EU:n kyberturvallisuusasetus

TÄRKEIMMÄT KOHDAT

ENISAn toimeksianto muodostuu seuraavista:

• kyberturvallisuuden yhteisen korkean tason saavuttaminen koko EU:ssa,
• kansallisten viranomaisten sekä EU:n toimielinten, elinten ja virastojen tukeminen kyberturvallisuuden parantamisessa,
• kyberturvallisuutta koskevan tieteellisen ja teknisen neuvonnan ja asiantuntemuksen viitetahona toimiminen EU:n toimielimille, elimille ja laitoksille sekä muille asiaankuuluville sidosryhmille,
• myötävaikuttaminen sisämarkkinoiden hajanaisuuden vähentämiseen,
• riippumaton toiminta välttäen päällekkäisyyttä jäsenvaltioiden toimien kanssa ja ottaen huomioon jäsenvaltioiden asiantuntemuksen,
• omien teknisten sekä henkilöstö- ja taitoresurssien kehittäminen.

ENISAn tehtävät ovat:

• EU:n politiikan ja lainsäädännön kehittämisen ja täytäntöönpanon auttaminen,
• valmiuksien kehittämisen edistäminen, esimerkiksi parantamalla kyberuhkien¹ ennaltaehkäisyä, havaitsemista ja analysointia sekä valmiuksia reagoida niihin, ja kansallisten tietoturvaloukkauksiin reagoivien yksiköiden (CSIRT-toimijat) kehittämisen tukeminen tai kyberturvallisuusharjoitusten järjestäminen EU:n tasolla,
• EU:n operatiivisen yhteistyön tukeminen kaikkien sidosryhmien kesken, mukaan lukien unionin toimielinten, elinten, toimistojen ja virastojen kyberturvallisuuspalvelu (CERT-EU), erityisesti vaihtamalla tietotaitoa ja parhaita käytäntöjä, antamalla asiaankuuluvia ohjeita ja palvelemalla EU:ta ja kansallisia CSIRT-verkostoja,
• tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien sekä tietoturvapalvelujen eurooppalaisen kyberturvallisuussertifioinnin kehittämisen ja täytäntöönpanon tukeminen ja edistäminen osana uuden eurooppalaisen kyberturvallisuuden sertifiointikehyksen järjestelmiin liittyviä valmisteluja,
• kyberturvallisuutta koskevan tietämyksen ja tiedon kerääminen ja analysointi, erityisesti uusista teknologioista sekä kyberuhista ja poikkeamista, tietojen ja neuvojen tarjoaminen kansallisille viranomaisille, asiaankuuluville sidosryhmille ja erityisessä portaalissa yleisölle (kansalaisille, järjestöille ja yrityksille),
• suuren yleisön tietoisuuden lisääminen kyberturvallisuusriskeistä ja ohjeiden antaminen yksittäisille käyttäjille hyvistä käytännöistä sekä kyberturvallisuustietoisuuden ja yleensä koulutuksen edistäminen,
• tutkimustarpeita ja -painopisteitä koskevien neuvojen antaminen ja osallistuminen EU:n kyberturvallisuusalan strategisen tutkimus- ja innovointiohjelman laatimiseen,
• EU:n sekä kansainvälisten kumppanien ja organisaatioiden välisen yhteistoiminnan edistäminen.

ENISAn hallinto- ja johtamisrakenne muodostuu seuraavista:

• johtokunta, jossa on yksi edustaja kustakin EU:n jäsenvaltiosta ja kaksi Euroopan komission nimittämää jäsentä ja joka vahvistaa viraston toiminnan yleiset suuntaviivat ja varmistaa, että virasto toteuttaa tehtävänsä olosuhteissa, joissa se voi toimia perustamisasetuksen mukaisesti,
• hallitus, jossa on viisi jäsentä ja joka valmistelee päätökset johtokunnan hyväksyttäväksi,
• virastoa johtaa riippumaton pääjohtaja, joka on vastuussa johtokunnalle ja raportoi pyydettäessä Euroopan parlamentille ja Euroopan unionin neuvostolle,
• ENISAn neuvoa-antava ryhmä, joka koostuu asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa, sähköisten viestintäverkkojen tai sähköisten viestintäpalvelujen tarjoajia, pieniä ja keskisuuria yrityksiä, kuluttajia, tiedeyhteisöä ja keskeisten palvelujen tarjoajia, edustavista tunnustetuista asiantuntijoista sekä eurooppalaisen sähköisen viestinnän säännöstön mukaisesti ilmoitettujen toimivaltaisten viranomaisten, standardointiorganisaatioiden sekä lainvalvonta- ja tietosuojaviranomaisten edustajista ja joka keskittyy sidosryhmiä koskeviin asioihin ja saattaa ne ENISAn tietoon,
• kansallisten yhteyshenkilöiden verkosto, joka koostuu jäsenvaltioiden edustajista ja jonka tehtävänä on helpottaa ENISAn ja jäsenvaltioiden välistä tietojenvaihtoa ja auttaa ENISAa levittämään toimintaansa, löydöksiään ja suosituksiaan.

