Ky­ber­kes­tä­vyys­sää­dös asettaa vä­him­mäis­vaa­ti­muk­set internetiin kytkettäville tuotteille

Kyberkestävyyssäädös (Cyber Resilience Act, CRA) julkaistiin EU:n virallisessa lehdessä 20.11.2024. Kyberkestävyyssäädös asettaa kyberturvallisuutta koskevat vähimmäisvaatimukset tuotteille ja ohjelmistoille, jotka ovat yhdistettävissä internetiin tai toiseen laitteeseen. Asetusta täydentävää kansallista lainsäädäntöä valmisteleva hanke on käynnissä liikenne- ja viestintäministeriössä.

Kyberkestävyyssäädös on asetuksena suoraan sovellettava, mutta vaatii kansallista täydentävää sääntelyä erityisesti markkinavalvonnan ja sen edellyttämien viranomaistehtävien järjestämiseksi sekä ilmoitettujen laitosten hyväksynnän ja hallinnollisten seuraamusten osalta. Liikenne- ja viestintäministeriö on käynnistänyt kansallista täydentävää sääntelyä valmistelevan hankkeen 1.5.2024.

Kyberkestävyyssäädöksen soveltamisala on laaja, ja sen vaatimukset koskevat eräin poikkeuksin laajasti tuotteita ja ohjelmistoja, jotka ovat yhdistettävissä internetiin tai toiseen laitteeseen, eli sisältävät asetuksessa tarkoitetun digitaalisen elementin. Tällaisia ovat esimerkiksi internetiin yhdistettävät valvontakamerat, jääkaapit, älykellot, televisiot, tietokoneet, puhelimet, sovellukset ja lelut. Asetus koskisi myös ohjelmistoja, kuten sovelluksia ja pelejä, sekä muuhun kuin kuluttajakäyttöön tarkoitettuja tuotteita, kuten laitteisiin ja koneisiin sisältyviä käyttöjärjestelmiä ja ohjelmistoja, etäluettavia sensoreita ja etähallintajärjestelmiä. 

Taustalla on kyberturvallisuuteen liittyvä kehitys, jossa laitteet ja ohjelmistot joutuvat enenevässä määrin kyberhyökkäysten kohteiksi, mikä voi aiheuttaa merkittäviä kustannuksia yhteiskunnassa kuluttajille, yrityksille, yhteisöille ja viranomaisille. Säädöksen arvioidaan parantavan yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita.

Asetuksen mukaisten turvallisuusvaatimusten täyttyminen on jatkossa markkinoille pääsyn edellytys EU:ssa. Valmistajien olisi jatkossa ilmoitettava tuotteiden ja ohjelmistojen aktiivisesti hyödynnetyistä haavoittuvuuksista EU:n kyberturvallisuusvirasto ENISA:lle sekä kansalliselle tietoturvaloukkauksiin reagoivalle ja niitä tutkivalle CSIRT-yksikölle.

Vaatimustenmukaisuuden osoittaminen tapahtuisi suurimmalle osalle tuotteista itsearviointina. Eräiden tuotteiden osalta edellytettäisiin muita tapoja, kuten kolmannen osapuolen arviointia. Tällaisia tuotteita olisivat esimerkiksi reitittimet, palomuuriohjelmat, selaimet, käyttöjärjestelmät, eräät mikroprosessorit sekä käyttöoikeuksien ja salasanojen hallintaohjelmistot. Myös muut tuotteet voisivat hakea kolmannen osapuolen arviointia vapaaehtoisesti vaatimustenmukaisuuden osoittamiseksi.

Kolmannen osapuolen arvioinnin toteuttaisi ilmoitettu laitos. Tavoitteena on, että ilmoitetuksi laitokseksi olisi Suomessa mahdollista hakeutua viimeistään keväällä 2026.

Kansallinen täydentävä sääntely pyritään saattamaan lausuntokierrokselle talvella 2025 ja eduskunnalle syysistuntokaudella 2025.

Asetuksen soveltaminen alkaa siirtymäajan jälkeen 11.12.2027. Aktiivisesti hyödynnettyjen haavoittuvuuksien ilmoittamista sovelletaan kuitenkin jo 11.9.2026 alkaen ja ilmoitettuja laitoksia koskevaa sääntelyä 11.6.2026 alkaen.

Lähde: liikenne- ja viestintäministeriön tiedote.