Tsiviilkriisi ja riigikaitse seaduse eelnõu tagasiside
Eesti Toiduainetööstuse Liit (edaspidi Toiduliit) konsulteerinud ettevõtetega tervitab vaadet, et toidu varustuskindlus riiklikus vaates on tõusmas elutähtsaks teenuseks ning riik on mõistmas selle fundamentaalset olulisust ühiskonna toimimiseks. Siiski peame oluliseks rõhutada, et niivõrd suure avaliku huviga teenuse tagamine on võimalik vaid riigi ja ettevõtete koostöös, sest erinevalt paljudest teistest elutähtsatest teenustest on toidu varustuskindlus tagatud vaid juhul, kui toimib kogu ahel alates teravilja- ja loomakasvatusest läbi tööstuse, logistika kuni jaekaubanduseni välja.
Praegu kooskõlastusele saadetud seaduseelnõu tundub olevat siiski tugevalt ettevõtjatele lisanduvate kohustuste poole kaldu ning riigipoolseid toetusmeetmeid ning tuge ettevõtete toimepidevuse tõstmiseks peale riskihinnangute jagamise ei paista. Ebaproportsionaalselt kõrgete nõuete seadmine ettevõtetele ei täida aga ilmtingimata nende toimepidevuse tõstmise eesmärki, vaid võib hoopis ettevõtete konkurentsivõimet, finantspositsiooni tugevust ning seeläbi nende toimepidevust nõrgendada.
Viimase aasta jooksul on ettevõtted ise teinud väga suuri samme oma toimepidevuse tõstmiseks ning seeläbi toidu varustuskindluse tagamiseks. Gaasidefitsiidi olukorras rajati alternatiivseid küttelahendusi, elektridefitsiidi ohu maandamiseks osteti generaatoreid jms. See kõik on sundinud ettevõtteid ümber tegema ja hindama ning muutma oma investeeringukavasid ja kõigeks selleks ka raha leidma, seda olukorras, kus suurematel ettevõtetel ei ole olnud isegi ligipääsu varustuskindluse toetusmeetmetele.
Alljärgnevalt toome välja suurimad probleemid.
i)Kõige suurem probleem on VOSis sõnastatud KüTSi täiendavas paragrahvis:
„(31) Kui elutähtsa teenuse toimimist tagavad infosüsteemid asuvad välisriigis, tagab elutähtsa teenuse osutaja elutähtsa teenuse toimepidevuse ka viisil ja vahenditega, mis ei sõltu välisriikides asuvatest infosüsteemidest.“;
Mis sätestab otsesõnu, et juhul, kui ettevõttel on kasutusel pilveteenusena SaaS või kasutatakse välisriigis asuva emafirma serveriparki, siis peab ettevõte tagama oma toimepidevuse ka ilma nende infosüsteemideta. Selline nõudmine jääb täielikult arusaamatuks, sest sunnib praeguse sõnastusega ettevõttel looma alternatiivsed on prem infosüsteemid või ehitama äriprotsessid üles ilma infosüsteemideta.
Paljud toidutööstused on oma ärimudeli ehitanud üles kasutades mh ka pilveteenuseid või omades näiteks andmekeskuseid välisriikides. Seda on tehtud tehnoloogia arenguga kaasaskäimiseks ning võimalikult efektiivsete kaasaegsete tehnoloogiliste lahenduste kasutuselevõtuks, mis aitavad tihedas rahvusvahelises konkurentsis oma konkurentsivõimet säilitada. Ka paljud spetsiifilised tootmisseadmed on sellised, kus on hoolduseks ning opereerimiseks võimalik kasutada vaid pilvepõhiseid lahendusi ning nendest lahendustest loobumine nõuaks suures osas kogu ärimudeli muutmist, teadmata, kas uued äriprotsessid üleüldse avatud turul konkurentsivõimelised oleks.
Sellisel kujul sõnastus ja selle kasutegur ettevõtete toimepidevuse kasvule ning kohustusele tagada 75% tootmisvõimsus ka kriisiolukordades on täiesti arusaamatu ning teostamatu, sest oma kriitilisi äriprotsesse on ettevõtted üles ehitanud ja lihvinud aastakümneid. Pigem on pilvetehnoloogia kasutuselevõtt vastupidi just tõstnud kasutatavate infosüsteemide ja andmebaaside käideldavust, tagades selle toimimise ka ühe serveripargi toimepidevuse katkemisel ning võimaldades lokaalseid lahendusi tööst väljalangemise korral dubleerida ka näiteks kontserniüleste välisriigis asuvate lahenduste näol.
Sellisel kujul nõudmise sõnastus on absoluutselt vastuvõetamatu ning mõjub ettevõtete konkurentsivõimele ja toimepidevusele vastupidiselt ning ühegi toidutööstusega ei ole minu andmetel sellist sätet väljatöötades ei arutatud ega suheldud! Sellise nõude jõustamine kahjustab toidu varustuskindlust ning sellisel juhul teeb Toiduliit ettepaneku üldse tööstuseid ETOdeks mitte määrata.