Asetuksella perustetaan seuraavat:

• sidosryhmien kyberturvallisuuden sertifiointiryhmä, joka koostuu tunnustetuista asiantuntijoista ja jonka tehtävänä on muun muassa neuvoa komissiota eurooppalaiseen kyberturvallisuuden sertifiointikehykseen liittyvissä strategisissa kysymyksissä ja pyynnöstä ENISAa tämän tehtäviä koskevissa yleisissä ja strategisissa asioissa,
• Euroopan kyberturvallisuuden sertifiointiryhmä, joka koostuu kansallisten viranomaisten edustajista ja jonka tehtävänä on neuvoa ja avustaa komissiota sen pyrkiessä varmistamaan tämän asetuksen johdonmukainen täytäntöönpano ja soveltaminen ja avustaa ENISAa ehdolla olevien kyberturvallisuuden sertifiointijärjestelmien valmistelussa.

ENISA

• perustetaan määrittelemättömäksi toimiajaksi 27. kesäkuuta 2019,
• noudattaa toiminnassaan yhtenäistä ohjelma-asiakirjaa, joka sisältää sen vuotuisen ja monivuotisen ohjelman,
• noudattaa komission turvallisuussäännöksiä arkaluonteisten turvallisuusluokittelemattomien tietojen ja EU:n turvallisuusluokiteltujen tietojen suojaamiseksi,
• ei paljasta kolmansille osapuolille käsittelemiään ja saamiaan luottamuksellisia tietoja,
• osallistuu täysimääräisesti eurooppalaisiin petosten, lahjonnan ja muun laittoman toiminnan torjuntatoimiin,
• käsittelee henkilötietoja niitä koskevien EU:n sääntöjen mukaisesti.

Asetuksella perustetaan eurooppalainen kyberturvallisuuden sertifiointikehys, jossa tavoitteena on

• parantaa sisämarkkinoiden toimintaedellytyksiä nostamalla kyberturvallisuuden tasoa EU:ssa ja mahdollistamalla EU:n tasolla yhdenmukainen lähestymistapa eurooppalaisiin kyberturvallisuuden sertifiointijärjestelmiin digitaalisten sisämarkkinoiden luomiseksi tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille sekä tietoturvapalveluille,
• luoda mekanismi sertifiointijärjestelmien perustamista varten ja sen todistamiseksi, että tällaisten järjestelmien mukaisesti arvioidut tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit sekä tietoturvapalvelut ovat niille määritettyjen turvallisuusvaatimusten mukaisia, jotta voidaan suojella tallennettavien, siirrettävien tai käsiteltävien tietojen tai kyseisissä tuotteissa, palveluissa ja prosesseissa tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyyttä, aitoutta, eheyttä ja luottamuksellisuutta niiden koko elinkaaren ajan.

Kehyksessä:

• komissio
  • julkaisee eurooppalaista kyberturvallisuussertifiointia koskevan EU:n jatkuvan työohjelman, jossa määritellään tulevat strategiset prioriteetit sekä tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit sekä tietoturvapalvelut, joille järjestelmästä voi olla hyötyä,
  • voi pyytää ENISAa valmistelemaan ehdolla olevan sertifiointijärjestelmän tai tarkistamaan voimassa olevaa sertifiointijärjestelmää.
• ENISA
  • valmistelee ehdolla olevan järjestelmän komission tai Euroopan kyberturvallisuuden sertifiointiryhmän pyynnöstä,
  • arvioi hyväksytyt sertifiointijärjestelmät joka viides vuosi ja ottaa siinä huomioon asianomaisten osapuolten palautteen,
  • ylläpitää erityistä verkkosivustoa, jolla annetaan tietoa järjestelmistä, sertifikaateista ja vaatimustenmukaisuusilmoituksista.

Vapaaehtoisissa eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä

• pyritään saavuttamaan eri turvallisuustavoitteita, kuten tallennettujen, siirrettyjen tai käsiteltyjen tietojen suojaaminen,
• määritetään tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille sekä tietoturvapalveluille varmuustaso: perustaso, korotettu tai korkea,
• sallitaan se, että vähäriskisten (perustaso) tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien sekä tietoturvapalvelujen valmistajat ja tarjoajat arvioivat ne itse (vaatimustenmukaisuuden itsearviointi),
• on oltava tietyt osatekijät, kuten selkeä kuvaus tarkoituksesta, kohde ja soveltamisala sekä arvioinnissa käytettävät perusteet ja menetelmät,
• korvataan vastaavat kansalliset järjestelmät, vaikka kyseiset sertifikaatit pysyvät voimassa voimassaolon päättymispäivään asti.

Sertifioitujen tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien sekä tietoturvapalvelujen valmistajien ja tarjoajien on asetettava julkisesti saataville seuraavat tiedot:

• ohjeita ja suosituksia, jotka auttavat loppukäyttäjiä asentamaan, käyttämään ja ylläpitämään tuotteita tai palveluja,
• tieto turvallisuustuen tarjoamisen kestosta,
• yhteystiedot,
• viittauksia verkkotietolähteisiin, joissa on tietoja tunnetuista tuotteisiin tai palveluihin liittyvistä kyberturvallisuuskysymyksistä.

