EU:n kyberturvallisuuden sertifiointikehys

EU:n kyberturvallisuuden sertifiointikehys mahdollistaa räätälöidyt ja riskiperusteiset EU:n sertifiointijärjestelmät.

Sertifioinnilla on ratkaiseva rooli digitaalisen maailman kannalta kriittisiin tuotteisiin ja palveluihin kohdistuvan luottamuksen ja turvallisuuden lisäämisessä. Tällä hetkellä EU:ssa on useita erilaisia tieto- ja viestintätekniikan tuotteiden turvallisuussertifiointijärjestelmiä. Ilman yhteistä kehystä EU:n laajuisille voimassa oleville kyberturvallisuussertifikaateille on kuitenkin yhä suurempi riski hajanaisuudesta ja esteistä jäsenvaltioiden välillä.

Sertifiointikehys

Sertifiointikehys tarjoaa EU:n laajuiset sertifiointijärjestelmät kattavina sääntöinä, teknisinä vaatimuksina, standardeina ja menettelyinä. Kehys perustuu EU:n tason sopimukseen tietyn tieto- ja viestintätekniikkaan perustuvan tuotteen tai palvelun turvallisuusominaisuuksien arvioinnista. Se todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut, jotka on sertifioitu tällaisen järjestelmän mukaisesti, täyttävät tietyt vaatimukset.

Kussakin eurooppalaisessa järjestelmässä olisi eriteltävä erityisesti seuraavat seikat:

Soveltamisalaan kuuluvat tuote- ja palveluluokat;
kyberturvallisuusvaatimukset, kuten standardit tai tekniset eritelmät;
arvioinnin tyyppi, kuten itsearviointi tai kolmas osapuoli;
Suunniteltu varmuustaso.

Varmuustasoja käytetään tiedottamaan käyttäjille tuotteen kyberturvallisuusriskistä, ja ne voivat olla perustasoisia, merkittäviä ja/tai korkeita. Ne ovat oikeassa suhteessa tuotteen, palvelun tai prosessin aiottuun käyttöön liittyvän riskin tasoon onnettomuuden todennäköisyyden ja vaikutusten osalta. Korkea varmuustaso tarkoittaisi, että sertifioitu tuote läpäisisi korkeimmat turvallisuustestit.

Tuloksena oleva todistus

Tuloksena oleva sertifikaatti tunnustetaan kaikissa EU:n jäsenvaltioissa, minkä ansiosta yritysten on helpompi käydä kauppaa rajojen yli ja ostajien on helpompi ymmärtää tuotteen tai palvelun turvaominaisuudet.

Lisätietoja EU:n kyberturvallisuussertifioinnin parissa tehdystä työstä on ENISAn kyberturvallisuussertifioinnissa.

Ensimmäinen yhteisiä kriteerejä koskeva EU:n kyberturvallisuuden sertifiointijärjestelmä (EUCC)

Ensimmäinen kyberturvallisuusasetuksen sertifiointikehyksen puitteissa hyväksyttävä järjestelmä perustuu tunnettuun kansainväliseen standardiin Common Criteria, jota on käytetty sertifikaattien myöntämiseen Euroopassa jo lähes 30 vuoden ajan. Järjestelmä hyödyntää yhteisten kriteerien mukaista sertifiointia käyttävien eurooppalaisten myyjien ja sertifioijien hyvää mainetta kaikkialla maailmassa. Järjestelmää aletaan soveltaa myyjiin 27. helmikuuta 2025 alkaen.

Järjestelmää sovelletaan EU:n laajuisesti vapaaehtoisuuden pohjalta, ja siinä keskitytään tieto- ja viestintätekniikan tuotteiden elinkaaren aikaisen kyberturvallisuuden sertifiointiin, mukaan lukien seuraavat:

Biometriset järjestelmät
Palomuurit (sekä laitteistot että ohjelmistot)
Havaitsemis- ja reagointialustat
Reitittimet
Kytkimet
Erikoisohjelmistot (kuten SIEM- ja IDS/IDP-järjestelmät)
Datadiodit
Käyttöjärjestelmät (myös mobiililaitteille)
Salatut varastot
Tietokannat
Älykortit ja turvalliset elementit sisältyvät kaikenlaisiin tuotteisiin, kuten kaikkien kansalaisten päivittäin käyttämiin passeihin.

Lisätietoja EUCC:stä on ENISAn sertifiointisivustolla.

