11.9.2026 alkaen kaikki CRA:n soveltamisalaan kuuluvien verkkoon liitettävien tuotteiden valmistajat ovat velvollisia raportoimaan aktiivisesti hyödynnetyt haavoittuvuudet ja vakavat poikkeamat kansalliselle CSIRT-yksikölle sekä ENISA:lle.
Sisältö
Tapahtumat
Tekven asiantuntijat seuraavat kyberkestävyyssäädöksen kansallista täytäntöönpanoa Suomessa ja Euroopassa. Katso viikottaiset päivitykset blogistamme.
11.12.2024: Suomen viranomaisille järjestettiin kuulemistilaisuus, jossa käsiteltiin tekoälysäädöksen (AIA) ja kyberkestävyyssäädöksen (CRA) valvontaan liittyvien tehtävien yhteensovittamista. Tilaisuus oli kohdennettu viranomaisille, joilla on vastuita näiden säädösten täytäntöönpanossa.
20.11.2024: Kyberkestävyyssäädös eli Cyber Resilience Act julkaistiin Euroopan unionin virallisessa lehdessä (EUR-Lex).
23.10.2024: Euroopan parlamentin ja neuvoston puheenjohtajat allekirjoittivat Cyber Resilience Actin, mikä muodollisesti päätti säädöskäsittelyn. Asetus julkaistaan pian Euroopan unionin virallisessa lehdessä.
10.10.2024: Euroopan unionin neuvosto hyväksyi parlamentin ensimmäisen käsittelyn kannan, mikä muodosti Cyber Resilience Actin lopullisen hyväksynnän.
12.3.2024: Euroopan parlamentti hyväksyi kantansa ensimmäisessä käsittelyssä, ja säädösteksti julistettiin virallisesti hyväksytyksi.
13.9.2023: Euroopan parlamentti hyväksyi komitean päätöksen aloittaa neuvottelut Cyber Resilience Actin säädöstekstistä neuvoston kanssa.
27.7.2023: Cyber Resilience Act -asetuksen asiakirja toimitettiin Euroopan parlamentin täysistunnolle ensimmäistä käsittelyä varten, mikä käynnisti säädöstekstin muodollisen käsittelyn.
Mikä on Kyberkestävyyssäädös (CRA)?
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) on EU:n asetus (EU) 2024/2847, joka asettaa kyberturvallisuuden vähimmäisvaatimukset verkkoon suoraan tai epäsuorasti liitettäville laitteille ja ohjelmistoille.
Linkki säädökseen: https://eur-lex.europa.eu/legal-content/FI/ALL/?uri=OJ%3AL_202402847
Asetus on horisontaalinen tuoteturvallisuusasetus, mikä tarkoittaa, että sen vaatimukset ulottuvat eri toimialoille ja tuotetyypeille. Keskeistä on, että nämä vaatimukset sisällytetään jatkossa CE-merkintään. CE-merkintä osoittaa valmistajan vakuuttavan, että tuote täyttää kaikki sitä koskevat EU-lainsäädännön olennaiset vaatimukset, mukaan lukien kyberturvallisuus.
Kyberkestävyyssäädös parantaa yhteiskunnan kokonaisturvallisuutta, sillä markkinoilla olevien tuotteiden tietoturvallisuuden on vastattava jatkossa selkeästi asetettuja ja valvottavia standardeja. Näin pyritään vähentämään haavoittuvuuksia, joita kyberhyökkääjät voisivat hyödyntää, sekä välttämään tuotteiden elinkaaren aikana syntyviä merkittäviä kustannuksia niin kuluttajille, yrityksille kuin julkisille toimijoillekin.
Mitä yrityksiä CRA koskee?
Asetus velvoittaa pääasiassa valmistajia, maahantuojia ja jakelijoita, jotka tuovat tai saattavat markkinoille internetiin tai toiseen laitteeseen liitettäviä tuotteita tai ohjelmistoja. Yrityksen koolla ei ole väliä vaan myös pienet ja keskisuuret yritykset kuuluvat asetuksen soveltamisalaan jos ne valmistavat tai tuovat EU-markkinoille tuotteita, joilla on verkkoyhteys.
