EU:n kyberturvallisuusasetus

 

TIIVISTELMÄ ASIAKIRJASTA:

Asetus (EU) 2019/881 Euroopan unionin kyberturvallisuusvirastosta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (kyberturvallisuusasetus)

ASETUKSEN TARKOITUS

Sillä pyritään saavuttamaan kyberturvallisuuden, kyberresilienssin ja luottamuksen korkea taso Euroopan unionissa (EU) vahvistamalla

• Euroopan unionin kyberturvallisuusvirasto ENISAn tavoitteet, tehtävät ja organisatoriset näkökohdat uudella, pysyvällä toimeksiannolla,
• kehys eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien perustamiselle tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja varten.

TÄRKEIMMÄT KOHDAT

ENISAn toimeksianto muodostuu seuraavista:

• kyberturvallisuuden yhteisen korkean tason saavuttaminen koko EU:ssa,
• kansallisten viranomaisten sekä EU:n toimielinten, elinten ja virastojen tukeminen kyberturvallisuuden parantamisessa,
• kyberturvallisuutta koskevan tieteellisen ja teknisen neuvonnan ja asiantuntemuksen viitetahona toimiminen EU:n toimielimille, elimille ja laitoksille sekä muille asiaankuuluville sidosryhmille,
• myötävaikuttaminen sisämarkkinoiden hajanaisuuden vähentämiseen,
• riippumaton toiminta välttäen päällekkäisyyttä jäsenvaltioiden toimien kanssa ja ottaen huomioon jäsenvaltioiden asiantuntemuksen,
• omien teknisten sekä henkilöstö- ja taitoresurssien kehittäminen.

ENISAn tehtävät ovat:

• EU:n politiikan ja lainsäädännön kehittämisen ja täytäntöönpanon auttaminen,
• valmiuksien kehittämisen edistäminen, esimerkiksi parantamalla kyberuhkien* ennaltaehkäisyä, havaitsemista ja analysointia sekä valmiuksia reagoida niihin, ja kansallisten tietoturvaloukkauksiin reagoivien yksiköiden (CSIRT-toimijat) kehittämisen tukeminen tai kyberturvallisuusharjoitusten järjestäminen EU:n tasolla,
• EU:n operatiivisen yhteistyön tukeminen kaikkien sidosryhmien kesken, mukaan luettuna unionin toimielinten, elinten, toimistojen ja virastojen kyberturvallisuuspalvelu (CERT-EU), vaihtamalla tietotaitoa ja parhaita käytäntöjä, antamalla asiaankuuluvia ohjeita ja palvelemalla EU:ta ja CSIRT-verkostoa,
• tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien eurooppalaisen kyberturvallisuussertifioinnin kehittämisen ja täytäntöönpanon tukeminen ja edistäminen osana uuden eurooppalaisen kyberturvallisuuden sertifiointikehyksen järjestelmiin liittyviä valmisteluja,
• kyberturvallisuutta koskevan tietämyksen ja tiedon kerääminen ja analysointi, erityisesti uusista teknologioista sekä kyberuhista ja poikkeamista, tietojen ja neuvojen tarjoaminen kansallisille viranomaisille, asiaankuuluville sidosryhmille ja erityisessä portaalissa yleisölle (kansalaisille, järjestöille ja yrityksille),
• suuren yleisön tietoisuuden lisääminen kyberturvallisuusriskeistä ja ohjeiden antaminen yksittäisille käyttäjille hyvistä käytännöistä sekä kyberturvallisuustietoisuuden ja yleensä koulutuksen edistäminen,
• tutkimustarpeita ja -painopisteitä koskevien neuvojen antaminen ja osallistuminen EU:n kyberturvallisuusalan strategisen tutkimus- ja innovointiohjelman laatimiseen,
• EU:n sekä kansainvälisten kumppanien ja organisaatioiden välisen yhteistoiminnan edistäminen.

ENISAn hallinto- ja johtamisrakenne muodostuu seuraavista:

• johtokunta, jossa on yksi edustaja kustakin EU:n jäsenvaltiosta ja kaksi Euroopan komission nimittämää jäsentä. Se vahvistaa viraston toiminnan yleiset suuntaviivat ja varmistaa, että virasto toteuttaa tehtävänsä olosuhteissa, joissa se voi toimia perustamisasetuksen mukaisesti,
• hallitus, jossa on viisi jäsentä ja joka valmistelee päätökset johtokunnan hyväksyttäväksi,
• virastoa johtaa riippumaton pääjohtaja, joka on vastuussa johtokunnalle ja raportoi pyydettäessä Euroopan parlamentille ja Euroopan unionin neuvostolle,
• ENISAn neuvoa-antava ryhmä, joka koostuu asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa, sähköisten viestintäverkkojen tai sähköisten viestintäpalvelujen tarjoajia, pieniä ja keskisuuria yrityksiä, kuluttajia, tiedeyhteisöä ja keskeisten palvelujen tarjoajia, edustavista tunnustetuista asiantuntijoista sekä eurooppalaisen sähköisen viestinnän säännöstön mukaisesti ilmoitettujen toimivaltaisten viranomaisten, standardointiorganisaatioiden sekä lainvalvonta- ja tietosuojaviranomaisten edustajista ja joka keskittyy sidosryhmiä koskeviin asioihin ja saattaa ne ENISAn tietoon,
• kansallisten yhteyshenkilöiden verkosto, joka koostuu jäsenvaltioiden edustajista ja jonka tehtävänä on helpottaa ENISAn ja jäsenvaltioiden välistä tietojenvaihtoa ja auttaa ENISAa levittämään toimintaansa, löydöksiään ja suosituksiaan.

