[et_pb_section fb_built=”1″ _builder_version=”4.16″ global_colors_info=”{}” theme_builder_area=”post_content”][et_pb_row _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}” theme_builder_area=”post_content”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||” theme_builder_area=”post_content”][et_pb_text _builder_version=”4.27.5″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}” theme_builder_area=”post_content”]<\/p>\n
\n\ud83d\udc49 LAE JUHATUSE HOOLSUSKOHUSTUSE AUDITI N\u00c4IDIS ALLA SIIT<\/a><\/p>\n<\/blockquote>\n
K\u00e4esolevas artiklis k\u00e4sitleme Euroopa Parlamendi ja n\u00f5ukogu direktiivi (EL) 2022\/2555<\/a> (edaspidi \u201c<\/span>NIS2<\/b>\u201d) \u00fclev\u00f5tmise m\u00f5ju Eesti \u00fchingu\u00f5igusele, keskendudes juhatuse liikme tsiviil- ja haldus\u00f5iguslikule vastutusele.\u00a0<\/span><\/p>\n
\u00d5iguslikult on oluline r\u00f5hutada, et NIS2 ei kehti Eestis otsekohalduva regulatsioonina, vaid selle n\u00f5uded muutuvad ettev\u00f5tetele ja juhtorganitele siduvaks riigisisese \u00f5iguse kaudu. Praktikas t\u00e4hendab see, et juhatuse liikme vastutus ei tulene mitte direktiivist endast, vaid k\u00fcberturvalisuse seadusest<\/a> (edaspidi \u201c<\/span>K\u00fcTS<\/b>\u201d) ning selle alusel antavatest rakendusaktidest.<\/span><\/p>\n
Eesti seadusandja on valinud direktiivi etapiviisilise rakendamise, mille tulemusel ei lange k\u00f5ik kohustused ettev\u00f5tjatele ja juhatustele \u00fcheaegselt. Osa kohustusi (nt riskijuhtimise raamistik, juhtorganite rolli t\u00e4psustamine) rakenduvad varem, samas kui teatud j\u00e4relevalve- ja sanktsioonimehhanismid on seotud \u00fcleminekuperioodidega.\u00a0<\/span><\/p>\n
NIS2 etapiviisilisest \u00fclev\u00f5tmisest hoolimata ei ole p\u00f5hjendatud veel mittekohalduvate direktiivi n\u00f5uete k\u00e4sitlemist tulevikku l\u00fckata ja strateegiliselt on m\u00f5istlik oma tegevust juba t\u00e4na nendega koosk\u00f5lla viia.\u00a0<\/span><\/p>\n
1. Sissejuhatus: miks NIS2 muudab juhatuse vastutust Eestis<\/span><\/h2>\n
Digitaalse vastupidavuse (<\/span>digital resilience<\/span><\/i>) tagamine on juhtimises viimase k\u00fcmnendi jooksul muutunud tehnilisest k\u00f5rvalteemast \u00fcheks olulisemaks. Kui seni k\u00e4sitleti infoturvet peamiselt operatiivse riskina, mille maandamine kuulus IT-osakondade v\u00f5i v\u00e4liste teenusepakkujate p\u00e4devusse, siis NIS2 muudab seda l\u00e4henemist p\u00f5him\u00f5tteliselt.<\/span><\/p>\n
NIS2 ei reguleeri \u00fcksnes tehnilisi turvameetmeid, vaid nihutab vastutuse selgelt juhtorganite tasandile. Sellega asetub k\u00fcberturvalisus samasse kategooriasse finantsjuhtimise, sisekontrolli ja riskijuhtimisega \u2013 valdkondadesse, mille eest vastutab vahetult juhatus.<\/span><\/p>\n