Myös NIS2-direktiivin piiriin kuuluvat toimijat ovat velvollisia tekemään ilmoituksia kyberkestävyyssäädöksen mukaisesti jos tuotteen tietoturvaan vaikuttavissa poikkeamatilanteissa kynnysarvot ylittyvät.
Yritykset, jotka haluavat toimia ilmoitettuina laitoksina ja suorittaa tuotteiden kolmannen osapuolen arviointeja, voivat hakeutua ilmoitetuksi laitokseksi, kun kansallinen täytäntöönpano on valmis.
Mitä tuotteita CRA koskee?
Yleistä
Kyberkestävyyssäädöksen soveltamisala on laaja. Se koskee käytännössä kaikkia laitteita ja ohjelmistoja, jotka voivat muodostaa suoran tai epäsuoran verkkoyhteyden.
Esimerkkejä ovat
- älykellot,
- valvontakamerat,
- televisiot,
- reitittimet,
- lelut,
- käyttöjärjestelmät,
- selaimet,
- salasananhallintaohjelmistot,
- mikroprosessorit ja
- IoT-laitteet.
Mukaan luetaan myös etähallintapalvelut ja tietyin ehdoin pilvipalvelut, jos ne ovat osa valmistajan vastuulla olevaa tuotetta (”datan etäkäsittelyratkaisu”).
Asetus ei sen sijaan koske laitteita ja ohjelmistoja, joihin sovelletaan muuta erityissääntelyä (mm. lääkinnälliset laitteet, tietyt ajoneuvot, laivavarusteet ja ilmailun sertifioidut laitteet). Myös puolustus- ja turvallisuusluokiteltuihin tarkoituksiin suunnitellut tuotteet jäävät pääsääntöisesti soveltamisalan ulkopuolelle.
Tuoteluokat
Kyberkestävyyssäädöksen mukaan digitaalisia elementtejä sisältävät tuotteet jaetaan kolmeen luokkaan niiden riskitason perusteella.
Oletusluokka
Tuotteet, joilla ei ole erityistä kyberturvallisuuteen liittyvää toimintoa tai merkittävää riskiä. Noin 90% tuotteista kuuluu tähän luokkaan.
Valmistajat voivat itse arvioida näiden tuotteiden turvallisuuden ja laatia EU-vaatimustenmukaisuusvakuutuksen sekä teknisen dokumentaation.
Esimerkiksi älykaiuttimet, kiintolevyt, kuvankäsittelyohjelmat, pelit.
Tärkeät tuotteet (luokka 1)
Tuotteet, joilla on kyberturvallisuuteen liittyvä toiminto TAI toiminto, johon sisältyy merkittävä riski.
Tähän luokkaan kuuluvat tuotteet edellyttävät kolmannen osapuolen suorittamaa vaatimustenmukaisuuden arviointia ennen markkinoille saattamista.
Esimerkiksi reitittimet, selaimet, älykotituotteet, puettavat älytuotteet, älylelut.
Tärkeät tuotteet (luokka 2)
Tuotteet, joilla on kyberturvallisuuteen liittyvä toiminto JA toiminto, johon sisältyy merkittävä riski.
Tähän luokkaan kuuluvat tuotteet voivat pääsääntöisesti osoittaa vaatimustenmukaisuutensa valmistajan itsearvioinnin kautta ilman ulkopuolista arviointia.
Esimerkiksi virtualisointiratkaisut ja palomuurit.
Kriittiset tuotteet
Tuotteet, joihin sovelletaan NIS 2 -direktiivin mukaisia keskeisiä toimijoita, jotka ovat kriittisesti riippuvaisia tuotteesta, TAI joiden hyödynnetyt haavoittuvuudet aiheuttavat laajoja häiriöitä toimitusketjussa.
