Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kyberkestävyyssäädöksellä asetetaan kyberturvallisuuden vähimmäisvaatimukset digitaalisen elementin sisältäville laitteille ja ohjelmistoille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon.

Euroopan unionin kyberkestävyyssäädöksen (EU) 2024/2847 tavoitteena on parantaa EU:n markkinoille saatettujen tuotteiden tietoturvaa niin, että tuotteissa on vähemmän haavoittuvuuksia. 

Kyberkestävyyssäädös on horisontaalinen tuoteturvallisuusasetus, jonka vaatimusten toteutuminen taataan tulevaisuudessa osana CE-merkintää. Asetuksen mukaisten turvallisuusvaatimusten täyttyminen on jatkossa markkinoille pääsyn edellytys EU:ssa.

Valmistajat ovat vastuussa kyberturvallisuudesta tuotteen koko elinkaaren ajan.  Asetus parantaa laitteiden ja ohjelmistotuotteiden turvallisuuden läpinäkyvyyttä. Se velvoittaa valmistajaa ilmoittamaan myös laitteen tukijakson pituuden selkeästi.

Mitä tuotteita CRA koskee

EU:n kyberkestävyyssäädös (EU) 2024/2847 koskee laajaa joukkoa tuotteita. Säädöksen vaikutuksesta erityisesti ohjelmistojen sääntely täydentyy.
Kyberkestävyyssäädös koskee digitaalisen elementin sisältäviä laitteita tai ohjelmistoja, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. 

Tällaisia tuotteita ovat esimerkiksi turvakamerat, televisiot, lelut, kotitalousreitittimet, palomuurit sekä pelit, tekstin- ja kuvankäsittelyohjelmat. 
CRA ulottaa kyberturvallisuusvaatimukset myös esimerkiksi käyttöjärjestelmään, selaimiin, salasanan hallintaohjelmistoon sekä tiettyihin mikroprosessoreihin ja -ohjaimiin. Tällä tavalla kyberturvallisuutta parannetaan koko toimitusketjussa. 

Kyberkestävyyssäädöksessä huomioidaan IoT-laitteiden erityispiirteet. IoT-laitteisiin tyypillisesti liittyvä valmistajan vastuulla oleva hallintapalvelu eli datan etäkäsittelyratkaisu katsotaan osaksi tuotetta. 

Pilvipalveluratkaisu tai siinä käytetty komponentti kuuluu asetuksen soveltamisalaan, jos se täyttää asetuksen määritelmän datan etäkäsittelyratkaisulle ja sen kehittäminen on tuotteen valmistajan vastuulla. Pilvipalveluratkaisu voi olla esimerkiksi etähallintayhteyksien luomiseen tarkoitettu komponentti.

Pilvipalveluihin ja pilvipalvelumalleihin, kuten ohjelmistopalveluihin (SaaS), alustapalveluihin (PaaS) tai infrastruktuuripalveluihin (IaaS) tulee kyberturvallisuusvelvoitteita NIS 2 -direktiivistä (EU) 2022/2555 .

Kaavio kyberkestävyysasetuksen toimitusketjusta. Mukana valmistajan komponentit (esim. näytöt, kamerat), muiden valmistajien komponentit (esim. muistiyksiköt, prosessorit) sekä sovellukset ja lisäosat (esim. tekstinkäsittelyohjelmat, SIM-kortit). Alhaalla olennaiset vaatimukset, haavoittuvuuksien korjaaminen ja CE-merkintä. Nuoli osoittaa kohti EU-markkinoita. Lähde: Euroopan komissio.

Näitä tuotteita CRA ei koske

Asetusta ei sovelleta lääkinnällisiin laitteisiin, tiettyihin ajoneuvoihin ja lentokoneisiin. Näihin sovelletaan tuotekohtaisessa sääntelyssä jo ennestään olevia kyberturvallisuusvaatimuksia.

Kyberkestävyyssäädöstä ei myöskään sovelleta yksinomaan kansallisen turvallisuuden ja maanpuolustuksen käyttöön tarkoitettuihin tuotteisiin sekä yksinomaan salassa pidettävän aineiston käsittelyyn tarkoitettuihin tuotteisiin.

Aikataulu

Aikajana

Ilmoitetut laitokset

Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 18 kuukauden kuluttua voimaantulosta eli 11.6.2026.

Haavoittuvuuksista raportointi

Haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 21 kuukauden kuluttua voimaantulosta eli 11.9.2026. Vaatimukset koskevat kaikkia EU:n markkinoilla olevia soveltamisalaan lukeutuvia tuotteita, ei ainoastaan markkinoille saatettavia tuotteita.

