Kattavaa yhteistyötä ja globaaleja standardeja – CSC antoi syötettä EU:n kyberturvallisuusviraston (ENISA) ja EU:n kyberturvallisuussertifiointien viitekehyksen arviointiin
CSC pitää kyberturvallisuutta yhtenä digitaalisen vuosikymmenen avainkysymyksistä ja korostaa tarvetta varmistaa, että siihen liittyvät EU-politiikkavälineet ovat kattavia ja ajantasaisia. Toivotammekin tervetulleeksi EU:n kyberturvallisuusviraston ja EU:n kyberturvallisuussertifiointien viitekehyksen arvioinnin ja kehotamme komissiota perinpohjaiseen arviointiin ottaen huomioon kaikkien olennaisten sidosryhmien näkemykset.
Kyberturvallisuusasetuksen (asetus (EU) 2019/881) mukaan “ENISA edistää yhteistyötä, kuten tietojen jakamista ja koordinointia, unionin tasolla jäsenvaltioiden, unionin toimielinten, elinten ja laitosten sekä asiaankuuluvien yksityisten ja julkisten sidosryhmien välillä kyberturvallisuuteen liittyvissä kysymyksissä”. Käytännössä ENISAn yhteistyörakenteet ulottuvat kansallisella tasolla kuitenkin vain julkisiin sidosryhmiin, eli NIS2-direktiivin (direktiivi (EU) 2022/2555) 10 artiklan mukaisiin kansallisiin CSIRT-yksiköihin. Muut CSIRTit ovat usein joutuneet turvautumaan tietojenvaihtoon kaupallisten toimijoiden kautta, joista monet ovat EU:n ulkopuolelta. Tilanteen korjaamiseksi ENISAn tulisi kehittää yhteistyötään yksityisten sidosryhmien kanssa, samassa hengessä kuin kybersolidaarisuussäädösehdotus (KOM(2023) 209 lopullinen), joka pyrkii edistämään yksityisen sektorin mukanaoloa Euroopan kyberturvallisuuden vahvistamisessa.
Mitä tulee EU:n kyberturvallisuussertifiointien viitekehykseen, toivotamme tervetulleeksi työn, jota ENISA on tähän mennessä tehnyt sertifiointijärjestelmäehdotusten eteen painottaen ekosysteemin mukanaoloa ja tukea. Eurooppalaisia sertifiointijärjestelmiä kehitettäessä on ensiarvoisen tärkeää saattaa ne linjaan kansainvälisellä tasolla kehitettävien järjestelmien kanssa (esim. ISO/IEC 27001), jotta eurooppalaiset yritykset pystyvät kilpailemaan globaaleilla markkinoilla.