Kriittisten tuotteiden on suoritettava pakollinen korotetun tai korkean tason eurooppalainen kyberturvallisuussertifikaatti.
Esimerkiksi turvaboksit, älymittareiden yhdyskäytävät, älykortit.
Oletusluokka
Tuotteet, joilla ei ole erityistä kyberturvallisuuteen liittyvää toimintoa tai merkittävää riskiä. Noin 90% tuotteista kuuluu tähän luokkaan.
Valmistajat voivat itse arvioida näiden tuotteiden turvallisuuden ja laatia EU-vaatimustenmukaisuusvakuutuksen sekä teknisen dokumentaation.
Esimerkiksi älykaiuttimet, kiintolevyt, kuvankäsittelyohjelmat, pelit.
Tärkeät tuotteet (luokka 1)
Tuotteet, joilla on kyberturvallisuuteen liittyvä toiminto TAI toiminto, johon sisältyy merkittävä riski.
Tähän luokkaan kuuluvat tuotteet edellyttävät kolmannen osapuolen suorittamaa vaatimustenmukaisuuden arviointia ennen markkinoille saattamista.
Esimerkiksi reitittimet, selaimet, älykotituotteet, puettavat älytuotteet, älylelut.
Tärkeät tuotteet (luokka 2)
Tuotteet, joilla on kyberturvallisuuteen liittyvä toiminto JA toiminto, johon sisältyy merkittävä riski.
Tähän luokkaan kuuluvat tuotteet voivat pääsääntöisesti osoittaa vaatimustenmukaisuutensa valmistajan itsearvioinnin kautta ilman ulkopuolista arviointia.
Esimerkiksi virtualisointiratkaisut ja palomuurit.
Kriittiset tuotteet
Tuotteet, joihin sovelletaan NIS 2 -direktiivin mukaisia keskeisiä toimijoita, jotka ovat kriittisesti riippuvaisia tuotteesta, TAI joiden hyödynnetyt haavoittuvuudet aiheuttavat laajoja häiriöitä toimitusketjussa.
Kriittisten tuotteiden on suoritettava pakollinen korotetun tai korkean tason eurooppalainen kyberturvallisuussertifikaatti.
Esimerkiksi turvaboksit, älymittareiden yhdyskäytävät, älykortit.
Mitä vaatimuksia CRA sisältää?
Kyberkestävyyssäädös velvoittaa huolehtimaan siitä, että verkkoon liitettäviä laitteita ja ohjelmistoja suunnitellaan, kehitetään, tuotetaan ja ylläpidetään turvallisesti koko niiden elinkaaren ajan.
Asetuksessa määritellyt olennaiset kyberturvallisuusvaatimukset sisältävät muun muassa turvalliset oletusasetukset, automaattiset tietoturvapäivitykset, luvattoman pääsyn estämisen sekä asianmukaisen tiedon suojauksen.
Asetus tuo myös raportointivelvollisuuksia, sillä valmistajien on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista kansalliselle CSIRT-yksikölle ja EU:n kyberturvallisuusvirasto ENISA:lle määräaikojen puitteissa.
CE-merkinnän kiinnittäminen tuotteeseen edellyttää jatkossa myös CRA:n mukaisten kyberturvallisuusvaatimusten täyttymistä.
Seuraavia vaatimuksia sovelletaan tuotteisiin, jotka saatetaan markkinoille 11.12.2027 jälkeen.
Valmistajien vaatimukset
Tuotteen suunnittelu ja valmistus
Valmistajien on varmistettava, että digitaalisia elementtejä sisältävät tuotteet on suunniteltu, kehitetty ja tuotettu olennaisten kyberturvallisuusvaatimusten mukaisesti.
Vaatimus edellyttää riskien arviointia, joka huomioi tuotteen elinkaaren kaikki vaiheet: suunnittelu, kehitys, tuotanto, toimitus ja ylläpito.
