Siirry pääsisältöön
Euroopan unionin lippu
suomisuomi
EU:n kansalaisaloitefoorumi

Kriittistä digitaalista infrastruktuuria koskeva EU:n valtionhallinnon valvontasertifiointi

Laatija: Nikitas Bastas |
Päivitetty: 08 June 2026 |
Näyttökertojen määrä: 617

Aloitteen tavoitteet

Kehotamme Euroopan komissiota ehdottamaan tai tukemaan EU:n kyberturvallisuuden sertifiointikehykseen kuuluvaa lainsäädäntöä, mukaan lukien asetus (EU) 2019/881 tai sitä seuraava säädös, valinnaisen, riskiperusteisen ja porrastetun EU:n valtionhallinnon sertifiointikomponentin luomiseksi kriittisiä digitaalisia infrastruktuuripalveluja varten.


Komponentin olisi oltava erillinen pelkästään pilvipalveluihin perustuvasta kyberturvallisuussertifioinnista, toimijan kyberasennesertifioinnista, suuririskisistä toimittajarajoituksista ja yleisistä toimitusketjun riskivälineistä ja täydennettävä niitä. Sen olisi tarjottava vapaaehtoinen ja tarkastettavissa oleva palvelutason signaali valtion valvonnan häiriönsietokyvystä.


Sen olisi arvioitava tosiasiallista omistajuutta ja aineellista määräysvaltaa; EU:n lainkäyttöalue ja kriittisten toimintojen operatiivinen valvonta; kolmansien maiden oikeudellisiin tai yritysten harjoittamaan valvontaan liittyvät riskit; olennaiset kriittiset riippuvuudet; suojatoimet kolmansien maiden laitonta pääsyä tai häirintää vastaan; riippumattomat tarkastukset, varmuustasot ja uudelleenarviointi olennaisten muutosten jälkeen.


Sertifioitua asemaa olisi voitava käyttää objektiivisena hankinta- tai avoimuuskriteerinä, jos se on perusteltua kyberturvallisuuden, häiriönsietokyvyn, tietosuojan, palvelun jatkuvuuden tai käyttäjien laillisen valinnan vuoksi.

Perussopimusten
määräykset, joita pidätte ehdotetun toimen kannalta merkityksellisinä

SEUT-sopimuksen 114 ja 16 artikla tarvittaessa SEUT-sopimuksen 53 artiklan 1 kohta sekä 62 ja 173 artikla sisämarkkinoiden yhdenmukaistamisen, tietosuojan, kyberturvallisuussertifioinnin, palvelukaupan, häiriönsietokyvyn ja EU:n teollisuuden kilpailukyvyn osalta.

Liite aloitteen aiheesta, tavoitteista ja taustasta

Aihe


Tämä aloite koskee kriittisten digitaalisten infrastruktuuripalvelujen valinnaista, riskiperusteista ja porrastettua EU:n valtionhallinnon sertifiointikomponenttia asetuksen (EU) 2019/881 tai sitä seuraavan säädöksen mukaisen EU:n kyberturvallisuuden sertifiointikehyksen puitteissa.
 

Siinä ei vaadita ulkomaisten palveluntarjoajien kieltämistä, pakollista käyttöä vain EU:ssa, sensuuria, perussopimusten muuttamista tai digitaalista eristäytymistä. Siinä pyydetään laillista, vapaaehtoista ja tarkastettavissa olevaa EU:n mekanismia, jotta kansalaiset, yritykset, viranomaiset ja EU:n toimielimet voivat tunnistaa palvelut, jotka tarjoavat vahvemman sietokyvyn EU:n ulkopuolista valvontaa, ulkomaista oikeudellista painostusta, läpinäkymättömiä kriittisiä riippuvuuksia ja laitonta pääsyä kolmansista maista vastaan.
 

Tämä aloite perustuu EUCS:n pilvisertifiointikeskusteluun, mutta on siitä erillinen. EUCS koskee pilvipalvelujen kyberturvallisuussertifiointia. Tässä aloitteessa pyydetään laajempaa oikeusperustaa palvelutason suvereenin valvonnan profiilille, joka kattaa kriittisen digitaalisen infrastruktuurin, mukaan lukien pilvipalvelut, isännöinti, DNS, CDN, varmenneviranomainen, identiteetti ja todentaminen, hallittu kyberturvallisuus ja muut kriittiset tieto- ja viestintätekniset palvelut.
 

Tarve ja oikeudellinen aukko


EU:n lainsäädännöllä puututaan jo ongelman tärkeisiin osiin. GDPR suojaa henkilötietoja. NIS 2 -direktiivillä vahvistetaan keskeisten ja tärkeiden toimijoiden kyberturvallisuusvelvoitteita. Datasäädöksellä puututaan kolmansien maiden viranomaisten laittomaan pääsyyn datankäsittelypalvelujen tarjoajien hallussa oleviin muihin kuin henkilötietoihin unionissa. Kyberturvallisuusasetuksella luodaan EU:n kehys kyberturvallisuussertifioinnille.
 

