Uusi EU:n kyberturvallisuusasetus astui voimaan kesäkuussa 2019

Uusi EU:n kyberturvallisuusasetus astui voimaan kesäkuussa 2019. Kyberturvallisuusasetus on EU-asetuksena suoraan sovellettavaa lainsäädäntöä EU-jäsenvaltioissa, eikä sitä siten tarvitse erikseen implementoida osaksi kansallista lainsäädäntöä.

Uuden asetuksen tavoitteena on vahvistaa Euroopan verkko- ja tietoturvaviraston (ENISA) roolia kyberturvallisuuden kehittämisessä EU:n laajuisesti sekä luoda uusi EU:n laajuinen tieto- ja viestintähyödykkeiden sertifioinnin puitekehys. Asetuksen myötä ENISA muuttuu Euroopan kyberturvallisuusvirastoksi, ja siitä tulee pysyvä EU-virasto, joka sijoitetaan Kreikkaan.

ENISA:n tavoitteet ja tehtävät

ENISA:n tavoitteena on olla kyberturvallisuuden osaamiskeskus, joka auttaa EU:n toimielimiä, elimiä ja laitoksia sekä jäsenvaltioita kehittämään ja panemaan täytäntöön kyberturvallisuutta koskevat EU:n toimintapolitiikat. ENISA:n tavoitteena on pääosin avustaa ja neuvoa eri tahoja tietojärjestelmien suojelun lisäämisessä, kyberlisenssien ja toimintavalmiuksien kehittämisessä sekä kyberturvallisuustaitojen ja -osaamisen kehittämisessä. Lisäksi ENISA koordinoi ja edistää yhteistyötä unionin toimielinten ja jäsenvaltioiden välillä varsinkin tietojen jakamisen, kyberuhkien torjumisen ja kyberturvallisuusvalmiuksien lisäämisen saralla.

ENISA:n tehtävänä on pääosin avustaa jäsenvaltioita kyberuhkien torjumisessa ja kyberturvallisuuden parantamisessa sekä edistää suuren yleisön tietoisuutta kyberturvallisuusriskeistä ja antaa ohjeita käyttäjille kyberturvallisuuden parantamiseksi. Lisäksi ENISA laatii ja edistää EU:n laajuisia kyberturvallisuuspolitiikoita, jotka tukevat avoimen internetin julkisen ytimen yleistä saatavuutta ja eheyttä.

Tieto- ja viestintähyödykkeiden sertifioinnin puitekehys

Asetuksen pyrkimyksenä on myös säätää menettelyistä, joiden puitteissa tieto- ja viestinteknologiahyödykkeille voitaisiin myöntää EU:n laajuinen sertifikaatti osoitukseksi tuotteen tietoturvallisuudesta. Sertifikaatti osoittaisi, että tuote täyttää tietyt vaatimukset liittyen tiedon, toiminnon ja palvelun saatavuuteen, aitouteen, eheyteen ja luottamuksellisuuteen. Sertifikaatti tunnistettaisiin vastavuoroisesti kaikissa jäsenvaltioissa eikä valmistajilla tai palveluntarjoajilla olisi enää tarvetta hankkia tuotteilleen useita kansallisia sertifikaatteja.

ENISA ja kansallisten viranomaisten yhteistyöryhmä valmistelee asetuksen mukaan ehdotuksen vaatimuksista sertifikaatin saamista varten (sertifiointiohjelma). Sertifiointiohjelman perustavoitteina olisi muun muassa tiedon suojaaminen asiattomilta pääsyiltä koko tuotteen elinkaaren ajan, haavoittuvuuksien ja riippuvuuksien tunnistaminen ja dokumentointi sekä ohjelmistojen ajantasainen päivittäminen. Sertifiointiohjelmassa tultaisiin jakamaan tuotteet kolmeen eri luotettavuuden tasoon: perus, korotettu tai korkea.

Lopuksi

Tietojärjestelmillä ja sähköisen viestinnän verkoilla ja palveluilla on yhteiskunnassa elintärkeä rooli, sillä ne ylläpitävät yhteiskunnan päivittäisiä toimintoja esimerkiksi terveydenhuollossa, energia-alalla ja rahoitusalalla. Kyberhyökkäykset voivat lakkauttaa näitä toimintoja ja aiheuttaa suuria taloudellisia tappioita sekä yksilöihin kohdistuvia vaaroja. Kyberturvallisuusasetuksen tavoitteena on vastata näihin uhkiin koordinoimalla jäsenvaltioiden ja unionin toimielimien vastatoimia ja kriisinhallintaa. Asetus ei kuitenkaan 2 artiklan mukaan rajoita jäsenvaltioiden toimivaltaa sellaisten toimien osalta, jotka koskevat yleistä turvallisuutta, puolustusta, kansallista turvallisuutta tai jäsenvaltion toimia rikosoikeuden alalla.

Uutisen laatimiseen osallistui myös toimistomme lakimiesharjoittelija Johannes Lottonen.

20.08.2019 MAX