Komissio ehdottaa EU-tasoista tietoturvasertifiontia

liikenne- ja viestintäministeriö
Julkaisuajankohta 19.10.2017 13.41
Tiedote

Suomi kannattaa EU:n komission ehdotusta, että Euroopan verkko- ja tietoturvavirasto ENISA:sta tulisi EU:n pysyvä virasto ja sen tehtäväkenttää laajennettaisiin. Viraston tehtäviin kuuluisi jatkossa EU-tasoisen tieto- ja viestintäteknologiatuotteiden sertifioinnin edistäminen. Tavoitteena on luottamuksen lisääminen digitaalisiin palveluihin.

Komissio teki 13. syyskuuta 2017 asetusehdotuksen, jolla Euroopan verkko- ja tietoturvavirasto ENISA muutettaisiin Euroopan kyberturvallisuusvirastoksi. Asetuksella myös luotaisiin yleiset puitteet tietoturvahyödykkeiden sertifiointityölle EU:ssa.

EU-tasoisen sertifioinnin tarkoituksena on parantaa kansalaisten ja yritysten saatavilla olevien tieto- ja viestintäteknologiatuotteiden tietoturvallisuutta ja saatavuutta. Tavoitteena on, että tuotteiden tietoturvaominaisuudet olisivat kansalaisille ja elinkeinoelämälle läpinäkyvämpiä ja keskenään vertailukelpoisempia, ja siten lisäisivät luottamusta sähköisiin palveluihin.

Kyseessä olisi ensisijaisesti vapaaehtoisuuteen perustuva sertifiontijärjestelmä. Ehdotus kuitenkin jättää mahdollisuuden säätää myöhemmin myös pakollisia sertifiointivaatimuksia EU-tasolla tai kansallisesti. Ehdotus myös rajoittaisi jäsenvaltioiden mahdollisuuksia laatia omia kansallisia sertifiointiohjelmia, jos ne olisivat päällekkäisiä ehdotuksen nojalla perustettujen sertifiointiohjelmien kanssa. Ehdotus edellyttäisi kansallisen sertifiointivalvontaviranomaisen nimeämistä.

Valtioneuvosto pitää tärkeänä, että tietoturvallisuutta ja tietoturvallisten tuotteiden ja palveluiden saatavuutta sisämarkkinoilla parannetaan ja innovaatioita edistetään koko EU:n alueella. Ehdotuksen tavoitteet ovat linjassa Suomen hallitusohjelman, kansallisen tietoturvastrategian ja kyberturvallisuusstrategian sekä hallituksen digitaalisen liiketoiminnan edistämiseen tähtäävän kärkihankkeen kanssa.

Lisäksi valtioneuvosto katsoo, että ENISA:n muuttuminen pysyväksi virastoksi parantaisi sen

toimintaedellytyksiä. ENISA:n toimintaa ja tavoitteita tulisi kuitenkin arvioida säännöllisesti, jotta se pystyisi parhaalla tavalla palvelemaan nopealla syklillä muuttuvia ja kehittyviä digitaalisia sisämarkkinoita.

Tieto- ja viestintäteknologiahyödykkeiden sertifiointiehdotusta valtioneuvosto pitää kannatettavana niiltä osin joilta sääntely lisäisi luottamusta digitaalisille sisämarkkinoille. Asetusehdotuksen ja sen nojalla annettavan muun sääntelyn vaikutuksia, laajuutta ja tarkoituksenmukaisuutta tulee kuitenkin vielä arvioida. Lisäarvioinnin tarkoituksena olisi varmistaa, ettei sertifioinneilla aiheuteta ylimääräistä, kilpailukykyä haittaavaa hallinnollista taakka tai aseteta toimijoita keskenään eriarvoiseen asemaan.

Lisäksi valtioneuvosto katsoo, että ENISA:n tulisi toiminnassaan välttää päällekkäisyyksiä kansallisten viranomaisten toiminnan kanssa.

Euroopan verkko- ja tietoturvavirasto ENISA perustettiin vuonna 2004 viideksi vuodeksi parantamaan unionin, jäsenvaltioiden ja yritysmaailman valmiuksia ehkäistä, käsitellä ja ratkaista verkko- ja tietoturvaongelmia. Viraston toimikautta on jatkettu kaksi kertaa. Nykyinen toimikausi päättyy vuoden 2020 kesäkuussa.

Lisätietoja:

neuvotteleva virkamies Piia Nyström, p. 0295 34 2969

yksikön johtaja Timo Kievari, p. 0295 34 2620