Siirry pääsisältöön

Turvallisuus komissiossa

Toimet, joilla varmistetaan henkilöiden, omaisuuden ja tietojen turvallisuus sekä turvallinen ja vakaa toimintaympäristö komissiolle

Uudet tietoturvasäännöt

Ehdotus asetukseksi tietoturvallisuudesta unionin toimielimissä, elimissä ja laitoksissa

Tausta

Koska EU:n toimielinten, elinten ja laitosten on jaettava keskenään yhä enemmän sekä EU:n turvallisuusluokiteltua että turvallisuusluokittelematonta arkaluonteista tietoa ja koska uhkaympäristön kehitys on huolestuttavaa, EU:n hallinto on alttiina hyökkäyksille kaikilla toiminta-aloillaan. EU:n toimielimissä, elimissä ja laitoksissa käsiteltävät tiedot ovat erittäin houkuttelevia erilaisille uhkatoimijoille, ja nämä tiedot on suojattava asianmukaisesti.

EU:n jäsenvaltiot ovat jo kehottaneet toimielimiä toteuttamaan tarvittavia toimia. Yksi Eurooppa-neuvoston kesäkuussa 2019 hyväksymän vuosien 2019–2024 strategisen ohjelman keskeisistä piirteistä on yhteiskuntiemme suojeleminen koko ajan kehittyviltä uhkilta, jotka kohdistuvat EU:n hallinnossa käsiteltävään tietoon. Eurooppa-neuvosto kehotti päätelmissään ”EU:n toimielimiä yhdessä jäsenvaltioiden kanssa kehittämään toimenpiteitä, joilla voidaan parantaa EU:n sietokykyä ja turvallisuuskulttuuria EU:n ulkopuolelta tulevia kyber- ja hybridiuhkia vastaan, sekä suojaamaan paremmin EU:n tieto- ja viestintäverkkoja ja sen päätöksentekoprosessia kaikenlaisilta haitallisilta toimilta”.

Komissio hyväksyi heinäkuussa 2020 EU:n turvallisuusunionistrategian, jolla se sitoutui täydentämään jäsenvaltioiden kansallisia toimia turvallisuuden alalla. Yksi osa tätä sitoumusta on aloite, jonka tavoitteena on yhdenmukaistaa kaikkien EU:n toimielinten, elinten ja laitosten tietoturvallisuutta koskevia sisäisiä oikeudellisia kehyksiä.

Tavoitteet

Ehdotuksen yleisenä tavoitteena on luoda standardoidut, korkeatasoiset tietoturvasäännöt kaikille EU:n toimielimille, elimille ja laitoksille, jotta voidaan tehostaa ja yhdenmukaistaa suojaa niiltä muuttuvilta uhkilta, jotka kohdistuvat niiden tietoon.

Yleinen tavoite jakautuu neljään tarkempaan tavoitteeseen:

  • luodaan tietojen luottamuksellisuuden tasoon perustuvat yhdenmukaistetut ja kattavat tietoluokat
  • tunnistetaan turvallisuuspuutteet ja toteutetaan tarvittavat toimenpiteet
  • perustetaan EU:n toimielimille, elimille ja laitoksille tehokas tietoturvayhteistyöfoorumi
  • nykyaikaistetaan tietoturvakäytäntöjä ottaen huomioon ajankohtaiset suuntaukset kuten digitalisaatio ja etätyö.

 

Kysymyksiä ja vastauksia

Miksi komissio on esittänyt ehdotuksen asetukseksi tietoturvallisuudesta unionin toimielimissä, elimissä ja laitoksissa?

EU:n eri toimielimillä, elimillä ja laitoksilla on tällä hetkellä kullakin omat tietoturvasääntönsä, tai niillä ei ole sellaisia lainkaan. Sovellettavan oikeudellisen kehyksen hajanaisuus on johtanut siihen, että eri organisaatioiden tietoturvan tasoissa on merkittäviä eroja. Tämä tilanne lisää riskiä, että hyökkääjät iskevät heikoimpaan lenkkiin ja käyttävät sitä lähtökohtana muihin toimielimiin, elimiin tai laitoksiin kohdistuville jatkohyökkäyksille.

Komission ehdottamat kaikkien EU:n toimielinten, elinten ja laitosten yhteiset tietoturvasäännöt sisältävät korkeatasoiset perusvaatimukset niissä käsiteltävän tiedon turvallisuuden varmistamiselle. Yhdenmukaistetuilla säännöillä helpotetaan lisäksi tietojen jakamista toimielinten, elinten ja laitosten välillä sekä EU:n jäsenvaltioiden kanssa.