Riskienhallinta ja dokumentointi
Valmistajien on dokumentoitava tuotteeseen liittyvät kyberturvallisuusriskit, päivitettävä riskienhallinta tarvittaessa ja sisällytettävä tämä dokumentaatio teknisiin asiakirjoihin.
Komponenttien valvonta
Kolmansilta osapuolilta hankitut komponentit, mukaan lukien avoimen lähdekoodin ohjelmistot, eivät saa vaarantaa tuotteen kyberturvallisuutta. Todetut haavoittuvuudet on korjattava välittömästi ja ilmoitettava asianomaisille tahoille.
Raportointivelvollisuudet
EU:n markkinoilla olevien tuotteiden valmistajien on 11.9.2026 alkaen raportoitava aktiivisesti hyödynnetyistä haavoittuvuuksista sekä vakavista tietoturvapoikkeamista CSIRT-yksikölle ja ENISA:lle. Tämä koskee myös jo markkinoilla olevia tuotteita, ei vain uusia.
Valmistajan tulee lisäksi tiedottaa käyttäjiä havaitsemistaan haavoittuvuuksista ja niiden korjaustoimenpiteistä. Vakavissa poikkeamissa valmistajien on tarvittaessa tehtävä myös NIS2-direktiivin mukaiset ilmoitukset 24 tunnin kuluessa havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa.
ENISA kehittää keskitettyä järjestelmää, joka helpottaa haavoittuvuuksien ja kyberuhkien ilmoittamista. Vapaaehtoisesti myös haavoittuvuustutkijat ja muut toimijat voivat raportoida tuotteiden tietoturvaan vaikuttavista poikkeamista ja läheltä piti -tilanteista.
Tukiaika ja päivitykset
Valmistajien on varmistettava, että tuotteiden tietoturvapäivitykset ovat saatavilla vähintään viiden vuoden ajan tai tuotteen käyttöiän loppuun asti.
Merkinnät ja yhteystiedot
Valmistajien on varmistettava, että tuotteissa on CE-merkintä ja että yhteystiedot ovat helposti saatavilla käyttäjille ja viranomaisille.
Käyttäjien tiedottaminen
Käyttäjille on annettava selkeät ohjeet tuotteiden turvallisesta käytöstä sekä tiedot haavoittuvuuksista ja niiden korjaamiseksi tarvittavista toimista.
Maahantuojien vaatimukset
Tuotteiden vaatimustenmukaisuus
Maahantuojat saavat saattaa markkinoille vain tuotteita, jotka täyttävät kyberturvallisuusvaatimukset. Heidän on varmistettava, että valmistaja on suorittanut asianmukaiset vaatimustenmukaisuuden arviointimenettelyt ja toimittanut tekniset asiakirjat.
Tietojen ja yhteystietojen saatavuus
Maahantuojien on annettava selkeät yhteystiedot ja pidettävä vaatimustenmukaisuusvakuutukset sekä tekniset asiakirjat saatavilla markkinavalvontaviranomaisille vähintään kymmenen vuoden ajan.
Vastuu ongelmatilanteissa
Jos maahantuoja havaitsee, että tuote ei ole säädösten mukainen, sen on ilmoitettava asiasta valmistajalle ja viranomaisille sekä varmistettava, että korjaavat toimenpiteet toteutetaan.
Vastuullisuus valmistajan puuttuessa
Jos valmistaja ei voi täyttää velvoitteitaan, maahantuojan on ilmoitettava tilanteesta viranomaisille ja käyttäjille.
Jakelijoiden vaatimukset
Vaatimusten tarkastus
Jakelijoiden on tarkastettava, että tuotteissa on CE-merkintä ja että valmistaja sekä maahantuoja ovat täyttäneet velvollisuutensa ennen tuotteen asettamista markkinoille.
Korjaavat toimenpiteet
Jakelijoiden on varmistettava, että tuotteet, jotka eivät täytä vaatimuksia, saatetaan säädösten mukaisiksi. Jos tuotteessa havaitaan haavoittuvuus, siitä on ilmoitettava valmistajalle ja viranomaisille.
