ELi küberturvalisuse määrus

ENISA uued volitused

Euroopa Liidu Küberturvalisuse Amet (ENISA) on nüüd tugevam. ELi küberturvalisuse määrusega antakse ametile alalised volitused ning rohkem ressursse ja uusi ülesandeid.

ENISA-l on võtmeroll Euroopa küberturvalisuse sertifitseerimise raamistiku loomisel ja haldamisel, valmistades ette konkreetsete sertifitseerimiskavade tehnilist alust. Selle ülesanne on teavitada üldsust sertifitseerimiskavadest ja väljastatud sertifikaatidest spetsiaalse veebisaidi kaudu. 

ENISA-l on volitused suurendada operatiivkoostööd ELi tasandil, aidates ELi liikmesriike, kes soovivad seda teha, oma küberintsidentidega toime tulla, ning toetades ELi koordineerimist ulatuslike piiriüleste küberrünnete ja kriiside korral.

See ülesanne tugineb ENISA rollile võrgu- ja infosüsteemide turvalisuse direktiiviga (küberturvalisuse direktiiv) loodud riiklike küberturbe intsidentide lahendamise üksuste (CSIRTide) võrgustiku sekretariaadina.

2026. aasta jaanuaris tegi komisjon ettepaneku võtta vastu uus küberturvalisust käsitlev õigusakt, et veelgi tugevdada ELi küberturvalisuse alast vastupanuvõimet ja suutlikkust. Ettepaneku kohaselt toetab ENISA veelgi ELis tegutsevaid ettevõtjaid ja sidusrühmi, andes varajasi hoiatusi küberohtude ja -intsidentide kohta. 

Koostöös Europoli ja küberturbe intsidentide lahendamise üksustega (CSIRTid) toetatakse ettevõtjaid lunavararünnetele reageerimisel ja neist taastumisel.

ENISA arendab välja ka liidu ühise nõrkuste haldamise teenuse suutlikkuse ja osutab nõrkuste haldamise teenuseid sidusrühmadele. Ta haldab digitaalses koondõigusaktis kavandatud intsidentidest teatamise ühtset kontaktpunkti.

Läbivaadatud küberturvalisuse määruse eesmärk on ka vähendada küberturvalisuse probleemidega kolmandate riikide tarnijate riske ELi IKT tarneahelas. Sellega kehtestatakse usaldusväärne IKT tarneahela turvalisuse raamistik, kasutades ühtlustatud, proportsionaalset ja riskipõhist lähenemisviisi. Hiljutised küberturvalisuse intsidendid on toonud esile IKT tarneahelate nõrkustega seotud suured riskid, mis on elutähtsate teenuste ja taristu jaoks hädavajalikud.

Euroopa küberturvalisuse sertifitseerimise raamistik

ELi küberturvalisuse määrusega kehtestatakse kogu ELi hõlmav küberturvalisuse sertifitseerimise raamistik IKT toodete, teenuste ja protsesside jaoks. ELis tegutsevad ettevõtted saavad kasu sellest, et nad peavad oma IKT-tooteid, -protsesse ja -teenuseid sertifitseerima ainult üks kord ja nende sertifikaate tunnustatakse kogu Euroopa Liidus.

Läbivaadatud küberturvalisuse õigusakti ettepanekuga toob uuendatud Euroopa küberturvalisuse sertifitseerimise raamistik rohkem selgust ja lihtsustab menetlusi kavade väljatöötamiseks vaikimisi 12 kuu jooksul. 

Sihipärased muudatusettepanekud

18. aprillil 2023 tegi komisjon ettepaneku ELi küberturvalisuse määruse sihipäraseks muutmiseks. See sihipärane muudatus võeti vastu 15. jaanuaril 2025 ja selle eesmärk on võimaldada tulevikus vastu võtta hallatud turbeteenuste Euroopa sertifitseerimiskavad, mis hõlmavad selliseid valdkondi nagu intsidentidele reageerimine, läbistustestimine, turvaauditid ja konsultatsioonid. Sertifitseerimine on keskse tähtsusega, et tagada nende väga kriitiliste ja tundlike küberturvalisuse teenuste kõrge kvaliteet ja usaldusväärsus, mis aitavad ettevõtetel ja organisatsioonidel intsidente ennetada, avastada, neile reageerida või neist taastuda.

20. jaanuaril 2026 tegi komisjon ka ettepaneku küberturvalisuse 2. direktiivi sihipäraste muudatuste kohta, et suurendada õigusselgust. Muudatustega lihtsustatakse ELis tegutsevate ettevõtete vastavust ELi küberturvalisuse eeskirjadele ja riskijuhtimisnõuetele. Need lihtsustavad nõuete täitmist 28 700 ettevõtte, sealhulgas 6 200 mikro- ja väikeettevõtte jaoks.