EU:n kyberturvallisuuden sertifiointikehys

Sertifioinnilla on keskeinen rooli luottamuksen ja turvallisuuden lisäämisessä digitaalimaailman tärkeisiin tuotteisiin ja palveluihin. EU:ssa on tällä hetkellä käytössä useita erilaisia tieto- ja viestintätekniikan tuotteiden turvallisuussertifiointijärjestelmiä. Ilman EU:n laajuisia voimassa olevia kyberturvallisuussertifikaatteja koskevaa yhteistä kehystä on kuitenkin yhä suurempi riski pirstoutumisesta ja esteistä jäsenvaltioiden välillä.

Sertifiointikehys tarjoaa EU:n laajuisia sertifiointijärjestelmiä kattavina sääntöinä, teknisinä vaatimuksina, standardeina ja menettelyinä. Kehys perustuu EU:n tason sopimukseen tietyn tieto- ja viestintätekniikkaan perustuvan tuotteen tai palvelun turvallisuusominaisuuksien arvioinnista. Se todistaa, että tällaisen järjestelmän mukaisesti sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut täyttävät tietyt vaatimukset.

Kussakin eurooppalaisessa järjestelmässä olisi erityisesti täsmennettävä:

• soveltamisalaan kuuluvat tuote- ja palveluluokat;
• kyberturvallisuusvaatimukset, kuten standardit tai tekniset eritelmät;
• arvioinnin tyyppi, kuten itsearviointi tai kolmas osapuoli;
• suunniteltu varmuustaso.

Varmuustasoja käytetään tiedottamaan käyttäjille tuotteen kyberturvallisuusriskistä, ja ne voivat olla perusluonteisia, merkittäviä ja/tai suuria. Ne ovat oikeassa suhteessa tuotteen, palvelun tai prosessin aiottuun käyttöön liittyvän riskin tasoon onnettomuuden todennäköisyyden ja vaikutuksen osalta. Korkea varmuustaso merkitsisi sitä, että sertifioitu tuote läpäisi korkeimmat turvallisuustestit.

Tuloksena oleva todistus tunnustetaan kaikissa EU:n jäsenvaltioissa, minkä ansiosta yritysten on helpompi käydä kauppaa yli rajojen ja jotta ostajat ymmärtävät tuotteen tai palvelun turvaominaisuudet.

Yhteisiin kriteereihin perustuva kyberturvallisuuden sertifiointijärjestelmä

Ensimmäinen kyberturvallisuussäädöksen sertifiointikehyksen mukainen järjestelmä perustuu tunnettuihin yhteisiin standardeihin, joita käytetään sertifikaattien myöntämiseen Euroopassa lähes 30 vuoden ajan. Järjestelmässä hyödynnetään sellaisten eurooppalaisten toimittajien ja sertifioijien korkeaa mainetta, jotka käyttävät yhteisiä kriteerejä koskevaa sertifiointia kaikkialla maailmassa. 

Järjestelmää sovelletaan vapaaehtoispohjalta EU:n laajuisesti, ja siinä keskitytään varmentamaan tieto- ja viestintätekniikan tuotteiden kyberturvallisuus niiden elinkaaren aikana: biometriset järjestelmät, palomuurit (sekä laitteistot että ohjelmistot), tunnistus- ja reagointialustat, reitittimet, kytkimet, erikoistuneet ohjelmistot (kuten SIEM- ja IDS/IDP-järjestelmät), datadiodit, käyttöjärjestelmät (myös mobiililaitteita varten), salatut tallennustilat, tietokannat sekä älykortit ja turvalliset elementit, jotka sisältyvät kaikenlaisiin tuotteisiin, kuten kaikkien kansalaisten päivittäin käyttämiin passeihin. 

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma (URWP)

EU:n kyberturvallisuussäädöksessä säädetään, että komissio julkaisee eurooppalaista kyberturvallisuussertifiointia koskevan unionin jatkuvan työohjelman, jossa esitetään strateginen visio ja pohditaan mahdollisia aloja tulevia eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä varten ottaen huomioon lainsäädännön ja markkinoiden viimeaikainen kehitys. 

Kun otetaan huomioon kyberresilienssisäädös ja muu lainsäädännöllinen kehitys, kuten eurooppalainen digitaalista identiteettiä koskeva asetus, ensimmäisessä URWP-työryhmässä viitataan tulevaisuuden eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien aloihin, jotka liittyvät lainsäädännön kehitykseen, sekä kyberturvallisuussertifioinnin tulevaa pohdintaa koskeviin aloihin, jotka saattavat lopulta johtaa pyyntöihin uusista järjestelmistä silloin, kun se on tarpeen ja asianmukaista. Lisäksi siinä esitetään strategiset painopisteet, jotka on otettava huomioon valmisteltaessa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä. 

URWP korostaa tulevan eurooppalaisen kyberturvallisuussertifioinnin aloilla, jotka liittyvät EU:n lainsäädäntöön, erityisesti ID-lompakoihin ja hallittuihin turvallisuuspalveluihin.  Muita aloja voivat olla teollisuusautomaatio- ja valvontajärjestelmät ja turvallisuuden elinkaaren kehittäminen luottoluokituslaitosten vaatimusten pohjalta sekä salausmekanismit.  

Euroopan kyberturvallisuuden sertifiointiryhmä 

Euroopan kyberturvallisuuden sertifiointiryhmä perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa. Se koostuu kansallisten kyberturvallisuussertifiointiviranomaisten tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. ECCG on keskeisessä asemassa valmisteltaessa ehdokastodistusjärjestelmää ja sertifiointikehyksen yleistä täytäntöönpanoa.

Sidosryhmien kyberturvallisuuden sertifiointiryhmä

Kyberturvallisuusasetuksen tultua voimaan vuonna 2019 perustettiin sidosryhmien kyberturvallisuuden sertifiointiryhmä. 

Valvontatyöryhmän tehtävänä on antaa komissiolle ja ENISAlle neuvoja kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä ja avustaa komissiota unionin jatkuvan työohjelman valmistelussa. Tämä on ensimmäinen Euroopan komission perustama kyberturvallisuussertifioinnin sidosryhmien asiantuntijaryhmä.

Seuraa ryhmän työskentelyä