ELi küberturvalisuse määrus

 

KOKKUVÕTE:

määrus (EL) 2019/881, mis käsitleb Euroopa Liidu Küberturvalisuse Ametit ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist (küberturvalisuse määrus)

MIS ON MÄÄRUSE EESMÄRK?

Selle eesmärk on saavutada Euroopa Liidus (EL) küberturvalisuse, kübervastupidavusvõime ja usalduse kõrge tase, sätestades:

• tugevdatud ja ümber nimetatud Euroopa Liidu Küberturvalisuse Ameti (ENISA) eesmärgid, ülesanded ja organisatsioonilised aspektid ning uued alalised volitused;
• Euroopa küberturvalisuse vabatahtliku sertifitseerimise kavade raamistik info- ja kommunikatsioonitehnoloogia (IKT) toodetele, teenustele ja protsessidele.

PÕHIPUNKTID

ENISA volitused on järgmised:

• saavutada küberturvalisuse kõrge ühine tase kogu ELis;
• toetada liikmesriikide ametiasutusi ja ELi institutsioone, organeid ja asutusi küberturvalisuse parandamisel;
• tegutseda küberturvalisuse vallas ELi institutsioonidele, organitele ja asutustele ning teistele asjaomastele sidusrühmadele teaduslikku ja tehnilist nõu andva ja oskusteavet pakkuva kontaktüksusena;
• aidata kaasa siseturu killustatuse vähendamisele;
• tegutseda sõltumatult, vältides liikmesriikide tegevuse dubleerimist ja võttes arvesse liikmesriikide oskusteavet;
• arendada talle kuuluvaid tehnilisi vahendeid, inimvõimekust ja oskusi.

ENISA ülesanded on järgmised:

• aidata arendada ja rakendada ELi poliitikameetmeid ja õigust;
• arendada suutlikkust, näiteks parandades küberohtude* ennetamist, avastamist, analüüsimist ja neile reageerimist ning aidates riiklike küberturbe intsidentide lahendamise üksuste (CSIRTid) arendamist või korraldades ELi tasandil küberturvalisuse õppusi;
• toetada ELi operatiivkoostööd kõigi kaasatud sidusrühmadega, sh ELi institutsioonide, organite ja asutuste küberturvalisuse teenistuse (CERT-EU), eelkõige vahetades oskusteavet ja parimaid tavasid, andes asjakohaseid juhiseid ning teenindades ELi ja riiklike CSIRTide võrgustikku;
• toetada ja edendada IKT-toodete, -teenuste ja -protsesside küberturvalisuse sertifitseerimise alaste ELi poliitikameetmete arendamist ja rakendamist osana Euroopa küberturvalisuse sertifitseerimise raamistiku koostamisel;
• koguda ja analüüsida küberohutuse alast teavet, eelkõige kujunemisjärgus tehnoloogiate, küberohtude ja intsidentide kohta, et pakkuda teavet ja anda nõu riikide ametiasutustele, asjaomastele sidusrühmadele ja spetsiaalse portaali kaudu avalikkusele (kodanikele, organisatsioonidele ja ettevõtjatele);
• parandada üldsuse teadlikkust küberturvalisuse riskidest ja anda individuaalsetele kasutajatele suuniseid heade tavade kohta ning edendada küberturvalisuse alast teadlikkust ja üldist haridust;
• anda nõu vajalike teadusuuringute ja prioriteetide kohta ning panustada ELi strateegilisse teadusuuringute ja innovatsiooni tegevuskavasse;
• anda panus ELi jõupingutustesse teha koostööd rahvusvaheliste partnerite ja organisatsioonidega küberturvalisusega seotud küsimustes.

ENISA haldus- ja juhtimisstruktuuri kuuluvad:

• haldusnõukogu, kuhu kuulub üks esindaja igast ELi liikmesriigist ning kaks esindajat, kes on määratud Euroopa Komisjoni poolt. Haldusnõukogu määrab kindlaks ameti tegevuse üldise suuna ning tagab, et amet täidab oma ülesandeid sellistes tingimustes, mis võimaldavad tal toimida asutamismääruse kohaselt;
• viieliikmeline juhatus, kes valmistab ette otsuseid, mille haldusnõukogu vastu võtab;
• ametit juhib sõltumatu tegevdirektor, kes annab aru haldusnõukogule ning ka Euroopa Parlamendile ja Euroopa Liidu Nõukogule viimaste taotluse korral;
• ENISA nõuanderühm koosneb asjaomaste sidusrühmade (nt IKT tööstus, elektroonilise side võrkude või teenuste pakkujad, väikesed ja keskmise suurusega ettevõtted, tarbijad, akadeemilised eksperdid ja oluliste teenuste operaatorid) tunnustatud ekspertidest ning Euroopa elektroonilise side seadustiku kohaselt teavitatavate pädevate asutuste, standardiorganisatsioonide, õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest. Nõuanderühm tegeleb peamiselt sidusrühmade jaoks oluliste küsimustega ja juhib neile ENISA tähelepanu;
• liikmesriikide kontaktametnike võrgustik, mis koosneb kõigi liikmesriikide esindajatest, soodustab ENISA ja liikmesriikide vahelist teabevahetust ning toetab ENISAt tema tegevust ja töö tulemusi käsitleva teabe ning soovituste levitamisel.

