Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Digitalisoituvan maailman uhat eivät odota – eivätkä myöskään uudet vaatimukset. Kyberkestävyyssäädös (CRA; Cyber Resilience Act) vastaa näihin vaatimuksiin. Säädöksellä varmistetaan, että Euroopan markkinoille tuotetut digitaalisia elementtejä sisältävät tuotteet ovat turvallisia koko elinkaarensa ajan.

Kyberkestävyyssäädöksen tavoitteena on parantaa tuotteiden kyberturvallisuutta koko niiden elinkaaren ajan. Se asettaa digitaalisia elementtejä sisältäville tuotteille kyberturvallisuusvaatimuksia. Niillä ohjataan valmistajat, maahantuojat ja jälleenmyyjät huolehtimaan tuotteiden turvallisuudesta aina suunnittelusta käytöstä poistoon asti. CRA pyrkii suojelemaan kuluttajia ja organisaatioita kyberturvallisuusuhkilta sekä helpottamaan turvallisten tuotteiden tunnistamista ja käyttöä. 

CRA:n voimaantulo

CRA astui voimaan joulukuussa 2024, ja sen vaatimukset tulevat voimaan vaiheittain. (Ulkoinen linkki) Haavoittuvuuksista ilmoittamista koskevat velvoitteet koskevat kaikkia EU:n markkinoilla olevia soveltamisalaan kuuluvia tuotteita syyskuusta 2026 lähtien, mukaan lukien nykyiset tuotteet. Tietoturvaominaisuuksia koskevat vaatimukset astuvat voimaan joulukuussa 2027 ja koskevat uusia tuotteita sekä ennen joulukuuta 2027 markkinoilla olevia tuotteita, joihin tehdään merkittäviä muutoksia. 

Aloita valmistautuminen jo nyt

Ajoissa valmistautuminen antaa organisaatioille aikaa mukautua uuteen sääntelyyn ilman kiireen tuomia riskejä, mikä mahdollistaa vaatimustenmukaisuuden saavuttamisen hallitusti. Ennakoimalla muutoksia organisaatiot voivat varmistaa kustannustehokkaasti, että niiden tuotteet ja prosessit täyttävät CRA:n vaatimukset (Ulkoinen linkki) hyvissä ajoin. CRA kannattaa nähdä mahdollisuutena: se tarjoaa yrityksille tilaisuuden vahvistaa mainettaan luotettavina toimijoina.

Näin valmistaudut CRA:n vaatimuksiin: konkreettiset askeleet

CRA asettaa tiukat vaatimukset ohjelmistoille ja digitaalisia elementtejä sisältäville tuotteille, mikä edellyttää monilta organisaatioilta toimintatapojen päivittämistä. Seuraavaksi tarkastelemme konkreettisia toimenpiteitä, joiden suorittaminen kannattaa aloittaa heti. Näin organisaatio on valmistautunut pian tiukentuviin vaatimuksiin ajoissa.

 Haavoittuvuuksista ilmoittaminen: 

  • Päivitä prosessit ja työkalut: arvioi ja päivitä nykyiset haavoittuvuuksienhallintaprosessit ja -työkalut vastaamaan CRA:n vaatimuksia. 
  • Luo selkeät raportointikanavat: suunnittele, miten organisaatio viestii haavoittuvuuksista asiakkaille, viranomaisille ja sidosryhmille.
  • Määrittele ilmoittamisen vastuut: määrittele selkeästi kuka organisaatiossa vastaa haavoittuvuuksista ilmoittamisesta CRA:n vaatimusten mukaisesti. 
  • Yhteistyö sidosryhmien kanssa: varmista, että toimitusketjun kumppanit ymmärtävät CRA:n ilmoitusvaatimukset ja sisällytä sopimuksiin haavoittuvuuksien hallinnan ja raportoinnin vaatimukset.
  • Kouluta henkilöstöä: Varmista, että kaikki asiaankuuluvat työntekijät ovat tietoisia uusista vaatimuksista ja osaavat toimia niiden mukaisesti.

Tietoturvaominaisuuksia koskevat vaatimukset: 

  • Arvioi ja päivitä nykyiset kyberturvallisuusprosessit: varmista, että prosessit kattavat ohjelmistojen ja laitteiden koko elinkaaren: suunnittelun, kehityksen, käyttöönoton, ylläpidon ja käytöstä poiston. 
  • Laadi tai päivitä riskienhallintastrategia: CRA velvoittaa, että tuotteen kyberturvallisuusvaatimukset toteutetaan riskiperusteisesti. Laadi tai päivitä nykyiset käytännöt vastaamaan CRA:n vaatimuksia.  
  • Vahvista toimitusketjujen turvallisuutta: arvioi, miten alihankkijat ja toimittajat täyttävät CRA:n vaatimukset. Sisällytä sopimuksiin CRA:n vaatimuksia koskevia ehtoja, kuten Software Bill of Materials  (SBOM) sekä haavoittuvuuksien hallinta- ja raportointivelvoitteet.
  • Ota SBOM käyttöön: Dokumentoi SBOMin avulla kaikki tuotteiden ohjelmistokomponentit ja niiden riippuvuudet, jotta mahdolliset riskit voidaan tunnistaa ja hallita tehokkaammin.
  • Henkilöstön koulutus: Kouluta kehitystiimeille ja ohjelmiston hankinnoista tai ohjelmistoista vastaaville CRA:n keskeiset vaatimukset ja lisää organisaation tietoisuutta tietoturvavaatimusten noudattamisesta ja niiden liiketoiminnallisista vaikutuksista. 
  • Selvitä vaatimustenmukaisuusarviointi: Selvitä, miten tuotteen vaatimustenmukaisuus on arvioitava. Aloita prosessien valmistelu mahdollisiin tuleviin vaatimustenmukaisuusarviointeihin. 
  • Sisällytä CRA liiketoimintastrategiaasi: Suunnittele budjetti ja resurssit CRA:n edellyttämien tietoturvaominaisuuksien kehittämiseen ja ylläpitoon. Varmista, että ylimmän johdon tuki näkyy resurssoinnissa. 

CRA:n vaatimusten ennakoiminen on sijoitus organisaation turvallisuuteen ja kilpailukykyyn. Valmistaudu ajoissa vaatimuksiin kartoittamalla organisaatiosi nykytilanne ja laatimalla suunnitelma tulevia toimenpiteitä varten.

CRA:n vaikutus ohjelmistoalaan

CRA asettaa kyberturvallisuusvaatimuksia digitaalisia elementtejä sisältäville tuotteille koko niiden elinkaaren ajaksi.  

CRA astui voimaan joulukuussa 2024, ja sen vaatimukset tulevat voimaan vaiheittain: haavoittuvuuksista ilmoittaminen koskee kaikkia tuotteita syyskuusta 2026 ja tietoturvaominaisuudet joulukuusta 2027. 

Ajoissa valmistautuminen antaa organisaatioille aikaa mukautua uuteen sääntelyyn ilman kiireen tuomia riskejä, mikä mahdollistaa vaatimustenmukaisuuden saavuttamisen hallitusti. 

Organisaation kannattaa jo nyt alkaa päivittämään prosessejaan ja toimintatapojaan vastaamaan CRA:n vaatimuksia.  

CRA:n vaatimusten ennakointi on investointi organisaation turvallisuuteen ja kilpailukykyyn. 

Päivitetty