Kyberturvallisuuden uudistus Euroopassa

Euroopan unioni pyrkii vahvistamaan kyberturvallisuussääntöjään puuttuakseen kasvavaan kyberhyökkäysten uhkaan ja hyödyntääkseen uuden digiajan mahdollisuuksia.

Eurooppa-neuvosto kehotti 18. lokakuuta 2018 ryhtymään toimenpiteisiin vahvan kyberturvallisuuden rakentamiseksi Euroopan unionissa. EU-johtajat viittasivat erityisesti rajoittaviin toimenpiteisiin, joilla pystytään vastaamaan kyberhyökkäyksiin ja estämään niitä.

Kyberuhkien torjumiseen tähtäävä uudistettu EU:n sitoumus perustuu Euroopan komission syyskuussa 2017 esittämään kyberturvallisuuden uudistuspakettiin.

Uudistuksella jatketaan toimia, jotka otettiin käyttöön kyberturvallisuusstrategialla ja sen tärkeimmällä osatekijällä, verkko- ja tietojärjestelmien turvallisuudesta annetulla direktiivillä (kyberturvallisuusdirektiivi).

Ehdotuksessa esitetään uusia aloitteita, kuten

• vahvemman EU:n kyberturvallisuusviraston muodostaminen
• EU:n laajuisten kyberturvallisuuden sertifiointijärjestelmien käyttöönotto
• kyberturvallisuusdirektiivin ripeä täytäntöönpano

EU-johtajat pitävät kyberturvallisuusuudistusta yhtenä tärkeimmistä tekijöistä EU:n digitaalisten sisämarkkinoiden toteuttamiseen tähtäävissä toimissa.

• Eurooppa-neuvoston päätelmät 18.10.2018
• Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen EU:lle (Euroopan komissio)
  ×

  Saatavilla toistaiseksi vain seuraavilla kielillä:

  EN
• Digitaaliset sisämarkkinat (taustatietoa)

Mihin sitä tarvitaan?

EU kohtaa yhä suurempia kyberuhkia, ja sen on parannettava tietämystä jäsenmaihin tai EU:n toimielimiin kohdistuvista kyberhyökkäyksistä ja niihin vastaamista.

"Esineiden internet" on jo todellisuutta, ja arvioiden mukaan vuoteen 2020 mennessä siihen on kytkettynä kymmeniä miljardeja digilaitteita EU:ssa.

Samalla turvallisuushäiriöt, kuten tekniset viat ja virukset, voivat haitata vakavasti nykyisiä tieto- ja viestintäjärjestelmiä. Tällaiset verkko- ja tietoturvajärjestelmien häiriöt ovat nykyään yhä yleisempiä ja vaikeampia käsitellä.

Lisäksi kyberhyökkäysten arvioidaan maksavan maailmantaloudelle 400 mrd. € vuosittain.

• Kyberturvallisuustiedote (Euroopan komissio)
  ×

  Saatavilla toistaiseksi vain seuraavilla kielillä:

  EN

Monet yritykset ja valtiot eri puolilla EU:ta käyttävät digitaalisia verkkoja ja infrastruktuureja keskeisten palvelujensa tarjoamiseen. Tämä merkitsee, että verkko- ja tietoturvajärjestelmien häiriöillä voi olla valtava vaikutus, sillä ne voivat vaarantaa palvelut ja häiritä yritysten toimintaa.

Lisäksi tällainen häiriö yhdessä maassa voi vaikuttaa muihin maihin tai jopa koko EU:hun. Turvallisuushäiriöt myös heikentävät kuluttajien luottamusta verkkomaksujärjestelmiin sekä tieto- ja viestintäverkkoihin.

Euroopan komission mukaan kasvavasta uhasta huolimatta tietoisuus ja tietämys kyberturvallisuudesta ei ole riittävää:

• 51% Euroopan kansalaisista kokee tiedotuksen kyberuhkista riittämättömäksi
• 69% yrityksistä ei tiedosta riittävästi tai lainkaan altistumistaan kyberriskeille.

Käsittely neuvostossa ja Eurooppa-neuvostossa

Eurooppa-neuvosto kehotti 18. lokakuuta 2018 saattamaan neuvottelut kaikista kyberturvallisuutta koskevista ehdotuksista päätökseen "ennen vaalikauden päättymistä".

Neuvosto aloitti 13. syyskuuta 2018 neuvottelut Euroopan parlamentin kanssa, jotta kyberturvallisuussäädöksestä voitaisiin päästä sopimukseen vuoden loppuun mennessä.

Neuvosto muodosti 8. kesäkuuta 2018 yleisnäkemyksen kyberturvallisuussäädöksestä.

Ehdotuksella on tarkoitus parantaa kyberuhkien sietokykyä perustamalla EU:n laajuinen sertifiointikehys tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille. Lisäksi sillä tehostetaan Euroopan unionin verkko- ja tietoturvaviraston (ENISA) toimintaa.

EU-elimet ottivat 20. joulukuuta 2017 tärkeän ensimmäisen askeleen tehostaakseen yhteistyötään kyberhyökkäysten torjumiseksi. Toimielinten välisellä järjestelyllä perustettiin pysyvä tietotekniikan kriisiryhmä (CERT-EU), jossa ovat mukana kaikki EU:n toimielimet, elimet ja virastot.

CERT-EU vastaa EU:n koordinoiduista toimista, kun toimielimiin kohdistuu kyberhyökkäyksiä.

