 seisuga ja võib jooksvalt muutuda — seega tuleb alati kontrollida infot algallikast.
Kiire ülevaade
| Riik | Seadus | Jõustus | Järelevalveasutus |
|---|---|---|---|
| Eesti | Küberturvalisuse seadus (NIS2 muudatused) | 1.01.2026 | RIA (CERT-EE / NCSC) |
| Läti | Nacionālās kiberdrošības likums | 1.09.2024 | Riiklik küberturbekeskus |
| Leedu | Kibernetinio saugumo įstatymas | 18.10.2024 | NKSC (Kaitseministeerium) |
| Soome | Kyberturvallisuuslaki (124/2025) | 8.04.2025 | Traficom / NCSC-FI |
Kuidas kujunevad olulised ja tähtsad üksused
NIS2 jagab kohaldamisalasse jäävad organisatsioonid kahte kategooriasse. Kuulumine sõltub kahest tegurist: sektorist (NIS2 Lisa I — kõrge kriitilisusega, või Lisa II — muud kriitilised sektorid) ja ettevõtte suurusest.
| Kategooria | Kes kuulub | Järelevalve | Maksimaalne trahv |
|---|---|---|---|
| Olulised (essential) | Suured ettevõtted (≥250 töötajat või >50 M€ käive) Lisa I sektorites | Ennetav (ex-ante) | kuni 10 M€ või 2% globaalsest käibest |
| Tähtsad (important) | Keskmised ettevõtted (50–249 töötajat või 10–50 M€) Lisa I/II sektorites ning suured ettevõtted Lisa II sektorites | Tagantjärele (ex-post) | kuni 7 M€ või 1,4% käibest |
Suuruskünnised (EL definitsioon):
- Keskmine ettevõte — alates 50 töötajast või üle 10 M€ käibe
- Suur ettevõte — alates 250 töötajast või üle 50 M€ käibe
- Mikro- ja väikeettevõtted (alla 50 töötaja ja kuni 10 M€) jäävad üldjuhul kohaldamisalast välja
Sõltumata suurusest loetakse oluliseks teatud üksused — näiteks kvalifitseeritud usaldusteenuse osutajad, tippdomeeni (TLD) registrid, DNS-teenuse osutajad ja avalikud elektroonilise side võrgud.
Turvameetmete nõuded on mõlemale kategooriale sisuliselt samad — peamine erinevus on järelevalves (ennetav vs tagantjärele) ja sanktsioonide ülemmääras. Iga riik tuvastab oma kohaldamisalasse jäävad üksused veidi erinevalt (allpool).
Nõuded riikide kaupa
- Seadus: Küberturvalisuse seadus, mida muudeti NIS2 ülevõtmiseks; jõustus 1. jaanuaril 2026
- Riskijuhtimine on seotud E-ITS baasmeetmetega (eraldi rakendusmäärus)
- Intsidentidest teavitamine: varajane hoiatus 24 h, täiendus 72 h, lõpparuanne 30 päeva (CERT-EE/NCSC portaal)
- Tuvastamine: üksused registreerivad end ise CERT-EE kaudu (tähtaeg 1.04.2026); juhtimismeetmed 1.01.2027, tehniline vastavus ja esimesed auditid 1.01.2028
- Järelevalve: RIA (riiklik CSIRT); poliitika: Majandus- ja Kommunikatsiooniministeerium
- Seadus: Nacionālās kiberdrošības likums (riiklik küberturbeseadus); jõustus 1. septembril 2024
- Tuvastamine: üksused esitavad enesehindamise aruande ja teavitavad küberturbejuhist (tähtaeg 1.10.2025)
- Järelevalve: Riiklik küberturbekeskus, koostöös Põhiseaduskaitse büroo ja CERT.LV-ga
- Seadus: Kibernetinio saugumo įstatymas (küberturbeseadus, muudetud); jõustus 18. oktoobril 2024; rakendusresolutsioon 12. novembrist 2024
- Tuvastamine: NKSC määrab ja teavitab kohaldamisalasse jäävad üksused ise (nimekiri 17.04.2025) — üldnõuded 12 kuu, tehnilised nõuded 24 kuu jooksul teavitamisest
- Järelevalve: NKSC (Riiklik küberturbekeskus, Kaitseministeerium)
- Seadus: Kyberturvallisuuslaki (124/2025); jõustus 8. aprillil 2025
- Tuvastamine: üksused registreerivad end ise (tähtaeg 8.05.2025); riskijuhtimise mudel valmis 8.07.2025
- Järelevalve: Traficom / NCSC-FI (Kyberturvallisuuskeskus)
Grupiettevõtted — üks lahendus, mitu riiki
Kui teie kontsern tegutseb mitmes riigis, on peamine väljakutse selles, et NIS2 ühtsest raamistikust hoolimata erinevad kohalikud seadused, tähtajad ja regulaatorite ootused. Aitame leida grupile ühtse lahenduse, mis:
- vastab NIS2 põhinõuetele kõigis tegevusriikides
- arvestab iga riigi kohalike erisuste ja järelevalveasutuste ootustega
- väldib dubleerivat tööd — ühtne riskihaldus, poliitikad ja aruandlus, kohalike lisanditega
Nii saab kontsern hallata vastavust tervikuna, mitte iga riiki eraldi.
Kas see puudutab teie organisatsiooni?
Kirjelda oma vajadust või küsi pakkumist — vastame esimesel võimalusel.
Küsi pakkumist