Kui riigi huvi on maandada riske võimaliku saartalitluse korral, kui kõik Eesti maa- ja merekaablid on rivist väljas, ning telekomiettevõtete pakutavad sateliitühendused ei tööta, siis võiks alternatiivina aidata toimepidevust säilitada näiteks igas ettevõttes satelliitandmeside alternatiivse ühenduse loomine, mis tagaks ühenduse ja kriitiliste äriprotsesside toimimise läbi pilves või välisriigis asuva infosüsteemi. Samuti aitaks riske maandada erinevate telekomiettevõtetega sideühenduste olemasolu.
ii) Kui oleme nõuetest õigesti aru saanud, siis kohustatakse elutähtsa teenuse osutajaid rakendama ka infoturbestandardit E-ITS. Ka selle nõudmise rakendamine on ebaproportsionaalne, sest kübervaldkonna ohud on vaid üks osa tööstusettevõetete riskiprofiilist ning nagu on viimasel aastal ilmnenud riskid ja nende maandamiseks tööstuste tehtud investeeringud näidanud, sugugi mitte kõige kõrgema riskiskooriga. Meile teadaolevalt ei ole ükski ettevõte ega riigiasutus veel suutnud E-ITSi rakendada, mistõttu ei ole võimalik hinnata selle mõju ning sellega kaasnevat administratiivset koormust. Veelgi enam, Riigikantselei tehtud tutvustuses ilmnes, et Eestisse lisandus ligi 350 ETOt ning on ebareaalne loota, et kõigi nende jaoks ka vajaliku kvalifikatsiooniga infoturbespetsialiste jaguks, kes suudaks juurutada uut standardit, mis on sama keeruline kui infoturbe etalonstandard ISO27001. Eelnõu kooskõlastusringi ajal ei olnud võimalik võtta ühtegi hinnapakkumist E-ITSi juurutamist teenusena pakkuvalt ettevõttelt, kuid konsultatsioonide põhjal on indikeeritud selle outsource’imisel ligikaudu 50 000 euro suurust hinda juurutamisel, mille lisanduvad auditid ning muud kaasnevad kulud. Toiduliit ei vaidlusta infoturbe olulisust, kuid leiame, et etalonturbe standardi seadmine miinimumnõudeks on äärmiselt ebaproportsionaalne ning kübertuvalisuse parandamiseks on palju mõjusamaid meetmeid, veel enam olukorras, kus terve eelmise aasta pidid ettevõtted maandama gaasi- ning elektri varustuskindluse ohte omavahenditega. Tööstustele ja jaekaubandusele karmide infoturbenõuete kehtestamisest ei ole kasu, kui kogu ahela ulatuses (EDIlahenudsed, logistika) ei ole toimepidevus tagatud.
Juhime tähelepanu, et küberturvalisuse suurendamiseks süsteemide ja tarkvara kasutuselevõtuks on just suured ettevõtted teinud viimastel aastatel suuri investeeringuid ja liigutakse pilvetehnoloogiate poole. Paigas on näiteks tsentraalsed SOC - Security Operations Center ja SIEM- Security Incident and Event Management teenused, nii laua- ja sülearvutites on kasutusel viirusetõrjed, kasutatakse serverites dubleeritud lahendusi, ettevõtete võrguliiklus toimub läbi tsentraalse tulemüüri, lisaks on kõikides asukohtades lokaalsed äriklassi tulemüürid ning kaugtööks kasutatakse Always-on-VPN teenust. Serverid asuvad kas pilves või on onprem, mida hallatakse partneri poolt. Kõigi ärirakenduste kriitilisuse astmete kaardistused on tehtud, samuti tehtud mitmeid auditeid (Business continuity – IT, OT ja tuvastatud kitsaskohti parendame jooksvalt). See kõik on nõudnud investeeringuid ja mitte väikesi.
iv) Ettevõtjate jaoks on arusaamatu, millised kohustused kaasnevad järgneva punktiga:
4)(ETO on kohustatud) rakendama elutähtsa teenuse katkestusi ennetavaid meetmeid, sealhulgas vähendama sõltuvust teistest elutähtsatest teenustest, olulisematest lepingupartneritest, tarnijatest ning infosüsteemidest tehniliste süsteemide, lepingute, personali ja muude teenuse osutamiseks oluliste vahendite dubleerimise, alternatiivsete lahenduste kasutamise, vajalike vahendite omamise ja nende varumise ning muu sellise kaudu;
Kõigi nende meetmete rakendamine ei ole reaalne, kui eeldatakse näiteks ka Elektrilevile alternatiivse võrguettevõtja leidmist või siis tööstuste käimashoidmist generaatorite abil. See ei ole reaalselt võimalik! Küll aga on ettevõtetel võimalus osaliselt neid ilmnevaid riske maandada.
v)Toimepidevuse määruses on vaja täpsustada alljärgneva sätte olemust:
§ 2. Nõuded elutähtsa teenuse osutamise tasemele
(1) Elutähtsa teenuse osutaja on kohustatud jätkama oma tavapärases mahust vähemalt 75% oma põhitegevust Eesti Vabariigis vähemalt 30 päeva perioodi vältel alates kriisiolukorra välja kuulutamisest tehes selleks eelnevalt piisavad ettevalmistused mh tagades tegevusvaru.
