Kyberturvallisuuspolitiikka

Kyberturvallisuusstrategia

Euroopan komissio ja unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja esittelivät EU:n uuden kyberturvallisuusstrategian vuoden 2020 lopussa.

Strategia kattaa keskeisten palvelujen, kuten sairaaloiden, energiaverkkojen ja rautateiden turvallisuuden. Se kattaa myös yhä kasvavan määrän toisiinsa liittyviä esineitä kodeissamme, toimistoissamme ja tehtaissamme.

Strategiassa keskitytään kehittämään yhteisiä valmiuksia vastata merkittäviin kyberhyökkäyksiin ja tekemään yhteistyötä kumppaneiden kanssa eri puolilla maailmaa kansainvälisen turvallisuuden ja vakauden varmistamiseksi kyberavaruudessa. Siinä esitetään, miten yhteinen kyberturvallisuusyksikkö voi varmistaa tehokkaimman reagoinnin kyberuhkiin EU:n ja jäsenvaltioiden käytettävissä olevien yhteisten resurssien ja asiantuntemuksen avulla.

Lainsäädäntö ja sertifiointi

Direktiivi toimenpiteistä yhteisen korkeatasoisen kyberturvallisuuden varmistamiseksi koko unionissa (NIS2-direktiivi)

Kyberturvallisuusuhat ovat lähes aina rajatylittäviä, ja yhden maan kriittisiin laitoksiin kohdistuva kyberhyökkäys voi vaikuttaa koko. EU-mailla on oltava vahvat hallintoelimet, jotka valvovat kyberturvallisuutta omassa maassaan ja jotka tekevät yhteistyötä muiden jäsenvaltioiden vastaavien viranomaisten kanssa jakamalla tietoja. Tämä on erityisen tärkeää aloilla, jotka ovat kriittisiä yhteiskuntiemme kannalta.

Verkko- ja tietojärjestelmien turvallisuudesta annetulla direktiivillä (verkko- jatietoturvadirektiivi), jonka kaikki maat ovat nyt panneet täytäntöön, varmistetaan tällaisten hallintoelinten perustaminen ja yhteistyö. Direktiiviä tarkistettiin uudelleen vuoden 2020 lopussa.

Tarkistusprosessin tuloksena komissio esitti 16. joulukuuta 2020 ehdotuksen direktiiviksi toimenpiteistä yhteisen kyberturvallisuuden korkean tason varmistamiseksi koko unionissa (verkko- jatietoturvadirektiivi). 

Direktiivi julkaistiin Euroopan unionin virallisessa lehdessä joulukuussa 2022, ja se tulee voimaan 16. tammikuuta 2023. Jäsenvaltioilla on direktiivin voimaantulosta 21 kuukautta aikaa sisällyttää säännökset kansalliseen lainsäädäntöönsä (todellinen päivämäärä: 18. lokakuuta 2024).

ENISA – EU:n kyberturvallisuusvirasto

ENISA (Euroopan unionin kyberturvallisuusvirasto) on kyberturvallisuutta käsittelevä EU:n virasto. Se tukee jäsenvaltioita, EU:n toimielimiä ja yrityksiä keskeisillä aloilla, mukaan lukien verkko- ja tietoturvadirektiivin täytäntöönpano.

Kyberturvallisuuslaki

Kyberturvallisuusasetus vahvistaa ENISAn roolia. Virastolla on nyt pysyvä toimeksianto, ja sillä on valtuudet edistää sekä operatiivista yhteistyötä että kriisinhallintaa kaikkialla. Sillä on myös aiempaa enemmän taloudellisia ja inhimillisiä resursseja.

Sertifiointi

Digitaalinen elämämme voi toimia hyvin vain, jos suuri yleisö luottaa IT-tuotteiden ja -palvelujen kyberturvallisuuteen. On tärkeää, että voimme nähdä, että tuote on tarkastettu ja sertifioitu korkeiden kyberturvallisuusstandardien mukaiseksi. Tietotekniikkatuotteille on tällä hetkellä käytössä erilaisia turvallisuussertifiointijärjestelmiä eri puolilla EU:ta. Yhteinen sertifiointijärjestelmä olisi kaikille helpompaa ja selkeämpää.

Sen vuoksi komissio laatii parhaillaan EU:n laajuista sertifiointikehystä, jonka ytimessä on ENISA. Kyberturvallisuussäädöksessä hahmotellaan prosessi näiden puitteiden saavuttamiseksi.

Investoinnit

Elvytyssuunnitelma

Kyberturvallisuus on yksi komission painopisteistä vastauksena koronaviruskriisiin, sillä sulkutoimien aikana kyberhyökkäykset lisääntyivät. Euroopan elpymissuunnitelmaan sisältyy lisäinvestointeja kyberturvallisuuteen.

Tutkimuksen ja innovoinnin tukeminen: Horisontti 2020 ja cPPP; Euroopan horisontti

Digitaalista turvallisuutta koskeva tutkimus on olennaisen tärkeää sellaisten innovatiivisten ratkaisujen rakentamiseksi, jotka voivat suojata meitä uusimmilta, edistyneimmiltä kyberuhkilta. Siksi kyberturvallisuus on tärkeä osa Horisontti 2020 -puiteohjelmaa ja sen seuraajaa Horisontti Eurooppa -puiteohjelmassa. 

Horisontti Eurooppa -puiteohjelmassa kyberturvallisuus on vuosina 2021–2027 osa ”Civil Security for Society” -klusteria. Vuosien 2021–2022 työohjelmaa valmistellaan parhaillaan.

Osana Horisontti 2020 -puiteohjelmaa komissio yhteisrahoitti tutkimusta ja innovointia sellaisilla aihealueilla kuin kyberturvallisuusvalmius kyberalueiden ja simulaatioiden avulla, kyberturvallisuus pienille ja keskisuurille yrityksille, kyberturvallisuus sähkö- ja energiajärjestelmässä sekä kyberturvallisuus ja tietosuoja kriittisillä aloilla. Nämä aiheet kuuluvat klusteriin ”Turvalliset yhteiskunnat – Euroopan ja sen kansalaisten vapauden ja turvallisuuden suojeleminen”.

Euroopan komissio ja Euroopan kyberturvallisuusjärjestö ECSO perustivat vuonna 2016 kyberturvallisuutta koskevan Horisontti 2020 -puiteohjelman julkisen ja yksityisen sektorin sopimuskumppanuuden, joka koostuu kyberteollisuuden, tiedemaailman ja julkishallinnon jäsenistä.

Kybervalmiuksien ja käyttöönoton tukeminen

Fyysiset ja digitaaliset infrastruktuurimme ovat hyvin tiiviisti sidoksissa toisiinsa. Sen vuoksi komissio on investoinut kyberturvallisuuteen myös osana infrastruktuuri-investointien rahoitusohjelmaa eli Verkkojen Eurooppa -välinettä vuosiksi 2014–2020.

Verkkojen Eurooppa -välineestä on tuettu tietoturvahäiriöihin reagoivia ryhmiä, keskeisten palvelujen tarjoajia, digitaalisten palvelujen tarjoajia, keskitettyjä yhteyspisteitä ja kansallisia toimivaltaisia viranomaisia. Tämä parantaa kyberturvallisuusvalmiuksia ja rajatylittävää yhteistyötä EU:n sisällä ja tukee EU:n kyberturvallisuusstrategian täytäntöönpanoa.

Digitaalinen Eurooppa -ohjelma on vuosina 2021–2027 kunnianhimoinen ohjelma, jonka tarkoituksena on investoida 1,9 miljardia euroa kyberturvallisuusvalmiuksiin ja kyberturvallisuusinfrastruktuurien ja -välineiden laajaan käyttöönottoon kaikkialla julkishallinnoille, yrityksille ja yksityishenkilöille.

Kyberturvallisuus on myös osa InvestEU-ohjelmaa. InvestEU on yleisohjelma, joka kokoaa yhteen monia rahoitusvälineitä ja käyttää julkisia investointeja turvatakseen lisäinvestoinnit yksityiseltä sektorilta. Sen strategisella investointikehyksellä tuetaan kyberturvallisuuden keskeisiä arvoketjuja. Se on tärkeä osa elpymispakettia vastauksena koronaviruskriisiin.

Kyberturvallisuuden osaamiskeskus ja verkosto; Suomi

Euroopan kyberturvallisuuden teollisuuden, teknologian ja tutkimuksen osaamiskeskus kokoaa yhteen asiantuntemusta ja yhdenmukaistaa kyberturvallisuusteknologian kehittämistä ja käyttöönottoa Euroopassa. Se tekee yhteistyötä teollisuuden, akateemisen yhteisön ja muiden tahojen kanssa luodakseen yhteisen toimintasuunnitelman kyberturvallisuuteen tehtäviä investointeja varten ja päättääkseen kyberturvallisuusratkaisujen tutkimuksen, kehittämisen ja käyttöönoton rahoituksen painopisteistä Horisontti Eurooppa -ohjelman ja Digitaalinen Eurooppa -ohjelmien kautta.

Parhaillaan on käynnissä neljä pilottihanketta, joilla luodaan perusta osaamiskeskukselle ja -verkostolle. Mukana on yli 170 kumppania.

Saadakseen paremman yleiskuvan kyberturvallisuusosaamisesta ja -valmiuksista eri puolilla EU:ta komissio on kehittänyt kattavan foorumin nimeltä Cybersecurity Atlas.

Toimintapoliittiset ohjeet

Suunnitelma suurten kyberhyökkäysten koordinoitua reagointia varten

Komission nopean hätäavun suunnitelma sisältää suunnitelman laajamittaisen rajat ylittävän kyberpoikkeaman tai -kriisin varalta. Siinä määritellään jäsenvaltioiden ja EU:n toimielinten välisen yhteistyön tavoitteet ja muodot reagoitaessa tällaisiin tapauksiin ja kriiseihin. Siinä selitetään, miten nykyisillä kriisinhallintamekanismeilla voidaan hyödyntää täysimääräisesti nykyisiä kyberturvallisuusyksiköitä EU:n tasolla.

Yhteinen kyberturvallisuusyksikkö

Jatkotoimena komission puheenjohtaja Ursula von der Leyen ilmoitti ehdotuksesta EU:n laajuiseksi yhteiseksi kyberturvallisuusyksiköksi. Komission 23. kesäkuuta 2021 ilmoittama suositus yhteisen kyberturvallisuusyksikön perustamisesta on tärkeä askel kohti Euroopan kyberturvallisuuden kriisinhallintakehyksen täydentämistä. Se on EU:n kyberturvallisuusstrategian ja EU:n turvallisuusunionistrategian konkreettinen tulos, joka edistää turvallista digitaalitaloutta ja -yhteiskuntaa.

Yhteinen kyberturvallisuusyksikkö toimii foorumina, jolla varmistetaan EU:n koordinoitu reagointi laajamittaisiin kyberpoikkeamiin ja -kriiseihin sekä tarjotaan apua näistä hyökkäyksistä toipumisessa.

5G:n turvallinen käyttöönotto

5G-verkkoja on tarkoitus ottaa käyttöön kaikkialla. Ne tarjoavat valtavia etuja, mutta niillä on myös enemmän potentiaalisia pisteitä hyökkääjille, koska niiden arkkitehtuuri on vähemmän keskitetty, antennien määrä kasvaa ja riippuvuus ohjelmistoista kasvaa. EU:n 5G-välineistössä esitetään toimenpiteitä, joilla vahvistetaan 5G-verkkojen turvallisuusvaatimuksia, sovelletaan asiaankuuluvia rajoituksia suuririskisiksi katsottuihin toimittajiin ja varmistetaan myyjien monipuolistuminen.

Vaaliprosessin turvaaminen

EU:n demokratioista on tullut yhä digitaalisempia: poliittisia kampanjoita järjestetään verkossa, ja vaalit tapahtuvat itse sähköisellä äänestyksellä monissa maissa. 

Komissio on antanut suosituksia Euroopan parlamentin vaalien kyberturvallisuudesta osana laajempaa suosituspakettia vapaiden ja oikeudenmukaisten Euroopan parlamentin vaalien tukemiseksi. Kuukautta ennen vuoden 2019 Euroopan parlamentin vaaleja Euroopan parlamentti, EU-maat, komissio ja ENISA testasivat valmiuttaan reaaliaikaisesti.

Taidot ja tietoisuus

Taidot

Voimme varmistaa digitaalisen turvallisuuden vain, jos meillä on asiantuntijoita, joilla on oikeat tiedot ja taidot, eikä tällä hetkellä ole tarpeeksi. Tämän vuoksi komissio toteuttaa toimia kyberturvallisuustaitojen kehittämisen edistämiseksi.

Komissio laati kehotuksen yhtenäisten puitteiden luomisesta kyberturvallisuustaitojen opettamiselle yliopisto- ja ammattikoulutuksessa. ECSO työstää parhaillaan neljää pilottihanketta, joissa valmistellaan kyberturvallisuuden osaamiskeskusta ja -verkostoa. On myös toistuvia aloitteita, jotka on tarkoitettu suoraan opiskelijoille, kuten vuosittainen eurooppalainen kyberturvallisuushaaste.

Kyberturvallisuusosaaminen kuuluu komission digitaalisia taitoja koskevan yleisen toimintasuunnitelman piiriin. Ne ovat myös osa Horisontti 2020 -puiteohjelman ja Digitaalinen Eurooppa -ohjelman rahoitustoimia. Yksi esimerkki on ”kybervälien” rahoitus, joka on kyberuhkien reaaliaikaiset simulointiympäristöt koulutukseen.

Tietoisuus

Inhimillinen tekijä on usein kyberturvallisuuden heikko lenkki: jollakin, joka napsauttaa tietojenkalastelulinkkiä, voi olla valtavia seurauksia. Sen vuoksi komissio lisää tietoisuutta kyberturvallisuudesta ja edistää kansalaisten keskuudessa parhaita käytäntöjä. Esimerkiksi kerran vuodessa se järjestää Euroopan kyberturvallisuuskuukauden yhdessä ENISAn kanssa.

Verkkoyhteisö

ENISA – EU:n kyberturvallisuusvirasto

ENISA on EU:n kyberturvallisuusvirasto. Se tukee jäsenvaltioita, EU:n toimielimiä ja yrityksiä keskeisillä aloilla, mukaan lukien verkko- ja tietoturvadirektiivin täytäntöönpano.

ISAC:t

Tietojenjako- ja analyysikeskukset (ISAC) edistävät kyberturvallisuusyhteisön välistä yhteistyötä talouden eri sektoreilla. ISAC-keskusten kehittäminen edelleen sekä EU:n että kansallisella tasolla on yksi komission prioriteeteista. Komissio edistää yhteistyössä ENISAn kanssa myös uusien ISAC-keskusten perustamista aloilla, jotka eivät kuulu soveltamisalaan. Komission valvoma EU:n ISAC-konsortio tarjoaa oikeudellista, teknistä ja organisatorista tukea ISAC-keskuksille.

JRC

Komission yhteinen tutkimuskeskus (YTK) edistää aktiivisesti kyberturvallisuutta. Esimerkiksi YTK on kehittänyt kyberturvallisuuden luokitusjärjestelmän. Tämä yhdenmukaistaa kyberturvallisuudessa käytettävän terminologian, jotta voimme saada selkeämmän yleiskuvan kyberturvallisuusvalmiuksista.

YTK julkaisi äskettäin myös raportin, jossa esitetään näkemyksiä EU:n nykyisestä kyberturvallisuusympäristöstä ja sen historiasta ”Cybersecurity – our digital ankkuri”.

CSIRT-toimijat/CERT-ryhmät

Verkko- ja tietoturvadirektiivin mukaan EU:n jäsenvaltioiden on varmistettava, että niillä on hyvin toimivat tietoturvaloukkauksiin reagoivat ryhmät (CSIRT), jotka tunnetaan myös nimellä Computer Emergency Response Teams (CERT). Nämä ryhmät huolehtivat kyberturvallisuuspoikkeamista ja -riskeistä käytännössä. Ne tekevät yhteistyötä EU:n tasolla ja tekevät yhteistyötä yksityisen sektorin kanssa. Kaikkien keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien on kuuluttava nimettyjen CSIRT-toimijoiden piiriin.

CSIRT-toimijoiden pääasialliset tehtävät ovat seuraavat:

• poikkeamien seuranta kansallisella tasolla;
• varhaisvaroitusten, varoitusten, ilmoitusten ja muiden tietojen antaminen riskeistä ja poikkeamista asiaankuuluville sidosryhmille;
• reagointi vaaratilanteisiin;
• dynaamisen riskianalyysin ja poikkeamien analysoinnin ja tilannetietoisuuden tarjoaminen;
• osallistuminen CSIRT-verkostoon.

ECSO

Euroopan kyberturvallisuusjärjestö (ECSO) perustettiin vuonna 2016, jotta se toimisi komission vastineena Horisontti 2020 -puiteohjelmaa koskevassa sopimusperusteisessa julkisen ja yksityisen sektorin kumppanuudessa vuosina 2016–2020. Suurin osa ECSO:n 250 jäsenestä kuuluu joko kyberturvallisuusteollisuuteen tai alan tutkimus- ja akateemisiin laitoksiin. ECSO:n jäseniin kuuluu vähäisemmässä määrin myös julkisen sektorin toimijoita ja kysyntäpuolen toimialoja.

Sen lisäksi, että ECSO antaa Horisontti 2020 -puiteohjelmaa koskevia suosituksia, se toteuttaa erilaisia toimia, joilla pyritään yhteisön rakentamiseen ja teolliseen kehittämiseen Euroopan tasolla.