Asetuksella perustetaan seuraavat:

• sidosryhmien kyberturvallisuuden sertifiointiryhmä, joka koostuu tunnustetuista asiantuntijoista ja jonka tehtävänä on neuvoa komissiota eurooppalaiseen kyberturvallisuuden sertifiointikehykseen liittyvissä strategisissa kysymyksissä ja pyynnöstä ENISAa tämän tehtäviä koskevissa yleisissä ja strategisissa asioissa,
• Euroopan kyberturvallisuuden sertifiointiryhmä, joka koostuu kansallisten viranomaisten edustajista ja jonka tehtävänä on neuvoa ja avustaa komissiota sen pyrkiessä varmistamaan tämän asetuksen johdonmukainen täytäntöönpano ja soveltaminen ja avustaa ENISAa ehdolla olevien kyberturvallisuuden sertifiointijärjestelmien valmistelussa.

ENISA

• perustetaan määrittelemättömäksi toimiajaksi 27. kesäkuuta 2019,
• noudattaa toiminnassaan yhtenäistä ohjelma-asiakirjaa, joka sisältää sen vuotuisen ja monivuotisen ohjelman,
• noudattaa komission turvallisuussäännöksiä arkaluonteisten turvallisuusluokittelemattomien tietojen ja EU:n turvallisuusluokiteltujen tietojen suojaamiseksi,
• ei paljasta kolmansille osapuolille käsittelemiään ja saamiaan luottamuksellisia tietoja,
• osallistuu täysimääräisesti eurooppalaisiin petosten, lahjonnan ja muun laittoman toiminnan torjuntatoimiin,
• käsittelee henkilötietoja niitä koskevien EU:n sääntöjen mukaisesti.

Asetuksella perustetaan eurooppalainen kyberturvallisuuden sertifiointikehys, jossa tavoitteena on

• nostaa kyberturvallisuustasoa EU:ssa ja yhdenmukaistaa eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät EU:n tasolla ja siten parantaa sisämarkkinoiden toimintaedellytyksiä digitaalisten sisämarkkinoiden luomiseksi tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille,
• luoda mekanismi, jonka avulla laaditaan sertifiointijärjestelmiä ja annetaan vahvistus siitä, että tällaisten järjestelmien mukaisesti arvioidut tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit ovat niille määritettyjen turvallisuusvaatimusten mukaisia, jotta voidaan suojella tallennettavien, siirrettävien tai käsiteltävien tietojen tai kyseisissä tuotteissa, palveluissa ja prosesseissa tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyyttä, aitoutta, eheyttä ja luottamuksellisuutta niiden koko elinkaaren ajan.

Kehyksessä:

• Komissio
  • julkaisee eurooppalaista kyberturvallisuussertifiointia koskevan unionin jatkuvan työohjelman, jossa määritellään tulevat strategiset prioriteetit sekä tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit, joille järjestelmästä voi olla hyötyä,
  • voi pyytää ENISAa valmistelemaan ehdolla olevan sertifiointijärjestelmän tai tarkistamaan voimassa olevaa sertifiointijärjestelmää.
• ENISA
  • valmistelee ehdolla olevan järjestelmän komission tai Euroopan kyberturvallisuuden sertifiointiryhmän pyynnöstä,
  • arvioi hyväksytyt sertifiointijärjestelmät joka viides vuosi ja ottaa siinä huomioon asianomaisten osapuolten palautteen,
  • ylläpitää erityistä verkkosivustoa, jolla annetaan tietoa järjestelmistä, sertifikaateista ja vaatimustenmukaisuusilmoituksista.

Vapaaehtoisissa eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä

• pyritään saavuttamaan eri turvallisuustavoitteita, kuten tallennettujen, siirrettyjen tai käsiteltyjen tietojen suojaaminen,
• määritetään tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille varmuustaso: perustaso, korotettu tai korkea,
• sallitaan se, että vähäriskisten (perustaso) tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajat ja tarjoajat arvioivat ne itse (vaatimustenmukaisuuden itsearviointi),
• on oltava tietyt osatekijät, kuten selkeä kuvaus tarkoituksesta, kohde ja soveltamisala sekä arvioinnissa käytettävät perusteet ja menetelmät,
• korvataan vastaavat kansalliset järjestelmät, vaikka kyseiset sertifikaatit pysyvät voimassa voimassaolon päättymispäivään asti.

