Mikä on kyberkestävyyssäädös (CRA)?
Euroopan unionin kyberkestävyyssäädös (Cyber Resilience Act) asettaa tietoturvavaatimukset digitaalisia elementtejä sisältäville tuotteille ja ohjelmistoille.
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) on EU:n asetus (EU) 2024/2847, joka asettaa kyberturvallisuuden vähimmäisvaatimukset verkkoon suoraan tai epäsuorasti liitettäville laitteille ja ohjelmistoille.
Asetus on horisontaalinen tuoteturvallisuusasetus, eli sen vaatimukset ulottuvat eri toimialoille ja tuotetyypeille. Keskeistä on, että kyberturvallisuusvaatimukset sisällytetään jatkossa tuotteiden CE-merkintään. CE-merkintä osoittaa valmistajan vakuuttavan, että tuote täyttää kaikki sitä koskevat EU-lainsäädännön vaatimukset.
Asetuksen soveltaminen alkaa vaiheittain vuosina 2026–2027. Se parantaa yhteiskunnan kokonaisturvallisuutta varmistamalla, että markkinoilla olevien laitteiden ja ohjelmistojen tietoturvaa valvotaan selkeiden standardien mukaisesti ja että valmistajat kantavat vastuun tuotteiden tietoturvasta niiden koko elinkaaren ajan.
Mitä tuotteita ja yrityksiä CRA koskee?
CRA koskee digitaalisia elementtejä sisältäviä tuotteita (Products with Digital Elements, PDE), jotka ovat laitteita ja ohjelmistoja, joilla on suora tai epäsuora verkkoyhteys (kuten älykellot, valvontakamerat, reitittimet, käyttöjärjestelmät ja IoT-laitteet).
Sääntely koskee kaikkia yrityksiä niiden koosta riippumatta (mukaan lukien pk-yritykset), jotka toimivat seuraavissa rooleissa:
- Valmistajat: Suunnittelevat ja valmistavat tuotteita omalla nimellään tai tavaramerkillään.
- Maahantuojat: Saattavat kolmansista maista (EU:n ulkopuolelta) tuotuja tuotteita EU:n markkinoille.
- Jakelijat: Jakelevat ja myyvät tuotteita EU:n markkinoilla.
Tuoteluokat riskitason mukaan
CRA jakaa tuotteet luokkiin niiden kyberturvallisuusriskien ja käyttötarkoituksen perusteella:
| Tuoteluokka | Osuus tuotteista | Vaatimustenmukaisuuden arviointi | Esimerkkejä |
|---|---|---|---|
| Oletusluokka (Default) | ~90 % | Valmistajan oma itsearviointi ja CE-merkintä. | Älykaiuttimet, kiintolevyt, pelit, kuvankäsittelyohjelmat. |
| Tärkeät tuotteet - Luokka I | ~9 % | Valmistajan itsearviointi, jos noudatetaan yhdenmukaistettuja standardeja, tai kolmannen osapuolen arviointi. | Verkkoselaimet, salasananhallintaohjelmat, kodin älylaitteet. |
| Tärkeät tuotteet - Luokka II | ~1 % | Pakollinen kolmannen osapuolen (ilmoitetun laitoksen) tekemä arviointi ja sertifiointi. | Palomuurit, käyttöjärjestelmät, virtualisointiohjelmistot (hypervisorit), reitittimet. |
| Kriittiset tuotteet | Erittäin pieni | Korkeimman tason eurooppalainen kyberturvallisuussertifiointi. | Älykortit, sähkön älymittarit, teollisuuden ohjausjärjestelmien turvakomponentit. |
Toimijoiden keskeiset velvoitteet
CRA velvoittaa huolehtimaan tietoturvasta tuotteen suunnittelusta aina sen elinkaaren loppuun asti.
1. Valmistajien velvoitteet
- Security by Design: Tuotteet on suunniteltava ja valmistettava siten, että ne ovat turvallisia (esim. turvalliset oletusasetukset, vahva tunnistautuminen, tietojen salaus, luvattoman pääsyn estäminen).
- Tietoturvapäivitykset: Valmistajan on tarjottava tietoturvapäivityksiä tuotteen arvioidun elinkaaren ajan (kuitenkin vähintään viiden vuoden ajan markkinoille saattamisesta).
