Kyberkestävyyssäädös (Cyber Resilience Act, CRA)
Kyberkestävyyssäädöksellä asetetaan kyberturvallisuuden vähimmäisvaatimukset digitaalisen elementin sisältäville laitteille ja ohjelmistoille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon.
Tällä sivulla
- Asetukset, ohjeet ja muut hyödylliset linkit
- Mitä tuotteita CRA koskee
- Mitä vaatimuksia CRA asettaa?
- Talouden toimijoiden velvollisuudet
- Näin saatat tuotteen markkinoille
- Tiedätkö, mitä CRA sinulta vaatii?
- Tapahtumia
Euroopan unionin kyberkestävyyssäädöksen (EU) 2024/2847 tavoitteena on parantaa EU:n markkinoille saatettujen tuotteiden tietoturvaa niin, että tuotteissa on vähemmän haavoittuvuuksia.
Kyberkestävyyssäädös on horisontaalinen tuoteturvallisuusasetus, jonka vaatimusten toteutuminen taataan tulevaisuudessa osana CE-merkintää. Asetuksen mukaisten turvallisuusvaatimusten täyttyminen on jatkossa markkinoille pääsyn edellytys EU:ssa.
Valmistajat ovat vastuussa kyberturvallisuudesta tuotteen koko elinkaaren ajan. Asetus parantaa laitteiden ja ohjelmistotuotteiden turvallisuuden läpinäkyvyyttä. Se velvoittaa valmistajaa ilmoittamaan myös laitteen tukijakson pituuden selkeästi.
Mitä tuotteita CRA koskee
EU:n kyberkestävyyssäädös (EU) 2024/2847 koskee laajaa joukkoa tuotteita. Säädöksen vaikutuksesta erityisesti ohjelmistojen sääntely täydentyy. Kyberkestävyyssäädös koskee digitaalisen elementin sisältäviä laitteita tai ohjelmistoja, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon.
Tällaisia tuotteita ovat esimerkiksi turvakamerat, televisiot, lelut, kotitalousreitittimet, palomuurit sekä pelit, tekstin- ja kuvankäsittelyohjelmat. CRA ulottaa kyberturvallisuusvaatimukset myös esimerkiksi käyttöjärjestelmään, selaimiin, salasanan hallintaohjelmistoon sekä tiettyihin mikroprosessoreihin ja -ohjaimiin. Tällä tavalla kyberturvallisuutta parannetaan koko toimitusketjussa.
Kyberkestävyyssäädöksessä huomioidaan IoT-laitteiden erityispiirteet. IoT-laitteisiin tyypillisesti liittyvä valmistajan vastuulla oleva hallintapalvelu eli datan etäkäsittelyratkaisu katsotaan osaksi tuotetta.
Pilvipalveluratkaisu tai siinä käytetty komponentti kuuluu asetuksen soveltamisalaan, jos se täyttää asetuksen määritelmän datan etäkäsittelyratkaisulle ja sen kehittäminen on tuotteen valmistajan vastuulla. Pilvipalveluratkaisu voi olla esimerkiksi etähallintayhteyksien luomiseen tarkoitettu komponentti.
Pilvipalveluihin ja pilvipalvelumalleihin, kuten ohjelmistopalveluihin (SaaS), alustapalveluihin (PaaS) tai infrastruktuuripalveluihin (IaaS) tulee kyberturvallisuusvelvoitteita NIS 2 -direktiivistä (EU) 2022/2555.
Näitä tuotteita CRA ei koske
Asetusta ei sovelleta lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin lääkinnällisiin laitteisiin, tiettyihin ajoneuvoihin, laivavarusteisiin ja ilmailun sertifioituihin laitteisiin, kuten ilma-aluksiin. Näihin sovelletaan tuotekohtaisessa sääntelyssä jo ennestään olevia kyberturvallisuusvaatimuksia.
Kyberkestävyyssäädöstä ei myöskään sovelleta yksinomaan kansallisen turvallisuuden ja maanpuolustuksen käyttöön tarkoitettuihin tuotteisiin sekä yksinomaan turvallisuusluokitellun aineiston käsittelyyn tarkoitettuihin tuotteisiin.
Näitä tuotteita CRA ei koske
Asetusta ei sovelleta lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin lääkinnällisiin laitteisiin, tiettyihin ajoneuvoihin, laivavarusteisiin ja ilmailun sertifioituihin laitteisiin, kuten ilma-aluksiin. Näihin sovelletaan tuotekohtaisessa sääntelyssä jo ennestään olevia kyberturvallisuusvaatimuksia.