Uudistettu eurooppalainen kyberturvallisuuden sertifiointikehys

Komissio ehdotti 20. tammikuuta 2026 tarkistettua kyberturvallisuusasetusta, jolla uusitaan eurooppalainen kyberturvallisuuden sertifiointikehys. Ehdotuksella varmistetaan, että EU:n kuluttajille päätyvien tuotteiden ja palvelujen turvallisuus testataan tehokkaammin. Uusi ECCF selkeyttää ja yksinkertaistaa menettelyjä järjestelmien kehittämiseksi oletusarvoisesti 12 kuukauden kuluessa. Sillä otetaan myös käyttöön ketterämpi ja avoimempi hallintotapa, jotta sidosryhmät saadaan paremmin mukaan yleisölle tiedottamisen ja julkisen kuulemisen avulla.

ENISAn hallinnoimista sertifiointijärjestelmistä tulee yrityksille käytännöllinen ja vapaaehtoinen väline. Niiden avulla yritykset voivat osoittaa noudattavansa EU:n lainsäädäntöä, mikä vähentää taakkaa ja kustannuksia. Se varmistaa EU:n kansalaisille, yrityksille ja viranomaisille korkean turvallisuustason ja luottamuksen monimutkaisiin tieto- ja viestintätekniikan toimitusketjuihin.

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma julkaistiin samaan aikaan kuin ensimmäinen EU:n laajuinen kyberturvallisuuden sertifiointijärjestelmä (EUCC). Ensimmäisessä URWP-työryhmässä hahmotellaan strategisia painopisteitä tuleville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ottaen huomioon lainsäädännön ja markkinoiden viimeaikainen kehitys, kuten kyberresilienssisäädös ja eurooppalaista digitaalista identiteettiä koskeva asetus. Tämä saattaa lopulta johtaa uusia järjestelmiä koskeviin pyyntöihin, jos se on tarpeen ja asianmukaista. Lisäksi siinä esitetään strategiset painopisteet, jotka on otettava huomioon valmisteltaessa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää.

URWP korostaa seuraavia aloja EU:n lainsäädäntöön liittyvälle tulevalle eurooppalaiselle kyberturvallisuussertifioinnille:

ID-lompakot
Hallitut turvallisuuspalvelut
Teollisuuden automaatio- ja ohjausjärjestelmät
Turvallisuuselinkaaren kehittäminen luottoluokituslaitoksen vaatimusten pohjalta
Salausmekanismit

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG)

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG) perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa. Se koostuu kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten edustajista tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. ECCG on keskeisessä asemassa valmisteltaessa ehdolla olevia sertifikaatteja koskevaa järjestelmää ja sertifiointikehyksen yleistä täytäntöönpanoa.

Sidosryhmien kyberturvallisuuden sertifiointiryhmä (SCCG)

Kyberturvallisuusasetuksen tultua voimaan vuonna 2019 perustettiin sidosryhmien kyberturvallisuuden sertifiointiryhmä.

SCCG:n tehtävänä on neuvoa komissiota ja ENISAa kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä ja avustaa komissiota unionin jatkuvan työohjelman valmistelussa. Tämä on ensimmäinen Euroopan komission perustama kyberturvallisuussertifioinnin sidosryhmien asiantuntijaryhmä.

Ryhmän työskentelyn seuraaminen

Viimeisimmät uutiset

LEHDISTÖTIEDOTE | 13 helmikuuta 2026

EU ottaa käyttöön uusia välineitä tieto- ja viestintätekniikan toimitusketjun turvallisuuden vahvistamiseksi

DIGIBYTE | 13 helmikuuta 2026

Tieto- ja viestintätekniikan toimitusketjun turvallisuus: EU:lta välineistö riskien lieventämiseksi

PRESS RELEASE | 11 helmikuuta 2026

Commission presents action plan to counter drone threats

LEHDISTÖTIEDOTE | 05 helmikuuta 2026

Komissio lisää merenalaisten kaapelien turvallisuutta 347 miljoonan euron investoinneilla ja uudella välineistöllä

DIGIBYTE | 29 tammikuuta 2026

Kyberturvallisuus: Euroopan unioni ja Japani järjestävät seitsemännen kybervuoropuhelun Brysselissä

LEHDISTÖTIEDOTE | 20 tammikuuta 2026

Komissio vahvistaa EU:n kyberturvallisuuden häiriönsietokykyä ja valmiuksia

Selaa uutisia: Kyberturvallisuus

Aiheeseen liittyvää

Aiheesta laajemmin

EU:n kyberturvallisuuspolitiikat

Euroopan unioni toimii eri rintamilla edistääkseen kyberuhkien sietokykyä, turvatakseen viestintämme ja datamme sekä pitääkseen verkkoyhteiskunnan ja -talouden turvassa.

Syventävää tietoa

Sidosryhmien kyberturvallisuuden sertifiointiryhmä
Sidosryhmien kyberturvallisuuden sertifiointiryhmä perustettiin antamaan neuvoja...