Kyberturvallisuus Euroopan unionin toimielimissä, elimissä, toimistoissa ja virastoissa

 

TIIVISTELMÄ ASIAKIRJASTA:

Asetus (EU, Euratom) 2023/2841 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi unionin toimielimissä, elimissä, toimistoissa ja virastoissa

ASETUKSEN TARKOITUS

Asetuksella pyritään varmistamaan kyberturvallisuuden yhteinen korkea taso kaikissa Euroopan unionin (EU) toimielimissä, elimissä, toimistoissa ja virastoissa (määritelty asetuksessa ”unionin toimijoiksi”). Asetuksessa säädetään

• kunkin unionin toimijan laatimasta sisäisestä kyberturvallisuusriskien hallinta- ja valvontakehyksestä
• kyberturvallisuusriskien hallinnasta, raportoinnista ja tietojen jakamisesta
• toimielinten välisen kyberturvallisuuslautakunnan (IICB) perustamisesta ja unionin toimielinten, elinten, toimistojen ja virastojen kyberturvallisuuspalvelun (CERT-EU) toimeksiannon jatkamisesta
• asetuksen täytäntöönpanon valvonnasta.

TÄRKEIMMÄT KOHDAT

Kyberturvallisuustoimenpiteet ja aikataulu

IICB antaa viimeistään 8. syyskuuta 2024 kaikille unionin toimijoille ohjeet seuraavista:

• kyberturvallisuuden alustavan arvioinnin suorittaminen
• sisäisen kyberturvallisuusriskien hallinta- ja valvontakehyksen laatiminen
• kyberturvallisuuden kehitystason arviointien suorittaminen
• kyberturvallisuusriskien hallintatoimenpiteiden toteuttaminen
• kyberturvallisuussuunnitelman hyväksyminen.

Kukin unionin toimija sitoutuu seuraaviin.

• Se laatii sisäisen kyberturvallisuusriskien hallinta- ja valvontakehyksen viimeistään 8. huhtikuuta 2025. Kehys
  • kattaa unionin toimijan koko turvallisuusluokittelemattoman TVT-ympäristön ja perustuu kaikki vaaratekijät huomioivaan toimintamalliin
  • varmistaa kyberturvallisuuden korkean tason, ja siinä vahvistetaan sisäiset kyberturvallisuusperiaatteet
  • tarkistetaan säännöllisesti muuttuvien kyberturvallisuusriskien valossa ja vähintään neljän vuoden välein.
• Se nimittää paikallisen kyberturvallisuusvastaavan, joka toimii sen keskitettynä yhteyspisteenä kyberturvallisuuden kaikissa näkökohdissa.
• Se suorittaa viimeistään 8. heinäkuuta 2025 ja sen jälkeen vähintään kahden vuoden välein kyberturvallisuuden kehitystason arvioinnin. Unionin toimijat, joilla on samankaltaisia rakenteita, voivat tehdä yhteistyötä kutakin toimijaa koskevien arviointien suorittamiseksi. Arviointiin sisällytetään
  • kaikki toimijan TVT-ympäristön osatekijät
  • tarvittaessa ulkopuolista asiantuntemusta.
• Se toteuttaa viimeistään 8. syyskuuta 2025 asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen riskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi.
• Se hyväksyy kyberturvallisuussuunnitelman ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8. tammikuuta 2026. Suunnitelma
  • tarkistetaan kahden vuoden välein tai tarvittaessa useammin
  • sisältää laajavaikutteisia poikkeamia koskevan kyberkriisinhallintasuunnitelman
  • toimitetaan IICB:lle.

IICB

• vastaa seuraavista:
  • unionin toimijoiden suorittaman asetuksen täytäntöönpanon seuraaminen ja tukeminen
  • yleisten painopisteiden ja tavoitteiden täytäntöönpanon valvominen CERT-EU:ssa ja strategisen ohjauksen antaminen tälle
• koostuu unionin toimijoiden edustajista, CERT-EU:n johtajasta ja muista asiaankuuluvista osallistujista
• nimeää puheenjohtajan kolmen vuoden ajaksi, vahvistaa työjärjestyksensä ja kokoontuu vähintään kolme kertaa vuodessa
• hoitaa erityistehtäviä, kuten ohjeiden ja suositusten hyväksyminen unionin toimijoille, monivuotisen strategian hyväksyminen kyberturvallisuuden tason nostamisesta unionin toimijoissa ja teknisten neuvoa-antavien ryhmien perustaminen
• toteuttaa vaatimusten noudattamista koskevia toimenpiteitä sellaisen unionin toimijan suhteen, joka ei pane tehokkaasti täytäntöön asetusta, ohjeita, suosituksia tai toimintakehotuksia.

