EU:n kyberturvallisuus: strategia ja keskeiset politiikat
Digitalisaatio tuo mukanaan mahdollisuuksia, mutta myös kyberuhkia. Uhkien torjumiseksi EU on laatinut kyberturvallisuusstrategian ja käynnistänyt aloitteita, joilla parannetaan turvallisuutta ja häiriönsietokykyä.
EU:n kyberturvallisuusstrategia
EU-johtajat antoivat lokakuussa 2020 jäsenmaille kehotuksen
- suojata EU:ta kyberuhilta
- luoda suojattu viestintäympäristö, muun muassa kvanttisalauksen avulla
- varmistaa tietojen saatavuus oikeudellisia ja lainvalvontatarkoituksia varten
Kehotus annettiin, koska vahvemmat kyberturvallisuustoimet avoimen ja turvallisen kybertoimintaympäristön luomiseksi voivat lisätä kansalaisten luottamusta digitaalisiin välineisiin ja palveluihin. Kyberturvallisuus suojaa verkko- ja tietojärjestelmiä, tällaisten järjestelmien käyttäjiä ja muita asianosaisia henkilöitä kyberuhilta.
Euroopan komissio ja Euroopan ulkosuhdehallinto (EUH) esittelivät joulukuussa 2020 EU:n uuden kyberturvallisuusstrategian. Tavoitteena on vahvistaa Euroopan sietokykyä kyberuhkia vastaan ja varmistaa, että kaikki kansalaiset ja yritykset hyötyvät täysimääräisesti luotettavista palveluista ja digitaalisista välineistä.
Neuvosto hyväksyi 22. maaliskuuta 2021 päätelmät kyberturvallisuusstrategiasta. Päätelmissä korostettiin, että kyberturvallisuus on olennaisen tärkeää selviytymiskykyisen, vihreän ja digitaalisen Euroopan rakentamiseksi. EU-maiden ministerit asettivat keskeiseksi tavoitteeksi strategisen riippumattomuuden saavuttamisen ja avoimen talouden säilyttämisen. Tähän sisältyy se, että vahvistetaan valmiuksia tehdä riippumattomia valintoja kyberturvallisuuden alalla ja samalla parannetaan EU:n digitaalista johtajuutta ja strategisia valmiuksia.
EU:n keskeiset kyberturvallisuuspolitiikat
Kybersuunnitelma
Neuvosto hyväksyi 6. kesäkuuta 2025 kyberkriisinhallintaa koskevan EU:n suunnitelman.
Suunnitelma tarjoaa kattavan ja yksityiskohtaisen kehyksen kyberkriisien käsittelemiselle EU:n tasolla ja perustuu vuoden 2017 kyberturvallisuussuunnitelmaan.
Kybersuunnitelman tavoitteena on
- varmistaa vaikuttava ja tehokas reagointi laajamittaisiin kyberturvallisuuspoikkeamiin
- edistää jäsennellympää yhteistyötä siviili- ja sotilasalan toimijoiden välillä
- määritellä kyberkriisi ja se, mikä käynnistää kyberkriisimekanismin
EU:n kybersolidaarisuussäädös
Neuvosto hyväksyi 2. joulukuuta 2024 kybersolidaarisuussäädöksen. Asetuksella vahvistetaan valmiuksia EU:n laajuisesti ja tehostetaan EU:n häiriönsietokykyä ja kykyä reagoida kyberuhkiin. Myös yhteistyömekanismeja vahvistetaan.
Uusilla säännöillä
- perustetaan kyberturvallisuuden hälytysjärjestelmä eli yleiseurooppalainen infrastruktuuri, joka koostuu kansallisista ja rajatylittävistä kyberkeskuksista, jotka tukevat kyberuhkien ja -poikkeamien havaitsemista
- luodaan kyberturvallisuuden hätämekanismi, jotta voidaan parantaa varautumista ja suojella kriittisiä toimijoita ja keskeisiä palveluja, kuten sairaaloita ja yleishyödyllisiä palveluja
- vahvistetaan sekä solidaarisuutta EU:n tasolla että yhtenäisiä kriisinhallinta- ja reagointivalmiuksia kaikissa jäsenmaissa
- edistetään turvallisen ja varman digitaalisen toimintaympäristön varmistamista kansalaisille ja yrityksille
Kybersolidaarisuussäädös tuli voimaan 4. helmikuuta 2025.
EU:n kyberturvallisuusasetus
Neuvosto hyväksyi EU:n kyberturvallisuusasetuksen huhtikuussa 2019. Sillä otettiin käyttöön
- EU:n laajuinen sertifiointijärjestelmä
- pysyvä ja vahvempi toimeksianto EU:n kyberturvallisuusvirastolle (ENISA)
Eurooppalaiset sertifiointijärjestelmät
Aiemmin EU-maat käyttivät tieto- ja viestintätekniikan tuotteille erilaisia kyberturvallisuuden sertifiointijärjestelmiä. Tämä johti markkinoiden hajanaisuuteen ja sääntelyesteisiin. EU otti kyberturvallisuusasetuksen avulla käyttöön yhtenäisen EU:n laajuisen sertifiointikehyksen, jolla on tarkoitus
- rakentaa luottamusta
- lisätä kyberturvallisuusmarkkinoiden kasvua
- helpottaa EU:n laajuista kauppaa
Kehykseen sisältyy kattava joukko sääntöjä, teknisiä vaatimuksia, standardeja ja menettelyjä.
EU hyväksyi joulukuussa 2024 kyberturvallisuusasetukseen kohdennetun muutoksen, joka mahdollistaa EU:n sertifiointijärjestelmien perustamisen sellaisille ”tietoturvapalveluille” kuten poikkeamien käsittely, tunkeutumistestaus, turvallisuusauditoinnit ja tekniseen tukeen liittyvä konsultointi.
EU:n kyberturvallisuusvirasto
Ateenassa Kreikassa toimiva EU:n kyberturvallisuusvirasto (ENISA) pyrkii siihen, että saavutetaan yhteinen korkea kyberturvataso koko EU:ssa. Virasto tukee jäsenmaita, EU:n toimielimiä ja muita sidosryhmiä kyberturvallisuuden parantamisessa ja kyberhyökkäysten torjumisessa.
ENISA perustettiin vuonna 2004. Sitä vahvistettiin EU:n kyberturvallisuusasetuksella, jolla sille annettiin pysyvä toimeksianto, enemmän resursseja ja laajennettu rooli.
Neuvosto hyväksyi joulukuussa 2024 päätelmät, jotka sisältävät suosituksia ja ehdotuksia EU:n kyberturvallisuusviraston vahvistamiseksi.
EU:n kyberresilienssisäädös
Neuvoston 10. lokakuuta 2024 hyväksymässä kyberresilienssisäädöksessä vahvistetaan kyberturvallisuusvaatimukset internetiin tai muihin laitteisiin liitetyille digitaalisia elementtejä sisältäville tuotteille. Näin varmistetaan, että tuotteet, kuten verkkoon liitetyt kodin valvontakamerat, jääkaapit, TV:t ja lelut, ovat turvallisia ennen kuin ne saatetaan markkinoille ja koko niiden elinkaaren ajan.
Säädöksellä parannetaan myös läpinäkyvyyttä kuluttajille: yksityishenkilöillä on mahdollisuus saada tietoa ostamiensa ja käyttämiensä tuotteiden kyberturvallisuudesta.
Verkko- ja tietoturvadirektiivi
Verkko- ja tietoturvadirektiivi eli kyberturvallisuusdirektiivi oli ensimmäinen EU:n laajuinen säädös, jolla pyrittiin lisäämään jäsenmaiden yhteistyötä kyberturvallisuuden alalla. Vuonna 2016 käyttöönotetussa direktiivissä asetettiin turvallisuuteen liittyviä velvoitteita keskeisten palvelujen tarjoajille (kriittiset toimialat kuten energia, liikenne, terveys ja rahoitus) ja digitaalisten palvelujen tarjoajille (verkossa toimivat markkinapaikat, hakukoneet ja pilvipalvelut).
EU hyväksyi vuonna 2022 tarkistetun verkko- ja tietoturvadirektiivin (NIS 2), jolla korvattiin vuoden 2016 direktiivi. Uusilla säännöillä varmistetaan yhteinen korkea kyberturvallisuustaso koko unionissa, reagoidaan näin muuttuvaan uhkaympäristöön ja otetaan huomioon digitalisaatio, jota koronapandemia on vauhdittanut.
NIS 2 -direktiivillä
- vahvistetaan sääntelykehyksen uudet vähimmäissäännöt
- säädetään mekanismeista kunkin EU-maan asiaankuuluvien viranomaisten tehokasta yhteistyötä varten
- päivitetään luetteloa toimialoista ja toiminnoista, joita kyberturvallisuusvelvoitteet koskevat
- käsitellään kyberturvallisuuspoikkeamia (yleinen tietosuoja-asetus)
Jäsenmaiden oli saatettava NIS 2 -direktiivi kaikilta osin osaksi kansallista lainsäädäntöään ja pantava se täytäntöön lokakuuhun 2024 mennessä.
