Skip to main content
Shaping Europe’s digital future

EU:n kyberturvallisuuden sertifiointikehys

Tieto- ja viestintätekniikan tuotteiden EU:n kyberturvallisuuden sertifiointikehys mahdollistaa räätälöityjen ja riskiperusteisten EU:n sertifiointijärjestelmien luomisen.

Sertifioinnilla on keskeinen rooli luottamuksen ja turvallisuuden lisäämisessä digitaalisen maailman tärkeisiin tuotteisiin ja palveluihin. EU:ssa on tällä hetkellä käytössä useita erilaisia tieto- ja viestintätekniikan tuotteiden turvallisuussertifiointijärjestelmiä. Ilman EU:n laajuisia voimassa olevia kyberturvallisuussertifikaatteja koskevaa yhteistä kehystä on kuitenkin olemassa kasvava hajanaisuuden ja esteiden riski jäsenvaltioiden välillä.

Sertifiointikehys tarjoaa EU:n laajuiset sertifiointijärjestelmät kattavina sääntöinä, teknisinä vaatimuksina, standardeina ja menettelyinä. Kehys perustuu EU:n tasolla tehtävään sopimukseen tietyn tieto- ja viestintätekniikkaan perustuvan tuotteen tai palvelun turvallisuusominaisuuksien arvioinnista. Se todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut, jotka on sertifioitu tällaisen järjestelmän mukaisesti, ovat määriteltyjen vaatimusten mukaisia.

Kussakin eurooppalaisessa järjestelmässä olisi eriteltävä erityisesti seuraavat seikat:

  • soveltamisalaan kuuluvat tuote- ja palveluluokat;
  • kyberturvallisuusvaatimukset, kuten standardit tai tekniset eritelmät;
  • arvioinnin tyyppi, kuten itsearviointi tai kolmas osapuoli;
  • tavoiteltu varmuustaso.

Varmuustasoja käytetään tiedottamaan käyttäjille tuotteen kyberturvallisuusriskistä, ja ne voivat olla perustasoisia, merkittäviä ja/tai korkeita. Ne ovat oikeassa suhteessa tuotteen, palvelun tai prosessin aiottuun käyttöön liittyvän riskin tasoon onnettomuuden todennäköisyyden ja vaikutusten osalta. Korkea varmuustaso tarkoittaisi, että sertifioitu tuote läpäisi korkeimmat turvallisuustestit.

Todistus tunnustetaan kaikissa EU:n jäsenvaltioissa, minkä ansiosta yritysten on helpompi käydä kauppaa rajojen yli ja ostajien on helpompi ymmärtää tuotteen tai palvelun turvaominaisuudet.

Lisätietoja EU:n kyberturvallisuussertifiointia koskevasta työstä on ENISAn kyberturvallisuussertifioinnissa.

EU:n kyberturvallisuuden sertifiointijärjestelmä (EUCC)

Ensimmäinen kyberturvallisuusasetuksen sertifiointikehyksen nojalla hyväksyttävä järjestelmä perustuu tunnettuihin kansainvälisiin standardeihin Common Criteria, joita on käytetty sertifikaattien myöntämiseen Euroopassa jo lähes 30 vuoden ajan. Järjestelmässä hyödynnetään yhteisten kriteerien mukaista sertifiointia käyttävien eurooppalaisten myyjien ja sertifioijien hyvää mainetta kaikkialla maailmassa. Järjestelmää aletaan soveltaa myyjiin 27. helmikuuta 2025 alkaen.

Järjestelmää sovelletaan vapaaehtoiselta pohjalta EU:n laajuisesti, ja siinä keskitytään tieto- ja viestintätekniikan tuotteiden kyberturvallisuuden sertifiointiin niiden elinkaaren aikana: biometriset järjestelmät, palomuurit (sekä laitteistot että ohjelmistot), havaitsemis- ja reagointialustat, reitittimet, kytkimet, erikoisohjelmistot (kuten SIEM- ja IDS/IDP-järjestelmät), datadiodit, käyttöjärjestelmät (myös mobiililaitteille), salatut tallennustilat, tietokannat sekä älykortit ja turvalliset elementit, jotka sisältyvät kaikenlaisiin tuotteisiin, kuten kaikkien kansalaisten päivittäin käyttämiin passeihin. 

Lisätietoja EUCC:stä on ENISAn sertifiointisivustolla.

Eurooppalaista kyberturvallisuussertifiointia koskeva unionin jatkuva työohjelma

EU:n kyberturvallisuusasetuksessa säädetään, että komissio julkaisee eurooppalaista kyberturvallisuussertifiointia koskevan unionin jatkuvan työohjelman, asiakirjan, jossa esitetään strateginen visio ja pohditaan mahdollisia aloja tuleville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ottaen huomioon lainsäädännön ja markkinoiden viimeaikainen kehitys. 