CERT-EU

• neuvoo unionin toimijoita kyberturvallisuusasioissa, auttaa niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimii niiden tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena
• integroidaan Euroopan komission jonkin pääosaston hallintorakenteeseen, ja sen päällikkö toimii komission alaisuudessa ja IICB:n valvonnassa hallinto- ja rahoitusmenettelyjen soveltamiseksi
• kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa
• hoitaa monenlaisia tehtäviä, kuten tarjoaa tietoturvaloukkauksiin reagoivan ja niitä tutkivan yksikön (CSIRT) vakioituja palveluja ja ylläpitää vertais- ja kumppaniverkostoa
• voi tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa EU:ssa ja sen jäsenvaltioissa
• järjestää kyberturvallisuusharjoituksia
• antaa toimintakehotuksia sekä ehdotuksia ohjeiksi ja suosituksiksi.

Merkittävien poikkeamien ilmoittaminen

Poikkeama katsotaan merkittäväksi, jos

• se on aiheuttanut tai voi aiheuttaa asianomaisen unionin toimijan toiminnalle vakavan toimintahäiriön tai sille suuria taloudellisia tappioita
• se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Unionin toimijat antavat ilmoituksen CERT-EU:lle ja tietoa asianomaisille kansallisille viranomaisille mahdollisimman pian, 24 tunnin kuluessa merkittävästä poikkeamasta, minkä jälkeen ne raportoivat siitä yksityiskohtaisesti CERT-EU:lle.

CERT-EU

• määrittää, onko aiheutunut toimijoiden välisiä vaikutuksia, ja jos on, antaa kyberturvallisuushälytyksen
• toimittaa IICB:lle, Euroopan unionin kyberturvallisuusvirastolle (ENISA), Euroopan unionin tiedusteluanalyysikeskukselle (EU INTCEN) ja CSIRT-verkostolle kolmen kuukauden välein yhteenvetoraportin, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista.

IICB

• antaa ohjeita tai suosituksia seuraavista:
  • järjestelyt merkittävistä poikkeamista raportointia varten sekä sen muoto ja sisältö viimeistään 8. heinäkuuta 2024
  • poikkeamanhallintaa koskeva koordinointi ja yhteistyö merkittävien poikkeamien yhteydessä viimeistään 8. tammikuuta 2025.

Laajavaikutteiset poikkeamat

IICB laatii kyberkriisinhallintasuunnitelman, joka sisältää järjestelyt, jotka koskevat koordinointia ja tiedonkulkua, vakiotoimintamenettelyt, luokituksen laajavaikutteisten poikkeamien vakavuutta ja kriisitilanteen kynnyspisteitä varten, säännölliset harjoitukset ja suojatut viestintäkanavat.

CERT-EU

• koordinoi laajavaikutteisten poikkeamien hallintaa unionin toimijoiden kesken
• ylläpitää inventaaria saatavilla olevasta teknisestä asiantuntemuksesta
• avustaa IICB:tä unionin toimijoiden laajavaikutteisia poikkeamia koskevien kyberkriisinhallintasuunnitelmien koordinoinnissa.

Unionin toimijat osallistuvat CERT-EU:n teknisen asiantuntemuksen inventaariin.

Uudelleentarkastelu

• IICB raportoi komissiolle asetuksen täytäntöönpanosta 8. päivään tammikuuta 2025 mennessä ja sen jälkeen vuosittain.
• Komissio antaa Euroopan parlamentille ja Euroopan unionin neuvostolle kertomuksen asetuksen täytäntöönpanosta 8. päivään tammikuuta 2027 mennessä ja sen jälkeen kahden vuoden välein.
• Komissio toimittaa kertomuksen asetuksen toiminnasta Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle sekä alueiden komitealle 8. päivään tammikuuta 2029 mennessä.

Kaikkien henkilötietojen osalta, joita unionin toimijat, IICB ja CERT-EU käsittelevät, on noudatettava EU:n tietosuojaa koskevaa lainsäädäntöä ja erityisesti asetusta (EU) 2018/1725 (ks. tiivistelmä).

MISTÄ ALKAEN ASETUSTA SOVELLETAAN?

Asetus tuli voimaan 7. tammikuuta 2024.

TAUSTAA

Maaliskuussa 2021 antamassaan päätöslauselmassa Euroopan unionin neuvosto korosti vankan ja johdonmukaisen turvallisuuskehyksen merkitystä koko EU:n henkilöstön, tietojen, viestintäverkkojen, tietojärjestelmien ja päätöksentekoprosessien suojelemiseksi.

Asetus sisältää sääntöjä, jotka ovat yhdenmukaisia direktiivin (EU) 2022/2555 (ks. tiivistelmä) kanssa, ja noudattaa sitä periaatteiden ja tavoitetason osalta unionin toimijoiden erityisluonnetta kunnioittaen.

ASIAKIRJA

Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2023/2841, annettu 13 päivänä joulukuuta 2023, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi unionin toimielimissä, elimissä, toimistoissa ja virastoissa (EUVL L, 2023/2841, 18.12.2023).

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80–152).

Direktiiviin (EU) 2022/2555 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15–69).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39–98).

Viimeisin päivitys: 22.04.2024