Sisältöön

CRA - SecMeter

Ohita valikko
Ohita valikko

CRA

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
CRA-asetus (Cyber Resilience Act)



CRA oli merkittävä askel kohti EU:n yhtenäistä ja korkean tason kyberturvallisuutta. Se siirtää vastuuta enemmän tuotteiden valmistajille ja maahantuojille, jotka joutuvat varmistamaan tuotteidensa turvallisuuden koko elinkaaren ajan.

Kuluttajat hyötyvät turvallisemmista tuotteista ja pidemmistä päivitystakuista, kun taas yritykset kohtaavat uusia velvoitteita, joiden laiminlyönti voi johtaa tuntuvien sanktioiden määräämiseen.

Lopputavoitteena on luoda digitaalinen sisämarkkina, jossa tuotteiden turvallisuudesta voi olla varma riippumatta siitä, missä EU-maassa niitä myydään.
Cyber Resilience Act (CRA) on EU-asetus, virallisesti nimeltään Regulation (EU) 2024/2847, joka hyväksyttiin 23.10.2024 ja tuli voimaan 10.12.2024. Varsinaiset velvoitteet tulevat sovellettaviksi 11.12.2027 alkaen.
CRA (Cyber Resilience Act)
CRA on osa laajempaa EU:n kyberturvallisuusstrategiaa ja täydentää NIS2-direktiiviä (= Directive (EU) 2022/2555), joka korvaa alkuperäisen NIS-direktiivin vuodelta 2016. NIS2 kattaa verkkojen ja tietojärjestelmien turvallisuuden organisaatiotasolla, kun taas CRA kohdistuu tuotteisiin (laitteet ja ohjelmistot) ja niiden kyberturvallisuusvaatimuksiin.

CRA soveltuu lähes kaikkiin digitaalisiin laitteisiin toimialasta riippumatta, kunhan ne tuodaan EU-markkinoille ja sisältävät digitaalisia elementtejä (sekä laitteisto että ohjelmisto ovat suoraan tai epäsuorasti yhteydessä verkkoon).

Laiteryhmiä ovat esimerkiksi älykellot, kodin kamerat, sensorit, ohjelmistot, ohjelmakirjastot ja tietyissä tapauksissa myös SaaS-ratkaisut.

CRA:n soveltamisalan ulkopuolelle jäävät muun muassa tietyt lääketieteelliset laitteet, ilmailualan tuotteet ja ajoneuvot, joihin sovelletaan omia erityissääntelykehyksiään.

Miksi CRA on säädetty?

CRA:n taustalla on useita kehityssuuntia ja ongelmia:

  • Kasvava kyberuhkien määrä ja monimutkaisuus. Internetiin kytkettävien laitteiden (IoT, älylaitteet, pilvipalvelut) määrä on kasvanut valtavasti, ja jokainen niistä voi olla hyökkäysvektori.
  • Turvattomat tuotteet markkinoilla. Monet digitaaliset tuotteet julkaistaan ilman riittäviä tietoturvatestejä, ja valmistajat eivät aina tarjoa päivityksiä riittävän pitkään.
  • Sirpaleinen sääntely. Ennen CRA:ta kyberturvallisuutta koskevat velvoitteet vaihtelivat maittain, ja vain tietyt toimialat (esim. pankit, energia) kuuluivat NIS-direktiivin piiriin. CRA:n avulla sääntöjä yhtenäistetään EU:n sisämarkkinoilla.
  • Kustannusten vähentäminen pitkällä aikavälillä. Ennakoiva turvallisuuden varmistaminen on halvempaa kuin tietomurtojen ja hyökkäysten jälkihoito.

Ketä CRA koskee?

CRA:n velvoitteet koskevat pääasiassa yrityksiä, jotka valmistavat, maahantuovat tai jakelevat digitaalisia elementtejä sisältäviä tuotteita EU:n markkinoilla.

  • Valmistajat, jotka vastaavat tuotteen turvallisuudesta suunnittelusta alkaen.
  • Maahantuojat, jotka varmistavat, että EU:n ulkopuolelta tuotavat tuotteet täyttävät CRA:n vaatimukset.
  • Jakelijat, jotka varmistavat, että he myyvät vain vaatimustenmukaisia tuotteita.

Soveltamisalaan kuuluvat tuotteet:

  • Laitteet, joissa on ohjelmisto ja jotka voivat olla yhteydessä verkkoon (esim. älykellot, IP-kamerat, kotiautomaatiojärjestelmät).
  • Ohjelmistot, mukaan lukien sovellukset ja ohjelmakirjastot.
  • Tietyt pilvipohjaiset ratkaisut ja SaaS-palvelut, jos ne jaellaan tuotteena.

Poikkeukset:

  • Tietyt lääketieteelliset laitteet (joita säätelee Medical Devices Regulation).
  • Ajoneuvot (joita säätelee UNECE WP.29 ja EU:n ajoneuvolainsäädäntö).
  • Ilmailualan laitteet (joilla on oma sertifiointijärjestelmä).

Mitä yritysten tulee tehdä?

Yrityksiltä edellytetään muun muassa:

  • Kyberturvallisuuden sisällyttäminen suunnitteluun ("security by design" ja "security by default").
  • Riskinarviointi ja testaus ennen tuotteen markkinoille saattamista.
  • Vaatimustenmukaisuusarviointi, jossa tuotteen turvallisuusominaisuudet ja prosessit dokumentoidaan.
  • Tietoturvapäivitysten tarjoaminen vähintään tuotteen odotetun käyttöiän ajan (tai vähintään 5 vuotta, ellei toisin määritellä).
  • Haavoittuvuuksien hallinta ja niiden raportointi 24 tunnin kuluessa EU-kyberturvallisuuskeskukselle (ENISA:n kautta).
  • CE-merkinnän lisääminen, joka osoittaa CRA:n vaatimusten täyttymisen.

Rikkomuksista voi seurata merkittäviä seuraamuksia:

  • Enintään 15 miljoonaa euroa tai 2,5 % yrityksen maailmanlaajuisesta liikevaihdosta, riippuen kumpi on suurempi.

Tuleeko asiakkaille velvollisuuksia?

Tavalliselle kuluttajalle ei tule suoria lakisääteisiä velvollisuuksia, mutta välillisesti:

  • Yksityisen käyttäjän on asennettava valmistajan tarjoamat tietoturvapäivitykset, jotta suojaus pysyy ajan tasalla.
  • Organisaatioasiakkaat (yritykset, julkishallinto) voivat joutua sisällyttämään CRA-vaatimukset hankintaprosesseihinsa ja sopimuksiinsa.

Kuka on valvova viranomainen?

  • EU-tasolla koordinoivana viranomaisena toimii ENISA (European Union Agency for Cybersecurity).
  • Kansallisesti jokainen jäsenvaltio nimeää oman markkinavalvontaviranomaisensa (market surveillance authority, MSA).

Viranomaiset voivat tarkastaa tuotteita, vaatia korjaavia toimenpiteitä, määrätä markkinoilta poistamisen ja asettaa sakkoja.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön