Käesolevas artiklis käsitleme Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (edaspidi “NIS2”) ülevõtmise mõju Eesti ühinguõigusele, keskendudes juhatuse liikme tsiviil- ja haldusõiguslikule vastutusele.
Õiguslikult on oluline rõhutada, et NIS2 ei kehti Eestis otsekohalduva regulatsioonina, vaid selle nõuded muutuvad ettevõtetele ja juhtorganitele siduvaks riigisisese õiguse kaudu. Praktikas tähendab see, et juhatuse liikme vastutus ei tulene mitte direktiivist endast, vaid küberturvalisuse seadusest (edaspidi “KüTS”) ning selle alusel antavatest rakendusaktidest.
Eesti seadusandja on valinud direktiivi etapiviisilise rakendamise, mille tulemusel ei lange kõik kohustused ettevõtjatele ja juhatustele üheaegselt. Osa kohustusi (nt riskijuhtimise raamistik, juhtorganite rolli täpsustamine) rakenduvad varem, samas kui teatud järelevalve- ja sanktsioonimehhanismid on seotud üleminekuperioodidega.
NIS2 etapiviisilisest ülevõtmisest hoolimata ei ole põhjendatud veel mittekohalduvate direktiivi nõuete käsitlemist tulevikku lükata ja strateegiliselt on mõistlik oma tegevust juba täna nendega kooskõlla viia.
1. Sissejuhatus: miks NIS2 muudab juhatuse vastutust Eestis
Digitaalse vastupidavuse (digital resilience) tagamine on juhtimises viimase kümnendi jooksul muutunud tehnilisest kõrvalteemast üheks olulisemaks. Kui seni käsitleti infoturvet peamiselt operatiivse riskina, mille maandamine kuulus IT-osakondade või väliste teenusepakkujate pädevusse, siis NIS2 muudab seda lähenemist põhimõtteliselt.
NIS2 ei reguleeri üksnes tehnilisi turvameetmeid, vaid nihutab vastutuse selgelt juhtorganite tasandile. Sellega asetub küberturvalisus samasse kategooriasse finantsjuhtimise, sisekontrolli ja riskijuhtimisega – valdkondadesse, mille eest vastutab vahetult juhatus.
Eesti õiguskorras tekitab NIS2 ülevõtmine, eeskätt KüTS kaudu, kontseptuaalse pinge äriseadustiku (edaspidi “ÄS”) üldise hoolsusstandardiga. ÄS § 315 ning Riigikohtu praktika kohaselt on juhatuse liikmel õigus tugineda spetsialistide arvamusele valdkondades, kus tal puuduvad eriteadmised. NIS2 direktiivi artikkel 20 lõige 2 seab sellele loogikale olulise piirangu, nähes ette juhatuse liikmete kohustusliku koolituse ning välistades vastutuse täieliku delegeerimise riskijuhtimismeetmete heakskiitmise osas.
2. Juhatuse liikme hoolsuskohustus NIS2 kontekstis
2.1. Korraliku ettevõtja hoolsus NIS2 järgi: miks teadmatusele enam ei saa tugineda
Äriseadustiku § 315 lg 1 kohaselt peab juhatuse liige täitma oma kohustusi korraliku ettevõtja hoolsusega. Riigikohtu praktikas on see standard sisustatud kui kohustus tegutseda heas usus, piisava informatsiooni alusel ning ühingu huvidest lähtudes. Samas on järjekindlalt rõhutatud, et juhatuse liige ei pea olema ekspert igas valdkonnas ning võib mõistlikkuse piires tugineda professionaalsete nõustajate arvamusele.
NIS2 direktiiv kitsendab seda nn „teadmatuse privileegi“ küberturvalisuse valdkonnas. Direktiivi artikkel 20 lg 1 kohustab liikmesriike tagama, et juhtorganid kiidavad heaks küberriskide juhtimise meetmed ning teostavad järelevalvet nende rakendamise üle. Veelgi olulisem on lg 2, mis näeb ette juhtorganite liikmete kohustuse osaleda koolitustel, et nad oleksid võimelised küberriske iseseisvalt hindama.
Sellest tuleneb järeldus, et küberturvalisuse puhul ei ole juhatuse liikme teadmatuse argument enam neutraalne faktiline asjaolu, vaid võib kujuneda hoolsuskohustuse rikkumiseks. Kui juhatuse liige jätab end küberriskidega süstemaatiliselt kurssi viimata, ei saa ta vastutusest vabanemiseks enam piirduda väitega, et ta usaldas IT-juhti või infoturbe spetsialisti.
Juhatuse liikme vaates on määrav asjaolu, et
- küberturvalisus on õiguslikult defineeritud juhtimisvastutusena;
- koolituskohustus ja riskijuhtimise heakskiitmise nõue ei eelda eraldi täiendavat rikkumist, vaid tulenevad otse seadusest;
- vastutuse hindamisel lähtutakse sellest, kas juhatuse liige oli mõistlikult teadlik NIS2-st tulenevatest kohustustest ajal, mil otsuseid tehti.
2.2. Vastutuse delegeerimine NIS2 alusel: mida juhatus ei saa enam edasi anda
Vastutuse delegeerimine on ühinguõiguses tavapärane ja sageli vältimatu. NIS2 ei kaota delegeerimist kui sellist, kuid kehtestab küberturvalisuse riskijuhtimise osas delegeerimatu vastutuse tuuma.