Määrusega moodustatakse:

• tunnustatud ekspertidest koosnev sidusrühmade küberturvalisuse sertifitseerimise rühm, kes annab komisjonile nõu strateegilistes küsimustes seoses Euroopa küberturvalisuse sertifitseerimise raamistikuga ning ENISA taotluse korral annab talle nõu üldistes ja strateegilistes küsimustes ametile pandud ülesannete täitmiseks;
• riikide esindajatest koosnev Euroopa küberturvalisuse sertifitseerimise rühm, et nõustada ja abistada komisjoni töös, mille eesmärk on tagada käesoleva õigusakti järjepidev rakendamine ja kohaldamine, ning ENISAt küberturvalisuse sertifitseerimise ettevalmistava kava koostamisel.

ENISA:

• asutatakse määramata ajaks alates 27. juunist 2019;
• tegutseb kooskõlas ühtse programmdokumendiga, mis sisaldab ENISA iga-aastast ja mitmeaastast tööprogrammi;
• järgib komisjoni julgeolekunorme, et kaitsta salastamata tundlikku teavet ja ELi salastatud teavet;
• ei anna kolmandatele isikutele tema poolt töödeldavat või saadud konfidentsiaalset teavet;
• osaleb täiel määral ELi meetmetes, et võidelda pettuste, korruptsiooni ja muu ebaseadusliku tegevuse vastu;
• töötleb isikuandmeid kooskõlas vastavate ELi eeskirjadega.

Määrusega kehtestatakse Euroopa küberturvalisuse sertifitseerimise raamistik, et

• parandada siseturu toimimist, suurendades ELis küberturvalisuse taset ja võimaldades ELi tasandil ühtlustatud lähenemisviisi Euroopa küberturvalisuse sertifitseerimise kavadele, eesmärgiga luua IKT-toodete, -teenuste ja -protsesside jaoks digitaalne ühtne turg;
• luua mehhanism, et kehtestada sertifitseerimise kavad, mis kinnitavad, et selliste kavade kohaselt hinnatud IKT-tooted, -teenused ja -protsessid vastavad kindlaksmääratud turvanõuetele eesmärgiga kaitsta salvestatud, edastatud või töödeldud andmete või kõnealuste toodete, protsesside ja teenuste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust ja konfidentsiaalsust kogu nende olelusringi kestel.

Raamistiku alusel

• komisjon
  • avaldab Euroopa küberturvalisuse sertifitseerimise ELi jooksva tööprogrammi, milles määratakse kindlaks strateegilised prioriteedid ning IKT-tooted, -teenused ja -protsessid või nende kategooriad, mis võivad kavast kasu saada;
  • võib esitada ENISA-le taotluse koostada ettevalmistav sertifitseerimise kava või vaadata läbi olemasolev kava.
• ENISA:
  • koostab komisjoni või Euroopa küberturvalisuse sertifitseerimise rühma taotluse põhjal sobiva ettevalmistava kava;
  • hindab iga viie aasta järel iga vastuvõetud sertifitseerimise kava, võttes arvesse saadud tagasisidet;
  • haldab spetsiaalset veebisaiti, mis pakub teavet kavade, sertifikaatide ja vastavusdeklaratsioonide kohta.

Vabatahtlikud Euroopa küberturvalisuse sertifitseerimise kavad:

• saavutada mitmed turvalisusega seotud eesmärgid, näiteks kaitsta salvestatud, edastatud ja töödeldud andmeid;
• määrata IKT-toodetele, -teenustele ja -protsessidele turvalisuse tase: baastase, märkimisväärne tase või kõrge tase;
• lubada vastavuse enesehindamise läbiviimist madala riskiga (st baastasemega) IKT-toodete, -teenuste või -protsesside tootja või pakkuja ainuvastutusel;
• peavad sisaldama teatud elemente, nagu kava eesmärgi selge kirjeldus, sisu ja ulatus, hindamiskriteeriumid ja meetodid;
• asendavad sarnaseid riiklikke kavasid, kuigi nende alusel väljastatud sertifikaadid jäävad kehtima kuni oma kehtivusaja lõpuni.