Kun otetaan huomioon kyberresilienssisäädös ja muu lainsäädännön kehitys, kuten eurooppalaista digitaalista identiteettiä koskeva asetus, ensimmäisessä unionin tietosuojatyöryhmässä tuodaan esiin aloja tulevia eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä varten, jotka liittyvät lainsäädännön kehitykseen, sekä aloja, joilla voidaan tulevaisuudessa pohtia kyberturvallisuussertifiointia, mikä saattaa lopulta johtaa uusia järjestelmiä koskeviin pyyntöihin, kun se on tarpeen ja asianmukaista. Lisäksi siinä esitetään strategiset painopisteet, jotka on otettava huomioon valmisteltaessa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää. 

Tietosuojatyöryhmä korostaa tulevan eurooppalaisen kyberturvallisuussertifioinnin aloja, jotka liittyvät EU:n lainsäädäntöön, erityisesti henkilökorttilompakoihin ja tietoturvapalveluihin.  Muita aloja voivat olla teollisuusautomaatio- ja ohjausjärjestelmät ja tietoturvan elinkaaren kehittäminen luottoluokituslaitosten vaatimusten pohjalta sekä salausmekanismit.  

Euroopan kyberturvallisuuden sertifiointiryhmä 

Euroopan kyberturvallisuuden sertifiointiryhmä (ECCG) perustettiin auttamaan kyberturvallisuusasetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamisessa. Se koostuu kansallisten kyberturvallisuussertifiointiviranomaisten edustajista tai muiden asiaankuuluvien kansallisten viranomaisten edustajista. ECCG:llä on keskeinen rooli ehdolla olevan sertifiointijärjestelmän valmistelussa ja sertifiointikehyksen yleisessä täytäntöönpanossa.

Sidosryhmien kyberturvallisuuden sertifiointiryhmä

Kyberturvallisuusasetuksen tultua voimaan vuonna 2019 perustettiin sidosryhmien kyberturvallisuuden sertifiointiryhmä. 

SCCG:n tehtävänä on neuvoa komissiota ja ENISAa kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä ja avustaa komissiota unionin jatkuvan työohjelman valmistelussa. Kyseessä on ensimmäinen Euroopan komission perustama kyberturvallisuussertifioinnin sidosryhmien asiantuntijaryhmä.

Seuraa ryhmän työskentelyä

Tuoreimmat uutiset

DIGIBYTE |
Cyber: EU and UK hold Second Cyber Dialogue

On 5 and 6 December, the European Union (EU) and the United Kingdom (UK) held their second cyber dialogue in London, as set out under the EU-UK Trade and Cooperation Agreement.

PRESS RELEASE |
Komissio kehottaa 23:a jäsenvaltiota saattamaan NIS 2 -direktiivin täysimääräisesti osaksi kansallista lainsäädäntöään

Euroopan komissio on tänään päättänyt aloittaa rikkomusmenettelyn lähettämällä virallisen ilmoituksen 23 jäsenvaltiolle (Bulgaria, Tšekki, Tanska, Saksa, Viro, Irlanti, Kreikka, Espanja, Ranska, Kypros, Latvia, Luxemburg, Unkari, Malta, Alankomaat, Itävalta, Puola, Portugali, Romania, Slovenia, Slovakia, Suomi ja Ruotsi), koska ne eivät ole saattaneet NIS 2 -direktiiviä (direktiivi 2022/2555) täysimääräisesti osaksi kansallista lainsäädäntöään.

Aiheeseen liittyvää

Aiheesta laajemmin

Kyberturvallisuuspolitiikat

Euroopan unioni pyrkii monin tavoin edistämään kyberuhkien sietokykyä, turvaamaan viestintämme ja datamme sekä pitämään verkkoyhteiskunnan ja -talouden turvallisena.

Syventävää tietoa

Katso myös

EU:n kybersolidaarisuussäädös

EU:n kybersolidaarisuussäädöksellä parannetaan kyberturvallisuuspoikkeamiin varautumista, niiden havaitsemista ja niihin reagoimista kaikkialla EU:ssa.

Kyberresilienssisäädös

Kyberresilienssisäädöksellä parannetaan digitaalista komponenttia sisältävien tuotteiden kyberturvallisuusstandardeja ja edellytetään, että valmistajat ja vähittäismyyjät varmistavat kyberturvallisuuden tuotteidensa koko elinkaaren ajan.

EU:n kyberturvallisuusasetus

Kyberturvallisuussäädöksellä vahvistetaan EU:n kyberturvallisuusvirastoa (ENISA) ja luodaan tuotteiden ja palvelujen kyberturvallisuuden sertifiointikehys.