Navigation path

Left navigation

Additional tools

Euroopan komissio - Kysymyksiä ja vastauksia

Kysymyksiä ja vastauksia: Kyberturvallisuus EU:ssa

Bryssel 26. kesäkuuta 2019

Mitä EU on tähän mennessä tehnyt vahvistaakseen kyberturvallisuutta?

EU:lla on useita välineitä sähköisten viestintäverkkojen suojaamiseksi, kuten verkko- ja tietojärjestelmien turvallisuutta koskeva direktiivi (ns. verkko- ja tietoturvadirektiivi), EU:n kyberturvallisuusasetus sekä uudet televiestintäsäännöt.

Verkko- ja tietoturvadirektiivillä on perustettu uusia mekanismeja EU:n tason yhteistyötä varten ja toteutettu toimenpiteitä kansallisten valmiuksien parantamiseksi. Lisäksi keskeisten palvelujen operaattoreille ja digitaalisten palvelujen tarjoajille on asetettu velvollisuus ottaa käyttöön riskienhallintakäytäntöjä ja raportoida merkittävistä turvapoikkeamista kansallisille viranomaisille.

Kyberturvallisuusasetuksessa otetaan ensimmäistä kertaa käyttöön EU:n laajuiset säännöt tuotteiden, palvelujen ja prosessien kyberturvallisuussertifioinnille. Lisäksi kyberturvallisuusasetuksessa annetaan EU:n kyberturvallisuusvirastolle (ENISA) uusi pysyvä toimeksianto ja lisäresursseja, jotta se voi täyttää tavoitteensa.

Uusien televiestintäsääntöjen eli sähköisen viestinnän säännöstön (Electronic Communications Code) mukaan jäsenvaltioiden on varmistettava julkisten viestintäverkkojen eheys ja turvallisuus. Niillä on myös velvoite varmistaa, että operaattorit huolehtivat asianmukaisin teknisin ja organisatorisin toimenpitein verkkojen ja palvelujen turvallisuuteen liittyvästä riskienhallinnasta. Toimivaltaisilla kansallisilla sääntelyviranomaisilla on valtuuksia, myös valtuudet antaa sitovia ohjeita, tällaisten velvoitteiden noudattamisen varmistamiseksi. Lisäksi jäsenvaltiot voivat viestinnän luottamuksellisuuden suojaamiseksi liittää operaattoreiden yleisvaltuutukseen ehtoja, jotka koskevat julkisten verkkojen turvaamista luvatonta käyttöä vastaan.

Neuvosto otti toukokuussa 2019 käyttöön pakotejärjestelmän, jonka avulla EU voi määrätä kohdennettuja rajoittavia toimenpiteitä sellaisten kyberhyökkäysten torjumiseksi ja niihin vastaamiseksi, jotka muodostavat uhkan EU:lle ja sen jäsenvaltioille. Uusi pakotejärjestelmä on osa EU:n kyberdiplomatian välineistöä, joka muodostaa puitteet EU:n yhteiselle diplomaattiselle vastaukselle haitallisiin kybertoimiin. Tämän välineistön avulla EU voi hyödyntää täysimääräisesti yhteisen ulko- ja turvallisuuspolitiikan toimenpiteitä, mukaan lukien korkean edustajan lausuntoja, diplomatian käytäntöjä ja tarvittaessa rajoittavia toimenpiteitä reagoidessaan haitallisiin kybertoimiin.

Mikä on EU:n kyberturvallisuuden sertifiointikehys ja mitkä ovat sen edut?

Eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät koostuvat kattavasta säännöstöstä, teknisistä vaatimuksista, standardeista ja menettelyistä, joista on sovittu Euroopan tasolla tietyn tuotteen, palvelun tai prosessin kyberturvallisuusominaisuuksien arvioimiseksi.

Kyberturvallisuussertifioinnilla on suuri merkitys, kun pyritään parantamaan digitaalisten sisämarkkinoiden asianmukaisen toiminnan kannalta olennaisten tuotteiden, palvelujen ja prosessien turvallisuutta ja lisäämään niitä kohtaan tunnettua luottamusta. Erilaisia tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja on paljon ja niillä on monia käyttötarkoituksia. Eurooppalainen kyberturvallisuuden sertifiointikehys mahdollistaa räätälöityjen ja riskiperusteisten EU:n sertifiointijärjestelmien luomisen niitä varten.

