Suomi vaikuttaa EU:n kyberturvallisuusasetuksen tarkistukseen

Euroopan komission on tarkoitus antaa vuoden 2025 lopulla säädösehdotus kyberturvallisuusasetuksen tarkistamisesta. Ministeriö antoi eduskunnalle asiasta selvityksen 26.5.2025.

EU:n kyberturvallisuusasetuksella säädetään Euroopan kyberturvallisuusvirasto ENISA:n tehtävistä sekä luodaan puitteet eurooppalaisille kyberturvallisuussertifiointijärjestelmille. Asetus tuli voimaan vuonna 2019. Tämän hetken tietojen mukaan ENISA:n tehtävien ja kyberturvallisuuden sertifiointikehyksen tarkistamisen lisäksi tarkistuksessa saatetaan keskittyä siihen, että löydetään yhtenäiset lähestymistavat tieto- ja viestintätekniikan, mukaan lukien viestintäverkkojen toimitusketjujen turvallisuuden parantamiseksi.

Kyberturvallisuuden toimintaympäristö on muuttunut merkittävästi kyberturvallisuusasetuksen voimaantulon jälkeen. Suomi pitää tärkeänä, että muuttunut toimintaympäristö huomioidaan kattavasti kyberturvallisuusasetusta tarkasteltaessa. Huomiota tulee kiinnittää EU:n varautumisen, kilpailukyvyn ja teknologisen omavaraisuuden edistämiseen.

Suomi katsoo, että suomalainen kokonaisturvallisuuden toimintamalli soveltuu hyvin EU:n varautumisen ja kriisitoiminnan vahvistamiselle myös kyberturvallisuudessa. Suomi pitää tärkeänä, että yksityisen sektorin toimijat otetaan entistä laajemmin mukaan EU-tason kybervarautumisen vahvistamiseen.

Tukea sujuvammille kyberturvallisuuden sertifiointijärjestelmille

Suomi katsoo, että ENISA:n toiminnan tulee olla tehokasta ja läpinäkyvää. Päällekkäisyyksiä kansallisten viranomaisten tehtävien sekä muiden EU:n kyberturvallisuuden toimintojen kanssa tulisi välttää.

Suomi pitää tärkeänä, että EU:n digi- ja kyberlainsäädäntö muodostaa selkeän kokonaisuuden. Edellisen Euroopan komission kaudella valmisteltiin merkittävä määrä uutta kyberturvallisuuden lainsäädäntöä, jolla on ollut laajoja vaikutuksia muun muassa ENISA:n tehtäviin. 

Suomi pitää myös tärkeänä, että ennen uusien tehtävien osoittamista arvioidaan ENISA:n kyky hoitaa sille osoitetut tehtävät. ENISA:n tehtävien priorisoinnissa tulee huomioida vaikutukset EU-tason kyberturvallisuuteen ja EU:n strategisten tavoitteiden saavuttamiseen.

Suomi suhtautuu myönteisesti tavoitteeseen sujuvoittaa eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien valmistelua, hyväksymistä ja tarkistamista. Kyberturvallisuuden sertifiointijärjestelmien kehittäminen on tärkeä osa EU:n kyberturvallisuuden ja teknologioiden turvallisuuden edistämistä. Suomi katsoo, että sertifioinnilla tulisi voida täyttää lainsäädännön kyberturvallisuuden minimivaatimukset.

Euroopan komissio on kertonut aikovansa tarkastella myös tieto- ja viestintätekniikan toimitusketjujen ja infran turvallisuutta ja kriisinkestävyyttä osana kyberturvallisuusasetuksen tarkistusta. 

Suomi katsoo, että tieto- ja viestintätekniikan toimitusketjujen turvallisuuden ja kriisinkestävyyden vahvistaminen on keskeinen osa EU:n teknologista omavaraisuutta. Suomi suhtautuu alustavasti myönteisesti uusiin ja mahdollisesti nykyistä velvoittavampiin EU-tason toimenpiteisiin, joilla parannettaisiin tieto- ja viestintäteknologioiden toimitusketjujen turvallisuutta.

Mitä seuraavaksi?

Euroopan komissio on tarkoitus antaa säädösehdotus kyberturvallisuusasetuksen tarkistamisesta vuoden 2025 lopulla. Säädösehdotukseen ja sen vaikutuksiin otetaan kantaa, kun komissio antaa ehdotuksensa.

Lisätietoja:

erityisasiantuntija Emma Hokkanen, p. 0295 342 106, [email protected]