EU toteuttaa toimia kyberturvallisuuspoikkeamien ehkäisemiseksi, havaitsemiseksi, niihin reagoimiseksi ja niiden ehkäisemiseksi.
Nykyään suuri osa elämästämme tapahtuu verkossa. Varmistaaksemme, että olemme siellä turvassa, meidän on investoitava kyberturvallisuuteen: osaamiseemme, asiantuntijoihimme, turvallisiin laitteistoihin, ohjelmistoihin ja kriittisten palvelujen (kuten liikenteen, energian tai talouden) turvallisuuteen. Meidän on varmistettava nopea tiedonvaihto kyberturvallisuuspoikkeamien torjunnasta vastaavien viranomaisten ja virastojen välillä, ja meidän on parannettava kyberuhkien sietokykyämme.
Kaikkien olisi voitava elää digitaalista elämäänsä turvallisesti. Euroopan komissio auttaa tämän varmistamisessa
1. Toimijoiden turvallisuuden parantaminen useilla kriittisillä aloilla sekä laitteisto- ja ohjelmistotuotteet, kuten verkkoon liitetyt esineet
2. Yhteisten valmiuksien vahvistaminen merkittäviin kyberhyökkäyksiin vastaamiseksi
3. Yhteistyö kumppaneiden kanssa ympäri maailmaa kansainvälisen turvallisuuden ja vakauden varmistamiseksi kybertoimintaympäristössä
Komission lähestymistapa kyberturvallisuuteen perustuu neljään periaatteeseen:
1. Ennaltaehkäise
2. Havaitse
3. Vastaus
4. Ennaltaehkäisevä
1. Ennaltaehkäise
NIS 2 -direktiivi
NIS 2 -direktiivi auttaa parantamaan kyberturvallisuuden yleistä tasoa EU:ssa.
Sillä laajennetaan ensimmäisen verkko- ja tietoturvadirektiivin soveltamisalaa kattamaan laajempi joukko operaattoreita ja parannetaan julkisten ja yksityisten toimijoiden, toimivaltaisten viranomaisten ja koko EU:n häiriönsietokykyä ja valmiuksia reagoida poikkeamiin.
Sen tavoitteena on rakentaa:
Turvallisuuden kulttuuri
Jäsenvaltioiden valmius
Jäsenvaltioiden välisen yhteistyön parantaminen
Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään viimeistään 17. lokakuuta 2024.
Kyberturvallisuusasetus (sertifiointi)
Luo eurooppalaisen kyberturvallisuuden sertifiointikehyksen
Vahvistaa EU:n kyberturvallisuusvirastoa ENISAa
Täydentää verkko- ja tietoturvadirektiiviä (NIS-direktiivi)
Jos EU:n laajuisille voimassa oleville kyberturvallisuussertifikaateille ei ole yhteistä kehystä, jäsenvaltioiden välisen hajanaisuuden ja esteiden riski kasvaa.
Sertifiointikehys tarjoaa EU:n laajuiset sertifiointijärjestelmät.
Kansalaiset saavat läpinäkyvyyttä tuotteiden ja palvelujen turvallisuusominaisuuksista
Myyjillä ja tarjoajilla on kilpailuetu, joka vastaa turvallisempien digitaalisten ratkaisujen kasvavaan tarpeeseen
Kyberresilienssisäädös
Joka 11. sekunti tapahtuu kiristyshaittaohjelmahyökkäys.
Kiristysohjelmahyökkäykset maksoivat maailmalle noin 20 miljardia euroa vuonna 2021.
10 miljoonaa DDoS-hyökkäystä käynnistettiin vuonna 2021 eri puolilla maailmaa
EU puuttuu tähän ottamalla käyttöön kaikkien aikojen ensimmäisen EU:n laajuisen lainsäädännön, kyberresilienssisäädöksen.
Kyberresilienssissä otetaan käyttöön pakolliset kyberturvallisuusvaatimukset laitteisto- ja ohjelmistotuotteille niiden koko elinkaaren ajan.