Kaikissa eurooppalaisissa sertifiointijärjestelmissä olisi määriteltävä a) niiden piiriin kuuluvat tuotteiden ja palvelujen luokat, b) kyberturvallisuusvaatimukset, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, c) arvioinnin tyyppi (esim. itsearviointi tai kolmannen osapuolen suorittama arviointi) ja d) aiottu varmuustaso (esim. perustaso, korotettu ja/tai korkea).

Kyberturvallisuuteen liittyvän riskin ilmaisemiseksi todistuksessa voidaan viitata kolmeen varmuustasoon (perustaso, korotettu, korkea), jotka vastaavat tuotteen, palvelun tai prosessin aiottuun käyttötarkoitukseen liittyvää riskitasoa poikkeaman todennäköisyyden ja vaikutuksen osalta. Esimerkiksi korkea varmuustaso tarkoittaa sitä, että sertifioitu tuote on läpäissyt korkeimmat turvallisuustestit.

Annettu sertifikaatti tunnustetaan kaikissa jäsenvaltioissa, mikä helpottaa yritysten kansainvälistä kauppaa ja auttaa käyttäjiä ymmärtämään tuotteen tai palvelun turvallisuusominaisuuksia. Tämä mahdollistaa hyödyllisen kilpailun tuotteen tai palvelun tarjoajien välillä EU:n markkinoilla, minkä ansiosta tuotteista tulee parempia ja ne antavat parempaa vastinetta rahalle.

Sisäänrakennettu turvallisuus: Kyberturvallisuuden sertifiointikehys myös kannustaa tuotteiden, palvelujen ja prosessien suunnitteluun ja kehittämiseen osallistuvia valmistajia tai tarjoajia ottamaan käyttöön suunnittelu- ja kehitystyön mahdollisimman varhaisissa vaiheissa toimenpiteitä, joiden avulla kyseisten tuotteiden, prosessien ja palvelujen turvallisuus voidaan suojata parhaalla mahdollisella tavalla siten, että kyberhyökkäyksiä oletetaan tapahtuvan ja niiden vaikutukset minimoidaan. Tätä kutsutaan sisäänrakennetuksi turvallisuudeksi.

Eurooppalaisessa sertifiointikehyksessä hyödynnetään niin pitkälle kuin mahdollista kansainvälisiä standardeja, jotta voidaan estää kaupan esteiden ja teknisten yhteensopivuusongelmien syntyminen.

Keitä sertifiointikehys hyödyttää ja miten?

Kyky ymmärtää, täyttääkö jokin tuote, järjestelmä tai palvelu tietyt turvallisuusvaatimukset, on keskeistä sen kannalta, että voimme luottaa digitaalisiin järjestelmiin, joista olemme riippuvaisia. Kehyksestä hyötyvät siis

  • kansalaiset ja loppukäyttäjät (esim. keskeisten palvelujen operaattorit), jotka voivat tehdä paremmin tietoon perustuvia ostopäätöksiä päivittäin käyttämistään tuotteista ja palveluista.Esimerkiksi henkilö, joka harkitsee älytelevision ostamista ja on tietoinen älylaitteiden internetiin liittämisestä johtuvista kyberturvallisuusriskeistä, voi tarkastella ENISAn ylläpitämän eurooppalaisen kyberturvallisuuden sertifiointisivuston tietoja ostopäätöksensä tueksi. Sivustolla kuluttajat voivat hakea tuotemalleja, jotka on sertifioitu asianmukaisilla kyberturvallisuusvaatimuksilla, saada myyjän laatimia ohjeita television asentamista, konfigurointia ja turvallista käyttöä varten sekä tietoja siitä, kuinka kauan myyjä sitoutuu tarjoamaan päivityksiä tai korjauksia, jos laitteessa havaitaan uusia haavoittuvuuksia;
  • tuotteiden ja palvelujen myyjät ja tarjoajat (ml. pk-yritykset ja uudet yritykset), joiden kustannukset vähenevät ja jotka säästävät aikaa, kun niiden tarvitsee käydä läpi yksi ainoa prosessi saadakseen eurooppalaisen sertifiointitodistuksen, joka on voimassa kaikissa jäsenvaltioissa ja antaa näin ollen niille mahdollisuuden kilpailla tehokkaasti näissä maissa.Lisäksi tieto- ja viestintätekniikan tuotteiden ja palvelujen myyjät haluavat antaa ostajille lisää tietoa, mahdollisesti käyttämällä sertifiointiin liitettävää erityistä merkkiä;
  • hallitukset, jotka kuluttajien ja kaupallisten hankkijoiden tavoin saavat paremmat valmiudet tehdä tietoon perustuvia ostopäätöksiä.