Eesti \u00f5iguskorras tekitab NIS2 \u00fclev\u00f5tmine, eesk\u00e4tt K\u00fcTS kaudu, kontseptuaalse pinge \u00e4riseadustiku<\/a> (edaspidi \u201c<\/span>\u00c4S<\/b>\u201d) \u00fcldise hoolsusstandardiga. \u00c4S \u00a7 315 ning Riigikohtu praktika kohaselt on juhatuse liikmel \u00f5igus tugineda spetsialistide arvamusele valdkondades, kus tal puuduvad eriteadmised. NIS2 direktiivi artikkel 20 l\u00f5ige 2 seab sellele loogikale olulise piirangu, n\u00e4hes ette juhatuse liikmete kohustusliku koolituse ning v\u00e4listades vastutuse t\u00e4ieliku delegeerimise riskijuhtimismeetmete heakskiitmise osas.<\/span><\/p>\n
2. Juhatuse liikme hoolsuskohustus NIS2 kontekstis<\/span><\/h2>\n
2.1. Korraliku ettev\u00f5tja hoolsus NIS2 j\u00e4rgi: miks teadmatusele enam ei saa tugineda<\/strong><\/p>\n
\u00c4riseadustiku \u00a7 315 lg 1 kohaselt peab juhatuse liige t\u00e4itma oma kohustusi korraliku ettev\u00f5tja hoolsusega. Riigikohtu praktikas on see standard sisustatud kui kohustus tegutseda heas usus, piisava informatsiooni alusel ning \u00fchingu huvidest l\u00e4htudes. Samas on j\u00e4rjekindlalt r\u00f5hutatud, et juhatuse liige ei pea olema ekspert igas valdkonnas ning v\u00f5ib m\u00f5istlikkuse piires tugineda professionaalsete n\u00f5ustajate arvamusele.<\/span><\/p>\n
NIS2 direktiiv kitsendab seda nn \u201eteadmatuse privileegi\u201c k\u00fcberturvalisuse valdkonnas. Direktiivi artikkel 20 lg 1 kohustab liikmesriike tagama, et juhtorganid kiidavad heaks k\u00fcberriskide juhtimise meetmed ning teostavad j\u00e4relevalvet nende rakendamise \u00fcle. Veelgi olulisem on lg 2, mis n\u00e4eb ette juhtorganite liikmete kohustuse osaleda koolitustel, et nad oleksid v\u00f5imelised k\u00fcberriske iseseisvalt hindama.<\/span><\/p>\n
Sellest tuleneb j\u00e4reldus, et k\u00fcberturvalisuse puhul ei ole juhatuse liikme teadmatuse argument enam neutraalne faktiline asjaolu, vaid v\u00f5ib kujuneda hoolsuskohustuse rikkumiseks. Kui juhatuse liige j\u00e4tab end k\u00fcberriskidega s\u00fcstemaatiliselt kurssi viimata, ei saa ta vastutusest vabanemiseks enam piirduda v\u00e4itega, et ta usaldas IT-juhti v\u00f5i infoturbe spetsialisti.<\/span><\/p>\n
Juhatuse liikme vaates on m\u00e4\u00e4rav asjaolu, et\u00a0<\/span><\/p>\n
\n
- k\u00fcberturvalisus on \u00f5iguslikult defineeritud juhtimisvastutusena;<\/li>\n
- koolituskohustus ja riskijuhtimise heakskiitmise n\u00f5ue ei eelda eraldi t\u00e4iendavat rikkumist, vaid tulenevad otse seadusest;<\/li>\n
- vastutuse hindamisel l\u00e4htutakse sellest, kas juhatuse liige oli m\u00f5istlikult teadlik NIS2-st tulenevatest kohustustest ajal, mil otsuseid tehti.<\/li>\n<\/ul>\n
2.2. Vastutuse delegeerimine NIS2 alusel: mida juhatus ei saa enam edasi anda<\/strong><\/p>\n
Vastutuse delegeerimine on \u00fchingu\u00f5iguses tavap\u00e4rane ja sageli v\u00e4ltimatu. NIS2 ei kaota delegeerimist kui sellist, kuid kehtestab k\u00fcberturvalisuse riskijuhtimise osas delegeerimatu vastutuse tuuma.<\/span><\/p>\n
