ELi küberturvalisuse sertifitseerimise raamistik

Sertifitseerimisel on oluline roll usalduse ja turvalisuse suurendamisel digimaailma jaoks elutähtsate toodete ja teenuste vastu. Praegu on ELis olemas mitu erinevat IKT-toodete turvalisuse sertifitseerimise kava. Ilma kogu ELis kehtivate küberturvalisuse sertifikaatide ühise raamistikuta on aga üha suurem oht killustumiseks ja tõketeks liikmesriikide vahel.

Sertifitseerimisraamistik

Sertifitseerimisraamistikuga nähakse ette kogu ELi hõlmavad sertifitseerimissüsteemid, mis kujutavad endast eeskirjade, tehniliste nõuete, standardite ja menetluste terviklikku kogumit. Raamistik põhineb ELi tasandil sõlmitud kokkuleppel konkreetse IKT-põhise toote või teenuse turvaomaduste hindamise kohta. Sellega tõendatakse, et sellise kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kindlaksmääratud nõuetele.

Eelkõige peaks iga Euroopa kava täpsustama järgmist:

• hõlmatud toodete ja teenuste kategooriad;
• küberturvalisuse nõuded, näiteks standardid või tehnilised kirjeldused;
• hindamise liik, näiteks enesehindamine või kolmas isik;
• Kavandatav kindlustase.

Usaldusväärsuse tasemeid kasutatakse kasutajate teavitamiseks toote küberturvalisuse riskist ning need võivad olla põhilised, olulised ja/või kõrged. Need on õnnetuse tõenäosuse ja mõju poolest vastavuses toote, teenuse või protsessi kavandatud kasutamisega seotud riski tasemega. Kõrge usaldusväärsuse tase tähendaks, et sertifitseeritud toode läbiks kõrgeimad turvatestid.

Saadud sertifikaat

Saadud sertifikaati tunnustatakse kõigis ELi liikmesriikides, mis lihtsustab ettevõtjate piiriülest kaubandust ja ostjate arusaamist toote või teenuse turvaelementidest.

Lisateavet ELi küberturvalisuse sertifitseerimise valdkonnas tehtud töö kohta leiate ENISA küberturvalisuse sertifitseerimise veebisaidilt.

Esimene ELi küberturvalisuse sertifitseerimise kava ühiste kriteeriumide kohta

Esimene kava, mis võetakse vastu küberturvalisuse määruse sertifitseerimisraamistiku alusel, põhineb tunnustatud rahvusvahelistel standardsetel ühiskriteeriumidel, mida kasutatakse sertifikaatide väljaandmiseks Euroopas juba peaaegu 30 aastat. Kavas kasutatakse ära ühistel kriteeriumidel põhinevat sertifitseerimist kasutavate Euroopa müüjate ja sertifitseerijate head mainet kogu maailmas. Kava hakkab olema müüjatele kättesaadav alates 27. veebruarist 2025.

Kava kohaldatakse kogu ELis vabatahtlikkuse alusel ja selles keskendutakse IKT-toodete küberturvalisuse sertifitseerimisele nende olelusringi jooksul, sealhulgas:

• Biomeetrilised süsteemid
• Tulemüürid (nii riist- kui ka tarkvara)
• Tuvastamis- ja reageerimisplatvormid
• Ruuterid
• Lülitid
• Spetsiaalne tarkvara (nt SIEM- ja IDS/IDP-süsteemid)
• Andmedioodid
• Operatsioonisüsteemid (sh mobiilseadmetele)
• Krüpteeritud salvestusruumid
• Andmebaasid
• Kiipkaardid ja turvaelemendid, mis sisalduvad igasugustes toodetes, näiteks passides, mida kõik kodanikud igapäevaselt kasutavad. 

EUCC kohta lisateabe saamiseks tutvuge ENISA sertifitseerimisveebisaidiga.

Uuendatud Euroopa küberturvalisuse sertifitseerimise raamistik

20. jaanuaril 2026 tegi komisjon ettepaneku läbivaadatud küberturvalisuse õigusakti kohta, millega uuendatakse Euroopa küberturvalisuse sertifitseerimise raamistikku. Ettepanekuga tagatakse, et ELi tarbijateni jõudvate toodete ja teenuste turvalisust testitakse tõhusamalt. Uus ECCF toob kavade väljatöötamiseks rohkem selgust ja lihtsustab menetlusi vaikimisi 12 kuu jooksul. Samuti võetakse kasutusele kiirem ja läbipaistvam juhtimine, et kaasata sidusrühmi paremini üldsuse teavitamise ja konsulteerimise kaudu.

ENISA hallatavatest sertifitseerimiskavadest saab ettevõtjate jaoks praktiline ja vabatahtlik vahend. Need võimaldavad ettevõtjatel tõendada vastavust ELi õigusaktidele, vähendades koormust ja kulusid. ELi kodanike, ettevõtjate ja avaliku sektori asutuste jaoks tagab see kõrgetasemelise turvalisuse ja usalduse keerukate IKT tarneahelate vastu. 

Euroopa küberturvalisuse sertifitseerimise liidu jooksev tööprogramm

Euroopa küberturvalisuse sertifitseerimist käsitlev liidu jooksev tööprogramm avaldati samal ajal kui esimene kogu ELi hõlmav küberturvalisuse sertifitseerimise kava. Esimeses tööprogrammis kirjeldatakse tulevaste Euroopa küberturvalisuse sertifitseerimise kavade strateegilisi prioriteete, võttes arvesse hiljutisi seadusandlikke ja turusuundumusi, nagu küberkerksuse määrus ja Euroopa digiidentiteedi määrus. See võib lõpuks viia uute kavade taotlemiseni, kui see on vajalik ja asjakohane. Lisaks kirjeldatakse selles strateegilisi prioriteete, mida tuleb Euroopa küberturvalisuse sertifitseerimise kava koostamisel arvesse võtta. 

URWP rõhutab järgmisi tulevase Euroopa küberturvalisuse sertifitseerimise valdkondi, mis on seotud ELi õigusaktidega:

• ID Rahakotid
• Hallatud turvateenused
• Tööstusautomaatika ja juhtimissüsteemid
• Reitinguagentuuride nõuetel põhinev turvalisuse olelusringi arendamine
• Krüptograafilised mehhanismid

Euroopa küberturvalisuse sertifitseerimise rühm (ECCG)

Euroopa küberturvalisuse sertifitseerimise rühm loodi selleks, et aidata tagada küberturvalisuse määruse järjepidev rakendamine ja kohaldamine. See koosneb riiklike küberturvalisuse sertifitseerimise asutuste esindajatest või muude asjaomaste riiklike asutuste esindajatest. Euroopa küberturvalisuse sertifitseerimise rühmal on oluline roll ettevalmistava sertifitseerimiskava ettevalmistamisel ja sertifitseerimisraamistiku üldisel rakendamisel.

Sidusrühmade küberturvalisuse sertifitseerimise rühm

Pärast küberturvalisuse määruse jõustumist 2019. aastal loodi sidusrühmade küberturvalisuse sertifitseerimise rühm. 

SCCG ülesanne on nõustada komisjoni ja ENISAt küberturvalisuse sertifitseerimise strateegilistes küsimustes ning abistada komisjoni liidu jooksva tööprogrammi ettevalmistamisel. See on esimene Euroopa Komisjoni loodud küberturvalisuse sertifitseerimise sidusrühmade eksperdirühm.

Jälgige rühma tööd