ELi küberturvalisuse määrus

PÕHIPUNKTID

ENISA volitused on järgmised:

• saavutada küberturvalisuse kõrge ühine tase kogu ELis;
• toetada liikmesriikide ametiasutusi ja ELi institutsioone, organeid ja asutusi küberturvalisuse parandamisel;
• tegutseda küberturvalisuse vallas ELi institutsioonidele, organitele ja asutustele ning teistele asjaomastele sidusrühmadele teaduslikku ja tehnilist nõu andva ja oskusteavet pakkuva kontaktüksusena;
• aidata kaasa siseturu killustatuse vähendamisele;
• tegutseda sõltumatult, vältides liikmesriikide tegevuse dubleerimist ja võttes arvesse liikmesriikide oskusteavet;
• arendada talle kuuluvaid tehnilisi vahendeid, inimvõimekust ja oskusi.

ENISA ülesanded on järgmised:

• aidata arendada ja rakendada ELi poliitikameetmeid ja õigust;
• arendada suutlikkust, näiteks parandades küberohtude¹ ennetamist, avastamist, analüüsimist ja neile reageerimist ning aidates riiklike küberturbe intsidentide lahendamise üksuste (CSIRTid) arendamist või korraldades ELi tasandil küberturvalisuse õppusi;
• toetada ELi operatiivkoostööd kõigi kaasatud sidusrühmadega, sh ELi institutsioonide, organite ja asutuste küberturvalisuse teenistuse (CERT-EU), eelkõige vahetades oskusteavet ja parimaid tavasid, andes asjakohaseid juhiseid ning teenindades ELi ja riiklike CSIRTide võrgustikke;
• toetada ja edendada IKT-toodete, -teenuste ja -protsesside ning hallatud turbeteenuste küberturvalisuse sertifitseerimise alaste ELi poliitikameetmete arendamist ja rakendamist osana Euroopa küberturvalisuse sertifitseerimise raamistiku koostamisel;
• koguda ja analüüsida küberohutuse alast teavet, eelkõige kujunemisjärgus tehnoloogiate, küberohtude ja intsidentide kohta, et pakkuda teavet ja anda nõu riikide ametiasutustele, asjaomastele sidusrühmadele ja spetsiaalse portaali kaudu avalikkusele (kodanikele, organisatsioonidele ja ettevõtjatele);
• parandada üldsuse teadlikkust küberturvalisuse riskidest ja anda individuaalsetele kasutajatele suuniseid heade tavade kohta ning edendada küberturvalisuse alast teadlikkust ja üldist haridust;
• anda nõu vajalike teadusuuringute ja prioriteetide kohta ning panustada ELi strateegilisse teadusuuringute ja innovatsiooni tegevuskavasse;
• anda panus ELi jõupingutustesse teha koostööd rahvusvaheliste partnerite ja organisatsioonidega küberturvalisusega seotud küsimustes.

ENISA haldus- ja juhtimisstruktuuri kuuluvad järgnevad.

• Haldusnõukogu, kuhu kuulub üks esindaja igast ELi liikmesriigist ning kaks esindajat, kes on määratud Euroopa Komisjoni poolt. Haldusnõukogu määrab kindlaks ameti tegevuse üldise suuna ning tagab, et amet täidab oma ülesandeid sellistes tingimustes, mis võimaldavad tal toimida asutamismääruse kohaselt.
• Viieliikmeline juhatus, kes valmistab ette otsuseid, mille haldusnõukogu vastu võtab.
• Ametit juhib sõltumatu tegevdirektor, kes annab aru haldusnõukogule ning ka Euroopa Parlamendile ja Euroopa Liidu Nõukogule viimaste taotluse korral.
• ENISA nõuanderühm koosneb asjaomaste sidusrühmade (nt IKT tööstus, elektroonilise side võrkude või teenuste pakkujad, väikesed ja keskmise suurusega ettevõtted, tarbijad, akadeemilised eksperdid ja oluliste teenuste operaatorid) tunnustatud ekspertidest ning Euroopa elektroonilise side seadustiku kohaselt teavitatavate pädevate asutuste, standardiorganisatsioonide, õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest. Nõuanderühm tegeleb peamiselt sidusrühmade jaoks oluliste küsimustega ja juhib neile ENISA tähelepanu.
• Liikmesriikide kontaktametnike võrgustik, mis koosneb kõigi liikmesriikide esindajatest, soodustab ENISA ja liikmesriikide vahelist teabevahetust ning toetab ENISAt tema tegevust ja töö tulemusi käsitleva teabe ning soovituste levitamisel.

Määrusega moodustatakse järgnev.