Valmistajien on
Varmistetaan, että kyberturvallisuus otetaan huomioon tuotteiden kaikissa vaiheissa
Annetaan selkeät ja ymmärrettävät ohjeet digitaalisia elementtejä sisältävien tuotteiden turvallisesta käytöstä
Varmistetaan, että haavoittuvuuksia käsitellään tehokkaasti tukikauden ajan, erityisesti tarjoamalla käyttäjille tietoturvapäivityksiä
Raportoi aktiivisesti hyödynnetyistä haavoittuvuuksista ja poikkeamista
Kyberresilienssisäädöksen on määrä tulla voimaan vuoden 2024 jälkipuoliskolla, ja valmistajien on saatettava vaatimustenmukaisia tuotteita unionin markkinoille vuoteen 2027 mennessä.
Kyberhätätilanteiden mekanismin ja kyberturvallisuuspoikkeamien uudelleentarkastelumekanismin valmius
Kyberturvallisuuspoikkeamien uudelleentarkastelumekanismi on osa kybersolidaarisuussäädöstä.
- Tarkastellaan ja arvioidaan tiettyä merkittävää kyberturvallisuuspoikkeamaa
- Laadi raportti saaduista kokemuksista ja suosituksista
ENISA toteuttaa tämän komission tai EU-CyCLONen pyynnöstä.
2. Havaitse
Kybersolidaarisuussäädös
EU:n kybersolidaarisuussäädöksellä vahvistetaan EU:n solidaarisuutta ja koordinoituja toimia kasvavien kyberturvallisuusuhkien ja -poikkeamien havaitsemiseksi, niihin valmistautumiseksi ja niihin reagoimiseksi tehokkaasti.
Miten?
Euroopan kyberturvallisuuden hälytysjärjestelmä
- Kansallisten ja rajat ylittävien turvaoperaatiokeskusten verkosto
- Kyberuhkia ja -poikkeamia koskevien tietojen havaitseminen ja analysointi
- antaa oikea-aikaisia varoituksia yli rajojen
3. Vastaus
Kyberkriisinhallinta
EU-CyCLONe
Euroopan kyberkriisien yhteysorganisaatioiden verkosto on kyberkriisinhallinnasta vastaavien jäsenvaltioiden kansallisten viranomaisten yhteistyöverkosto. Se tukee yhteistyötä ja auttaa jäsenvaltioita kehittämään oikea-aikaista tiedonvaihtoa ja tilannetietoisuutta.
CSIRT-verkosto
Tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden verkosto koostuu jäsenvaltioiden CSIRT-toimijoista ja CERT-EU-toimijoista. Se perustettiin vuonna 2016, ja se auttaa kehittämään luottamusta ja edistämään nopeaa ja tehokasta yhteistyötä jäsenvaltioiden välillä.
Kyberhätätilanteiden mekanismit
Osa kybersolidaarisuussäädöstä, kyberhätätilanteiden mekanismit:
- Parannetaan varautumista testaamalla kriittisillä aloilla toimivia toimijoita
- Perustetaan EU:n kyberturvallisuusreservi, johon sisältyy poikkeamiin reagointipalveluja
- Taloudellisen tuen antaminen keskinäiselle avunannolle
4. Ennaltaehkäisevä
Edellä mainittuun lainsäädäntöön sisältyvien toimien lisäksi komissio pyrkii torjumaan kyberrikollisuutta kyberpuolustuspolitiikkansa ja kyberdiplomatian välineistönsä avulla.
Kyberpuolustuspolitiikka
EU:n kyberpuolustuspolitiikka perustuu neljään pilariin, jotka kattavat monenlaisia aloitteita, jotka auttavat EU:ta ja jäsenvaltioita:
- Toimitaan yhdessä vahvemman EU:n kyberpuolustuksen puolesta
- EU:n puolustusekosysteemin turvaaminen
- Investoiminen kyberpuolustusvalmiuksiin
- Kumppanuus yhteisiin haasteisiin vastaamiseksi
Kyberdiplomatian välineistö
Kyberdiplomatian välineistö hyväksyttiin vuonna 2017. Se sisältää EU:n yhteiseen ulko- ja turvallisuuspolitiikkaan kuuluvia toimenpiteitä, joita voidaan käyttää jäsenvaltioihin kohdistuvia haitallisia kyberoperaatioita vastaan.