Kyberkestävyyssäädöstä ei myöskään sovelleta yksinomaan kansallisen turvallisuuden ja maanpuolustuksen käyttöön tarkoitettuihin tuotteisiin sekä yksinomaan turvallisuusluokitellun aineiston käsittelyyn tarkoitettuihin tuotteisiin.
Ilmoitetut laitokset
Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 18 kuukauden kuluttua voimaantulosta eli 11.6.2026.
Haavoittuvuuksista raportointi
Haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 21 kuukauden kuluttua voimaantulosta eli 11.9.2026. Vaatimukset koskevat kaikkia EU:n markkinoilla olevia soveltamisalaan lukeutuvia tuotteita, ei ainoastaan markkinoille saatettavia tuotteita.
Olennaiset kyberturvallisuusvaatimukset
Tuotteen tietoturvaominaisuuksia koskevia vaatimuksia sovelletaan 36 kuukauden siirtymällä. 11.12.2027 lähtien EU:n markkinoille saatetut tuotteet on suunniteltava, kehitettävä ja tuotettava EU:n kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti.
Liikenne- ja viestintäministeriö johtaa kansallisesta täytäntöönpanoa.
Ilmoitetut laitokset
Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 18 kuukauden kuluttua voimaantulosta eli 11.6.2026.
Mitä vaatimuksia CRA asettaa?
Olennaiset kyberturvallisuusvaatimukset
Kyberturvallisuusvaatimusten tarkempi sisältö on EU:n kyberkestävyyssäädöksen 13 artiklassa ja I liitteessä.
Tuotteen valmistajien on varmistettava, että tuote on suunniteltu, kehitetty ja tuotettu Kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti. Tuotteen CE-merkintä kertoo kyberturvallisuusvaatimuksista.
Näitä vaatimuksia sovelletaan tuotteisiin, jotka saatetaan markkinoille 11.12.2027 jälkeen. Markkinoille saattaminen tapahtuu, kun tuote tulee ensimmäistä kertaa markkinoille.
Olennaiset kyberturvallisuusvaatimukset toteutetaan riskiperusteisesti. Tuotteisiin kohdistuvia vaatimuksia ovat muun muassa
• Turvalliset oletusasetukset ja automaattiset turvallisuuspäivitykset
• Luvattomalta pääsyltä estäminen
• Datan luottamuksellinen säilyttäminen ja datan minimointi
• Keskeisten toimintojen turvaaminen
Yhdenmukaistetuissa standardeissa ja teknisissä eritelmissä tarkennetaan mitä vaatimuksiin voi sisältyä. Yhdenmukaistetut standardit julkaistaan valmistuessaan EU:n virallisessa lehdessä.
Haavoittuvuuksista raportointi
Haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 21 kuukauden kuluttua voimaantulosta eli 11.9.2026. Vaatimukset koskevat kaikkia EU:n markkinoilla olevia soveltamisalaan lukeutuvia tuotteita, ei ainoastaan markkinoille saatettavia tuotteita.
Olennaiset kyberturvallisuusvaatimukset
Tuotteen tietoturvaominaisuuksia koskevia vaatimuksia sovelletaan 36 kuukauden siirtymällä. 11.12.2027 lähtien EU:n markkinoille saatetut tuotteet on suunniteltava, kehitettävä ja tuotettava EU:n kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti.
Liikenne- ja viestintäministeriö johtaa kansallisesta täytäntöönpanoa.
Talouden toimijoiden velvollisuudet
Tuotteiden valmistajat, maahantuojat ja myyjät vastaavat siitä, että EU:n markkinoilla on tarjolla kyberkestävyyssäädöksen vaatimustenmukaisia laitteita ja ohjelmistoja.
Valmistajan on huolehdittava tuotteen vaatimustenmukaisuudesta ennen kuin se saatetaan markkinoille. Kaikkia EU-alueella myytäviä tuotteita koskee CRA eli EU:n kyberkestävyyssäädös (EU) 2024/2847. Se sisältää vaatimuksia tuotteen teknisille ominaisuuksille, dokumenteille ja merkinnöille. CRA:n vaatimustenmukaiset tuotteet voivat liikkua vapaasti koko EU-alueella.
Markkinoille saattamisella tarkoitetaan tuotteen asettamista ensimmäistä kertaa saataville EU-markkinoilla. Käytännössä tämä tarkoittaa, että laite on tuotu kolmannesta maasta EU:n markkinoille tai se on lähtenyt EU-alueella olevasta valmistuspaikasta jakeluketjuun. Markkinoille saattamista tarkastellaan jokaisen yksittäisen laitekappaleen kohdalla erikseen.