Yleisten asioiden neuvosto kehotti 20. marraskuuta 2017 vahvistamaan Euroopan kyberturvallisuutta sekä tehostamaan kyberuhkien sietokykyä kaikkialla EU:ssa.

Ministerit korostivat, että kaikkien EU-maiden on huolehdittava tarvittavista resursseista ja investoinneista kyberturvallisuuden tehostamiseksi.

Televiestintäneuvosto sopi 24. lokakuuta 2017 toimintasuunnitelman laatimisesta EU:n kyberturvallisuuden uudistamiseksi. Ministerit korostivat, että verkkoturvallisuus on olennainen asia Euroopan kansalaisille ja yrityksille.

• Eurooppa-neuvoston päätelmät 18.10.2018
• EU perustaa kyberturvallisuuden yhteisen sertifiointikehyksen (lehdistötiedote 8.6.2018)
• EU-elimet vahvistavat yhteistyötä kyberhyökkäyksien torjumiseksi (lehdistötiedote 20.12.2017)
• EU tehostaa kyberturvallisuutta (lehdistötiedote 20.11.2017)
• Televiestintäneuvosto 24.10.2017

Tarkempia tietoja

Kyberturvallisuuden sertifiointijärjestelmä

Euroopan komissio ehdotti syyskuussa 2017 julkaisemassaan uudistuspaketissa EU:n laajuisten sertifiointijärjestelmien käyttöönottoa tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille. Aloitteen tarkoituksena on mahdollistaa EU:n kyberturvallisuusmarkkinoiden kasvu.

Sertifiointijärjestelmiin kuuluisi sääntöjä, teknisiä vaatimuksia ja menettelyjä. Niiden tehtävänä olisi vähentää markkinoiden pirstoutumista, poistaa sääntelyn esteitä ja rakentaa luottamusta. Ne tunnustettaisiin kaikissa jäsenmaissa, mikä helpottaisi kaupankäyntiä yli rajojen.

• EU:n kyberturvallisuuden sertifiointijärjestelmä (Euroopan komissio)

Vahvempi EU:n kyberturvallisuusvirasto

Komissio ehdotti myös vahvemman EU:n kyberturvallisuusviraston muodostamista nykyisen Euroopan unionin verkko- ja tietoturvaviraston (ENISA) pohjalta. Uuden viraston tehtävänä olisi auttaa jäsenmaita, EU:n toimielimiä ja yrityksiä vastaamaan kyberhyökkäyksiin.

• Euroopan unionin verkko- ja tietoturvavirasto (ENISA)

Täydentävästä toimivallasta petostentorjuntaan

Euroopan komission ehdotus EU:n kyberturvallisuuden vahvistamiseksi sisältää muitakin uusia aloitteita:

• laajamittaisiin kyberhyökkäyksiin reagointia koskeva suunnitelma
• Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus, johon liittyisi jäsenmaiden vastaavien keskusten verkosto
• tehokkaammat rikosoikeudelliset keinot puuttua kyberrikollisuuteen uudella direktiivillä muihin maksuvälineisiin kuin käteisrahaan liittyvien petosten ja väärennysten torjumisesta
• maailmanlaajuisen vakauden vahvistaminen kansainvälisellä yhteistyöllä.

• Koordinoitu reagointi laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (Euroopan komissio)

Kyberturvallisuusdirektiivi asialistan kärjessä

Neuvosto hyväksyi EU:n laajuiset kyberturvallisuussäännöt toukokuussa 2016. Ne tulivat voimaan elokuussa 2016.

Kyberturvallisuusdirektiivi otettiin käyttöön jäsenmaiden yhteistyön lisäämiseksi tärkeällä kyberturvallisuuden alalla. Direktiivissä asetettiin turvallisuuteen liittyviä velvoitteita keskeisten palvelujen tarjoajille (kriittiset toimialat kuten energia, liikenne, terveys ja rahoitus) ja digitaalisten palvelujen tarjoajille (verkossa toimivat markkinapaikat, hakukoneet ja pilvipalvelut).

Kyberturvallisuusdirektiivin mukaan EU-mailla on myös velvollisuus nimetä yksi tai useampi kansallinen viranomainen ja määrittää strategia kyberturvallisuusuhkiin vastaamiseksi.

• Kyberturvallisuusdirektiivi (EU:n virallinen lehti)
• Kyberturvallisuussäännöt hyväksytty neuvostossa (lehdistötiedote 17.5.2016)

Digitaalisten sisämarkkinoiden turvaaminen

Kyberturvallisuudella on tärkeä rooli digitaalisten sisämarkkinoiden mahdollisuuksien hyödyntämisessä.

Euroopan digitaalisen tulevaisuuden turvaaminen on tärkeää myös EU:n vaurauden kannalta, koska dataa pidetään yleisesti uutena "talouden öljynä".

Prioriteetteina on pidettävä muun muassa seuraavia:

• puuttuminen verkkoalustojen uhkiin ja sen mahdollistaminen, että ne voivat osallistua yhteiskuntaan myönteisellä tavalla
• pk-yritysten kilpailukyvyn tukeminen digitaalitaloudessa
• investoiminen tekoälyn ja supertietokoneiden käyttöön esimerkiksi lääketieteellisissä hoidoissa ja energiatehokkuudessa

• Digitaalisten sisämarkkinoiden strategian välikatsaus (Euroopan komission lehdistötiedote)
• Digitaaliset sisämarkkinat (taustatietoa)