EU:n kyberkestävyysasetus (Cyber Resilience Act, CRA) on uusi sääntely, joka asettaa yhtenäiset kyberturvallisuusvaatimukset digitaalisia elementtejä sisältäville tuotteille – niin laitteille kuin ohjelmistoille sekä myös SaaS-palveluille.
CRA:n ydin on yksinkertainen: tuotteiden on oltava turvallisia koko elinkaarensa ajan – aina suunnittelusta niiden ylläpitoon ja käytöstä poistoon. Sääntely siirtää vastuun tietoturvasta entistä vahvemmin valmistajille ja toimittajille. Samalla se nostaa kyberturvallisuuden keskeiseksi osaksi tuotteiden laatua ja kilpailukykyä.
CRA:n vaatimukset ovat pakollisia ja samat kaikille EU:n alueella toimiville yrityksille. Jos vaatimuksia ei täytetä määräaikaan mennessä, tuotetta ei voi tuoda EU:n markkinoille tai se voidaan vetää pois myynnistä. Lisäksi rikkomuksista voi seurata merkittäviä, GDPR:stä tuttuja sanktioita.
Ketä CRA koskee?
CRA koskee käytännössä kaikkia organisaatioita, jotka tuovat EU:n markkinoille digitaalisia tuotteita:
- Valmistajat (laitteet ja ohjelmistot)
- Maahantuojat ja jakelijat
- Ohjelmistokehittäjät ja tuotetoimittajat
Sääntelyn piiriin kuuluvat kaikki tuotteet, jotka voidaan yhdistää verkkoon tai toisiin laitteisiin – esimerkiksi:
- IoT-laitteet ja älylaitteet
- ohjelmistot ja sovellukset
- käyttöjärjestelmät ja tekniset komponentit
CRA koskee myös EU:n ulkopuolisia toimijoita, jos tuotteita myydään EU-alueella.
CRA astuu voimaan portaittain seuraavasti:
2026 kesäkuu: Ilmoitettuja laitoksia koskevat säädökset astuvat voimaan.
2026 syyskuu: Haavoittuvuuksien raportointivaatimukset tulevat voimaan
2027 joulukuu: Yritysten on varmistettava, että sen tarjoamat tuotteet täyttävät olennaiset kyberturvallisuusvaatimukset.
Mitä yritysten tulee tehdä?
CRA ei ole yksittäinen projekti, vaan kokonaisvaltainen muutos toimintamalliin. Käytännössä yrityksen tulee täyttää ainakin seuraavat vaatimukset:
- Tunnista soveltamisala
- Mitkä tuotteesi kuuluvat CRA:n piiriin?
- Missä roolissa toimit (valmistaja, maahantuoja, jakelija)?
- Rakenna turvallinen tuotekehitys
- Sisällytä kyberturvallisuus suunnitteluun alusta alkaen (security by design)
- Varmista turvalliset oletusasetukset
- Poista tunnetut haavoittuvuudet ennen julkaisua
- Ota käyttöön haavoittuvuuksien hallinta
- Prosessit haavoittuvuuksien tunnistamiseen ja korjaamiseen
- Kyky reagoida nopeasti ja systemaattisesti
- Velvollisuus raportoida merkittävät haavoittuvuudet viranomaisille
- Varmista jatkuva ylläpito ja päivitykset
- Tietoturvapäivitykset koko tuotteen elinkaaren ajan
- Päivitysten hallinta ja jakelu osana normaalia toimintaa
- Dokumentoi ja osoita vaatimustenmukaisuus
- Tekninen dokumentaatio ja riskienhallinta
- Tuotteiden CE-merkintä osoittaa vaatimusten täyttymisen
- Läpinäkyvyys toimitusketjussa (esim. komponentit ja riippuvuudet)
- Organisoi vastuut ja osaaminen
- Selkeät roolit ja vastuut
- Koulutus ja tietoisuus organisaatiossa
- Kyky toimia nopeasti poikkeamatilanteissa
Onko yrityksesi valmis CRA:n mukanaan tuomiin vaatimuksiin?
Tilaa maksuton konsultaatio!
Ei sido eikä velvoita mihinkään.