Navigation path

Left navigation

Additional tools

Euroopa Komisjon - Küsimused ja vastused

Küsimused ja vastused – ELi küberturvalisus

Brüssel, 26. juuni 2019

Mida on Euroopa Liit seni küberturvalisuse tugevdamiseks teinud?

ELil on nüüd elektroonilise side võrkude kaitsmiseks mitmesuguseid õiguslikke vahendeid, näiteks võrgu- ja infosüsteemide turvalisuse direktiiv (küberturvalisuse direktiiv), ELi küberturvalisust käsitlev õigusakt ja uued telekommunikatsioonialased õigusnormid.

Direktiiviga kehtestati uued ELi tasandi koostöömehhanismid, riikide suutlikkuse suurendamise meetmed ja kohustused oluliste teenuste operaatoritele ja digitaalse teenuse osutajatele võtta kasutusele riskijuhtimise tavad ja teavitada riigi ametiasutusi märkimisväärsetest vahejuhtumitest.

Küberturvalisust käsitleva õigusaktiga kehtestati esmakordselt kogu ELis kehtivad küberturvalisuse sertifitseerimise normid. Peale selle antakse sellega Euroopa Liidu Küberturvalisuse Ametile (ENISA) uus alaline mandaat ning eraldatakse ametile rohkem vahendeid tema eesmärkide saavutamiseks.

Vastavalt uutele telekommunikatsioonialastele õigusnormidele (elektroonilise side seadustik) peavad liikmesriigid tagama üldkasutatavate sidevõrkude terviklikkuse ja turvalisuse ning on kohustatud tagama, et operaatorid võtavad tehnilisi ja korralduslikke meetmeid, et võrkude ja teenuste turvalisusega seotud riskid asjakohaselt maandada. Samuti on sätestatud, et pädevatel riigi reguleerivatel asutustel on volitused, sealhulgas õigus esitada siduvaid suuniseid ja tagada nende järgimine. Lisaks saavad liikmesriigid lisada operaatorite üldloale tingimusi, mis käsitlevad üldkasutatavate võrkude turvalisust loata juurdepääsu seisukohast, et kaitsta side konfidentsiaalsust.

Nõukogu kehtestas 2019. aasta mais sanktsioonide korra, mis võimaldab ELil kehtestada sihipäraseid piiravaid meetmeid, et takistada küberrünnakuid ja neile reageerida, kui sellised rünnakud on väliseks ohuks ELile ja tema liikmesriikidele. Uus sanktsioonide kord on osa ELi küberdiplomaatia meetmete kogumist, pahatahtlikule kübertegevusele ELi ühise diplomaatilise reageerimise raamistikust, mis võimaldab ELil kasutada reaktsioonina pahatahtlikule kübertegevusele täielikult ära ühised välis- ja julgeolekupoliitika meetmed, k.a kõrge esindaja avaldused, diplomaatilised demaršid ja vajaduse korral piiravad meetmed.

Mis on ELi küberturvalisuse sertifitseerimise raamistik ja millised on tema eelised?

Euroopa küberturvalisuse sertifitseerimise kava on liidu tasandil kindlaks määratud normide, tehniliste nõuete, standardite ja menetluste põhjalik kogum, mida kasutatakse konkreetsete toodete, teenuste ja protsesside küberturvalisusomaduste hindamiseks.

Küberturvalisuse sertifitseerimisel on tähtis koht hästitoimiva digitaalse ühtse turu jaoks oluliste toodete, teenuste ja protsesside turvalisuse ning nende vastu usalduse suurendamises. Arvestades IKT-toodete, -teenuste ja -protsesside suurt mitmekesisust ja paljusid kasutusvaldkondi, võimaldab Euroopa küberturvalisuse sertifitseerimise raamistik luua eesmärgile kohandatud ja riske arvesse võtvaid ELi sertifitseerimiskavasid.

Eelkõige peaks iga Euroopa kava puhul olema täpsustatud a) hõlmatud toodete ja teenuste kategooriad, b) küberturvalisuse nõuded, näiteks viide standarditele või tehnilistele kirjeldustele, c) hindamise liik (nt enesehindamine või kolmanda isiku poolne hindamine) ning d) kavandatud usaldusväärsuse tase (nt baastase, märkimisväärne või kõrge tase).