Sertifioitujen tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien valmistajien ja tarjoajien on asetettava julkisesti saataville seuraavat tiedot:

• ohjeita ja suosituksia, jotka auttavat loppukäyttäjiä asentamaan, käyttämään ja ylläpitämään tuotteita tai palveluja,
• tieto turvallisuustuen tarjoamisen kestosta,
• yhteystiedot,
• viittauksia verkkotietolähteisiin, joissa on tietoja tunnetuista tuotteisiin tai palveluihin liittyvistä kyberturvallisuuskysymyksistä.

Jäsenvaltiot nimeävät yhden tai useamman kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen, jolla on riittävät resurssit ja valtuudet seurata, valvoa ja panna täytäntöön eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien sääntöjä.

Komissio

• arvioi säännöllisesti hyväksyttyjen sertifiointijärjestelmien tehokkuutta ja käyttöastetta sekä sitä, pitäisikö jostain järjestelmästä tehdä pakollinen,
• suoritti ensimmäisen yksityiskohtaisen arvioinnin viimeistään 31. joulukuuta 2023 ja sen jälkeen kahden vuoden välein,
• arvioi viimeistään 28. kesäkuuta 2024 ja sen jälkeen viiden vuoden välein ENISAn vaikutuksen, tehokkuuden ja tuloksellisuuden.

Luonnollisilla henkilöillä ja oikeushenkilöillä on oikeus tehdä valitus eurooppalaisen kyberturvallisuussertifikaatin myöntäjälle ja käyttää tehokkaita oikeussuojakeinoja.

Täytäntöönpanosäädös

Tammikuussa 2024 komissio hyväksyi täytäntöönpanoasetuksen (EU) 2024/482 (ks. tiivistelmä). Tässä säädöksessä vahvistetaan asetuksen (EU) 2019/881 soveltamissäännöt vapaaehtoisen yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä. Tämä on ensimmäinen järjestelmä EU:n tasolla, ja se koskee tieto- ja viestintätekniikan tuotteiden, kuten laitteiden ja ohjelmistojen, mukaan lukien sirujen ja älykorttien, sertifikaatteja varmuustasoilla ”korotettu” tai ”korkea”. Asetus sisältää yksityiskohtaiset säännöt, jotka koskevat muun muassa seuraavia seikkoja:

• tuotteita ja suojausprofiileja koskevien EUCC-sertifikaattien arviointia, myöntämistä, uusimista ja peruuttamista koskevat standardit ja vaatimukset;
• vaatimustenmukaisuuden arviointilaitokset, jotka on akkreditoitu antamaan todistuksia tai suorittamaan arviointitoimia;
• velvotteiden noudattamisen seuranta, vaatimustenvastaisuus ja velvotteiden noudattamatta jättäminen;
• haavoittuvuuksien hallinta ja julkistamismenettelyt;
• tietojen säilyttäminen, luovuttaminen ja suojaaminen;
• vastavuoroista tunnustamista koskevat sopimukset EU:n ulkopuolisten maiden kanssa;
• sertifiointielinten vertaisarviointi;
• järjestelmän ylläpitäminen;
• EUCC:n soveltamisalaan kuuluvat kansalliset kyberturvallisuuden sertifiointijärjestelmät.

EUCC:n täytäntöönpanoasetusta sovelletaan 27. helmikuuta 2025 alkaen.

Asetus (EU) 2019/881 ja siihen liittyvä täytäntöönpanoasetus eivät vaikuta jäsenvaltion vastuuseen yleisestä turvallisuudesta, puolustuksesta, kansallisesta turvallisuudesta ja rikosoikeudesta.

Asetuksella kumotaan asetus (EU) N:o 526/2013 27. kesäkuuta 2019 alkaen.

MISTÄ ALKAEN ASETUSTA SOVELLETAAN?

Asetusta on sovellettu 27. kesäkuuta 2019 alkaen.

Artikloja, jotka koskevat kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten nimeämistä, vaatimustenmukaisuuden arviointilaitosten akkreditointia ja ilmoittamista, oikeutta tehdä valitus eurooppalaisen kyberturvallisuussertifikaatin myöntäjälle ja oikeutta oikeussuojakeinoihin sekä seuraamuksia, sovelletaan 28. kesäkuuta 2021 alkaen.

TAUSTAA

ENISA, joka sijaitsee Ateenassa ja jolla on sivutoimipiste Iraklionissa, on edistänyt EU:n verkko- ja tietoturvaa vuodesta 2004 lähtien. Lisätietoja:

• Tietoa Euroopan unionin kyberturvallisuusvirastosta (ENISA)
• EU:n kyberturvallisuussertifiointi (ENISA)
• Kyberturvallisuuspolitiikka (Euroopan komissio).

KESKEISET TERMIT

ASIAKIRJA

Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15–69).

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Komission täytäntöönpanoasetus (EU) 2024/482, annettu 31 päivänä tammikuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 soveltamissäännöistä siltä osin kuin on kyse yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä (EUVL L, 2024/482, 7.2.2024).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39–98).

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1–30).

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88).

Asetukseen (EU) 2016/679 tehdyt peräkkäiset korjaukset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Viimeisin päivitys: 18.06.2024