Site Search Site Search

Menu

Menu

Menu

Katso myös

Asiakastarinat ja referenssit

Ladataan hakutuloksia

People walking in front of Momentum Mark

Kyberkestävyyssäädös (Cyber Resilience Act, CRA)

Mikä on kyberkestävyyssäädös?

Digitaalinen toimintaympäristö kehittyy nopeasti, ja kyberturvallisuus on noussut keskiöön. EU on vastannut tähän tarpeeseen julkaisemalla kyberkestävyyssäädöksen (EU) 2024/2847 (CRA). Kyseessä on ensimmäinen koko EU:n laajuinen säädös, joka asettaa yhtenäiset kyberturvallisuusvaatimukset digitaalisia osatekijöitä sisältäville tuotteille – niin laitteistoille kuin ohjelmistoille. 

CRA:n tavoitteena on varmistaa, että tuotteet ovat turvallisia koko elinkaarensa ajan – kehityksestä käytöstä poistoon. Säädös velvoittaa yrityksiä tekemään riski- ja haavoittuvuusarviointeja sekä tarjoamaan jatkuvia turvallisuuspäivityksiä. 

Keitä kyberkestävyyssäädös koskee?

CRA koskee kaikkia yrityksiä, jotka valmistavat tai myyvät digitaalisia osatekijöitä sisältäviä tuotteita EU:n markkinoilla – myös EU:n ulkopuolella toimivia.

Mitä tuotteita säädös kattaa?

CRA koskee tuotteita, jotka voidaan yhdistää laitteeseen tai verkkoon – joko suoraan tai epäsuorasti. Kyberkestävyyssäädös on horisontaalinen tuoteturvallisuusasetus, jonka vaatimusten toteutuminen on tulevaisuudessa osa CE-merkintää. 11.12.2027 lähtien tuotteet on suunniteltava, kehitettävä ja tuotettava CRA:n vaatimusten mukaisesti.  

IoT-laitteisiin usein liittyvä, valmistajan vastuulla oleva hallintapalvelu katsotaan osaksi tuotetta.  

CRA ei koske lääkinnällisiä laitteita, in vitro -diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita, tiettyjä ajoneuvoja, laivavarusteita tai ilmailun sertifioituja laitteita, kuten ilma-aluksia. Näihin sovelletaan tuotekohtaisessa sääntelyssä jo aiemmin voimassa olevia kyberturvallisuusvaatimuksia. 

Tärkeitä tuotteita ovat tuotteet, jotka suorittavat muiden tuotteiden kyberturvallisuuden kannalta kriittisiä toimintoja tai joilla on merkittävä haitallisten vaikutusten riski käyttäjien terveyteen, tietoturvaan tai turvallisuuteen suoralla manipuloinnilla. Tärkeät tuotteet jaetaan kahteen luokkaan sen mukaan, kuinka kriittisiä niiden toiminnot ovat kyberturvallisuuden kannalta. 

Kriittisiä tuotteita ovat tuotteet, joista NIS2-direktiivin keskeiset toimijat ovat kriittisesti riippuvaisia, tai joiden poikkeamat tai haavoittuvuudet voivat johtaa vakaviin häiriöihin kriittisissä toimitusketjuissa sisämarkkinoilla. 

Tuotekategoriat

Tärkeät tuotteet, luokka I

Esimerkkejä tuotteista 

  • Itsenäiset ja upotetut selaimet  
  • Salasananhallintaohjelmat  
  • Käyttöjärjestelmät 
  • Julkisen avaimen infrastruktuuri (PKI) ja varmenteiden luomiseen käytettävät ohjelmistot 
  • Fyysiset ja virtuaaliset verkkorajapinnat
  • Älykodin tuotteet, joissa on turvallisuustoimintoja, kuten ovien älylukot, turvakamerat, itkuhälyttimet ja hälytysjärjestelmät 
  • Mikroprosessorit 

Tärkeät tuotteet, luokka II

Esimerkkejä tuotteista 

  • Hypervisorit ja konttien ajoympäristöt, jotka tukevat käyttöjärjestelmien ja vastaavien ympäristöjen virtualisoitua suorittamista 
  • Palomuurit tunkeutumisen havaitsemis- ja estojärjestelmät 
  • Väärinkäytöltä suojaavat mikroprosessorit 

Kriittiset tuotteet

Esimerkkejä tuotteista 

  • Fyysiset laitteet, joissa on peukaloinnilta suojaavia turvamekanismeja 
  • Älymittareiden yhdyskäytävät ja muut kehittyneisiin turvallisuustarkoituksiin, myös kryptolaskentaan, käytettävät laitteet 
  • Älykortit tai vastaavat laitteet 

Aikataulu

CRA julkaistiin joulukuussa 2024.

Ilmoitettuja laitoksia koskevat säädökset astuvat voimaan kesäkuussa 2026.

Haavoittuvuuksien raportointivaatimukset tulevat voimaan syyskuussa 2026.

Joulukuusta 2027 lähtien yritysten on varmistettava, että tuotteet täyttävät olennaiset kyberturvallisuusvaatimukset.

Keskeiset velvoitteet yrityksille

Valmistajan tulee varautua seuraaviin vaatimuksiin: 

Olennaisten kyberturvallisuusvaatimusten täyttäminen 

Tuotteen on täytettävä riskiperusteisesti olennaiset vaatimukset, esimerkiksi:

  • Tuote ei saa sisältää tunnettuja haavoittuvuuksia 
  • Turvalliset oletusasetukset 
  • Automaattiset turvallisuuspäivitykset 
  • Luvattoman pääsyn estäminen 
  • Datan luottamuksellinen säilyttäminen ja datan minimointi 
  • Tuotteen keskeisten toimintojen turvaaminen 

Haavoittuvuuksien hallinta 

Valmistajan on ilmoitettava tuotteissaan aktiivisesti hyödynnetyistä haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle. Vaatimus koskee myös nykyisiä tuotteita, ei pelkästään ensimmäistä kertaa markkinoille tuotavia. 

Vaatimustenmukaisuus

Helpoiten vaatimustenmukaisuuden voi osoittaa noudattamalla harmonisoituja standardeja.  

Miten voimme auttaa? 

Kyberturvallisuustiimimme yhdistää paikallisen ymmärryksen ja kansainvälisen kokemuksen. Autamme muun muassa:  

  • Kyberturvallisuuden hallinnassa ja riskienhallinnassa 
  • Vaatimustenmukaisuuden kehittämisessä, kuten nykytila-arvioinnissa ja sen pohjalta korjausten suunnittelussa  
  • Tuotteen turvallisessa kehityksessä (Secure development lifecycle)  
  • Uhka- ja haavoittuvuuksien hallinnassa 
  • Tuotteiden penetraatiotestauksessa  
  • Uhkatiedustelussa 

Yhdessä varmistamme, että olette valmiita tulevaan – turvallisesti ja kestävästi. 

Tarvitsetko apua kyberkestävyyssäädöksen kanssa?

Ota yhteyttä asiantuntijoihimme

Antti Herrala

Partner, Cybersecurity & Privacy Services, PwC Finland

+358 (0)20 7878354

Email

Mika Johansson

Cybersecurity & Privacy Services, PwC Finland

+358 (0)20 7877543

Email

{{filterContent.facetedTitle}}

Seuraa ja osallistu