Tieto- ja viestintätekniikan tuotteiden EU:n kyberturvallisuuden sertifiointikehys mahdollistaa räätälöityjen ja riskiperusteisten EU:n sertifiointijärjestelmien luomisen.
Sertifioinnilla on keskeinen rooli luottamuksen ja turvallisuuden lisäämisessä digitaalisen maailman tärkeisiin tuotteisiin ja palveluihin. EU:ssa on tällä hetkellä käytössä useita erilaisia tieto- ja viestintätekniikan tuotteiden turvallisuussertifiointijärjestelmiä. Ilman EU:n laajuisia voimassa olevia kyberturvallisuussertifikaatteja koskevaa yhteistä kehystä on kuitenkin olemassa kasvava hajanaisuuden ja esteiden riski jäsenvaltioiden välillä.
Sertifiointikehys tarjoaa EU:n laajuiset sertifiointijärjestelmät kattavina sääntöinä, teknisinä vaatimuksina, standardeina ja menettelyinä. Kehys perustuu EU:n tasolla tehtävään sopimukseen tietyn tieto- ja viestintätekniikkaan perustuvan tuotteen tai palvelun turvallisuusominaisuuksien arvioinnista. Se todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut, jotka on sertifioitu tällaisen järjestelmän mukaisesti, ovat määriteltyjen vaatimusten mukaisia.
Kussakin eurooppalaisessa järjestelmässä olisi eriteltävä erityisesti seuraavat seikat:
- soveltamisalaan kuuluvat tuote- ja palveluluokat;
- kyberturvallisuusvaatimukset, kuten standardit tai tekniset eritelmät;
- arvioinnin tyyppi, kuten itsearviointi tai kolmas osapuoli;
- tavoiteltu varmuustaso.
Varmuustasoja käytetään tiedottamaan käyttäjille tuotteen kyberturvallisuusriskistä, ja ne voivat olla perustasoisia, merkittäviä ja/tai korkeita. Ne ovat oikeassa suhteessa tuotteen, palvelun tai prosessin aiottuun käyttöön liittyvän riskin tasoon onnettomuuden todennäköisyyden ja vaikutusten osalta. Korkea varmuustaso tarkoittaisi, että sertifioitu tuote läpäisi korkeimmat turvallisuustestit.
Todistus tunnustetaan kaikissa EU:n jäsenvaltioissa, minkä ansiosta yritysten on helpompi käydä kauppaa rajojen yli ja ostajien on helpompi ymmärtää tuotteen tai palvelun turvaominaisuudet.
Lisätietoja EU:n kyberturvallisuussertifiointia koskevasta työstä on ENISAn kyberturvallisuussertifioinnissa.
EU:n kyberturvallisuuden sertifiointijärjestelmä (EUCC)
Ensimmäinen kyberturvallisuusasetuksen sertifiointikehyksen nojalla hyväksyttävä järjestelmä perustuu tunnettuihin kansainvälisiin standardeihin Common Criteria, joita on käytetty sertifikaattien myöntämiseen Euroopassa jo lähes 30 vuoden ajan. Järjestelmässä hyödynnetään yhteisten kriteerien mukaista sertifiointia käyttävien eurooppalaisten myyjien ja sertifioijien hyvää mainetta kaikkialla maailmassa. Järjestelmää aletaan soveltaa myyjiin 27. helmikuuta 2025 alkaen.
Järjestelmää sovelletaan vapaaehtoiselta pohjalta EU:n laajuisesti, ja siinä keskitytään tieto- ja viestintätekniikan tuotteiden kyberturvallisuuden sertifiointiin niiden elinkaaren aikana: biometriset järjestelmät, palomuurit (sekä laitteistot että ohjelmistot), havaitsemis- ja reagointialustat, reitittimet, kytkimet, erikoisohjelmistot (kuten SIEM- ja IDS/IDP-järjestelmät), datadiodit, käyttöjärjestelmät (myös mobiililaitteille), salatut tallennustilat, tietokannat sekä älykortit ja turvalliset elementit, jotka sisältyvät kaikenlaisiin tuotteisiin, kuten kaikkien kansalaisten päivittäin käyttämiin passeihin.
Lisätietoja EUCC:stä on ENISAn sertifiointisivustolla.
Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma
EU:n kyberturvallisuusasetuksessa säädetään, että komissio julkaisee eurooppalaista kyberturvallisuussertifiointia koskevan unionin jatkuvan työohjelman, asiakirjan, jossa esitetään strateginen visio ja pohditaan mahdollisia aloja tuleville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ottaen huomioon lainsäädännön ja markkinoiden viimeaikainen kehitys.
Kun otetaan huomioon kyberresilienssisäädös ja muu lainsäädännön kehitys, kuten eurooppalaista digitaalista identiteettiä koskeva asetus, ensimmäisessä unionin tietosuojatyöryhmässä tuodaan esiin aloja tulevia eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä varten, jotka liittyvät lainsäädännön kehitykseen, sekä aloja, joilla voidaan tulevaisuudessa pohtia kyberturvallisuussertifiointia, mikä saattaa lopulta johtaa uusia järjestelmiä koskeviin pyyntöihin, kun se on tarpeen ja asianmukaista. Lisäksi siinä esitetään strategiset painopisteet, jotka on otettava huomioon valmisteltaessa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää.
Tietosuojatyöryhmä korostaa tulevan eurooppalaisen kyberturvallisuussertifioinnin aloja, jotka liittyvät EU:n lainsäädäntöön, erityisesti henkilökorttilompakoihin ja tietoturvapalveluihin. Muita aloja voivat olla teollisuusautomaatio- ja ohjausjärjestelmät ja tietoturvan elinkaaren kehittäminen luottoluokituslaitosten vaatimusten pohjalta sekä salausmekanismit.
Euroopan kyberturvallisuuden sertifiointiryhmä
Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG) perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa. Se koostuu kansallisten kyberturvallisuussertifiointiviranomaisten edustajista tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. ECCG:llä on keskeinen rooli ehdolla olevan sertifiointijärjestelmän valmistelussa ja sertifiointikehyksen yleisessä täytäntöönpanossa.
Sidosryhmien kyberturvallisuuden sertifiointiryhmä
Kyberturvallisuusasetuksen tultua voimaan vuonna 2019 perustettiin sidosryhmien kyberturvallisuuden sertifiointiryhmä.
SCCG:n tehtävänä on neuvoa komissiota ja ENISAa kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä ja avustaa komissiota unionin jatkuvan työohjelman valmistelussa. Kyseessä on ensimmäinen Euroopan komission perustama kyberturvallisuussertifioinnin sidosryhmien asiantuntijaryhmä.
Tuoreimmat uutiset
Aiheeseen liittyvää
Aiheesta laajemmin
Euroopan unioni pyrkii monin tavoin edistämään kyberuhkien sietokykyä, turvaamaan viestintämme ja datamme sekä pitämään verkkoyhteiskunnan ja -talouden turvallisena.
Syventävää tietoa
Euroopan kyberturvallisuuden sertifiointiryhmä perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa.
Katso myös
EU:n kybersolidaarisuussäädöksellä parannetaan kyberturvallisuuspoikkeamiin varautumista, niiden havaitsemista ja niihin reagoimista kaikkialla EU:ssa.
Kyberresilienssisäädöksellä parannetaan digitaalista komponenttia sisältävien tuotteiden kyberturvallisuusstandardeja ja edellytetään, että valmistajat ja vähittäismyyjät varmistavat kyberturvallisuuden tuotteidensa koko elinkaaren ajan.
Keskeisten palvelujen tarjoajat (OES), kansalliset kyberturvallisuuden sertifiointiviranomaiset ja kyberturvallisuudesta vastaavat kansalliset toimivaltaiset viranomaiset kuuluvat valittuihin hakijoihin, jotka saavat 11 miljoonaa euroa rahoitusta Verkkojen Eurooppa -välineen...
Euroopan kyberturvallisuusverkosto ja kyberturvallisuuden osaamiskeskus auttavat EU:ta säilyttämään ja kehittämään kyberturvallisuuden teknologisia ja teollisia valmiuksia.
Sidosryhmien kyberturvallisuuden sertifiointiryhmä perustettiin antamaan neuvoja kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä.
Kyberturvallisuussäädöksellä vahvistetaan EU:n kyberturvallisuusvirastoa (ENISA) ja luodaan tuotteiden ja palvelujen kyberturvallisuuden sertifiointikehys.
NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Siinä säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa.