EU:n kyberturvallisuusasetus (EU) 2019/881 (The EU Cybersecurity Act, CSA) on asetus Euroopan unionin kyberturvallisuusvirasto ENISAsta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista.
Vuonna 2019 voimaan tulleessa EU:n kyberturvallisuusasetuksessa on määritelty EU:n laajuisten kyberturvallisuuden sertifiointijärjestelmien kehittäminen ja käyttöönotto. Näiden sertifiointijärjestelmien ja niiden pohjalta myönnettävien kyberturvallisuussertifikaattien tarkoituksena on
- yhdenmukaistaa ICT-tuotteiden, palvelujen ja prosessien turvallisuusvaatimuksia eri jäsenvaltioiden välillä
- lisätä tuotteiden, palvelujen ja prosessien turvallisuutta ja kuluttajien luottamusta sertifioituihin tuotteisiin
- vähentää tilanteita, joissa yrityksen on hankittava useita päällekkäisiä tai keskenään ristiriitaisia ja siten ylimääräisiä kustannuksia aiheuttavia kansallisia sertifikaatteja.
Kyberturvallisuusasetuksessa määritellään kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen (NCCA, National Cybersecurity Certification Authority) tehtävät ja toimivaltuudet. Suomessa tästä toiminnasta vastaa Liikenne- ja viestintävirasto Traficom, kuten on säädetty sähköisen viestinnän palveluista annetussa laissa 304 §:ssä (917/2014).
Sertifikaattien varmuustasot: perustaso, korotettu, korkea
CSA määrittelee kyberturvallisuussertifikaateille kolme eri varmuustasoa. Varmuustasoa käytetään kuvaamaan sertifioitavan kohteen käyttötarkoitukseen liittyvän kyberturvallisuusriskin tasoa ja sitä millä tasolla sertifioitua kohdetta on arvioitu.
Perustaso: kohteen arviointi tehty tasolla, joka on tarkoitettu tunnettujen perustason kyberturvallisuuspoikkeamien ja kyberhyökkäysten tunnettujen perusriskien minimoimiseksi. Perustasolla arvioinnin on sisällettävä vähintään kohteen teknisten asiakirjojen arvioinnin.
Korotettu: kohteen arviointi tehty tasolla, joka tähtää tunnettujen kyberturvallisuusriskien ja -poikkeamien sekä niukat kyvyt ja resurssit omaavien tahojen tekemien kyberhyökkäysten aiheuttamien riskien minimoimiseen. Korotettu-varmuustason sertifikaattia varten arviointitoimien on sisällettävä vähintään osoituksen siitä, että julkisesti tiedossa olevia haavoittuvuuksia ei ole sekä testauksen että tuote/palvelu/prosessi toteuttaa sille välttämättömät turvallisuusvaatimukset oikein.
Korkea: kohteen arviointi tehty tasolla, joka on tarkoitettu uusinta tekniikkaa hyödyntävien ja merkittävä kyvyt ja resurssit omaavien tahojen tekemien kyberhyökkäysten riskin minimoimiseen. Korkea-varmuustasolla arvioinnin vähimmäisvaatimuksiin on edellisten lisäksi kuuluttava penetraatiotestaus tuotteen/palvelun/prosessin kyvystä vastustaa kyvykkäitä hyökkäyksiä.
Tarkemmat vaatimukset eri varmuustason sertifikaatteja varten on määritetty sovellettavassa sertifiointijärjestelmässä.
Sertifioinnin pakollisuus
Kyberturvallisuussertifikaatin hankkiminen on vapaaehtoista, ellei sitä ole kansallisella tai EU:n lainsäädännöllä asetettu pakolliseksi esimerkiksi tietyille tuotteille, palveluille tai prosesseille.
Vaikka sertifikaatin hankkiminen ei ole pakollista, on se hyvä tapa osoittaa, että turvallisuusvaatimukset on huomioitu ja toteutettu oikein.
VINKKI:
Vaikka et olisikaan aikeissa hankkia kyberturvallisuussertifikaattia, on sertifiointijärjestelmien turvallisuusvaatimuksiin tutustuminen hyvä tapa peilata oman tuotteen, palvelun tai prosessin kyberturvallisuuskypsyyttä sertifikaatin vaatimuksiin nähden!
Eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät (European cybersecurity certification schemes)
Sertifiointijärjestelmä kuvaa sertifikaattia varten täytettävät vaatimukset eri osapuolille sekä tarkemmin sen kuinka vaatimusten noudattamista valvotaan.
Voimassa olevista ja tekeillä olevista kyberturvallisuuden sertifiointijärjestelmistä löydät lisää tietoa Kyberturvallisuuden sertifiointijärjestelmät -sivulta.