• Tunnustatud ekspertidest koosnev sidusrühmade küberturvalisuse sertifitseerimise rühm, kes nõustab muu hulgas komisjoni ELi küberturvalisuse sertifitseerimise raamistikuga seotud strateegilistes küsimustes ning taotluse korral ENISAt ameti asjakohaste ülesannetega seotud üldistes ja strateegilistes küsimustes.
• Riikide esindajatest koosnev Euroopa küberturvalisuse sertifitseerimise rühm, et nõustada ja abistada komisjoni töös, mille eesmärk on tagada käesoleva õigusakti järjepidev rakendamine ja kohaldamine, ning ENISAt küberturvalisuse sertifitseerimise ettevalmistava kava koostamisel.

ENISA:

• asutatakse määramata ajaks alates 27. juunist 2019;
• tegutseb kooskõlas ühtse programmdokumendiga, mis sisaldab ENISA iga-aastast ja mitmeaastast tööprogrammi;
• järgib komisjoni julgeolekunorme, et kaitsta salastamata tundlikku teavet ja ELi salastatud teavet;
• ei anna kolmandatele isikutele tema poolt töödeldavat või saadud konfidentsiaalset teavet;
• osaleb täiel määral ELi meetmetes, et võidelda pettuste, korruptsiooni ja muu ebaseadusliku tegevuse vastu;
• töötleb isikuandmeid kooskõlas vastavate ELi eeskirjadega.

Määrusega kehtestatakse Euroopa küberturvalisuse sertifitseerimise raamistik, et

• parandada siseturu toimimist, suurendades ELis küberturvalisuse taset ja võimaldades ELi tasandil ühtlustatud lähenemisviisi Euroopa küberturvalisuse sertifitseerimise kavadele, eesmärgiga luua IKT-toodete, -teenuste ja -protsesside ning hallatud turbeteenuste jaoks digitaalne ühtne turg;
• luua mehhanism, et kehtestada sertifitseerimise kavad, mis kinnitavad, et selliste kavade kohaselt hinnatud IKT-tooted, -teenused ja -protsessid ning hallatud turbeteenused vastavad kindlaksmääratud turvanõuetele eesmärgiga kaitsta salvestatud, edastatud või töödeldud andmete või kõnealuste toodete, protsesside ja teenuste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust ja konfidentsiaalsust kogu nende olelusringi kestel.

Raamistiku alusel

• komisjon
  • avaldab Euroopa küberturvalisuse sertifitseerimise ELi jooksva tööprogrammi, milles määratakse kindlaks strateegilised prioriteedid ning IKT-tooted, -teenused ja -protsessid ning hallatud turbeteenuste või nende kategooriad, mis võivad kavast kasu saada;
  • võib esitada ENISA-le taotluse koostada ettevalmistav sertifitseerimise kava või vaadata läbi olemasolev kava.
• ENISA:
  • koostab komisjoni või Euroopa küberturvalisuse sertifitseerimise rühma taotluse põhjal sobiva ettevalmistava kava;
  • hindab iga viie aasta järel iga vastuvõetud sertifitseerimise kava, võttes arvesse saadud tagasisidet;
  • haldab spetsiaalset veebisaiti, mis pakub teavet kavade, sertifikaatide ja vastavusdeklaratsioonide kohta.

Vabatahtlikud Euroopa küberturvalisuse sertifitseerimise kavad:

• saavutada mitmed turvalisusega seotud eesmärgid, näiteks kaitsta salvestatud, edastatud ja töödeldud andmeid;
• määrata IKT-toodetele, -teenustele ja -protsessidele ning hallatud turbeteenustele turvalisuse tase: baastase, märkimisväärne tase või kõrge tase;
• lubada vastavuse enesehindamise läbiviimist madala riskiga (st baastasemega) IKT-toodete, -teenuste ja -protsesside ning hallatud turbeteenuste tootja või pakkuja ainuvastutusel;
• peavad sisaldama teatud elemente, nagu kava eesmärgi selge kirjeldus, sisu ja ulatus, hindamiskriteeriumid ja meetodid;
• asendavad sarnaseid riiklikke kavasid, kuigi nende alusel väljastatud sertifikaadid jäävad kehtima kuni oma kehtivusaja lõpuni.

IKT-toodete, - teenuste ja -protsesside ning hallatud turbeteenuste tootjad ja pakkujad peavad tegema avalikult kättesaadavaks järgmise teabe:

• suunised ja soovitused, mis aitavad lõppkasutajal nende tooteid või teenuseid paigaldada, käitada ja hooldada;
• ajavahemik, mille jooksul pakutakse turvalisuse alast tuge;
• oma kontaktandmed;
• viited internetis asuvatele andmebaasidele, kus on loetletud nende toodete või teenustega seotud teadaolevad turvaprobleemid.

