Kyberkestävyysasetus eli CRA on lyhenne sanoista Cyber Resilience Act. CRA on ensimmäinen EU-tason lainsäädäntö, joka keskittyy kuluttajille tarkoitettujen tuotteiden ja ohjelmistojen kyberturvallisuuteen koko niiden elinkaaren ajan. Tavoitteena on parantaa EU:n markkinoilla olevien tuotteiden tietoturvaa vähentämällä niissä olevia haavoittuvuuksia.
CRA asettaa valmistajille, maahantuojille ja jakelijoille velvollisuuksia varmistaen, että digitaalisia osia sisältävät tuotteet ovat turvallisia koko elinkaarensa ajan aina julkaisuhetkestä käytön loppuun saakka. Jatkossa EU:n markkinoille tulevien digitaalisia osia sisältävien tuotteiden on siis täytettävä asetuksen turvallisuusvaatimukset. Asetus koskee niin fyysisiä laitteita (esim. älykodinkoneet, IoT-laitteet) kuin puhtaasti digitaalisia tuotteita kuten ohjelmistot ja sovellukset.
Kyberkestävyysasetus edellyttää sen piiriin kuuluvilta yrityksiltä muun muassa riskiperusteista suunnittelua ja kehitystä, turvapäivitysten tarjoamista ja haavoittuvuuksien hallintaa. Lisäksi yrityksillä on ilmoitusvelvollisuus merkittävistä kyberuhkista ENISA:lle eli EU:n kyberturvavirastolle.
Lisäksi tuotteiden tulee täyttää uudet peruskyberturvallisuusvaatimukset, ja valmistajien tulee tuottaa tekninen dokumentaatio ja CE-merkintä, joka osoittaa vaatimustenmukaisuuden.
Keitä asetus koskee?
CRA koskee kaikkia niitä organisaatioita, jotka valmistavat, kehittävät, maahantuovat, jakelevat tai myyvät digitaalisia tuotteita EU:n alueella. Kyberkestävyysasetus vaikuttaa myös oleellisesti ohjelmistokehittäjien työhön, sillä heidän tulee ottaa CRA:n vaatimukset huomioon työssään.
Kyberkestävyysasetus ei kuitenkaan koske avoimen lähdekoodin ohjelmistoja, joita ei kaupallisteta. Ainoastaan kaupalliset ratkaisut kuuluvat asetuksen piiriin. Myös lääkinnälliset laitteet, tietyt ajoneuvot, laivavarusteet ja ilmailun sertifioidut laitteet ovat asetuksen ulkopuolella.
Milloin CRA astuu voimaan?
CRA-asetus hyväksyttiin vuonna 2024, ja sen soveltaminen alkaa vaiheittain vuosien 2026 ja 2027 aikana. Siirtymäajan jälkeen uusien tuotteiden kyberturvallisuusvaatimukset astuvat voimaan joulukuussa 2027. Haavoittuvuuksien ilmoitusvelvoite on voimassa kuitenkin jo syyskuusta 2026 lähtien. Valmistautua kannattaa hyvissä ajoin, etenkin jos yrityksellä on laaja digitaalisten tuotteiden valikoima ja moniportaisia toimitusketjuja.
Vaikka CRA lisää hallinnollista työtä ja tuo uusia velvoitteita, se tarjoaa myös mahdollisuuden erottautua markkinoilla. Kyberturvallisuus on kasvava kilpailuetu, sillä asiakkaat arvostavat läpinäkyvyyttä, vastuullisuutta ja turvallisuutta. Organisaatio, joka ottaa CRA:n vaatimukset tosissaan ja integroi turvallisuuden tuotesuunnittelua, vahvistaa oman riskienhallinnan lisäksi myös brändinsä uskottavuutta.
Jos yrityksenne kuuluu CRA:n piiriin, kannattaa tehdä ainakin nämä asiat:
- Kartoitus: Tunnista, mitkä tuotteesi kuuluvat CRA:n soveltamisalaan.
- Prosessien läpikäynti: Arvioi tuotekehityksen ja -ylläpidon turvallisuuskäytännöt.
- Haavoittuvuuksien hallinta: Luo selkeät prosessit tietoturvapoikkeamien havaitsemiseen, korjaamiseen ja raportointiin.
- Dokumentaatio ja CE-merkintä: Varmista, että tuotteiden tekninen dokumentaatio on ajan tasalla ja vaatimustenmukaisuus voidaan osoittaa.
- Koulutus ja vastuuttaminen: Varmista, että organisaation eri roolit ymmärtävät vastuualueensa CRA:n näkökulmasta.
Osa haavoittuvuuksien hallinnasta saattaa vaatia myös tuotteen tai ohjelman testaamista. Siinä missä haavainhallinta on jatkuva prosessi, myös koulutukseen on hyvä suunnitella vuosikello, jota seurataan. Tietoturvan hallintajärjestelmän mukaisesti prosessien ja dokumentaation pitäminen ajan tasalla on niin ikään jatkuvaa työtä, johon tulee palata korjausten tai muiden muutosten kanssa. Loihde tukee näillä osa-alueilla asiakkaitaan sekä projektiluonteisesti että jatkuvana palveluna.
Blogin sisältöasiantuntijoina toimivat
PS. Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!