- Haavoittuvuuksien hallinta: Valmistajan on dokumentoitava kaikki tunnetut haavoittuvuudet, korjattava ne viipymättä ja julkaistava tieto korjaustoimenpiteistä.
- Raportointivelvollisuus: Aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista tietoturvapoikkeamista on ilmoitettava 24 tunnin kuluessa Traficomin Kyberturvallisuuskeskukselle (CSIRT-FI) ja ENISA:lle.
2. Maahantuojien velvoitteet
- Maahantuojan on varmistettava ennen tuotteen markkinoille saattamista, että valmistaja on suorittanut vaatimustenmukaisuuden arvioinnin, laatinut tekniset asiakirjat ja varustanut tuotteen CE-merkinnällä.
- Jos tuote ei ole säädösten mukainen, maahantuoja ei saa tuoda sitä markkinoille, ja sen on ilmoitettava asiasta valmistajalle ja viranomaisille.
3. Jakelijoiden velvoitteet
- Jakelijan on tarkastettava, että tuotteesta löytyy vaadittu CE-merkintä ja että valmistajan/maahantuojan tiedot ovat mukana.
- Mikäli tuotteessa havaitaan tietoturvapuutteita, jakelija ei saa myydä tuotetta ennen kuin valmistaja tai maahantuoja on korjannut ne.
CRA:n aikataulu ja siirtymäajat
Asetus astui voimaan loppuvuodesta 2024, ja sen vaatimukset tulevat voimaan vaiheittain:
- 11.6.2026: Ilmoitettujen laitosten (kolmannen osapuolen arvioijien) akkreditointia ja valvontaa koskevien säännösten soveltaminen alkaa.
- 11.9.2026: Valmistajien velvoite ilmoittaa aktiivisesti hyödynnetyistä haavoittuvuuksista ja poikkeamista alkaa (sovelletaan myös jo markkinoilla oleviin tuotteisiin).
- 11.12.2027: Asetuksen kaikki olennaiset kyberturvallisuusvaatimukset tulevat voimaan. Tästä päivästä alkaen jokaisella uudella markkinoille tuotavalla laitteella tai ohjelmistolla on oltava CRA:n mukainen CE-merkintä.
Seuraamusmaksut laiminlyönneistä
Laiminlyönneistä voidaan määrätä erittäin merkittäviä hallinnollisia seuraamusmaksuja:
- Olennaisten vaatimusten rikkominen (esim. tuote tuodaan markkinoille ilman vaadittavaa tietoturvatasoa tai CE-merkintää): Enintään 15 000 000 € tai 2,5 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta (kumpi tahansa on suurempi).
- Muiden velvoitteiden rikkominen (esim. puutteellinen dokumentaatio tai laiminlyöty elinkaaripäivitys): Enintään 10 000 000 € tai 2 % liikevaihdosta.
- Harhaanjohtavien tietojen toimittaminen viranomaisille: Enintään 5 000 000 € tai 1 % liikevaihdosta.
Miten voit valmistautua CRA-vaatimuksiin?
Tekven asiantuntijat auttavat laitevalmistajia, ohjelmistotaloja ja maahantuojia saavuttamaan kyberkestävyyssäädöksen mukaisuuden ilman tuotekehityksen viivästymistä:
- Nykytilan ja tuotteiden arviointi: Luokittelemme tuotteenne CRA-luokkiin ja arvioimme nykyiset kehitys- ja ylläpitoprosessinne suhteessa vaatimuksiin.
- Security by Design -tuki: Autamme integroimaan tietoturvan osaksi tuotekehityksen elinkaarta (esim. uhkamallinnus, koodikatselmoinnit, automaattiset päivitysmekanismit).
- Teknisen dokumentaation laadinta: Laadimme ja järjestämme CRA:n edellyttämät tekniset tiedostot, riskienarvioinnit ja EU-vaatimustenmukaisuusvakuutukset.
- Viranomaisraportoinnin valmius: Luomme prosessit haavoittuvuuksien hallintaan ja ENISA/Traficom-ilmoitusvelvollisuuden täyttämiseen 24/72 tunnin rajoissa.
- Ilmoitettujen laitosten koordinointi: Tuemme Luokan II ja kriittisten tuotteiden kolmannen osapuolen sertifiointiprosesseissa.