5G-verkkoja koskeva EU:n välineistö
5G-verkot ovat erittäin tärkeitä paitsi digitaaliselle viestinnälle, myös kriittisille aloille, kuten energia-, liikenne-, pankki- ja terveydenhuoltoalalle.
5G on myös keskeinen voimavara, jonka avulla Eurooppa voi kilpailla globaaleilla markkinoilla, ja sen kyberturvallisuus on ratkaisevan tärkeää EU:n strategisen riippumattomuuden varmistamisen kannalta.
EU sopi tammikuussa 2020 välineistöstä, jonka avulla voidaan määrittää mahdolliset yhteiset toimet 5G-verkkojen tärkeimpien kyberturvallisuusriskien lieventämiseksi ja antaa ohjausta.
Rahoitus ja tutkimus
EU toimii useilla rintamilla parantaakseen kyberuhkien sietokykyä, suojatakseen viestintää ja dataa sekä turvatakseen verkottuneen yhteiskunnan ja digitaalitalouden. Tähän sisältyy tutkimuksen tukeminen ja kyberturvallisuutta koskevan innovoinnin rahoituksen lisääminen.
Digitaalinen Eurooppa
EU on sitoutunut investoimaan 1,6 mrd. € kyberturvallisuusvalmiuksiin ja kyberturvallisuusinfrastruktuurin ja -välineiden laajaan käyttöönottoon EU:n laajuisesti julkishallintoja, yrityksiä ja yksityishenkilöitä varten Digitaalinen Eurooppa -ohjelman puitteissa vuosina 2021–2027.
- Neuvostolta vihreää valoa Digitaalinen Eurooppa -ohjelmalle (lehdistötiedote 16.3.2021)
- Eurooppa investoi digitaalialaan: Digitaalinen Eurooppa -ohjelma (Euroopan komissio)
Horisontti Eurooppa -puiteohjelma
On ratkaisevan tärkeää löytää innovatiivisia ratkaisuja, jotka suojaavat meitä viimeisimmiltä ja kehittyneimmiltä kyberuhkilta. Kyberturvallisuus on siksi tärkeä osa tutkimuksen ja innovoinnin rahoitusta koskevaa EU:n puiteohjelmaa Horisontti 2020 ja sen seuraajaa, Horisontti Eurooppa -puiteohjelmaa. Toukokuussa 2020 EU myönsi 49 milj. € kyberturvallisuuden ja yksityisyyden suojajärjestelmiin kohdistuvan innovoinnin edistämiseen.
- Horisontti Eurooppa -puiteohjelma
- EU myöntää lähes 49 milj. € kyberturvallisuuteen ja yksityisyyden suojaan liittyvien innovaatioiden edistämiseen (Euroopan komission lehdistötiedote 20.5.2020)
Digitaalinen vuosikymmen 2030 -ohjelma
Digitaalinen turvallisuus edellyttää, että käytettävissä on riittävästi asiantuntijoita, joilla on oikeanlaista osaamista. Tällä hetkellä asiantuntijapula on merkittävä, joten EU investoi aktiivisesti kyberturvallisuustaitojen kehittämiseen.
Digitaalinen vuosikymmen 2030 -ohjelmalla tuetaan investointeja keskeisille aloille, kuten suurteholaskenta, yhteinen datainfrastruktuuri ja -palvelut, lohkoketjut, pienitehoiset prosessorit, 5G-käytävien yleiseurooppalainen käyttöönotto, digitaitoja koskevat huipputekniikan alan kumppanuudet, turvallinen kvanttilaskennan infrastruktuuri ja kyberturvallisuuskeskusten verkosto, digitaalinen julkishallinto, testauslaitokset ja digitaali-innovointikeskittymät.
Kyberturvallisuuden osaamiskeskus
Neuvosto hyväksyi huhtikuussa 2021 asetuksen Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen perustamisesta Bukarestiin, Romaniaan. Keskuksen tukena on kansallisten koordinointikeskusten verkosto.
Keskus
- parantaa kyberuhkien sietokykyä
- edistää viimeisimmän kyberturvallisuusteknologian käyttöönottoa
- tukee kyberturvallisuusalan startup-yrityksiä ja pk-yrityksiä
- edistää kyberturvallisuutta koskevaa tutkimusta ja innovointia
- osallistuu kyberturvallisuuteen liittyvän osaamisvajeen supistamiseen
Katso myös
Kyberturvallisuus
Miten EU torjuu kyberrikollisuutta?
Tärkeimmät kyberuhat EU:ssa
Päivitetty viimeksi: 2. joulukuuta 2024