Toiduliit teeb ettepaneku, et tootmine kriisis võiks olla orienteeritud eeskätt kriitiliste toiduainete tootmisele, mis on eelnevalt tarneahela osaliste ja riigi vahel ka kokku lepitud (nn minimaalne ja mõistlik sortiment). Samuti ei ole tööstustel võimalus nõutud 75% tagada igas kriisis, sest näiteks ulatusliku loomataudi või kiiritusõnnetuse puhul ei ole ka parima tahtmise juures võimalus seda nõuet täita.
Mõistlik oleks kokku leppida miinimum sortiment, mis tooted peaksid olema kindlasti sortimendis.
v) Toiduliit teeb ettepaneku täiendada eelnõud ning näha ettevõttele ette ka riigipoolseid toetusi, sest toidu julgeoleku garanteerimine ei ole üksikute eraettevõtete personaalne ärihuvi. Tänase sõnastusega on tingimused kohustuste poolel tugevalt kaldu ainult ettevõtete poole. VOSi koostamise protsessis on riigipoolse abina Maaeluministeerium alati välja toonud ETOdele teiste elutähtsate teenuste prioriteetse tagamise, kuid seadusest ei tule isegi seda riigipoolset tuge selgelt välja, mistõttu jääb riigipoolsest toetusest ühe olulisema elutähtsa teenuse tagamiseks väheks.
Tuues näitena mõned päevad tagasi tehtud otsuse, kus gaasivarude hoidmisel tuleb kasutajatel hakata maksma gaasivaru hoidmistasu, näeme vajadust riigipoolselt näha ette toetused ka tootmisvarude hoidmiseks ja haldamiseks, lisainvesteeringute tegemiseks toimepidevuse tagamiseks jms ehk kuludeks, mida ettevõtted mitte ETO-na tegelikult ei vaja. Ilma sellise peatükita on eelnõu mõjusid ning investeeringuvajadusi ettevõtetel raske hinnata.
Ettevõtted on tugevalt välja toonud, et iga lisanduv administratiivkoormus või riske maandava meetme kulu kandub edasi toiduainete lõpphinda ning tõstab lõpphindu tarbijatele, mis niigi on Eestis ettevõtetest sõltumatult kasvanud järsult ja lühikese aja jooksul, mis on kaasa toonud mahtude languse ja läbi selle vähendanud ka Eesti toidutööstuste konkurentsivõimet nii sise- kui välisturgudel.
Mööname, et toidu julgeolek peaks olema tõsistes kriisides eelkõige ka riigi huvides, et oma inimestele tagada toidu ja joogiga varustatus ning ettevõtete toimepidevus. See eeldab ka riigipoolselt kohustuste täitmiseks tuge. Kahjuks on eelnõus kohustused vaid ettevõtetele, nende täitmine problemaatiline. Peame vajalikuks kokkuvõtlikult märkida, et teema vajab erinevate osapooltega dialoogi ning ühisarutelusid. Praegusel kujul eelnõuga me nõustuda ei saa.
Toidutööstused tunnevad selgelt vastutust tagada varustuskindlus erinevates kriisides. Nii oleme endiselt valmis panustama läbi Maaeluministeeriumi loodud toidu varustuskindluse tagamise töörühma töötamaks välja lahendusi, kuidas ka kriisi olukorras oleks tagatud Eesti inimeste toiduga varustatus. Töörühm käib koos juba regulaarselt, kus toimuvad tarneahela – põhised arutelud, leidmaks parimaid viise ja võimalusi kriisiolukorras toimimiseks. Kutsume siinkohal üles ka Riigikantselei esindajat töörühmas osalema ning panustama. Töörühmas osalemine aitaks saada aru, kuidas tegelikult toidu tarneahel ja seda ülal hoidvad ettevõtted toimivad ning milliseid pudelikaelu kas siis koostöös riigiga või ettevõtetel omavahel tegelikult lahendada on vaja.
Mõistlik oleks olnud kaasata juba eelnõu ettevalmistavasse faasi erinevaid osapooli ja palume edaspidi sellega arvestada.
Lugupidamisega
Sirje Potisepp
Juhataja
/allkirjastatud digitaalselt/
Tsiviilkriisi ja riigikaitse seaduse eelnõu tagasiside 047_RK_VOS tagasiside_27.03.2023.asice |