Välineistöä täydennettiin EU:n kyberturvallisuusstrategialla 0f 2020, jolla pyritään muun muassa vahvistamaan EU:n johtoasemaa kyberturvallisuuden alalla.
Neuvosto hyväksyi vuonna 2023 välineistöä koskevat tarkistetut suuntaviivat vastauksena kyberhyökkäysten lisääntyvään kehittyneisyyteen.
Kyberturvallisuuden tukeminen
Rahoitus
- Horisontti Eurooppa -puiteohjelma
- Digitaalinen Eurooppa -ohjelma
- Elpymis- ja palautumistukiväline
Euroopan kyberturvallisuuden osaamiskeskus
Euroopan kyberturvallisuuden osaamiskeskus (ECCC) auttaa luomaan EU:n laajuisen kyberturvallisuuden teollisen ja tutkimusekosysteemin. Siinä esitetään parhaat tavat hyödyntää olemassa olevia resursseja ja asiantuntemusta eri puolilla Eurooppaa.
Sen viisi päätavoitetta ovat seuraavat:
- Osallistutaan uusimman kyberturvallisuusteknologian käyttöönottoon
- Taloudellisen tuen ja teknisen avun antaminen kyberturvallisuusalan startup-yrityksille
- Tuetaan kattavaan toimintasuunnitelmaan perustuvaa tutkimusta ja innovointia
- Edistetään korkeita kyberturvallisuusstandardeja teknologiassa, järjestelmissä ja taidoissa
- Helpotetaan siviili- ja puolustusalojen välistä yhteistyötä ja lisätään Euroopan puolustusrahastoon liittyviä synergioita
ECCC saavuttaa tämän seuraavin toimin:
Koordinointi
yhteistyö kansallisten koordinointikeskusten verkoston kanssa vahvan kyberturvallisuusyhteisön rakentamiseksi
INVESTOINTI
strategisten investointipäätösten tekeminen ja resurssien yhdistäminen
TÄYTÄNTÖÖNPANO
Horisontti Eurooppa -puiteohjelman ja Digitaalinen Eurooppa -ohjelman rahoitustuen käyttö
Kyberturvallisuusakatemia
76 prosentilla kyberturvallisuuteen liittyvissä rooleissa työskentelevistä työntekijöistä ei ole muodollista pätevyyttä tai sertifioitua koulutusta
56 %:lla yrityksistä ei ole yhtään naista kyberturvallisuusrooleissa
45 prosentilla yrityksistä on vaikeuksia löytää päteviä ehdokkaita
Kyberturvallisuusakatemian tavoitteena on käsitellä edellä mainittuja kysymyksiä ja paljon muuta kokoamalla yhteen olemassa olevia kybertaitoaloitteita. EU tarvitsee kiireellisesti ammattilaisia, joilla on kyberhyökkäysten ehkäisemiseen, havaitsemiseen, estämiseen ja puolustamiseen tarvittavat taidot ja osaaminen.
Akatemia perustuu neljään toiminta-alueeseen:
- Tietämyksen tuottaminen ja koulutus
- Rahoitus ja hankkeet
- Sidosryhmien osallistuminen
- Edistymisen mittaaminen
Akatemialla on kolme päätavoitetta:
- Kyberturvallisuuden osaamisvajeen umpeen kurominen
- Vahvistetaan EU:n kybertyövoimaa
- EU:n kilpailukyvyn, kasvun ja häiriönsietokyvyn parantaminen
ENISA
ENISA on Euroopan unionin kyberturvallisuusvirasto. Sen tarkoituksena on luoda korkeatasoinen yhteinen kyberturvallisuus kaikkialla EU:ssa.
- Kyberturvallisuusvalmiuksien kehittäminen
- Operatiivinen yhteistyö ja kriisinhallinta
- Koordinoitu haavoittuvuuksien julkistaminen
- Markkinoihin liittyvät tehtävät
- Kyberturvallisuuden standardointi ja sertifiointi
- Politiikan kehittäminen ja täytäntöönpano
Aiheeseen liittyvä sisältö
EU on hahmotellut kyberturvallisuusstrategian, jolla parannetaan Euroopan kykyä torjua...