Jotta voidaan lisätä kyberturvallisuussertifioinnin painoarvoa, sertifioitujen tuotteiden, palvelujen ja prosessien valmistajilta tai tarjoajilta edellytetään tiettyjen täydentävien kyberturvallisuustietojen antamista (esim. ohjeita ja suosituksia loppukäyttäjien auttamiseksi tuotteiden tai palvelujen turvallisessa konfiguroinnissa, asennuksessa, käyttöönotossa, käytössä ja ylläpidossa). Tämä koskee myös niitä valmistajia tai tarjoajia, jotka ovat antaneet EU-vaatimustenmukaisuusilmoituksen.

Mitä lisäarvoa sertifiointikehys tuo erityisesti pk-yrityksille ja startup-yrityksille?

Pk-yritysten ja uusien yritysten on yleensä vaikeampi laajentua uusille markkinoille, joilla sovelletaan eri vaatimuksia. Sertifiointikehyksellä vähennetään tällaisia pk-yritysten ja uusien yritysten kohtaamia markkinoille pääsyn esteitä, sillä yritysten on haettava tuotteelleen sertifiointia vain kerran, ja saatu sertifiointi on voimassa kaikkialla EU:ssa. Turvallisempien ratkaisujen kysynnän odotetaan myös kasvavan maailmanlaajuisesti, joten yritykset – pk-yritykset mukaan luettuina – joiden tuotteet on sertifioitu, saavat kilpailuedun voidessaan tuoda markkinoille tällaisia turvallisempia tuotteita. Lisäksi se, että yrityksillä on mahdollisuus arvioida itse sellaisten tuotteiden, palvelujen ja prosessien vaatimustenmukaisuus, joiden riskit ovat alhaiset, parantaa entisestään sertifiointikehyksen houkuttelevuutta pk-yritysten ja uusien yritysten kannalta.

Esimerkkinä voisi olla pk-yritys, joka kehittää ja myy tieto- ja viestintätekniikan sovelluksia suuremmille yrityksille, jotka edellyttävät tietynlaisia vakuuksia siitä, että sovellukset ovat riittävän turvallisia ja että niiden kehitystyössä on noudatettu parhaita käytäntöjä koodauksen turvallisuuden osalta. Eurooppalaisen kyberturvallisuussertifikaatin avulla kyseinen pk-yritys voi osoittaa sekä tuotteidensa turvallisuuden että turvatut kehityskäytännöt ja täyttää näin ollen asiakkaidensa vaatimukset ei pelkästään yhdessä jäsenvaltiossa, mikä on tähän asti ollut tavanomaista, vaan kaikkialla EU:ssa.

Tuleeko kyberturvallisuussertifioinnista pakollista?

Sertifiointikehyksen mukaisesti perustetut järjestelmät ovat vapaaehtoisia. Myyjät voivat siis itse päättää, haluavatko ne hakea sertifiointia tuotteilleen. Kyberturvallisuusasetuksessa säädetään kuitenkin, että komissio arvioi hyväksyttyjen eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tehokkuutta ja käyttöä. Komissio arvioi erityisesti, pitäisikö tietty sertifiointijärjestelmä tehdä pakolliseksi EU:n lainsäädännön nojalla, jotta voidaan varmistaa tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien riittävä kyberturvallisuuden taso ja parantaa sisämarkkinoiden toimintaa. Myös muussa kansallisessa tai EU:n lainsäädännössä voitaisiin hyödyntää olemassa olevia järjestelmiä yksinkertaisena tapana asettaa velvoitteita tuotteille tai järjestelmille.