Olennaiset kyberturvallisuusvaatimukset

Tuotteen tietoturvaominaisuuksia koskevia vaatimuksia sovelletaan 36 kuukauden siirtymällä. 11.12.2027 lähtien EU:n markkinoille saatetut tuotteet on suunniteltava, kehitettävä ja tuotettava EU:n kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti. 

Liikenne- ja viestintäministeriö johtaa kansallisesta täytäntöönpanoa. 

Mitä vaatimuksia CRA asettaa?

Olennaiset kyberturvallisuusvaatimukset

Kyberturvallisuusvaatimusten tarkempi sisältö on EU:n kyberkestävyyssäädöksen 13 artiklassa ja I liitteessä.

Tuotteen valmistajien on varmistettava, että tuote on suunniteltu, kehitetty ja tuotettu Kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti. Tuotteen CE-merkintä kertoo kyberturvallisuusvaatimuksista. 

Näitä vaatimuksia sovelletaan tuotteisiin, jotka saatetaan markkinoille 11.12.2027 jälkeen. Markkinoille saattaminen tapahtuu, kun tuote tulee ensimmäistä kertaa markkinoille.

Olennaiset kyberturvallisuusvaatimukset toteutetaan riskiperusteisesti. Tuotteisiin kohdistuvia vaatimuksia ovat muun muassa 
•    Turvalliset oletusasetukset ja automaattiset turvallisuuspäivitykset
•    Luvattomalta pääsyltä estäminen
•    Datan luottamuksellinen säilyttäminen ja datan minimointi
•    Keskeisten toimintojen turvaaminen

Yhdenmukaistetuissa standardeissa ja teknisissä eritelmissä tarkennetaan mitä vaatimuksiin voi sisältyä. Yhdenmukaistetut standardit julkaistaan valmistuessaan EU:n virallisessa lehdessä.  

Haavoittuvuuksista raportointi

EU:n markkina-alueelle asetettujen tuotteiden valmistajien on ilmoitettava tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle 11.9.2026 lähtien. Tämä vaatimus siis koskee nykyisiäkin tuotteita, ei ainoastaan ensimmäistä kertaa markkinoille tuotavia tuotteita.

Lisäksi valmistajalla on velvollisuus tiedottaa tuotteiden käyttäjiä mahdollisista haavoittuvuuksista ja niiden korjauksista.
 

Valmistajan on raportoitava 
a) tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista ja 
b) tuotteen tietoturvaan vaikuttavista vakavista poikkeamista. 

Kun poikkeama katsotaan merkittäväksi ja valmistaja kuuluu NIS 2 -direktiivin (EU) 2022/2555 soveltamisalaan, tehdään myös NIS-ilmoitus. 

Ilmoituskäytännöissä noudatetaan samaa periaatetta kuin NIS 2 -direktiivissäkin. Ensimmäinen ilmoitus tehdään 24 tunnin kuluessa kyseisen haavoittuvuuden havaitsemisesta. Jatkoilmoitus tehdään 72 tunnin kuluessa. 

Valmistajat, haavoittuvuustutkijat ja muut toimijat voivat vapaaehtoisesti ilmoittaa CSIRT-yksikölle tai ENISA:lle tuotteeseen sisältyvistä haavoittuvuuksista tai kyberuhkista, jotka voisivat vaikuttaa tuotteen riskiprofiiliin. Myös tuotteen tietoturvaan vaikuttavista poikkeamista sekä läheltä piti -tilanteista voidaan raportoida. 

ENISA laatii keskitettyä järjestelmää haavoittuvuuksien ilmoittamiseen.

Tuotteen saattaminen markkinoille

Markkinoille saattamisella tarkoitetaan tuotteen asettamista ensimmäistä kertaa saataville EU-markkinoilla. Käytännössä tämä tarkoittaa, että laite on tuotu kolmannesta maasta EU:n markkinoille tai se on lähtenyt EU-alueella olevasta valmistuspaikasta jakeluketjuun. Markkinoille saattamista tarkastellaan jokaisen yksittäisen laitekappaleen kohdalla erikseen.

Valmistajan on huolehdittava tuotteen vaatimustenmukaisuudesta ennen kuin se saatetaan markkinoille. Kaikkia EU-alueella myytäviä tuotteita koskee CRA eli EU:n kyberkestävyyssäädös (EU) 2024/2847.  Se sisältää vaatimuksia tuotteen teknisille ominaisuuksille, dokumenteille ja merkinnöille. CRA:n vaatimustenmukaiset tuotteet voivat liikkua vapaasti koko EU-alueella.

Muista säädöksistä poiketen kyberkestävyyssäädös asettaa velvoitteet tuotteen koko elinkaarelle.