Tietojen jakaminen viranomaisille
Jakelijoiden on annettava viranomaisille pyynnöstä kaikki tarvittavat tiedot ja asiakirjat, jotka osoittavat, että tuote ja sen prosessit ovat säädösten mukaisia.
Valmistajan puuttuminen
Jos valmistaja ei voi täyttää velvoitteitaan, jakelijan on ilmoitettava asiasta viranomaisille ja käyttäjille.
Kaikkien toimijoiden on noudatettava asianmukaista huolellisuutta kyberturvallisuusvaatimusten täyttämisessä ja tehtävä yhteistyötä markkinavalvontaviranomaisten kanssa. Heidän on myös säilytettävä tiedot toimitusketjusta vähintään kymmenen vuoden ajan ja ilmoitettava kaikista merkittävistä riskeistä tai vaatimustenvastaisuuksista.
Cyber Resilience Act korostaa vastuuta koko toimitusketjussa, mikä lisää kyberturvallisuuden tasoa ja parantaa käyttäjien luottamusta digitaalisiin tuotteisiin.
Aikataulu
11.6.2026 – Ilmoitettujen laitosten velvotteiden soveltaminen
Jäsenvaltioiden on oltava valmiita nimeämään ja hyväksymään laitokset, jotka arvioivat tuotteiden vaatimustenmukaisuutta CRA:n mukaisesti. Tämä koskee erityisesti korkeamman riskin tuotteita (esim. tietyt reitittimet, palomuurit, selaimet ja käyttöjärjestelmät), joille edellytetään kolmannen osapuolen arviointia.
Näistä laitoksista tulee valtuutettuja arvioimaan tuotteiden vaatimustenmukaisuutta CRA:n vaatimusten mukaisesti.
11.9.2026 – Velvoite haavoittuvuuksien raportointiin
Kaikkien sellaisten verkkoon liitettävien tuotteiden valmistajien, jotka kuuluvat asetuksen soveltamisalaan, on ilmoitettava aktiivisesti hyödynnetyt haavoittuvuudet sekä vakavat poikkeamat kansalliselle CSIRT-yksikölle (tietoturvasta vastaava taho) ja EU:n kyberturvallisuusvirastolle ENISA:lle.
Tästä ajankohdasta lähtien yritysten on raportoitava havaitsemistaan vakavista tietoturva-aukoista sekä niihin kohdistuvista hyökkäyksistä 24/72 tunnin aikarajoissa.
11.12.2027 – Olennaiset kyberturvallisuusvaatimukset astuvat voimaan
Viimeistään tästä päivästä eteenpäin kaikki EU-markkinoille saatettavat tuotteet, joilla on internet- tai muu verkkoliitäntä (suora tai epäsuora), on suunniteltava, valmistettava ja ylläpidettävä siten, että ne täyttävät CRA:ssa määritellyt olennaiset kyberturvallisuusvaatimukset (liite I).
Käytännössä CE-merkinnän saaminen edellyttää myös kyberturvallisuuskriteerien täyttymistä.
Tuotteelle on tehtävä riskianalyysi, sen oletusasetusten on oltava turvalliset, ja valmistajan on sitouduttava tarjoamaan tietoturvapäivityksiä tukiajaksi ilmoitetun ajan (vähintään viisi vuotta tai tuotteen todellinen käyttöikä).
Seuraamusmaksut
Olennaisten kyberturvallisuusvaatimusten ja muiden tiettyjen velvoitteiden rikkominen
Olennaiset kyberturvallisuusvaatimukset on määritelty asetuksen liitteessä 1. Jos niitä ja artiklan 13 ja 14 vaatimuksia rikkoo, niin seuraamusmaksut ovat seuraavanlaiset:
- Enintään 15 miljoonaa euroa tai
Enintään 2,5 % rikkomukseen syyllistyneen yrityksen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, sen mukaan kumpi näistä on suurempi.
Muiden säädettyjen velvoitteiden rikkominen
- Enintään 10 miljoonaa euroa tai
Enintään 2 % rikkomukseen syyllistyneen yrityksen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, sen mukaan kumpi näistä on suurempi
Virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittaminen
- Enintään 5 miljoonaa euroa tai
- Enintään 1 % yrityksen maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, sen mukaan kumpi näistä on suurempi
Hallinnolliset sakot eivät koske:
- Mikroyrityksiä tai pieniä yrityksiä tietyissä tilanteissa.
- Avoimen lähdekoodin ohjelmistovastaavia, riippumatta rikkomuksesta.
CRA:n edistyminen Suomessa
Tekven asiantuntijamme seuraavat aktiivisesti kyberkestävyyssäädöksen etenemistä ja julkaisee viikottaisia katsauksia verkkosivuillemme.
Kyberkestävyyssäädös (CRA) on suoraan sovellettava kaikissa jäsenmaissa, mutta se edellyttää kansallista täydentävää lainsäädäntöä erityisesti markkinavalvonnan, viranomaistehtävien järjestämisen sekä hallinnollisten seuraamusten osalta.
Suomessa kansallinen täytäntöönpano on aloitettu, kun liikenne- ja viestintäministeriö käynnisti 1. toukokuuta 2024 hankkeen, jonka tarkoituksena on valmistella tarvittavat kansalliset säännökset CRA:n täytäntöönpanemiseksi. Hankkeen valmistelutyö etenee virkatyönä, ja on arvioitu, että lausuntokierrokselle päästäisiin helmikuussa–maaliskuussa 2025. Soveltaminen alkaa vaiheittain vuosina 2026–2027, jolloin yritysten on oltava valmiita uusien vaatimusten voimaan tuloon.
Yksi keskeisistä toimenpiteistä Suomessa on markkinavalvonnan järjestäminen niille tuotteille ja ohjelmistoille, jotka kuuluvat kyberkestävyyssäädöksen soveltamisalaan. Tämä edellyttää viranomaistehtävien määrittelyä sekä mahdollisesti uusien vastuualueiden luomista. Kansallisessa lainsäädännössä on myös päätettävä, millaisin menettelyin ja kriteerein eri arviointilaitokset voivat toimia ilmoitettuina laitoksina CRA:n mukaisesti. Samalla on tarpeen säätää myös hallinnollisista seuraamuksista vaatimusrikkomusten varalle.
Liikenne- ja viestintäministeriö järjestää hankkeeseen liittyen sidosryhmille suunnattuja kuulemis- ja keskustelutilaisuuksia, joissa käsitellään muun muassa arviointilaitostoimintaa sekä markkinavalvonnan järjestämistä. Tavoitteena on kerätä näkemyksiä ja kokemuksia kansallisen lainsäädännön valmistelun tueksi. Linkki Traficomin verkkosivuille.
Miten voit täyttää CRA:n vaatimukset?
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) tuo merkittäviä velvoitteita kaikille toimijoille, jotka tuottavat, maahantuovat tai myyvät internetiin liitettäviä laitteita ja ohjelmistoja.
Tarjoamme asiantuntijapalveluita koko tuotteen elinkaaren ajalle: määrittelystä ja riskienarvioinnista aina valmiiseen tuotteeseen, sen ylläpitoon ja mahdollisiin viranomaisraportointeihin asti.
Tekven CRA-prosessi auttaa organisaatiotasi saavuttamaan kyberkestävyyssäädöksen vaatimukset:
1. Nykytilan arviointi
Selvitämme, millä tasolla yrityksesi tuotekehityksen ja -ylläpidon prosessit, tietoturvastandardien noudattaminen sekä dokumentointikäytännöt ovat tällä hetkellä.
Käymme läpi nykyiset käytännöt (esim. tietoturvatestaus, säännölliset päivitykset, käyttäjäohjeet), jotta tiedämme, kuinka laajasti CRA-vaatimukset koskevat tuotteitasi.