Tehniliste lahenduste kavandamine ja rakendamine on jätkuvalt delegeeritav. Küll aga jääb juhatusele vastutus riskijuhtimismeetmete piisavuse ja sobivuse eest. Seda loogikat võib võrrelda raamatupidamisega: juhatus võib kasutada professionaalset raamatupidajat, kuid vastutab majandusaasta aruande õigsuse eest oma allkirjaga. NIS2 laiendab sama põhimõtte IT-arhitektuuri ja küberturvalisuse valdkonda.
3. Juhatuse tsiviilvastutus NIS2 rikkumisel: trahvid ja regressirisk
NIS2 nõuete rikkumise eest ettevõttele määratav haldustrahv võib ulatuda kuni 10 miljoni euroni või 2%-ni ülemaailmsest käibest. Sellises olukorras kerkib vältimatult küsimus juhatuse liikme varalisest vastutusest ühingu ees ÄS § 315 lg 2 alusel.
Kuna NIS2 paneb vastavad kohustused otsesõnu juhtorganile, on põhjusliku seose tõendamine juhatuse liikme tegevusetuse ja ettevõttele tekkinud kahju vahel oluliselt lihtsustatud. Praktikas võib see väljenduda skeemis, kus:
- rikkumisena tuvastatakse juhatuse liikme koolituskohustuse täitmata jätmine või riskianalüüsi kinnitamata jätmine;
- kahjuna käsitatakse trahvi või küberrünnakust tulenenud varalist kahju;
- põhjuslik seos järeldatakse sellest, et hoolsas juhtimises oleks risk tuvastatud ja maandatud.
See loob aluse nn siseseks regressiks, kus ettevõte võib nõuda kahju hüvitamist juhatuse liikmetelt, kes käsitlesid infoturvet pelgalt tehnilise, mitte strateegilise küsimusena.
4. Juhtimiskeeld NIS2 alusel: Eestis veel kehtestamata, kuid õiguslikult võimalik
NIS2 üks märkimisväärsemaid uuendusi sisaldub artikli 32 lg 5 punktis b, mis võimaldab nn oluliste üksuste puhul ajutiselt peatada füüsilise isiku õiguse täita juhtimisülesandeid. Eesti seadusandja ei ole seda meedet küberturvalisuse seaduse kehtivas redaktsioonis otsesõnu üle võtnud.
See ei tähenda siiski, et juhtimiskeelu institutsioon oleks Eesti õiguskorras NIS2 kontekstis välistatud. Vastupidi – direktiiv annab liikmesriikidele selge volituse sellise meetme kehtestamiseks ning Eesti seadusandjal on võimalik see tulevikus rakendusaktide või seadusemuudatuste kaudu üle võtta, kui praktika või järelevalve kogemus seda vajalikuks peab.
4.1. Meetme olemus ja eesmärk
Eesti õiguses on ärikeeld seni olnud seotud eeskätt maksejõuetusmenetluse või süüteomenetlusega. NIS2 toob juhtimiskeelu sisse haldusõigusliku sundmeetmena, mille eesmärk ei ole karistada minevikus toimunud rikkumise eest, vaid sundida ettevõtet täitma küberturvalisuse nõudeid.
See tekitab aga küsimuse meetme tegelikust adressaadist. Formaalselt kohaldatakse piirangut füüsilisele isikule, sisuliselt aga kasutatakse seda survemeetmena juriidilise isiku käitumise mõjutamiseks.
4.2. Proportsionaalsus ja põhiseaduslikkuse küsimus
Juhtimisõiguse ajutine peatamine riivaks intensiivselt nii ettevõtlusvabadust kui ka õigust vabalt valida tegevusala. Põhiseaduse § 11 kohaselt peab selline riive olema proportsionaalne ning rakendatav üksnes vältimatu abinõuna.
NIS2 kontekstis saab juhtimiskeeldu pidada põhjendatuks vaid juhul, kui:
- rikkumine on korduv ja süsteemne;
- leebemad haldusmeetmed ei ole tulemust andnud;
- on tuvastatud konkreetse juhatuse liikme oluline ja isiklik tegevusetus, näiteks teadlik keeldumine kriitiliste turvariskide maandamiseks vajalike ressursside eraldamisest.
Rakendusaktides tuleb vältida automaatset seost küberintsidendi ja juhtimiskeelu vahel. Vastasel juhul nihkub vastutus tulemuse, mitte juhatuse käitumise hindamisele, mis ei ole kooskõlas hoolsuskohustuse olemusega.
5. Kokkuvõte: mida peab juhatuse liige NIS2 kohta päriselt meeles pidama
NIS2 ei ole pelgalt tehniline IT-regulatsioon, vaid oluline ühinguõiguslik instrument, mis kujundab ümber hea juhtimistava digitaalses keskkonnas.
Juhatuse liikme jaoks tähendab see eeskätt järgmist:
- hoolsusstandard on muutunud ning teadmatusele tuginemine ei vabasta vastutusest;
- vastutus küberturvalisuse eest on isiklik ning delegeeritav vaid piiratud ulatuses;
- riskid ei ole üksnes varalised, vaid võivad mõjutada ka juhatuse liikme professionaalset karjääri juhtimiskeelu kaudu.
Eesti seadusandja ülesanne on NIS2 rakendamisel tagada, et kavandatavad sanktsioonid oleksid põhiseadusega kooskõlas, proportsionaalsed ning menetluslikult selged. Vastasel juhul väheneb õiguskindlus olukorras, kus küberintsidendid ei ole enam erand, vaid vältimatu osa kaasaegsest ettevõtluskeskkonnast.