Kuinka EU:n kyberturvallisuusviraston asema vahvistuu?

Tähän asti EU:n kyberturvallisuusvirastolla on ollut väliaikainen toimeksianto, joka uusittiin edellisen kerran 2013 ja jonka oli määrä päättyä vuonna 2020. Kyberturvallisuusasetus antoi virastolle pysyvän toimeksiannon, mikä vakiinnutti sen aseman.

ENISAn nykyisiä tehtäviä, joihin kuuluvat muun muassa toimintapolitiikan kehittämisen ja täytäntöönpanon tukeminen ja kybervalmiuksien kehittäminen, on vahvistettu ja kohdennettu uudelleen. Sille on myös annettu uusia tehtäviä erityisesti kyberturvallisuuden sertifioinnin alalla.

Uusi toimeksianto sisältää ENISAlle jo vuoden 2016 verkko- ja tietoturvadirektiivissä uskotut tärkeät lisätehtävät, kuten tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden verkoston eli CSIRT-verkoston sihteeristön tehtävät. CSIRT-verkosto tuo yhteen EU:n jäsenvaltioiden kansalliset CSIRT-toimijat. Näiden lisävelvollisuuksien toteuttamiseksi ENISA saa lisätä henkilöstönsä määrää 50 prosenttia ja sen taloudelliset resurssit kaksinkertaistetaan 11:stä 23:een miljoonaan euroon viiden vuoden aikana.

Mitkä ovat ENISAn tärkeimmät tehtävät uuden toimeksiannon puitteissa?

  • Toimintapolitiikan täytäntöönpanon tukeminen kyberturvallisuuden alalla, erityisesti verkko- ja tietoturvadirektiivin ja muiden alojen (esim. energia, liikenne, rahoitus) poliittisten aloitteiden, joihin liittyy kyberturvallisuusnäkökohtia, täytäntöönpanon tukeminen. Lisäksi ENISAn tehtävänä on avustaa jäsenvaltioita tietosuojaa ja yksityisyyden suojaa koskevan unionin toimintapolitiikan ja lainsäädännön erityisten kyberturvallisuusnäkökohtien täytäntöönpanossa.
  • Kyberturvallisuusvalmiuksien kehittäminen esimerkiksi antamalla koulutusta EU:n ja kansallisten viranomaisten valmiuksien ja asiantuntemuksen parantamiseksi muun muassa kyberturvallisuuspoikkeamiin reagoimisessa ja kyberturvallisuuteen liittyvien sääntelytoimenpiteiden valvonnassa.
  • Markkinoihin liittyvät tehtävät (standardointi, kyberturvallisuussertifiointi), kuten kyberturvallisuusmarkkinoiden merkityksellisten kehityssuuntauksien analysointi, jotta kysyntä ja tarjonta saadaan vastaamaan paremmin toisiaan, ja tuen antaminen EU:n toimintapolitiikan kehittämiselle tieto- ja viestintätekniikan standardoinnin ja kyberturvallisuussertifioinnin aloilla.
  • Operatiivinen yhteistyö ja kriisinhallinta, joiden avulla ENISA pyrkii vahvistamaan nykyisiä ennalta ehkäiseviä operatiivisia valmiuksia ja tukemaan operatiivista yhteistyötä CSIRT-verkoston sihteeristönä toimiessaan. Lisäksi ENISA avustaa pyynnöstä jäsenvaltioita kyberturvallisuuspoikkeamien käsittelyssä. Sillä on myös oma roolinsa EU:n koordinoimissa vastatoimissa laajamittaisiin rajatylittäviin kyberturvallisuuspoikkeamiin ja -kriiseihin.
  • Koordinoitu haavoittuvuuksien julkistaminen: ENISA auttaa jäsenvaltioita ja unionin toimielimiä, virastoja ja elimiä niiden ottaessa käyttöön ja soveltaessa haavoittuvuuksien julkistamista koskevia toimintaperiaatteita vapaaehtoisuuden pohjalta. Se auttaa myös parantamaan yhteistyötä haavoittuvien tuotteiden ja palvelujen organisaatioiden, valmistajien ja tarjoajien sekä kyseisten haavoittuvuuksien löytämiseen pyrkivien kyberturvallisuustutkimusyhteisön jäsenten välillä.

