Kübervaldkonda võib peagi ohjata uus seadus

Mõni aeg tagasi esitati meile intrigeeriv küsimus: kas nõustute Majandus- ja Kommunikatsiooniministeeriumi ettepanekuga, et Eestile on vaja kübervaldkonda täpsemalt reguleerivat seadust või vastustate seda?

Küsija ajendiks oli minister Urve Palo poolt märtsi alguses valitsusele tehtud ettepanek alustada kübervaldkonna seaduse väljatöötamist, eesmärgiga läbi infosüsteemide turvalisuse tagamise reguleerimise aidata kaasa ühiskonna turvalisusele ja omada positiivset mõju riigi julgeolekule.

Tehnoloogiasektoris paljunäinu paneb selline avaldus “kõrvu kikitama”, sest fantaasia asub kohe maalima šokitaiest “Poliitikud tehnoloogiasektoris korda loomas”.

Ettepanek ise põhineb suuresti 2016. aastal Riigi Infosüsteemide Ameti (RIA) poolt tellitud ja advokaadibüroo Lextal poolt koostatud õigusanalüüsil, mis Eesti internetikeskkonna reguleerimisse põhjalikumalt süvenes.

Analüüsi peamine tulem on tõdemus, et kuna Eestil tuleb juba 2018. aasta maiks üle võtta Euroopa Liidu poolt 2016 aastal vastu võetud võrkude ja infosüsteemide turvalisust puudutav direktiiv 2016/1148, mida laiemalt tuntakse ka NIS direktiivina (The Directive on Network and Information Systems), siis tingib see niikuinii vajaduse olemasolevad seadused üle vaadata ja seetõttu võiks likvideerida ka seniseid kitsaskohti.

Peamiste võimalustena nähakse järgmiste vajakajäämiste parandamist:

1) õiguslikus raamistikus kasutatav terminoloogia on ühtlustamata, mis lisab seaduste tõlgendamisele asjatut keerukust;
2) kübervaldkonna regulatsioon on lõhestatud ja nõuab konkreetsemasse vormi koondamist;
3) Riigi Infosüsteemide Ameti roll infoturbe üle järelvalvet tegeva asutusena ei ole defineeritud piisavalt selgelt ja RIA vajab rohkem seadusest tulenevaid õigusi, et muuhulgas tagada võimekus vajadusel kolmandate (erasektoris tegutsevate) isikute õiguseid kitsendada.

Analüüsi õiguslikke järeldusi on meil Zones loomulikult raske absoluutterminites hinnata – me pole juristid – siiski tuleb paljude järeldustega praktiliste kogemuste baasilt nõus olla.

On tõsi, et olemasolevas seadusandluses eksisteerib tühimikke ja neid võiks täita. Üks konkreetsematest, millega meie kokku puutume, on seotud elektronposti teenuse osutajatega. Nimelt on seadusandja kunagi eeldanud, et elektronposti teenust pakuvad eelkõige sideettevõtjad ning on seoses sellega lõviosa teemat puudutavast regulatsioonist kirjutanud elektroonilise side seadusesse.

Nii on meie jaoks tekkinud huvitav olukord, kus seaduse silmis oleme me infoühiskonna teenuse osutaja, aga faktiliselt nõutakse meilt kohati ka elektroonilise side seaduse täitmist. Kõiki neid paragrahve, mis elektronposti privaatsust jne puudutavad, täidame loomulikult meelsasti, kuid arusaadavalt on absurdne nõuda meilt selliste seadusepügalate järgimist, mis eelkõige kohased sidevõrkude omanikele.

Lihtsam, aga käegakatsutavam näide toob mind taas vana hea rämpsposti temaatika juurde – vahelduva eduga üritan ju ka seda trummi taguda. Kommertsteateid puudutav seadusandlus on täna jaotunud väikeste tükikestena üle elektroonilise side seaduse, infoühiskonna teenuse seaduse, isikuandmete kaitse seaduse ja võlaõigusseaduse. Just see killustatus on kindlasti üks põhjustest, miks tervikpildi kokku panemine on keeruline ja järelvalve sisuliselt võimatu.

Riigi Infosüsteemide Ameti rolli täpsustamise vajaduse kohta tuuakse analüüsis mitmeid näiteid, kuid meie vaatevinklist paistab eelkõige silma küsimus RIA juures tegutseva turvaintsidentide käsitlemise üksuse CERT mandaadist infoturbeintsidentide ennetaja ja käsitlejana. Nimelt on probleem, et järelvalve erasektori üle jääb selle üksuse jaoks täna veidi halli alasse. Mis tähendab näiteks seda, et enne infoturbeintsidente puudutava informatsiooni jagamist Riigi Infosüsteemide Ametiga peame põhjalikult kaaluma milliseid riske seda tehes teenusepakkujana võtame.

Analüüsis ja ministri ettepanekus ei kajastu täna olulisel määral teisi Zone jaoks olulisi teemasid, mis samuti NIS direktiivist tulenevalt Eesti õigusruumis kajastatust hakkavad leidma: tippdomeenide registreid ja registripidajaid, e-kaupmehi ja pilveteenuste pakkujaid puudutav. Tahaks siiski loota, et ka nende teemade seadusesse raiumisele eelneb sama põhjalik analüüs kui see, mille RIA on lasknud enda jaoks olulistele teemadele kokku panna. Ilmselt tuleb siinkohal erasektoril kiiresti oma initsiatiivi üles näidata.

Seega, välja on pakutud mitmed väärtuslikud ettepanekud. Käesolevaga soovitame kõikidel, kes teemast vähegi huvitatud, ülal viidatud dokumentidega tutvuda, otsida enda jaoks välja nii väärtuslik kui ka riskantne ja nende teemade üle mõelda ning arutleda.