Kyberkestävyyssäädöksellä asetetaan kyberturvallisuuden vähimmäisvaatimukset digitaalisen elementin sisältäville laitteille ja ohjelmistoille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon.
Euroopan unionin kyberkestävyyssäädöksen (EU) 2024/2847 tavoitteena on parantaa EU:n markkinoille saatettujen tuotteiden tietoturvaa niin, että tuotteissa on vähemmän haavoittuvuuksia.
Kyberkestävyyssäädös on horisontaalinen tuoteturvallisuusasetus, jonka vaatimusten toteutuminen taataan tulevaisuudessa osana CE-merkintää.
Valmistajat ovat vastuussa kyberturvallisuudesta tuotteen koko elinkaaren ajan. Asetus parantaa laitteiden ja ohjelmistotuotteiden turvallisuuden läpinäkyvyyttä. Se velvoittaa valmistajaa ilmoittamaan myös laitteen tukijakson pituuden selkeästi.
Mitä tuotteita CRA koskee
EU:n kyberkestävyyssäädös (EU) 2024/2847 koskee laajaa joukkoa tuotteita. Säädöksen vaikutuksesta erityisesti ohjelmistojen sääntely täydentyy.
Kyberkestävyyssäädös koskee digitaalisen elementin sisältäviä laitteita tai ohjelmistoja, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon.
Tällaisia tuotteita ovat esimerkiksi turvakamerat, televisiot, lelut, kotitalousreitittimet, palomuurit sekä pelit, tekstin- ja kuvankäsittelyohjelmat.
CRA ulottaa kyberturvallisuusvaatimukset myös esimerkiksi käyttöjärjestelmään, selaimiin, salasanan hallintaohjelmistoon sekä tiettyihin mikroprosessoreihin ja -ohjaimiin. Tällä tavalla kyberturvallisuutta parannetaan koko toimitusketjussa.
Kyberkestävyyssäädöksessä huomioidaan IoT-laitteiden erityispiirteet. IoT-laitteisiin tyypillisesti liittyvä valmistajan vastuulla oleva hallintapalvelu eli datan etäkäsittelyratkaisu katsotaan osaksi tuotetta.
Näitä tuotteita CRA ei koske
Pilvipalveluihin ja pilvipalvelumalleihin, kuten ohjelmistopalveluihin (SaaS), alustapalveluihin (PaaS) tai infrastruktuuripalveluihin (IaaS) ei kohdisteta CRA:n mukaista sääntelyä. Palvelun toimittajalle tulee kyberturvallisuusvelvoitteita NIS 2 -direktiivistä (EU) 2022/2555 .
Pilvipalveluratkaisu voi kuitenkin kuulua asetuksen soveltamisalaan, jos se täyttää asetuksen määritelmän datan etäkäsittelyratkaisulle. Tässä tapauksessa pilvipalvelulla mahdollistetaan digitaalisia elementtejä sisältävän tuotteen toimintoja ja sen kehittäminen on tuotteen valmistajan vastuulla. Tällaisia voivat olla esimerkiksi etähallintayhteyden muodostamiseen tarkoitetut ratkaisut.
Asetusta ei sovelleta lääkinnällisiin laitteisiin, tiettyihin ajoneuvoihin ja lentokoneisiin. Näihin sovelletaan tuotekohtaisessa sääntelyssä jo ennestään olevia kyberturvallisuusvaatimuksia.
Kyberkestävyyssäädöstä ei myöskään sovelleta yksinomaan kansallisen turvallisuuden ja maanpuolustuksen käyttöön tarkoitettuihin tuotteisiin sekä yksinomaan salassa pidettävän aineiston käsittelyyn tarkoitettuihin tuotteisiin.
Aikataulu
Ilmoitetut laitokset
Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 18 kuukauden kuluttua voimaantulosta eli 11.6.2026.
Haavoittuvuuksista raportointi
Haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 21 kuukauden kuluttua voimaantulosta eli 11.9.2026. Vaatimukset koskevat kaikkia EU:n markkinoilla olevia soveltamisalaan lukeutuvia tuotteita, ei ainoastaan markkinoille saatettavia tuotteita.
Olennaiset kyberturvallisuusvaatimukset
Tuotteen tietoturvaominaisuuksia koskevia vaatimuksia sovelletaan 36 kuukauden siirtymällä. 11.12.2027 lähtien EU:n markkinoille saatetut tuotteet on suunniteltava, kehitettävä ja tuotettava EU:n kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti.