Mitä Euroopan komission suosittelee yhteiseksi EU:n lähestymistavaksi 5G-verkkojen turvallisuuteen?

Viidennen sukupolven (5G) verkot muodostavat yhteiskuntiemme ja talouksiemme tulevan selkärangan, myös monilla kriittisillä aloilla, kuten energiahuollossa, liikenteessä, pankkitoiminnassa ja terveydenhoidossa. 5G-verkoissa korostuu tarve puuttua kaikkiin turvallisuutta ja luottamusta koskeviin haavoittuvuuksiin. Euroopan komissio antoi maaliskuussa 2019 suosituksen operatiivisista vaiheista ja toimenpiteistä, joilla varmistetaan korkeatasoinen 5G-verkkojen kyberturvallisuus EU:ssa. Suosituksessa jäsenvaltioita kehotettiin erityisesti saattamaan päätökseen EU:n laajuinen riskinarviointi vuoden 2019 lokakuuhun mennessä ja määrittämään mahdolliset riskienlieventämistoimet vuoden 2019 joulukuuhun mennessä. Lisätietoja suosituksen sisällöstä ja siinä ehdotetuista seuraavista vaiheista annetaan tässä lehdistötiedotteessa ja näissä kysymyksissä ja vastauksissa.

Mitä tapahtuu seuraavaksi?

Euroopan komissio on ehdottanut muun muassa Digitaalinen Eurooppa -ohjelmaa koskevassa ehdotuksessaan, että seuraavalla EU:n talousarviokaudella EU:ssa lisätään merkittävästi kyberturvallisuuteen ja kehittyneisiin digitaalisiin teknologioihin tehtäviä investointeja. Komissio on myös ehdottanut uutta Euroopan kyberturvallisuuden osaamiskeskusta ja verkostoa resurssien yhdistämiseksi ja painopistealojen koordinoimiseksi jäsenvaltioiden kanssa sekä asiaan liittyvien hankkeiden toteuttamiseksi kyberturvallisuuden alalla. Mainitulla ehdotuksella pyritään myös luomaan kansallisten koordinointikeskusten ja kyberturvallisuuden osaamiskeskittymien verkosto, jotta voidaan varmistaa parempi yhteistyö ja synergiat jäsenvaltioiden nykyisten asiantuntijoiden ja kyberturvallisuuteen erikoistuneiden rakenteiden välillä. Tämä liittyy erottamattomasti keskeiseen tavoitteeseen parantaa EU:n kyberturvallisuusteollisuuden kilpailukykyä ja tehdä kyberturvallisuudesta kilpailuetu myös muille eurooppalaisille teollisuudenaloille.

Lisätietoa

Esite – Vahvan kyberturvallisuuden rakentaminen Euroopalle

Tietosivu – Resilienssi, pelote ja puolustus: Vahvan kyberturvallisuuden rakentaminen EU:lle

Ehdotus: uusi Euroopan kyberturvallisuuden osaamiskeskus ja verkosto

Turvallisuusunioni: Viisitoista 22:sta lainsäädäntöaloitteesta hyväksytty

Lehdistötiedote: EU:n neuvottelijat sopivat Euroopan kyberturvallisuuden vahvistamisesta

Lehdistötiedote: Euroopan komissio suosittaa yhteistä EU:n lähestymistapaa 5G-verkkojen turvallisuuteen

QANDA/19/3369

Lisätietoa tiedotusvälineille:

Lisätietoa yleisölle: Europe Direct -palvelu, puh. 00 800 67 89 10 11 tai sähköposti


Side Bar