Nykyiset ja ehdotetut välineet eivät kuitenkaan välttämättä tarjoa selkeää, vapaaehtoista, julkista ja palvelutasoista EU:n sertifiointisignaalia suvereenin valvonnan häiriönsietokyvylle. Tekninen kyberturvallisuussertifiointi, toimijan kyberasentosertifiointi, toimitusketjun riskivälineet, suuririskiset toimittajarajoitukset ja pelkkää pilvipalvelua koskevat järjestelmät eivät yksinään anna tavallisille käyttäjille ja hankkijoille vertailukelpoista tapaa arvioida, kuka hallitsee kriittistä palvelua, mikä laki voi saavuttaa kriittiset toimintonsa ja mitkä riippuvuudet voivat vaikuttaa jatkuvuuteen, luottamuksellisuuteen, eheyteen tai lailliseen pääsyyn.
 

Palvelu voi olla teknisesti turvallinen ja oikeudellisesti vaatimustenmukainen, mutta se voi silti olla riippuvainen EU:n ulkopuolisista valvontatasoista, emoyhtiön vaikutusvallasta, kolmansien maiden oikeudellisista velvoitteista, etähallinnosta, lokitiedoista, etämittauksesta, DNS-järjestelmästä, CDN-järjestelmästä, varmenteiden myöntämiseen liittyvistä palveluista, henkilöllisyysjärjestelmistä, pilvipalveluista, ohjelmistojen toimitusketjuista tai alihankkijoista, joita käyttäjät eivät voi realistisesti tarkastaa.
 

Tavoitteet

Komission olisi ehdotettava tai tuettava lainsäädäntöä, jolla
 

1. Luodaan valinnainen, riskiperusteinen ja porrastettu EU:n valtionhallinnon sertifiointikomponentti kriittisiä digitaalisia infrastruktuuripalveluja varten.
 

2. Vaaditaan tosiasiallisen omistajuuden ja olennaisen määräysvallan arviointia, mukaan lukien tosiasiallinen omistajuus, emoyhtiön määräysvalta, äänioikeudet, hallituksen vaikutusvalta, sopimukseen perustuva määräysvalta ja muu olennainen vaikutusvalta turvallisuuden kannalta merkityksellisiin päätöksiin tai kriittisiin toimintoihin.
 

3. Vaaditaan EU:n lainkäyttövallan arviointia ja kriittisten toimintojen operatiivista valvontaa, mukaan lukien tietojenkäsittely, avainten hallinta, lokitiedot, todentaminen, poikkeamiin reagointi, infrastruktuurin hallinto, päivitysmekanismit ja etähallinta.
 

4. Vaaditaan sellaisten kolmannen maan oikeudellisten velvoitteiden tai yritysten valvontajärjestelyjen arviointia, joilla voidaan pakottaa pääsy henkilötietoihin, metatietoihin, muihin kuin henkilötietoihin, turvalokeihin, hallintojärjestelmiin tai muihin kriittisiin toimintoihin, salassapitoon, paljastamiseen, operatiiviseen puuttumiseen tai niitä koskevan määräysvallan siirtämiseen.
 

5. Vaaditaan sellaisten olennaisten kriittisten riippuvuuksien julkistamista, jotka ovat merkityksellisiä sertifioidun palvelun kannalta, mukaan lukien isännöinti, pilvipalvelut, ohjelmistot, laiteohjelmistot, DNS, CDN, varmenneviranomainen, henkilöllisyys, etämittaus, alihankkija ja etähallintoriippuvuudet, jotka voivat vaikuttaa luottamuksellisuuteen, eheyteen, saatavuuteen, hallinnolliseen valvontaan, lailliseen pääsyyn tai jatkuvuuteen.
 

6. Vaaditaan teknisiä, organisatorisia ja oikeudellisia suojatoimia kolmansien maiden laitonta pääsyä tai häirintää vastaan, mukaan lukien pääsypyyntöjen dokumentoitu käsittely, mahdollisuuksien mukaan oikeudellinen riitauttaminen, etuoikeutetun pääsyn valvonta, tarkastuslokit, tehtävien eriyttäminen, avoimuusraportointi ja tarvittaessa EU:n valvoma keskeinen hallinnointi.
 

7. Vaaditaan riippumattomia määräaikaistarkastuksia, julkisia tarkastustiivistelmiä, mitattavissa olevia varmuustasoja, uudelleenarviointia olennaisten muutosten jälkeen sekä liikesalaisuuksien, arkaluonteisten turvallisuustietojen ja turvallisuusluokiteltujen tietojen suojaamista.
 