Mihin tahoihin ehdotettua asetusta sovelletaan?

Ehdotuksessa vahvistetaan EU:n hallintoon (toimielimiin, elimiin ja laitoksiin) sovellettavat säännöt. Siinä voidaan asettaa epäsuorasti velvoitteita henkilöille, jotka suorittavat tehtäviä tämän hallinnon puolesta tai sopimusperusteisesti (soveltamisalaan eivät kuulu komission jäsenet, neuvostossa kokoontuvat jäsenvaltioiden edustajat, Euroopan parlamentin jäsenet, unionin tuomioistuinten tuomarit tai Euroopan tilintarkastustuomioistuimen jäsenet).

Ehdotettua asetusta ei sovelleta EU:n jäsenvaltioihin.

Mitä tietoluokkia tämä asetus kattaa?

Tämä ehdotus kattaa turvallisuusluokittelemattomat ja EU:n turvallisuusluokitellut tiedot, ja sitä sovelletaan seuraaviin tietojen luottamuksellisuustasoihin:

  • kolme turvallisuusluokittelemattomien tietojen tasoa: julkiseen käyttöön tarkoitetut tiedot, normaalit tiedot ja arkaluonteiset turvallisuusluokittelemattomat tiedot
  • neljä EU:n turvallisuusluokiteltujen tietojen tasoa: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET ja TRÈS SECRET UE/EU TOP SECRET.

Arvioidaanko sääntöjä jossakin vaiheessa uudelleen?

Komissio arvioi asetuksen vaikutuksia ja mahdollisten lisätoimien tarvetta viiden vuoden välein soveltamispäivästä alkaen.

Komissio antaa lisäksi Euroopan parlamentille ja neuvostolle säännöllisesti kertomuksen asetuksen täytäntöönpanosta.

Mitkä ovat seuraavat vaiheet?

Komission ehdotukseen sovelletaan tavallista lainsäätämisjärjestystä Euroopan parlamentissa ja neuvostossa hyväksymistä varten.

Jäsenvaltioiden televiestintäministerit kehottivat Neversissa 9. maaliskuuta 2022 pitämässään epävirallisessa kokouksessa ”EU:n toimielimiä, elimiä ja virastoja vahvistamaan edelleen kyber- ja tietoturvaansa, sillä EU:sta on tullut keskeinen strateginen toimija, jonka rooli kansainvälisellä näyttämöllä edellyttää sen tietojen ja verkkojen suojaamista kyberuhkilta”.

Asiakirjat

Impact analysis accompanying the proposal

JRC study on information security in the age of EU institutions digitalisation

Linkkejä

Lehdistötiedote

Text of the proposal

The EU Security Union Strategy: European Security Union

Komission päätökset

EU:n turvallisuusunionistrategia: Euroopan turvallisuusunioni | Euroopan komissio (europa.eu)

Turvallisuuteen liittyvien komission toimien tavoitteena on taata komissiolle turvallinen ja vakaa toimintaympäristö. Komission on näin ollen varmistettava henkilöiden, omaisuuden ja tietojen turvallisuus komissiossa turvallisuudesta komissiossa annetun komission päätöksen (EU, Euratom) 2015/443 ja EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä annetun komission päätöksen (EU, Euratom) 2015/444 perusteella. Tämä koskee erityisesti henkilöiden ja omaisuuden fyysistä koskemattomuutta, tiedon ja viestintä- ja tietojärjestelmien koskemattomuutta, luottamuksellisuutta ja saatavuutta sekä komission toiminnan esteetöntä toimivuutta.

Tässä yhteydessä komissio saattaa joutua käsittelemään henkilötietoja. Tällaisissa käsittelytoimissa noudatetaan luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23. lokakuuta 2018 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 (ETA:n kannalta merkityksellinen teksti).

Seuraavassa luetellaan tietoturvaan liittyviä menettelyjä koskevat tietosuojaperiaatteet:

Documents

  • 19. HUHTIKUUTA 2022
Privacy statement on security - European Commission Physical Access Control System (PACS)
  • français
    (731.92 KB - PDF)
    Lataa

  • 6. TOUKOKUUTA 2020
Privacy statements on security - European Commission Video Surveillance Policy (CCTV)
  • français
    (495.62 KB - PDF)
    Lataa

  • 19. HUHTIKUUTA 2022
Privacy statement - Security Investigations

  • 2. TOUKOKUUTA 2020
Privacy statement on security - Counter-Intelligence - Counter-Terrorism/Extremism - Threats against the Commission

  • 7. HUHTIKUUTA 2022
Privacy statements on security - Background Checks for Contractor staff