Liikenne- ja viestintäministeriö johtaa kansallisesta täytäntöönpanoa.
Mitä vaatimuksia CRA asettaa?
Olennaiset kyberturvallisuusvaatimukset
Kyberturvallisuusvaatimusten tarkempi sisältö on EU:n kyberkestävyyssäädöksen 13 artiklassa ja I liitteessä.
Tuotteen valmistajien on varmistettava, että tuote on suunniteltu, kehitetty ja tuotettu Kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti. Tuotteen CE-merkintä kertoo kyberturvallisuusvaatimuksista.
Näitä vaatimuksia sovelletaan tuotteisiin, jotka saatetaan markkinoille 11.12.2027 jälkeen. Markkinoille saattaminen tapahtuu, kun tuote tulee ensimmäistä kertaa markkinoille.
Olennaiset kyberturvallisuusvaatimukset toteutetaan riskiperusteisesti. Tuotteisiin kohdistuvia vaatimuksia ovat muun muassa
• Turvalliset oletusasetukset ja automaattiset turvallisuuspäivitykset
• Luvattomalta pääsyltä estäminen
• Datan luottamuksellinen säilyttäminen ja datan minimointi
• Keskeisten toimintojen turvaaminen
Yhdenmukaistetuissa standardeissa ja teknisissä eritelmissä tarkennetaan mitä vaatimuksiin voi sisältyä. Yhdenmukaistetut standardit julkaistaan valmistuessaan EU:n virallisessa lehdessä.
Haavoittuvuuksista raportointi
EU:n markkina-alueelle asetettujen tuotteiden valmistajien on ilmoitettava tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle 11.9.2026 lähtien. Tämä vaatimus siis koskee nykyisiäkin tuotteita, ei ainoastaan ensimmäistä kertaa markkinoille tuotavia tuotteita.
Lisäksi valmistajalla on velvollisuus tiedottaa tuotteiden käyttäjiä mahdollisista haavoittuvuuksista ja niiden korjauksista.
Valmistajan on raportoitava
a) tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista ja
b) tuotteen tietoturvaan vaikuttavista vakavista poikkeamista.
Kun poikkeama katsotaan merkittäväksi ja valmistaja kuuluu NIS 2 -direktiivin (EU) 2022/2555 soveltamisalaan, tehdään myös NIS-ilmoitus.
Ilmoituskäytännöissä noudatetaan samaa periaatetta kuin NIS 2 -direktiivissäkin. Ensimmäinen ilmoitus tehdään 24 tunnin kuluessa kyseisen haavoittuvuuden havaitsemisesta. Jatkoilmoitus tehdään 72 tunnin kuluessa.
Valmistajat, haavoittuvuustutkijat ja muut toimijat voivat vapaaehtoisesti ilmoittaa CSIRT-yksikölle tai ENISA:lle tuotteeseen sisältyvistä haavoittuvuuksista tai kyberuhkista, jotka voisivat vaikuttaa tuotteen riskiprofiiliin. Myös tuotteen tietoturvaan vaikuttavista poikkeamista sekä läheltä piti -tilanteista voidaan raportoida.
ENISA laatii keskitettyä järjestelmää haavoittuvuuksien ilmoittamiseen.
Tuotteen saattaminen markkinoille
Markkinoille saattamisella tarkoitetaan tuotteen asettamista ensimmäistä kertaa saataville EU-markkinoilla. Käytännössä tämä tarkoittaa, että laite on tuotu kolmannesta maasta EU:n markkinoille tai se on lähtenyt EU-alueella olevasta valmistuspaikasta jakeluketjuun. Markkinoille saattamista tarkastellaan jokaisen yksittäisen laitekappaleen kohdalla erikseen.
Valmistajan on huolehdittava tuotteen vaatimustenmukaisuudesta ennen kuin se saatetaan markkinoille. Kaikkia EU-alueella myytäviä tuotteita koskee CRA eli EU:n kyberkestävyyssäädös (EU) 2024/2847. Se sisältää vaatimuksia tuotteen teknisille ominaisuuksille, dokumenteille ja merkinnöille. CRA:n vaatimustenmukaiset tuotteet voivat liikkua vapaasti koko EU-alueella.
Muista säädöksistä poiketen kyberkestävyyssäädös asettaa velvoitteet tuotteen koko elinkaarelle.
Näin saatat tuotteen markkinoille
Tuote kehitetään
Valmistaja tutustuu kyberkestävyyssäädöksen sisältöön.