Tehniliste lahenduste kavandamine ja rakendamine on j\u00e4tkuvalt delegeeritav. K\u00fcll aga j\u00e4\u00e4b juhatusele vastutus riskijuhtimismeetmete piisavuse ja sobivuse eest. Seda loogikat v\u00f5ib v\u00f5rrelda raamatupidamisega: juhatus v\u00f5ib kasutada professionaalset raamatupidajat, kuid vastutab majandusaasta aruande \u00f5igsuse eest oma allkirjaga. NIS2 laiendab sama p\u00f5him\u00f5tte IT-arhitektuuri ja k\u00fcberturvalisuse valdkonda.<\/span><\/p>\n
3. Juhatuse tsiviilvastutus NIS2 rikkumisel: trahvid ja regressirisk<\/span><\/h2>\n
NIS2 n\u00f5uete rikkumise eest ettev\u00f5ttele m\u00e4\u00e4ratav haldustrahv v\u00f5ib ulatuda kuni 10 miljoni euroni v\u00f5i 2%-ni \u00fclemaailmsest k\u00e4ibest. Sellises olukorras kerkib v\u00e4ltimatult k\u00fcsimus juhatuse liikme varalisest vastutusest \u00fchingu ees \u00c4S \u00a7 315 lg 2 alusel.<\/span><\/p>\n
Kuna NIS2 paneb vastavad kohustused otses\u00f5nu juhtorganile, on p\u00f5hjusliku seose t\u00f5endamine juhatuse liikme tegevusetuse ja ettev\u00f5ttele tekkinud kahju vahel oluliselt lihtsustatud. Praktikas v\u00f5ib see v\u00e4ljenduda skeemis, kus:<\/span><\/p>\n
\n
- rikkumisena tuvastatakse juhatuse liikme koolituskohustuse t\u00e4itmata j\u00e4tmine v\u00f5i riskianal\u00fc\u00fcsi kinnitamata j\u00e4tmine;<\/span><\/li>\n
- kahjuna k\u00e4sitatakse trahvi v\u00f5i k\u00fcberr\u00fcnnakust tulenenud varalist kahju;<\/span><\/li>\n
- p\u00f5hjuslik seos j\u00e4reldatakse sellest, et hoolsas juhtimises oleks risk tuvastatud ja maandatud.<\/span><\/li>\n<\/ul>\n
See loob aluse nn siseseks regressiks, kus ettev\u00f5te v\u00f5ib n\u00f5uda kahju h\u00fcvitamist juhatuse liikmetelt, kes k\u00e4sitlesid infoturvet pelgalt tehnilise, mitte strateegilise k\u00fcsimusena.<\/span><\/p>\n
4. Juhtimiskeeld NIS2 alusel: Eestis veel kehtestamata, kuid \u00f5iguslikult v\u00f5imalik<\/span><\/h2>\n
NIS2 \u00fcks m\u00e4rkimisv\u00e4\u00e4rsemaid uuendusi sisaldub artikli 32 lg 5 punktis b, mis v\u00f5imaldab nn oluliste \u00fcksuste puhul ajutiselt peatada f\u00fc\u00fcsilise isiku \u00f5iguse t\u00e4ita juhtimis\u00fclesandeid. Eesti seadusandja ei ole seda meedet k\u00fcberturvalisuse seaduse kehtivas redaktsioonis otses\u00f5nu \u00fcle v\u00f5tnud.\u00a0<\/span><\/p>\n
See ei t\u00e4henda siiski, et juhtimiskeelu institutsioon oleks Eesti \u00f5iguskorras NIS2 kontekstis v\u00e4listatud. Vastupidi \u2013 direktiiv annab liikmesriikidele selge volituse sellise meetme kehtestamiseks ning Eesti seadusandjal on v\u00f5imalik see tulevikus rakendusaktide v\u00f5i seadusemuudatuste kaudu \u00fcle v\u00f5tta, kui praktika v\u00f5i j\u00e4relevalve kogemus seda vajalikuks peab.<\/span><\/p>\n
4.1. Meetme olemus ja eesm\u00e4rk<\/strong><\/p>\n
Eesti \u00f5iguses on \u00e4rikeeld seni olnud seotud eesk\u00e4tt maksej\u00f5uetusmenetluse v\u00f5i s\u00fc\u00fcteomenetlusega. NIS2 toob\u00a0 juhtimiskeelu sisse haldus\u00f5igusliku sundmeetmena, mille eesm\u00e4rk ei ole karistada minevikus toimunud rikkumise eest, vaid sundida ettev\u00f5tet t\u00e4itma k\u00fcberturvalisuse n\u00f5udeid.<\/span><\/p>\n
See tekitab aga k\u00fcsimuse meetme tegelikust adressaadist. Formaalselt kohaldatakse piirangut f\u00fc\u00fcsilisele isikule, sisuliselt aga kasutatakse seda survemeetmena juriidilise isiku k\u00e4itumise m\u00f5jutamiseks.<\/span><\/p>\n
4.2. Proportsionaalsus ja p\u00f5hiseaduslikkuse k\u00fcsimus<\/strong><\/p>\n
Juhtimis\u00f5iguse ajutine peatamine riivaks intensiivselt nii ettev\u00f5tlusvabadust kui ka \u00f5igust vabalt valida tegevusala. P\u00f5hiseaduse<\/a> \u00a7 11 kohaselt peab selline riive olema proportsionaalne ning rakendatav \u00fcksnes v\u00e4ltimatu abin\u00f5una.<\/span><\/p>\n
NIS2 kontekstis saab juhtimiskeeldu pidada p\u00f5hjendatuks vaid juhul, kui:<\/span><\/p>\n
\n
- rikkumine on korduv ja s\u00fcsteemne;<\/span><\/li>\n
- leebemad haldusmeetmed ei ole tulemust andnud;<\/span><\/li>\n
- on tuvastatud konkreetse juhatuse liikme oluline ja isiklik tegevusetus, n\u00e4iteks teadlik keeldumine kriitiliste turvariskide maandamiseks vajalike ressursside eraldamisest.<\/span><\/li>\n<\/ul>\n
Rakendusaktides tuleb v\u00e4ltida automaatset seost k\u00fcberintsidendi ja juhtimiskeelu vahel. Vastasel juhul nihkub vastutus tulemuse, mitte juhatuse k\u00e4itumise hindamisele, mis ei ole koosk\u00f5las hoolsuskohustuse olemusega.<\/span><\/p>\n
5. Kokkuv\u00f5te: mida peab juhatuse liige NIS2 kohta p\u00e4riselt meeles pidama<\/span><\/h2>\n
NIS2 ei ole pelgalt tehniline IT-regulatsioon, vaid oluline \u00fchingu\u00f5iguslik instrument, mis kujundab \u00fcmber hea juhtimistava digitaalses keskkonnas.<\/span><\/p>\n
Juhatuse liikme jaoks t\u00e4hendab see eesk\u00e4tt j\u00e4rgmist:<\/span><\/p>\n
\n
- hoolsusstandard on muutunud ning teadmatusele tuginemine ei vabasta vastutusest;<\/span><\/li>\n
- vastutus k\u00fcberturvalisuse eest on isiklik ning delegeeritav vaid piiratud ulatuses;<\/span><\/li>\n
- riskid ei ole \u00fcksnes varalised, vaid v\u00f5ivad m\u00f5jutada ka juhatuse liikme professionaalset karj\u00e4\u00e4ri juhtimiskeelu kaudu.<\/span><\/li>\n<\/ul>\n
Eesti seadusandja \u00fclesanne on NIS2 rakendamisel tagada, et kavandatavad sanktsioonid oleksid p\u00f5hiseadusega koosk\u00f5las, proportsionaalsed ning menetluslikult selged. Vastasel juhul v\u00e4heneb \u00f5iguskindlus olukorras, kus k\u00fcberintsidendid ei ole enam erand, vaid v\u00e4ltimatu osa kaasaegsest ettev\u00f5tluskeskkonnast.<\/span><\/p>\n
<\/p>\n