Küberturvalisusriski kirjeldamiseks võib sertifikaat osutada kolmele usaldusväärsuse tasemele (baastase, märkimisväärne või kõrge tase), mis vastab toote, teenuse või protsessi ettenähtud kasutamisega seotud riskitasemele intsidentide tõenäosuse ja mõju mõttes. Näiteks tähendab kõrge usaldusväärsuse tase seda, et sertifitseeritud toode on läbinud kõrgeimad turvalisustestid.

Sellist sertifikaati tunnustaksid kõik liikmesriigid, nii et ettevõtetel oleks lihtsam piiriüleselt kaubelda ja kasutajatel mõista toote või teenuse turvaelemente. See tagab kasuliku konkurentsi teenuseosutajate vahel kogu ELi turul, mille tulemuseks on paremad tooted ning parem hinna ja kvaliteedi suhe.

Sisseprojekteeritud turve: Raamistikuga julgustatakse toodete, teenuste ja protsesside projekteerimise ja arendamisega seotud organisatsioone, tootjaid ja teenuseosutajaid rakendama meetmeid projekteerimise ja arendamise kõige varasematel etappidel. See võimaldab kaitsta kõige kõrgemal tasemel nende toodete, teenuste või protsesside turvalisust nii, et osataks oodata küberrünnakuid ja minimeeritaks nende mõju („sisseprojekteeritud turve“).

Euroopa sertifitseerimisraamistik toetub võimalikult palju rahvusvahelistele standarditele, et mitte vältida kaubandustõkete või tehniliste koostalitlusvõime probleemide loomist.

Kes saab sertifitseerimisraamistikust kasu?

Selleks et saaksime kasutatavaid digisüsteeme usaldada, peame teadma, kas teatav toode, süsteem või teenus vastab konkreetsetele nõuetele. Seepärast saavad raamistikust kasu:

  • Kodanikud ja lõppkasutajad (nt oluliste teenuste operaator), kes saavad iga päev kasutatavate toodete ja teenuste puhul teha teadlikumaid ostuotsuseid. Näiteks kodanik, kes kaalub nutiteleri ostmist ja on teadlik nutiseadme internetti ühendamisega seonduvatest küberturvalisusriskidest, võib saada lisateavet ELi Küberturvalisuse Ameti veebisaidilt, mis käsitleb Euroopa küberturvalisuse sertifitseerimist. Ta võib leida asjakohaste küberturvalisusnõuete kohaselt sertifitseeritud mudeli, juhised müüjalt teleri turvalise paigaldamise, konfigureerimise ja kasutamise kohta ning kui kaua kavatseb müüja pakkuda küberturvalisuse seisukohast vajalikke tarkvaraparandusi uute haavatavuste avastamise korral.
  • Toodete müüjad ja teenuste osutajad (k.a väikesed ja keskmise suurusega ettevõtjad (VKEd) ja uued ettevõtjad), kes hoiavad kokku raha ja aega, läbides üheainsa menetluse, et saada Euroopa sertifikaat, mis kehtib kõigis liikmesriikides ja võimaldab neis edukalt konkureerida. Peale selle saavad IKT-toodete ja -teenuste müüjad võimaluse teavitada ostjaid sertifikaadiga seotud erimärgise abil.
  • Valitsused, kellel nagu kõigil üksikisikutest ja ettevõtjatest ostjatel tekivad paremad võimalused teha informeeritud ostuotsuseid

Küberturvalisuse sertifitseerimisele lisaväärtuse andmiseks annavad sertifitseeritud toodete, teenuste või protsesside, sh nende, millele on välja antud ELi nõuetele vastavuse deklaratsioon, tootjad või pakkujad konkreetset täiendavat küberturvalisusteavet (nt juhised ja soovitused kasutajale toodete või teenuste turvaliseks konfigureerimiseks, paigaldamiseks, kasutuselevõtmiseks, kasutamiseks ja hooldamiseks jne).

Millist lisandväärtust pakub raamistik konkreetselt VKEdele ja idufirmadele?

