EU:n kyberturvallisuuden sertifiointikehys

EU:n tieto- ja viestintätekniikan tuotteiden kyberturvallisuuden sertifiointikehys mahdollistaa räätälöidyt ja riskiperusteiset EU:n sertifiointijärjestelmät.

Sertifioinnilla on ratkaiseva rooli luottamuksen ja turvallisuuden lisäämisessä digitaalisen maailman kannalta kriittisiin tuotteisiin ja palveluihin. EU:ssa on tällä hetkellä käytössä useita erilaisia tieto- ja viestintätekniikan tuotteiden turvallisuussertifiointijärjestelmiä. Ilman yhteistä kehystä EU:n laajuisille voimassa oleville kyberturvallisuussertifikaateille on kuitenkin olemassa kasvava hajanaisuuden ja esteiden riski jäsenvaltioiden välillä.

Sertifiointikehys

Sertifiointikehys tarjoaa EU:n laajuiset sertifiointijärjestelmät kattavina sääntöinä, teknisinä vaatimuksina, standardeina ja menettelyinä. Kehys perustuu EU:n tasolla tehtävään sopimukseen tietyn tieto- ja viestintätekniikkaan perustuvan tuotteen tai palvelun turvallisuusominaisuuksien arvioinnista. Se todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut, jotka on sertifioitu tällaisen järjestelmän mukaisesti, ovat määriteltyjen vaatimusten mukaisia.

Kussakin eurooppalaisessa järjestelmässä olisi eriteltävä erityisesti seuraavat seikat:

soveltamisalaan kuuluvat tuote- ja palveluluokat;
kyberturvallisuusvaatimukset, kuten standardit tai tekniset eritelmät;
arvioinnin tyyppi, kuten itsearviointi tai kolmas osapuoli;
Tavoiteltu varmuustaso.

Varmuustasoja käytetään tiedottamaan käyttäjille tuotteen kyberturvallisuusriskistä, ja ne voivat olla perustasoisia, merkittäviä ja/tai korkeita. Ne ovat oikeassa suhteessa tuotteen, palvelun tai prosessin aiottuun käyttöön liittyvän riskin tasoon onnettomuuden todennäköisyyden ja vaikutusten osalta. Korkea varmuustaso tarkoittaisi, että sertifioitu tuote läpäisi korkeimmat turvallisuustestit.

Tuloksena oleva todistus

Todistus tunnustetaan kaikissa EU:n jäsenvaltioissa, minkä ansiosta yritysten on helpompi käydä kauppaa rajojen yli ja ostajien on helpompi ymmärtää tuotteen tai palvelun turvaominaisuudet.

Lisätietoja EU:n kyberturvallisuussertifiointia koskevasta työstä on ENISAn kyberturvallisuussertifioinnissa.

EU:n kyberturvallisuuden sertifiointijärjestelmä (EUCC)

Ensimmäinen kyberturvallisuusasetuksen sertifiointikehyksen nojalla hyväksyttävä järjestelmä perustuu tunnettuihin kansainvälisiin standardeihin Common Criteria, joita on käytetty sertifikaattien myöntämiseen Euroopassa jo lähes 30 vuoden ajan. Järjestelmässä hyödynnetään yhteisten kriteerien mukaista sertifiointia käyttävien eurooppalaisten myyjien ja sertifioijien hyvää mainetta kaikkialla maailmassa. Järjestelmää aletaan soveltaa myyjiin 27. helmikuuta 2025 alkaen.

Järjestelmää sovelletaan EU:n laajuisesti vapaaehtoisuuden pohjalta, ja siinä keskitytään sertifioimaan tieto- ja viestintätekniikan tuotteiden kyberturvallisuus niiden elinkaaren aikana, mukaan lukien

Biometriset järjestelmät
Palomuurit (sekä laitteistot että ohjelmistot)
Havaitsemis- ja reagointialustat
Reitittimet
Kytkimet
Erikoistuneet ohjelmistot (kuten SIEM- ja IDS/IDP-järjestelmät)
Datadiodit
Käyttöjärjestelmät (myös mobiililaitteille)
Salatut tallennustilat
Tietokannat
Älykortit ja turvalliset elementit sisältyvät kaikenlaisiin tuotteisiin, kuten kaikkien kansalaisten päivittäin käyttämiin passeihin.

Lisätietoja EUCC:stä on ENISAn sertifiointisivustolla.

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma julkaistiin samaan aikaan kuin ensimmäinen EU:n laajuinen kyberturvallisuuden sertifiointijärjestelmä. Ensimmäisessä työohjelmassa hahmotellaan tulevien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien strategiset painopisteet ottaen huomioon lainsäädännön ja markkinoiden viimeaikainen kehitys, kuten kyberresilienssisäädös ja eurooppalaista digitaalista identiteettiä koskeva asetus. Tämä saattaa lopulta johtaa uusia järjestelmiä koskeviin pyyntöihin silloin, kun se on tarpeen ja tarkoituksenmukaista. Lisäksi siinä esitetään strategiset painopisteet, jotka on otettava huomioon valmisteltaessa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää.

Unionin kyberturvallisuustyöryhmä korostaa seuraavia EU:n lainsäädäntöön liittyviä aloja tulevaa eurooppalaista kyberturvallisuussertifiointia varten:

ID-lompakot
Hallitut turvallisuuspalvelut
Teollisuusautomaatio- ja ohjausjärjestelmät
Turvallisuuden elinkaaren kehittäminen luottoluokituslaitosten vaatimusten pohjalta
Salausmekanismit

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG)

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG) perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa. Se koostuu kansallisten kyberturvallisuussertifiointiviranomaisten edustajista tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. ECCG:llä on keskeinen rooli ehdolla olevan sertifiointijärjestelmän valmistelussa ja sertifiointikehyksen yleisessä täytäntöönpanossa.

Sidosryhmien kyberturvallisuuden sertifiointiryhmä (SCCG)

Kyberturvallisuusasetuksen tultua voimaan vuonna 2019 perustettiin sidosryhmien kyberturvallisuuden sertifiointiryhmä.

SCCG:n tehtävänä on neuvoa komissiota ja ENISAa kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä ja avustaa komissiota unionin jatkuvan työohjelman valmistelussa. Kyseessä on ensimmäinen Euroopan komission perustama kyberturvallisuussertifioinnin sidosryhmien asiantuntijaryhmä.

Seuraa ryhmän työskentelyä

Tuoreimmat uutiset

Lehdistötiedote
28 maaliskuuta 2025

Komissio investoi 1,3 miljardia euroa tekoälyyn, kyberturvallisuuteen ja digitaalisiin taitoihin

Komissio osoittaa tänään hyväksytyssä Digitaalinen Eurooppa -ohjelman (DIGITAL) vuosien 2025–2027 työohjelmassa 1,3 miljardia euroa Euroopan tulevaisuuden ja maanosan teknologisen suvereniteetin kannalta strategisesti tärkeiden kriittisten teknologioiden käyttöönottoon.

Image representing the EU flag next to the Republic of Korea flag

Lehdistötiedote
10 maaliskuuta 2025

EU ja Korea syventävät suhteitaan merkittävään digitaaliseen kauppasopimukseen

EU ja Korean tasavalta ovat saattaneet päätökseen neuvottelut merkittävästä digitaalista kauppaa koskevasta sopimuksesta ja korostaneet sitoutumistaan vahvaan ja luotettavaan kumppanuuteen, joka soveltuu nykypäivän nopeatempoiseen digitaaliseen kehitykseen.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Lehdistötiedote
24 helmikuuta 2025

Komissio käynnistää uuden kyberturvallisuussuunnitelman EU:n kyberkriisien koordinoinnin tehostamiseksi

Komissio on tänään esittänyt ehdotuksen, jolla varmistetaan tuloksellinen ja tehokas reagointi laajamittaisiin kyberturvallisuuspoikkeamiin.

Lehdistötiedote
21 helmikuuta 2025

Komissio ja korkea edustaja esittävät vahvoja toimia merenalaisten kaapeleiden turvallisuuden parantamiseksi

Johtava varapuheenjohtaja Henna Virkkunen esitteli 21. helmikuuta Helsingissä komission ja korkean edustajan yhteisen tiedonannon merenalaisten kaapeleiden turvallisuuden ja häiriönsietokyvyn vahvistamisesta.

Selaa uutisia: Kyberturvallisuus

Aiheeseen liittyvää

Aiheesta laajemmin

Kyberturvallisuuspolitiikat

Euroopan unioni pyrkii monin tavoin edistämään kyberuhkien sietokykyä, turvaamaan viestintämme ja datamme sekä pitämään verkkoyhteiskunnan ja -talouden turvallisena.