EU:n kyberturvallisuuden sertifiointikehys

EU:n tieto- ja viestintätekniikan tuotteiden kyberturvallisuuden sertifiointikehys mahdollistaa räätälöidyt ja riskiperusteiset EU:n sertifiointijärjestelmät.

Sertifioinnilla on ratkaiseva rooli luottamuksen ja turvallisuuden lisäämisessä digitaalisen maailman kannalta kriittisiin tuotteisiin ja palveluihin. EU:ssa on tällä hetkellä käytössä useita erilaisia tieto- ja viestintätekniikan tuotteiden turvallisuussertifiointijärjestelmiä. Ilman yhteistä kehystä EU:n laajuisille voimassa oleville kyberturvallisuussertifikaateille on kuitenkin olemassa kasvava hajanaisuuden ja esteiden riski jäsenvaltioiden välillä.

Sertifiointikehys

Sertifiointikehys tarjoaa EU:n laajuiset sertifiointijärjestelmät kattavina sääntöinä, teknisinä vaatimuksina, standardeina ja menettelyinä. Kehys perustuu EU:n tasolla tehtävään sopimukseen tietyn tieto- ja viestintätekniikkaan perustuvan tuotteen tai palvelun turvallisuusominaisuuksien arvioinnista. Se todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut, jotka on sertifioitu tällaisen järjestelmän mukaisesti, ovat määriteltyjen vaatimusten mukaisia.

Kussakin eurooppalaisessa järjestelmässä olisi eriteltävä erityisesti seuraavat seikat:

soveltamisalaan kuuluvat tuote- ja palveluluokat;
kyberturvallisuusvaatimukset, kuten standardit tai tekniset eritelmät;
arvioinnin tyyppi, kuten itsearviointi tai kolmas osapuoli;
Tavoiteltu varmuustaso.

Varmuustasoja käytetään tiedottamaan käyttäjille tuotteen kyberturvallisuusriskistä, ja ne voivat olla perustasoisia, merkittäviä ja/tai korkeita. Ne ovat oikeassa suhteessa tuotteen, palvelun tai prosessin aiottuun käyttöön liittyvän riskin tasoon onnettomuuden todennäköisyyden ja vaikutusten osalta. Korkea varmuustaso tarkoittaisi, että sertifioitu tuote läpäisi korkeimmat turvallisuustestit.

Tuloksena oleva todistus

Todistus tunnustetaan kaikissa EU:n jäsenvaltioissa, minkä ansiosta yritysten on helpompi käydä kauppaa rajojen yli ja ostajien on helpompi ymmärtää tuotteen tai palvelun turvaominaisuudet.

Lisätietoja EU:n kyberturvallisuussertifiointia koskevasta työstä on ENISAn kyberturvallisuussertifioinnissa.

EU:n kyberturvallisuuden sertifiointijärjestelmä (EUCC)

Ensimmäinen kyberturvallisuusasetuksen sertifiointikehyksen nojalla hyväksyttävä järjestelmä perustuu tunnettuihin kansainvälisiin standardeihin Common Criteria, joita on käytetty sertifikaattien myöntämiseen Euroopassa jo lähes 30 vuoden ajan. Järjestelmässä hyödynnetään yhteisten kriteerien mukaista sertifiointia käyttävien eurooppalaisten myyjien ja sertifioijien hyvää mainetta kaikkialla maailmassa. Järjestelmää aletaan soveltaa myyjiin 27. helmikuuta 2025 alkaen.

Järjestelmää sovelletaan EU:n laajuisesti vapaaehtoisuuden pohjalta, ja siinä keskitytään sertifioimaan tieto- ja viestintätekniikan tuotteiden kyberturvallisuus niiden elinkaaren aikana, mukaan lukien

Biometriset järjestelmät
Palomuurit (sekä laitteistot että ohjelmistot)
Havaitsemis- ja reagointialustat
Reitittimet
Kytkimet
Erikoistuneet ohjelmistot (kuten SIEM- ja IDS/IDP-järjestelmät)
Datadiodit
Käyttöjärjestelmät (myös mobiililaitteille)
Salatut tallennustilat
Tietokannat
Älykortit ja turvalliset elementit sisältyvät kaikenlaisiin tuotteisiin, kuten kaikkien kansalaisten päivittäin käyttämiin passeihin.

Lisätietoja EUCC:stä on ENISAn sertifiointisivustolla.

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma julkaistiin samaan aikaan kuin ensimmäinen EU:n laajuinen kyberturvallisuuden sertifiointijärjestelmä. Ensimmäisessä työohjelmassa hahmotellaan tulevien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien strategiset painopisteet ottaen huomioon lainsäädännön ja markkinoiden viimeaikainen kehitys, kuten kyberresilienssisäädös ja eurooppalaista digitaalista identiteettiä koskeva asetus. Tämä saattaa lopulta johtaa uusia järjestelmiä koskeviin pyyntöihin silloin, kun se on tarpeen ja tarkoituksenmukaista. Lisäksi siinä esitetään strategiset painopisteet, jotka on otettava huomioon valmisteltaessa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää.

Unionin kyberturvallisuustyöryhmä korostaa seuraavia EU:n lainsäädäntöön liittyviä aloja tulevaa eurooppalaista kyberturvallisuussertifiointia varten:

ID-lompakot
Hallitut turvallisuuspalvelut
Teollisuusautomaatio- ja ohjausjärjestelmät
Turvallisuuden elinkaaren kehittäminen luottoluokituslaitosten vaatimusten pohjalta
Salausmekanismit

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG)

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG) perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa. Se koostuu kansallisten kyberturvallisuussertifiointiviranomaisten edustajista tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. ECCG:llä on keskeinen rooli ehdolla olevan sertifiointijärjestelmän valmistelussa ja sertifiointikehyksen yleisessä täytäntöönpanossa.

Sidosryhmien kyberturvallisuuden sertifiointiryhmä (SCCG)

Kyberturvallisuusasetuksen tultua voimaan vuonna 2019 perustettiin sidosryhmien kyberturvallisuuden sertifiointiryhmä.

SCCG:n tehtävänä on neuvoa komissiota ja ENISAa kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä ja avustaa komissiota unionin jatkuvan työohjelman valmistelussa. Kyseessä on ensimmäinen Euroopan komission perustama kyberturvallisuussertifioinnin sidosryhmien asiantuntijaryhmä.

Seuraa ryhmän työskentelyä

Tuoreimmat uutiset

A person in front of a laptop, with icons related to data analysis and open-source data hovering above.

Digibyte
12 tammikuuta 2026

Commission opens call for evidence on Open-Source Digital Ecosystems

The European Commission has launched a call for evidence on the upcoming European Open Digital Ecosystem Strategy - an initiative that will support EU ambitions to secure technological sovereignty.

Press release
19 marraskuuta 2025

Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation

Europe's businesses, from factories to start-ups, will spend less time on administrative work and compliance and more time innovating and scaling-up, thanks to the European Commission's new digital package.

Executive Vice-Presidents Virkkunen and Mînzatu reward actions to strengthen Europeans' digital skills at European Digital Skills Awards

Lehdistötiedote
12 marraskuuta 2025

Johtavat varapuheenjohtajat Virkkunen ja Mînzatu palkitsevat eurooppalaisten digitaitojen vahvistamiseen tähtääviä toimia European Digital Skills Awards -kilpailussa

Teknologisesta suvereniteettista, turvallisuudesta ja demokratiasta vastaava johtava varapuheenjohtaja Henna Virkkunen ja sosiaalisista oikeuksista ja taidoista, laadukkaista työpaikoista ja varautumisesta vastaava johtava varapuheenjohtaja Roxana Mînzatu osallistuvat 12. marraskuuta Digital Skills Awards -kilpailuun, jossa juhlistetaan innovatiivisia lähestymistapoja digitaalisten taitojen vahvistamiseksi EU:ssa.

BlueOLEx promotional visual, text "BlueOLEx, Assessing EU Crisis Management Skills, Cyprus, 4 November 2025" against white background.

Lehdistötiedote
04 marraskuuta 2025

Jäsenvaltiot ja komissio testaavat yhteisiä kyberturvallisuuskriisitoimia

EU:n jäsenvaltioiden ja komission korkeat kyberturvallisuusvirkamiehet osallistuivat 4. marraskuuta 2025 BlueOLEx-harjoitukseen (Blueprint Operational Level Exercise), joka oli ensimmäinen harjoitus sen jälkeen, kun hyväksyttiin uusi EU:n kybersuunnitelma, jossa selvennetään rooleja ja vastuita kriisitilanteessa.

Selaa uutisia: Kyberturvallisuus

Aiheeseen liittyvää

Aiheesta laajemmin

EU:n kyberturvallisuuspolitiikat

Euroopan unioni toimii eri rintamilla edistääkseen kyberuhkien sietokykyä, turvatakseen viestintämme ja datamme sekä pitääkseen verkkoyhteiskunnan ja -talouden turvassa.

Syventävää tietoa

Sidosryhmien kyberturvallisuuden sertifiointiryhmä
Sidosryhmien kyberturvallisuuden sertifiointiryhmä perustettiin antamaan neuvoja...