VKEdel ja uutel ettevõtjatel on tavapäraselt raskem laieneda uutele turgudele, kus kehtivad erinevad nõudmised. Raamistik aitab vähendada selliseid tõkkeid turule sisenemisel VKEde ja uute ettevõtjate jaoks, sest nad peavad läbima vaid ühe sertifitseerimisprotsessi ja saadav sertifikaat hakkab kehtima kogu ELis. Kuna turvalisemate lahenduste järele peaks nõudlus kogu maailmas kasvama, saavad ettevõtjad, sh VKEd, kelle tooted on sertifitseeritud, konkurentsieelise, et sellist nõudlust rahuldada. Peale selle muudab ettevõtjate võimalus hinnata ise madala riskitasemega toodete ja teenuste vastavust turvalisusnõuetele raamistiku VKEde ja uute ettevõtjate jaoks veelgi ligitõmbavamaks.

Võtame näiteks VKE, mis arendab ja müüb IKT-rakendusi suurematele äriühingutele, kes nõuavad kindlaid usaldatavustagatisi, et rakendused on piisavalt turvalised, ja et need on välja töötatud turvalise koodikirjutamise parimate tavade kohaselt. Euroopa küberturvalisuse sertifikaadi abil saab kõnealune VKE tõendada nii oma toodete turvalisust kui ka oma turvalisi tootearendustavasid, täites nii oma klientide nõuded mitte üksnes ühes liikmesriigis, nagu see on sageli praegu, vaid kogu Euroopa Liidus.

Kas küberturvalisuse sertifitseerimine muutub kohustuslikuks?

Raamistikuga loodavad sertifitseerimiskavad on vabatahtlikud, s.t müüjad saavad ise otsustada, kas nad soovivad oma tooteid nende kaudu sertifitseerida. Siiski nähakse küberturvalisust käsitlevas õigusaktis ette, et komisjon hindab loodud Euroopa küberturvalisuse sertifitseerimise kavade tõhusust ja kasutamist. Eelkõige hindab ta, kas konkreetne Euroopa küberturvalisuse sertifitseerimise kava tuleks muuta kohustuslikuks asjakohase ELi õigusaktiga, et tagada sellega IKT-toodete, -teenuste ja -protsesside piisav turvalisuse tase ning parandada siseturu toimimist. Peale selle võiks muudes riiklikes või ELi tasandi õigusaktides kasutada ära olemasolevaid kavasid kui lihtsat viisi kirjeldada tulevasi kohustusi seoses toodete või süsteemidega.

Kuidas ELi Küberturvalisuse Ametit volitusi tugevdatakse?

Seni oli ELi Küberturvalisuse Ametil ajutine mandaat, mida uuendati viimati 2013. aastal ja see pidi aeguma 2020. aastal. Küberturvalisust käsitleva õigusaktiga anti ametile alaline mandaat, pannes talle tulevikus stabiilne alus.

ELi Küberturvalisuse Ameti praegusi ülesandeid, nagu poliitika kujundamise ja rakendamise toetamine, samuti kübersuutlikkuse suurendamine, on laiendatud ja täpsustatud. Lisatud on uusi ülesandeid, eelkõige küberturvalisuse sertifitseerimise valdkonnas.

Uus mandaat hõlmab ELi Küberturvalisuse Ametile 2016. aastal kokku lepitud küberturvalisuse direktiiviga pandud olulisi lisaülesandeid, nagu toimimine küberturbe intsidentide lahendamise üksuste (CSIRT) sekretariaadina, mis ühendab ELi liikmesriikide CSIRTe. Nende laiendatud ülesannete täitmiseks võib ameti töötajaskond kasvada viie aasta jooksul 50 % ja rahalised vahendid suureneda 11 miljonilt eurolt 23 miljonile eurole.

Mis on ELi Küberturvalisuse Ameti põhiülesanded uue mandaadi raames?