[\/et_pb_text][et_pb_text _builder_version=”4.27.5″ _module_preset=”default” background_color=”#CBEF43″ custom_padding=”1px|40px|40px|40px|false|true” locked=”off” global_colors_info=”{}” theme_builder_area=”post_content”]<\/p>\n
Kas Sinu ettev\u00f5ttes on tehtud juhatuse hoolsuskohustuse audit?<\/b><\/h2>\n
\u00c4ra hakka jalgratast leiutama. Oleme koostanud juriidiliselt korrektse p\u00f5hja, mis on koosk\u00f5las NIS2 direktiivi ja K\u00fcTS-iga.<\/p>\n
\ud83d\udc49 LAE JUHATUSE HOOLSUSKOHUSTUSE AUDIT ALLA SIIT<\/a><\/span><\/strong><\/p>\n
[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>","protected":false},"excerpt":{"rendered":"
NIS2 makes cybersecurity the responsibility of the board. When does the law apply, what are the fines, and how can the board avoid personal liability?<\/p>","protected":false},"author":1,"featured_media":2106,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"
\ud83d\udc49 LAE JUHATUSE HOOLSUSKOHUSTUSE AUDITI N\u00c4IDIS ALLA SIIT<\/a><\/p>
K\u00e4esolevas artiklis k\u00e4sitleme Euroopa Parlamendi ja n\u00f5ukogu direktiivi (EL) 2022\/2555<\/a> (edaspidi \u201c<\/span>NIS2<\/b>\u201d) \u00fclev\u00f5tmise m\u00f5ju Eesti \u00fchingu\u00f5igusele, keskendudes juhatuse liikme tsiviil- ja haldus\u00f5iguslikule vastutusele.\u00a0<\/span><\/p>
\u00d5iguslikult on oluline r\u00f5hutada, et NIS2 ei kehti Eestis otsekohalduva regulatsioonina, vaid selle n\u00f5uded muutuvad ettev\u00f5tetele ja juhtorganitele siduvaks riigisisese \u00f5iguse kaudu. Praktikas t\u00e4hendab see, et juhatuse liikme vastutus ei tulene mitte direktiivist endast, vaid k\u00fcberturvalisuse seadusest<\/a> (edaspidi \u201c<\/span>K\u00fcTS<\/b>\u201d) ning selle alusel antavatest rakendusaktidest.<\/span><\/p>
Eesti seadusandja on valinud direktiivi etapiviisilise rakendamise, mille tulemusel ei lange k\u00f5ik kohustused ettev\u00f5tjatele ja juhatustele \u00fcheaegselt. Osa kohustusi (nt riskijuhtimise raamistik, juhtorganite rolli t\u00e4psustamine) rakenduvad varem, samas kui teatud j\u00e4relevalve- ja sanktsioonimehhanismid on seotud \u00fcleminekuperioodidega.\u00a0<\/span><\/p>
NIS2 etapiviisilisest \u00fclev\u00f5tmisest hoolimata ei ole p\u00f5hjendatud veel mittekohalduvate direktiivi n\u00f5uete k\u00e4sitlemist tulevikku l\u00fckata ja strateegiliselt on m\u00f5istlik oma tegevust juba t\u00e4na nendega koosk\u00f5lla viia.\u00a0<\/span><\/p>
1. Sissejuhatus: miks NIS2 muudab juhatuse vastutust Eestis<\/span><\/h2>
Digitaalse vastupidavuse (<\/span>digital resilience<\/span><\/i>) tagamine on juhtimises viimase k\u00fcmnendi jooksul muutunud tehnilisest k\u00f5rvalteemast \u00fcheks olulisemaks. Kui seni k\u00e4sitleti infoturvet peamiselt operatiivse riskina, mille maandamine kuulus IT-osakondade v\u00f5i v\u00e4liste teenusepakkujate p\u00e4devusse, siis NIS2 muudab seda l\u00e4henemist p\u00f5him\u00f5tteliselt.<\/span><\/p>