Näin saatat tuotteen markkinoille 
 

1

Tuote kehitetään

Valmistaja tutustuu kyberkestävyyssäädöksen sisältöön. 

Verkkoon yhdistettävä digitaalinen ohjelmisto tai laite kehitetään. Tuotteen tietoturvaominaisuudet toteutetaan riskiarvion mukaisesti.

2

Tuotteen vaatimustenmukaisuus arvioidaan

Valmistaja selvittää, miten tuotteen vaatimustenmukaisuus on arvioitava.

Joissain tilanteissa vaatimustenmukaisuuteen edellytetään ilmoitetun laitoksen tekemää arviointia tai kyberturvallisuussertifikaattia.

Tuotteen on läpäistävä vaatimustenmukaisuuden arviointi ja oltava kyberkestävyyssäädöksen mukainen.

3

Tuote saatetaan markkinoille

Tuotteelle laaditaan EU-vaatimustenmukaisuusvakuutus ja tarvittavat tekniset asiakirjat.

Tuotteeseen kiinnitetään CE-merkintä. Tuotteelle ilmoitetaan tukijakso.

4

Markkinoille saattamisen jälkeinen seuranta

Tässä vaiheessa tuotteeseen kohdistetaan markkinavalvontaa.

Markkinoille saattamisen jälkeen valmistaja korjaa tuotteen haavoittuvuudet riskiarvion mukaisesti tukijakson aikana. Valmistajan on raportoitava haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle

Tuotteen riskiarviointia on päivitettävä tarvittaessa. Tuotteen vaatimustenmukaisuutta on arvioitava uudelleen, jos tuotteeseen tehdään merkittäviä muutoksia.

Yhdenmukaistetut standardit

Standardit tulevat olemaan merkittävässä roolissa tuotteen vaatimustenmukaisuuden toteuttamisessa.

Alustavissa keskusteluissa on pohdittu horisontaalisia ja vertikaalisia eli toimialakohtaisia standardeja. Vertikaalisia standardeja olisi tulossa erityisesti liitteen III tuotteille.

Kun säädös tulee voimaan, Komissio lähettää standardointipyynnön eurooppalaisille standardointijärjestöille.

Yhdenmukaistetut standardit julkaistaan EU:n virallisessa lehdessä.

CRA:n mukaiset ilmoitetut laitokset

Ilmoitettuja laitoksia koskevia säännöksiä sovelletaan 11.6.2026 alkaen. Ilmoitetulla laitoksella täytyy olla hyväksyntä CRA:n (EU) 2024/2847 soveltamisalalla, jotta se voi arvioida tuotteen vaatimustenmukaisuutta. Ilmoitetut laitokset löytyvät komission NANDO-tietokannasta. 

Eurooppalainen kyberturvallisuussertifikaatti

Tuotteen vaatimustenmukaisuuden osoittamisessa voidaan käyttää myös kyberturvallisuusasetuksen (EU) 2019/881 nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaista EU-vaatimustenmukaisuusilmoitusta tai sertifikaattia.

Liikenne- ja viestintävirasto Traficom vastaa EU:n kyberturvallisuusasetuksen mukaisesta kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen tehtävistä. Tutustu toimintaan ja lue lisää kyberturvallisuusasetuksesta ja eurooppalaisesta kyberturvallisuussertifioinnista kansallisen kyberturvallisuussertifioinnin viranomaisen sivuilta.

Talouden toimijoiden velvollisuudet 

Tuotteiden valmistajat, maahantuojat ja myyjät vastaavat siitä, että kuluttajille on tarjolla EU:n kyberkestävyyssäädöksen vaatimustenmukaisia laitteita ja ohjelmistoja.
Täydennämme tälle sivulle tietoa siitä, mitä näihin velvoitteisiin sisältyy.

Ilmoitetuille laitoksille

Onko organisaatiollanne halukkuutta hakeutua CRA:n mukaiseksi ilmoitetuksi laitokseksi?

Kansallisessa täytäntöönpanossa kiinnitetään erityistä huomiota ilmoitettujen laitosten määrään. Jos laitoksia ei ole riittävästi, on riski pullonkauloille tuotteiden markkinoillepääsyssä.

Ilmoitettujen laitosten osalta nähdään myös merkittäviä liiketoimintamahdollisuuksia, koska arviointia vaativia tuotteita on Euroopan laajuisesti mahdollisesti paljonkin. 

Ilmoitettuja laitoksia koskevia säännöksiä aletaan soveltaa 18 kuukauden kuluttua asetuksen voimaantulosta eli 11.6.2026. 

Täydennämme sivuille tietoa siitä, miten hakeutua CRA:n mukaiseksi ilmoitetuksi laitokseksi.

Päivitetty