Tuloksena organisaatiosi saa selkeän käsityksen sen valmiudesta vastata CRA:n keskeisiin velvoitteisiin ja missä mahdolliset kehityskohteet ovat.
2. Riskien arviointi ja sunnittelu
Riskianalyysin avulla autamme tunnistamaan kunkin tuotteen ja sen komponenttien tietoturvauhat sekä niiden vaikutuksen.
Pidämme huolta, että kyberkestävyyssäädöksen vaatimukset otetaan mukaan tuotteiden elinkaareen ja että vaatimustenmukaisuus (liite I) ja raportointivelvollisuudet (14 art.) ovat alusta lähtien oikealla tasolla.
Suunnittelemme, miten laite tai ohjelmisto voidaan julkistaa valmiiksi mahdollisimman turvallisilla oletusasetuksilla.
Tuloksena organisaatiosi saa selkeän teknisen ja hallinnollisen suunnitelman siitä, mitä kyberturvallisuusominaisuuksia tuotteessa tarvitaan, ja miten ne priorisoidaan tuotteen elinkaaren eri vaiheissa.
3. Toteutus ja tuotekehityksen tuki
Toteutamme säännöllisiä penetraatiotestejä, koodikatselmointeja ja teknisiä auditointeja, jotta tuotteesi täyttää CRA:n tekniset vaatimukset.
Neuvomme, miten järjestää säännölliset päivityskäytännöt ja dokumentoida tukiaika (esim. 5 vuoden minimisuositus tai tuotteen todellinen käyttöikä).
Laadimme käytännöt, joilla varmistat ennakoivan ja avoimen haavoittuvuuksien hallinnan yhteistyössä tutkijoiden ja käyttäjien kanssa.
Tuloksena varmistat tuotteen turvalliset oletusasetukset, sujuvat päivitykset sekä tehokkaan haavoittuvuuksien hallinnan.
4. Dokumentaatio ja CE-merkintä
Tuemme teknisten dokumenttien laatimisessa ja päivittämisessä (riskianalyysit, testiraportit ja suunnitteluperiaatteet).
Autamme luomaan ja ylläpitämään dokumentaatiota, jolla osoitetaan tuotteen täyttävän CRA:n kyberturvallisuusvaatimukset.
Mikäli tuote kuuluu korkeamman riskin ryhmiin (liitteet III/IV), valmistelemme yhteistyötä ilmoitetun laitoksen (Notified Body) kanssa.
Tuloksena kaikki vaaditut dokumentit ja vakuutukset ovat vaatimusten mukaisia ja CE-merkintäprosessi sujuu ilman turhia viivästyksiä.
5. Raportointikäytännöt
Rakennamme mekanismit, joilla saat raportoitua aktiivisesti hyödynnetyt haavoittuvuudet ja vakavat poikkeamat ENISA:lle ja CSIRT-yksikölle 24/72/14 päivän aikarajoja noudattaen.
Valmennamme tiimit ja avainhenkilöt raportoimaan haavoittuvuuksista ja tietoturvapoikkeamista.
Raportointia testataan simuloidulla harjoituksella, jossa testaamme asiakkaan valmiutta hoitaa raportointivelvollisuudet sekä tekniset korjaukset mahdollisimman nopeasti ja huolellisesti.
Tuloksena organisaatiosi saa selkeän ja sisäisesti testatun prosessin, jolla vastaatte CRA:n ilmoitus- ja raportointivaatimuksiin.
6. Koulutus ja ylläpito
Koulutamme kehitys- ja ylläpitotiimejä ymmärtämään CRA:n vaatimukset ja parhaat käytännöt tietoturvan koko elinkaarimallin ajalle.
Tarjoamme säännöllisiä seurantapalveluita (vulnerability scanning, threat intelligence), jotta pysyt ajan tasalla uusimmista uhkista.
Tuloksena on jatkuva kyberturvallisuuden ylläpito ja kehittäminen, mikä tukee tuotettasi sen koko elinkaaren ajan.