Kyberkestävyyssäädös asettaa velvoitteet tuotteen koko elinkaarelle.
Näin saatat tuotteen markkinoille
- Vaihe 1
Tuote kehitetään
Valmistaja tutustuu kyberkestävyyssäädöksen sisältöön.
Verkkoon yhdistettävä digitaalinen ohjelmisto tai laite kehitetään. Tuotteen kyberturvallisuusominaisuudet toteutetaan riskiarvion mukaisesti.
- Vaihe 2
Tuotteen vaatimustenmukaisuus arvioidaan
Valmistaja selvittää, miten tuotteen vaatimustenmukaisuus on arvioitava.
Joissain tilanteissa vaatimustenmukaisuuteen edellytetään ilmoitetun laitoksen tekemää arviointia tai kyberturvallisuussertifikaattia.
Tuotteen on läpäistävä vaatimustenmukaisuuden arviointi ja oltava kyberkestävyyssäädöksen mukainen.
- Vaihe 3
Tuote saatetaan markkinoille
Tuotteelle laaditaan EU-vaatimustenmukaisuusvakuutus ja tarvittavat tekniset asiakirjat.
Tuotteeseen kiinnitetään CE-merkintä. Tuotteelle ilmoitetaan tukijakso.
- Vaihe 4
Markkinoille saattamisen jälkeinen seuranta
Tässä vaiheessa tuotteeseen kohdistetaan markkinavalvontaa.
Markkinoille saattamisen jälkeen valmistaja korjaa tuotteen haavoittuvuudet riskiarvion mukaisesti tukijakson aikana. Valmistajan on raportoitava haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle
Tuotteen riskiarviointia on päivitettävä tarvittaessa. Tuotteen vaatimustenmukaisuutta on arvioitava uudelleen, jos tuotteeseen tehdään merkittäviä muutoksia.
Yhdenmukaistetut standardit
Standardit tulevat olemaan merkittävässä roolissa tuotteen vaatimustenmukaisuuden toteuttamisessa.
Alustavissa keskusteluissa on pohdittu horisontaalisia ja vertikaalisia eli toimialakohtaisia standardeja. Vertikaalisia standardeja olisi tulossa erityisesti liitteen III tuotteille.
Yhdenmukaistetut standardit julkaistaan EU:n virallisessa lehdessä.
CRA:n mukaiset ilmoitetut laitokset
Ilmoitettuja laitoksia koskevia säännöksiä sovelletaan 11.6.2026 alkaen. Ilmoitetulla laitoksella täytyy olla hyväksyntä CRA:n (EU) 2024/2847 soveltamisalalla, jotta se voi arvioida tuotteen vaatimustenmukaisuutta. Ilmoitetut laitokset löytyvät komission NANDO-tietokannasta.
Onko organisaatiollanne halukkuutta hakeutua CRA:n mukaiseksi ilmoitetuksi laitokseksi?
Ilmoitettujen laitosten osalta nähdään myös merkittäviä liiketoimintamahdollisuuksia, koska arviointia vaativia tuotteita on Euroopan laajuisesti mahdollisesti paljonkin.
Eurooppalainen kyberturvallisuussertifikaatti
Tuotteen vaatimustenmukaisuuden osoittamisessa voidaan käyttää myös kyberturvallisuusasetuksen (EU) 2019/881 nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaista EU-vaatimustenmukaisuusilmoitusta tai sertifikaattia.
Liikenne- ja viestintävirasto Traficom vastaa EU:n kyberturvallisuusasetuksen mukaisesta kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen tehtävistä. Tutustu toimintaan ja lue lisää kyberturvallisuusasetuksesta ja eurooppalaisesta kyberturvallisuussertifioinnista kansallisen kyberturvallisuussertifioinnin viranomaisen sivuilta.
Eurooppalainen kyberturvallisuussertifikaatti
Tuotteen vaatimustenmukaisuuden osoittamisessa voidaan käyttää myös kyberturvallisuusasetuksen (EU) 2019/881 nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaista EU-vaatimustenmukaisuusilmoitusta tai sertifikaattia.
Liikenne- ja viestintävirasto Traficom vastaa EU:n kyberturvallisuusasetuksen mukaisesta kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen tehtävistä. Tutustu toimintaan ja lue lisää kyberturvallisuusasetuksesta ja eurooppalaisesta kyberturvallisuussertifioinnista kansallisen kyberturvallisuussertifioinnin viranomaisen sivuilta.