  • Poliitika rakendamise toetamine küberturvalisuse valdkonnas, eelkõige küberturvalisuse direktiiv, aga ka muud küberturvalisuse elementidega poliitilised algatused erinevates sektorites (nt energeetika, transport, rahandus). Peale selle aitab ELi Küberturvalisuse Amet liikmesriikidel rakendada liidu poliitika ning andmekaitse ja isikuandmete kaitsega seotud õigusaktide konkreetseid küberturvalisuse aspekte.
  • Küberkaitse suutlikkuse suurendamine näiteks koolituste abil ELi ja liikmesriikide ametiasutuste suutlikkust ja oskusteavet suurendada aitamiseks, sealhulgas intsidentidele reageerimise ning küberturvalisusega seotud regulatiivsete meetmete järelevalve valdkonnas.
  • Turuga seotud ülesanded (standardimine, küberturvalisuse sertifitseerimine), nagu küberturvalisuse turu asjaomaste suundumuste analüüs, et reageerida paremini nõudlusele ja pakkumisele, ning toetades ELi poliitika kujundamist IKT standardimise ja IKT küberturvalisuse sertifitseerimise valdkonnas.
  • Operatiivkoostöö ja kriisiohje, et tugevdada olemasolevat ennetamissuutlikkust ja toetada operatiivkoostööd CSIRTide võrgustiku sekretariaadina. Peale selle aitab ELi Küberturvalisuse Amet liikmesriikidel, kes seda soovivad, tulla toime intsidentidega, ning mängib rolli ELi koordineeritud reageerimises mastaapsetele piiriülestele küberturvalisuse intsidentidele ja kriisidele.
  • Nõrkuste koordineeritud avalikustamine: ELi Küberturvalisuse Amet aitab liikmesriike ning liidu institutsioone, asutusi ja organeid turvanõrkuste avalikustamise poliitikameetmete vabatahtlikkuse alusel loomisel ja rakendamisel. Samuti aitab ta tihendada koostööd organisatsioonide, haavatavate toodete tootjate ja teenuste osutajate ning selliseid nõrkusi tuvastavate küberturvalisuse teadusuuringute kogukonna liikmete vahel.

Millise soovituse annab Euroopa Komisjon ELi ühtse lähenemisviisi kohta 5G-võrkude turvalisusele?

Viienda põlvkonna (5G) võrgud moodustavad meie ühiskondade ja majanduste tulevase selgroo, sealhulgas paljudes määrava tähtsusega sektorites, nagu energeetika, transport, pangandus ja tervishoid, mistõttu on oluline lahendada kõik turvalisuse ja usaldusväärsusega seotud haavatavusprobleemid. Euroopa Komisjon esitas 2019. aasta märtsis soovituse operatiivmeetmete paketi kohta, et tagada 5G-võrkude küberturvalisus kõikjal ELis. Eelkõige soovitas ta liikmesriikidel viia 2019. aasta oktoobriks läbi ELi-ülene riski hindamine ja tuvastada 2019. aasta detsembriks võimalikud riskimaandamismeetmed. Lisateavet soovituse, sh edasiste sammude kohta vt pressiteadet ning küsimusi ja vastuseid.

Missugused on järgmised sammud?

Euroopa Komisjon soovitas oma ettepanekus digitaalse Euroopa programmi kohta oluliselt suurendada järgmisel ELi eelarveperioodil investeeringuid küberturvalisusse ja kõrgtasemel digitehnoloogiasse ELis. Samuti esitas ta ettepaneku Euroopa küberturvalisuse pädevuskeskuste ja võrgustiku kohta, et ühendada vahendid ja kooskõlastada prioriteedid liikmesriikidega ning viia ellu olulised küberturvalisuse valdkonna projektid. Ettepanek on suunatud ka riiklike koordineerimiskeskuste võrgustiku ja küberturvalisuse pädevuskogukonna loomisele, et tagada parem koostöö ja koostoimed liikmesriikide ekspertide ja spetsialiseerunud struktuuride vahel. See täiendab peamist eesmärki suurendada ELi küberturvalisustööstuse konkurentsivõimet ja muuta küberturvalisus muude Euroopa tööstusharude konkurentsieeliseks.

Lisateave

Brošüür – Tugeva küberturvalisuse tagamine Euroopa Liidus

Teabeleht – Vastupidavusvõime, heidutus ja kaitse: tugeva küberturvalisuse tagamine Euroopas

Ettepanek luua Euroopa küberturvalisuse pädevusvõrgustik ja keskus

Julgeolekuliit: on saavutatud kokkulepe 15 seadusandliku algatuse suhtes 22st

Pressiteade – ELi läbirääkijad leppisid kokku Euroopa küberturvalisuse tugevdamises

Pressiteade – Euroopa Komisjon teeb ettepaneku, mis käsitleb ELi ühtset lähenemisviisi 5G-võrkude turvalisusele

QANDA/19/3369

Kontaktandmed ajakirjanikele:

Kontaktandmed üldsuse jaoks: Europe Direct (tel 00 800 67 89 10 11 ; e-post)


Side Bar