Liikmesriigid määravad ühe või mitu piisavate ressursside ja volitustega riiklikku küberturvalisuse sertifitseerimise asutust, et teha järelevalvet Euroopa küberturvalisuse sertifitseerimise kavade normide üle ja tagada nende täitmine.

Komisjon

• hindab regulaarselt vastuvõetud sertifitseerimise kavade tõhusust ja kasutamist ning kaalub, kas mõni kava tuleks teha kohustuslikuks;
• pidi esitama oma esimese üksikasjaliku hindamise hiljemalt 31. detsembriks 2023 ja seejärel iga kahe aasta järel;
• pidi hindama ENISA mõju, tulemuslikkust ja tõhusust hiljemalt 28. juuniks 2024 ja seejärel iga viie aasta järel.

Füüsilistel ja juriidilistel isikutel on õigus esitada kaebus Euroopa turvalisuse sertifikaadi väljaandjale ja õigus tõhusale kohtulikule õiguskaitsele.

Muudatus – hallatud turbeteenused

2024. aasta detsembris võeti vastu määrus (EL) 2025/37, millega muudeti määrust hallatud turbeteenuste osas. Selle sihipärase muudatusega kehtestatakse hallatud turbeteenuste määratlus ja laiendatakse Euroopa küberturvalisuse sertifitseerimise raamistiku kohaldamisala, lisades hallatud turbeteenused. Sellest tulenevalt laiendatakse sellega ka ENISA volitusi ja ülesandeid seoses hallatud turbeteenustega.

Määrus (EL) 2025/37 avaldati Euroopa Liidu Teatajas 15. jaanuaril 2025 ja seda kohaldatakse alates 4. veebruarist 2025.

Vastavushindamisasutustest teavitamine

2024. aasta detsembris võttis komisjon vastu rakendusmääruse (EL) 2024/3143 küberturvalisuse määruse artikli 61 lõike 5 kohaste teadete kohta. Rakendusaktiga kehtestatakse vastavushindamisasutuste teavitamise asjaolud, vormingud ja menetlused Euroopa küberturvalisuse sertifitseerimise skeemide lõikes uue lähenemisviisi alusel teavitatud ja määratud organisatsioonide (NANDO) infosüsteemi kaudu. Samuti selgitatakse selles asjaolusid, mille korral tuleks teavituses teha muudatusi ja mille alusel võib teatatud vastavushindamisasutuste pädevuse vaidlustada.

Rakendusmäärus 2024/3143 avaldati Euroopa Liidu Teatajas 19. detsembril 2024 ja seda kohaldatakse alates 8. jaanuarist 2025.

Euroopa ühiskriteeriumidel põhinev küberturvalisuse sertifitseerimise kava (EUCC)

2024. aasta jaanuaris võttis komisjon vastu rakendusmääruse (EL) 2024/482 (vt kokkuvõte). Selles õigusaktis sätestatakse määruse (EL) 2019/881 rakenduseeskirjad seoses vabatahtliku Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega. See on esimene ELi tasandi kava, mis käsitleb selliste IKT-toodete, nagu riist- ja tarkvara, sh näiteks kiibid ja kiipkaardid, märkimisväärsel või kõrgel usaldusväärsuse tasemel sertifikaate. Määrus sisaldab üksikasjalikke eeskirju näiteks järgmistes küsimustes:

• standardid ja nõuded seoses toodete ja kaitseprofiilide hindamise ning EUCC sertifikaatide väljaandmise, uuendamise ja kehtetuks tunnistamisega;
• vastavushindamisasutused, kes on volitatud väljastama sertifikaate või tegema hindamistoiminguid;
• nõuetele vastavuse järelevalve, nõuetele mittevastavus ja nõuete rikkumine;
• turvanõrkuste haldamise ja avalikustamise kord;
• andmete säilitamine, teabe avalikustamine ja kaitse;
• vastastikuse tunnustamise lepingud kolmandate riikidega;
• sertifitseerimisasutuste vastastikune hindamine;
• kava haldamine ja
• EUCCga hõlmatud riiklikud küberturvalisuse sertifitseerimise kavad.

EUCC rakendusmäärust on kohaldatud alates 27. veebruarist 2025.

Määrus (EL) 2019/881 ja sellega seotud rakendusmäärus ei mõjuta liikmesriikide vastutust seoses avaliku julgeoleku, riigikaitse, riikliku julgeoleku või kriminaalõigusega.

Määrusega tunnistatakse kehtetuks määrus (EL) nr 526/2013 alates 27. juunist 2019.