Naiset4Cyber

On tärkeää korostaa naisten roolia kyberturvallisuusyhteisössä, sillä he ovat aliedustettuina. Tämän vuoksi komissio on perustanut Women4Cyber -rekisterin yhteistyössä ECSOn Women4Cyber-aloitteen kanssa. Sen avulla tiedotusvälineiden, tapahtumien järjestäjien ja muiden on helpompi löytää monia kyberturvallisuuden parissa työskenteleviä lahjakkaita naisia, joten nämä naiset tulevat näkyvämmiksi ja näkyvämmiksi kyberyhteisössä ja julkisessa keskustelussa.

Muut kyberpolitiikan alat

Verkkorikollisuus

Tavalliset rikolliset hyödyntävät eurooppalaisia uhkaavia kyberhyökkäyksiä. Komission muuttoliike- ja sisäasioiden osasto seuraa ja päivittää tietoverkkorikollisuutta koskevaa EU:n lainsäädäntöä ja tukee lainvalvontavalmiuksia. Komissio tekee yhteistyötä myös Europolin Euroopan verkkorikostorjuntakeskuksen kanssa.

Kyberdiplomatia

EU pyrkii suojautumaan rajojensa ulkopuolelta tulevilta kyberuhkilta. Tässä yhteydessä komissio tekee yhteistyötä Euroopan ulkosuhdehallinnon ja jäsenvaltioiden kanssa toteuttaakseen yhteisen diplomaattisen vastauksen haitallisiin kybertoimiin, jäljempänä ’kyberdiplomatian välineistö’. Tähän vastaukseen kuuluvat diplomaattinen yhteistyö ja vuoropuhelu, kyberhyökkäysten vastaiset ennaltaehkäisevät toimenpiteet ja EU:ta uhkaaviin kyberhyökkäyksiin osallisina oleviin kohdistetut pakotteet.

Komissio avustaa tarvittaessa ulkoisiin kyberuhkiin vastaamista koskevassa päätöksenteossa. Se myös rahoittaa suoraan käynnissä olevaa EU:n kyberdiplomatian tukialoitetta.

Kyberpuolustus

Komissio ja korkea edustaja esittivät 10. marraskuuta 2022 yhteisen tiedonannon EU:n kyberpuolustuspolitiikasta, jotta voidaan puuttua Venäjän Ukrainaan kohdistaman hyökkäyksen aiheuttamaan heikentyvään turvallisuusympäristöön ja parantaa EU:n valmiuksia suojella kansalaisiaan ja infrastruktuuriaan.  

EU:n kyberpuolustuspolitiikka perustuu neljään pilariin, jotka kattavat monenlaisia aloitteita, jotka auttavat EU:ta ja jäsenvaltioita paremmin havaitsemaan, estämään ja puolustamaan kyberhyökkäyksiä:

1. TOIMIA YHDESSÄ VAHVEMMAN EU:N KYBERPUOLUSTUKSEN PUOLESTA

2. TURVAA PUOLUSTUSEKOSYSTEEMI

3. INVESTOI KYBERPUOLUSTUSVALMIUKSIIN

4. KUMPPANI VASTAAMAAN YHTEISIIN HAASTEISIIN

Uudessa politiikassa vaaditaan investointeja täysimittaisiin kyberpuolustusvalmiuksiin ja vahvistetaan koordinointia ja yhteistyötä EU:n sotilas- ja siviiliverkkoyhteisöjen välillä. Se tehostaa yhteistyötä yksityisen sektorin kanssa ja tehokasta kyberkriisinhallintaa unionissa. Uusi politiikka auttaa myös vähentämään strategisia riippuvuuksiamme kriittisten kyberteknologioiden alalla ja vahvistaa Euroopan puolustuksen teollista perustaa (EDTIB). Se edistää koulutusta, houkuttelee ja säilyttää kyberosaajia.

EU tekee yhteistyötä puolustuksen alalla kybertoimintaympäristössä Euroopan komission, Euroopan ulkosuhdehallinnon (EUH), Euroopan puolustusviraston sekä ENISAn ja Euroopan unionin lainvalvontayhteistyöviraston (Europol) toimien kautta.

Kybervalmiuksien kehittäminen kolmansissa maissa

EU tekee yhteistyötä muiden maiden kanssa parantaakseen niiden valmiuksia puolustautua kyberturvallisuusuhkia vastaan. Komissio tukee erilaisia kyberturvallisuusohjelmia Länsi-Balkanilla ja kuudessa itäisessä kumppanuusmaassa EU:n välittömässä naapurustossa sekä muissa maissa maailmanlaajuisesti kansainvälisen yhteistyön ja kehityksen osastonsa kautta.