IKT-toodete, – teenuste ja -protsesside tootjad ja pakkujad peavad tegema avalikult kättesaadavaks järgmise teabe:

• suunised ja soovitused, mis aitavad lõppkasutajal nende tooteid või teenuseid paigaldada, käitada ja hooldada;
• ajavahemik, mille jooksul pakutakse turvalisuse alast tuge;
• oma kontaktandmed;
• viited internetis asuvatele andmebaasidele, kus on loetletud nende toodete või teenustega seotud teadaolevad turvaprobleemid.

Liikmesriigid määravad ühe või mitu piisavate ressursside ja volitustega riiklikku küberturvalisuse sertifitseerimise asutust, et teha järelevalvet Euroopa küberturvalisuse sertifitseerimise kavade normide üle ja tagada nende täitmine.

Komisjon

• hindab regulaarselt vastuvõetud sertifitseerimise kavade tõhusust ja kasutamist ning kaalub, kas mõni kava tuleks teha kohustuslikuks;
• pidi esitama oma esimese üksikasjaliku hindamise hiljemalt 31. detsembriks 2023 ja seejärel iga kahe aasta järel;
• pidi hindama ENISA mõju, tulemuslikkust ja tõhusust hiljemalt 28. juuniks 2024 ja seejärel iga viie aasta järel.

Füüsilistel ja juriidilistel isikutel on õigus esitada kaebus Euroopa turvalisuse sertifikaadi väljaandjale ja õigus tõhusale kohtulikule õiguskaitsele.

Rakendusaktid

2024. aasta jaanuaris võttis komisjon vastu rakendusmääruse (EL) 2024/482 (vt kokkuvõte). Selles õigusaktis sätestatakse määruse (EL) 2019/881 rakenduseeskirjad seoses vabatahtliku Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega. See on esimene ELi tasandi kava, mis käsitleb selliste IKT-toodete, nagu riist- ja tarkvara, sh näiteks kiibid ja kiipkaardid, märkimisväärsel või kõrgel usaldusväärsuse tasemel sertifikaate. Määrus sisaldab üksikasjalikke eeskirju näiteks järgmistes küsimustes:

• standardid ja nõuded seoses toodete ja kaitseprofiilide hindamise ning EUCC sertifikaatide väljaandmise, uuendamise ja kehtetuks tunnistamisega;
• vastavushindamisasutused, kes on volitatud väljastama sertifikaate või tegema hindamistoiminguid;
• nõuetele vastavuse järelevalve, nõuetele mittevastavus ja nõuete rikkumine;
• turvanõrkuste haldamise ja avalikustamise kord;
• andmete säilitamine, teabe avalikustamine ja kaitse;
• vastastikuse tunnustamise lepingud kolmandate riikidega;
• sertifitseerimisasutuste vastastikune hindamine;
• kava haldamine ja
• EUCCga hõlmatud riiklikud küberturvalisuse sertifitseerimise kavad.

EUCC rakendusmäärust kohaldatakse alates 27. veebruarist 2025.

Määrus (EL) 2019/881 ja sellega seotud rakendusmäärus ei mõjuta liikmesriikide vastutust seoses avaliku julgeoleku, riigikaitse, riikliku julgeoleku ja kriminaalõigusega.

Määrusega tunnistatakse kehtetuks määrus (EL) nr 526/2013 alates 27. juunist 2019.

MIS AJAST MÄÄRUST KOHALDATAKSE?

Määrust kohaldatakse alates 27. juunist 2019.

Artikleid, mis käsitlevad riiklikke küberturvalisuse sertifitseerimise asutusi, vastavushindamisasutuste akrediteerimist ja teavitamist, õigust esitada kaebus Euroopa turvalisuse sertifikaadi väljaandjatele ja õigust kohtulikule õiguskaitsele ning karistusi kohaldatakse alates 28. juunist 2021.

TAUST

Ateenas asuv ENISA, mille harukorter on Heraklionis, on panustanud ELi võrgu- ja infoturbesse alates 2004. aastast. Lisateave

• ENISA – Euroopa Liidu Küberturvalisuse Amet (ENISA)
• ELi küberturvalisuse sertifitseerimine (ENISA)
• Küberturvalisuse poliitika (Euroopa Komisjon)

PÕHIMÕISTED

PÕHIDOKUMENT

Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15–69)

SEONDUVAD DOKUMENDID

Komisjoni 31. jaanuari 2024. aasta rakendusmäärus (EL) 2024/482, millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad seoses Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega (ELT L, 2024/482, 7.2.2024)

Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39–98)

Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1–30)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88)

Määruse (EL) 2016/679 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus

Viimati muudetud: 18.06.2024