Jäsenvaltiot nimeävät yhden tai useamman kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen, jolla on riittävät resurssit ja valtuudet seurata, valvoa ja panna täytäntöön eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien sääntöjä.

Komissio

• arvioi säännöllisesti hyväksyttyjen sertifiointijärjestelmien tehokkuutta ja käyttöastetta sekä sitä, pitäisikö jostain järjestelmästä tehdä pakollinen,
• suoritti ensimmäisen yksityiskohtaisen arvioinnin viimeistään 31. joulukuuta 2023 ja sen jälkeen kahden vuoden välein,
• arvioi viimeistään 28. kesäkuuta 2024 ja sen jälkeen viiden vuoden välein ENISAn vaikutuksen, tehokkuuden ja tuloksellisuuden.

Luonnollisilla henkilöillä ja oikeushenkilöillä on oikeus tehdä valitus eurooppalaisen kyberturvallisuussertifikaatin myöntäjälle ja käyttää tehokkaita oikeussuojakeinoja.

Muutos – tietoturvapalvelut

Joulukuussa 2024 hyväksyttiin asetus (EU) 2025/37, jolla asetusta muutetaan tietoturvapalvelujen osalta. Tällä kohdennetulla tarkistuksella otetaan käyttöön tietoturvapalvelujen määritelmä ja laajennetaan eurooppalaisen kyberturvallisuuden sertifiointikehyksen soveltamisalaa sisällyttämällä siihen turvallisuuspalvelut. Näin ollen sillä laajennetaan myös ENISAn toimeksiantoa ja tehtävää turvallisuuspalvelujen osalta.

Asetus (EU) 2025/37 julkaistiin virallisessa lehdessä 15. tammikuuta 2025, ja sitä on sovellettu 4. helmikuuta 2025 alkaen.

Vaatimustenmukaisuuden arviointilaitoksia koskevat ilmoitukset

Joulukuussa 2024 komissio hyväksyi täytäntöönpanoasetuksen (EU) 2024/3143 kyberturvallisuusasetuksen 61 artiklan 5 kohdan mukaisista ilmoituksista. Täytäntöönpanosäädöksessä vahvistetaan olosuhteet, muotoseikat ja menettelyt, joiden mukaisesti NANDO-järjestelmässä ilmoitetaan vaatimustenmukaisuuden arviointilaitoksista kaikkien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien osalta. Siinä selvennetään myös olosuhteet, joissa ilmoitukseen on tehtävä muutoksia ja joiden perusteella ilmoitettujen vaatimustenmukaisuuden arviointilaitosten pätevyys saatetaan kyseenalaistaa.

Täytäntöönpanoasetus (EU) 2024/3143 julkaistiin virallisessa lehdessä 19. joulukuuta 2024, ja sitä on sovellettu 8. tammikuuta 2025 alkaen.

Yhteisiin kriteereihin perustuva eurooppalainen kyberturvallisuuden sertifiointijärjestelmä (EUCC)

Tammikuussa 2024 komissio hyväksyi täytäntöönpanoasetuksen (EU) 2024/482 (ks. tiivistelmä). Tässä säädöksessä vahvistetaan asetuksen (EU) 2019/881 soveltamissäännöt vapaaehtoisen yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä. Tämä on ensimmäinen järjestelmä EU:n tasolla, ja se koskee tieto- ja viestintätekniikan tuotteiden, kuten laitteiden ja ohjelmistojen, mukaan lukien sirujen ja älykorttien, sertifikaatteja varmuustasoilla ”korotettu” tai ”korkea”. Asetus sisältää yksityiskohtaiset säännöt, jotka koskevat muun muassa seuraavia seikkoja:

• tuotteita ja suojausprofiileja koskevien EUCC-sertifikaattien arviointia, myöntämistä, uusimista ja peruuttamista koskevat standardit ja vaatimukset;
• vaatimustenmukaisuuden arviointilaitokset, jotka on akkreditoitu antamaan todistuksia tai suorittamaan arviointitoimia;
• velvoitteiden noudattamisen seuranta, vaatimustenvastaisuus ja velvoitteiden noudattamatta jättäminen;
• haavoittuvuuksien hallinta ja julkistamismenettelyt;
• tietojen säilyttäminen, luovuttaminen ja suojaaminen;
• vastavuoroista tunnustamista koskevat sopimukset EU:n ulkopuolisten maiden kanssa;
• sertifiointielinten vertaisarviointi;
• järjestelmän ylläpitäminen;
• EUCC:n soveltamisalaan kuuluvat kansalliset kyberturvallisuuden sertifiointijärjestelmät.

EUCC:n täytäntöönpanoasetusta on sovellettu 27. helmikuuta 2025 alkaen.

Asetus (EU) 2019/881 ja siihen liittyvä täytäntöönpanoasetus eivät vaikuta jäsenvaltioiden vastuuseen yleisestä turvallisuudesta, puolustuksesta, kansallisesta turvallisuudesta tai rikosoikeudesta.

Asetuksella kumotaan asetus (EU) N:o 526/2013 27. kesäkuuta 2019 alkaen.