Verkkoon yhdistettävä digitaalinen ohjelmisto tai laite kehitetään. Tuotteen tietoturvaominaisuudet toteutetaan riskiarvion mukaisesti.
Tuotteen vaatimustenmukaisuus arvioidaan
Valmistaja selvittää, miten tuotteen vaatimustenmukaisuus on arvioitava.
Joissain tilanteissa vaatimustenmukaisuuteen edellytetään ilmoitetun laitoksen tekemää arviointia tai kyberturvallisuussertifikaattia.
Tuotteen on läpäistävä vaatimustenmukaisuuden arviointi ja oltava kyberkestävyyssäädöksen mukainen.
Tuote saatetaan markkinoille
Tuotteelle laaditaan EU-vaatimustenmukaisuusvakuutus ja tarvittavat tekniset asiakirjat.
Tuotteessa on CE-merkintä. Tuotteelle ilmoitetaan tukijakso.
Markkinoille saattamisen jälkeinen seuranta
Tässä vaiheessa tuotteeseen kohdistetaan markkinavalvontaa.
Markkinoille saattamisen jälkeen valmistaja korjaa tuotteen haavoittuvuudet riskiarvion mukaisesti tukijakson aikana. Valmistajan on raportoitava haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle
Tuotteen riskiarviointia on päivitettävä tarvittaessa. Tuotteen vaatimustenmukaisuutta on arvioitava uudelleen, jos tuotteeseen tehdään merkittäviä muutoksia.
Yhdenmukaistetut standardit
Standardit tulevat olemaan merkittävässä roolissa tuotteen vaatimustenmukaisuuden toteuttamisessa.
Alustavissa keskusteluissa on pohdittu horisontaalisia ja vertikaalisia eli toimialakohtaisia standardeja. Vertikaalisia standardeja olisi tulossa erityisesti liitteen III tuotteille.
Kun säädös tulee voimaan, Komissio lähettää standardointipyynnön eurooppalaisille standardointijärjestöille.
Yhdenmukaistetut standardit julkaistaan EU:n virallisessa lehdessä.
CRA:n mukaiset ilmoitetut laitokset
Ilmoitettuja laitoksia koskevia säännöksiä sovelletaan 11.6.2026 alkaen. Ilmoitetulla laitoksella täytyy olla hyväksyntä CRA:n (EU) 2024/2847 soveltamisalalla, jotta se voi arvioida tuotteen vaatimustenmukaisuutta. Ilmoitetut laitokset löytyvät komission NANDO-tietokannasta.
Eurooppalainen kyberturvallisuussertifikaatti
Tuotteen vaatimustenmukaisuuden osoittamisessa voidaan käyttää myös kyberturvallisuusasetuksen (EU) 2019/881 nojalla hyväksytyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaista EU-vaatimustenmukaisuusilmoitusta tai sertifikaattia.
Liikenne- ja viestintävirasto Traficom vastaa EU:n kyberturvallisuusasetuksen mukaisesta kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen tehtävistä. Tutustu toimintaan ja lue lisää kyberturvallisuusasetuksesta ja eurooppalaisesta kyberturvallisuussertifioinnista kansallisen kyberturvallisuussertifioinnin viranomaisen sivuilta.
Talouden toimijoiden velvollisuudet
Tuotteiden valmistajat, maahantuojat ja myyjät vastaavat siitä, että kuluttajille on tarjolla EU:n kyberkestävyyssäädöksen vaatimustenmukaisia laitteita ja ohjelmistoja.
Täydennämme tälle sivulle tietoa siitä, mitä näihin velvoitteisiin sisältyy.
Ilmoitetuille laitoksille
Onko organisaatiollanne halukkuutta hakeutua CRA:n mukaiseksi ilmoitetuksi laitokseksi?
Kansallisessa täytäntöönpanossa kiinnitetään erityistä huomiota ilmoitettujen laitosten määrään. Jos laitoksia ei ole riittävästi, on riski pullonkauloille tuotteiden markkinoillepääsyssä.
Ilmoitettujen laitosten osalta nähdään myös merkittäviä liiketoimintamahdollisuuksia, koska arviointia vaativia tuotteita on Euroopan laajuisesti mahdollisesti paljonkin.
Ilmoitettuja laitoksia koskevia säännöksiä aletaan soveltaa 18 kuukauden kuluttua asetuksen voimaantulosta eli 11.6.2026.
Täydennämme sivuille tietoa siitä, miten hakeutua CRA:n mukaiseksi ilmoitetuksi laitokseksi.