8. Sallitaan sertifioidun aseman käyttö objektiivisena hankintakriteerinä ja markkinoiden avoimuutta koskevana kriteerinä, jos se on perusteltua kyberturvallisuuden, häiriönsietokyvyn, tietosuojan, keskeisten palvelujen jatkuvuuden, julkisen sektorin tarpeiden tai käyttäjien laillisen valinnan vuoksi.
 

Merkityksellisyys ja vaatimustenmukaisuus
 

Aloite ei ole musta lista eikä jäykkä tietojen sijoittamista koskeva sääntö. Se on avoimuus- ja varmistusmekanismi. Sen olisi täydennettävä EUCS:ää, NIS2:ta, datasäädöstä, kyberturvallisuuden toimitusketjun toimenpiteitä ja tulevaa pilvipalvelupolitiikkaa korvaamatta niitä.
 

Sillä tuetaan sisämarkkinoita, tietosuojaa, kyberturvallisuutta, häiriönsietokykyä ja EU:n teknologista suvereniteettia samalla kun se pysyy vapaaehtoisena, oikeasuhteisena, riskiperusteisena ja avoimien markkinoiden kanssa yhteensopivana. Siinä kunnioitetaan jäsenvaltioiden toimivaltaa, myös kansallista turvallisuutta, sekä kansalaisten ja yhteisöjen vapautta ylläpitää digitaalisia siteitä kolmansiin maihin.

Aihepiirit
1
Piste

Lisää kommentti

Jos haluat lisätä kommentteja, kirjaudu sisään tai rekisteröidy.

Kommentit

Kansalaisaloitefoorumin käyttäjä  | 21 May 2026

Hei Nikitas,

Minulla ei todellakaan ole kokemusta tästä aiheesta tai edes eurooppalaisista kansalaisaloitteista kokonaisuudessaan, mutta minulla on joitain ajatuksia, jos luulet niiden auttavan.

1. Vaikka se on hyvä aihe, se on melko terminologiaa raskas. Olisi vaikeaa tehdä terminologiasta raskasta, koska se on todella aihe tässä. En tiedä, miten voisin auttaa. Komissio olisi tyytyväinen tähän, mutta miljoonan allekirjoituksen saaminen voi olla liian vaikeaa, jos ihmiset eivät ymmärrä aihetta.

2. Katson, että vastaava ehdotus tehtiin pilvipalvelujen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCS) kanssa. En ole varma, onko ehdotus onnistunut tai edes aktiivinen, mutta sen mainitseminen olisi hyvä asia, jotta komissio ei vastaisi, että ainakin osa tavoitteistanne kuuluu jo EUCS:n piiriin. Periaatteessa sinua ei siis suljeta pois, mutta en ole tekninen kaveri, joten ehkä ehdotukset ovat melko erilaisia, enkä tajunnut sitä yhdellä silmäyksellä.

Silti ajattele, että tämä on hyvä aloite, joka voi toimia, mutta ehkä pieniä parannuksia ja lisää ulkopuolista apua saatetaan tarvita.

Parhaat toiveet ja onnea

Nikitas Bastas | 22 May 2026

Kyllä, olet oikeassa! Se on melko pitkälti päällekkäinen EUCS-ehdotuksen kanssa, mutta myös voimassa olevien lakien ja asetusten, käynnissä olevien keskustelujen, digitaalista riippumattomuutta koskevien EU:n tulevien suunnitelmien jne. kanssa. 

Erityisesti tietyissä geopoliittisissa olosuhteissa todettiin lopulta, että EU:n riippumattomuus ei ole enää "hyvä olla" vaan ehdoton välttämättömyys paitsi digitaalisessa osassa myös laajemmassa merkityksessä.

Syynä siihen, että tämä ehdotus voi olla erotettavissa ja arvokas vaatimattomana panoksena/ideana, on se, että siinä pyydetään ”vapaaehtoista, palvelupohjaista, riskiperusteista ja riippumattomasti tarkastettua sertifiointiprofiilia valtion määräysvallan häiriönsietokyvyn varmistamiseksi kriittisissä digitaalisissa infrastruktuuripalveluissa”, mutta se ei rajoitu pilvipalveluihin.

Toinen syy voi olla se, että tätä ehdotusta pyytävät Euroopan kansalaiset - eivät EU:n välineet, poliittiset päättäjät, mikropoliittisesti puolueelliset henkilöt. Tästä näkökulmasta se voi lähettää EU:n komissiolle selkeän viestin huolesta ja skeptisyydestä, joita monilla EU:n kansalaisilla on jo nyt EU:n ulkopuolisia digitaalisia tavaroita koskevan suuren digitaalisen riippuvuuden ja datalle altistumisen suhteen.

banner
Onko kansalaisaloitteesi valmis rekisteröitäväksi?

Haluatko allekirjoittaa kansalaisaloitteen? Haluatko lisätietoja muista kansalaisaloitteista?

Siirry Euroopan komission kansalaisaloitesivustolle