EU:n uusi kyberkestävyyssäädös (Cyber Resilience Act, CRA) asettaa digitaalisille tuotteille tiukat kyberturvallisuusvaatimukset – ja aikataulu on ripeä.
Mikä on CRA eli kyberkestävyyssäädös?
CRA on EU:n laajuinen säädös, jonka tavoitteena on parantaa digitaalisten tuotteiden, niin laitteiden kuin ohjelmistojen, kyberturvallisuutta koko niiden elinkaaren ajan. Säädös koskee kaikkia valmistajia, maahantuojia ja jakelijoita, joiden tuotteissa on digitaalisia elementtejä. Käytännössä tämä tarkoittaa, että kaikki tuotteet, jotka viestivät digitaalisesti, kuuluvat asetuksen piiriin.
CRA:n vaatimukset ovat pakollisia ja samat kaikille EU:n alueella toimiville yrityksille. Jos vaatimuksia ei täytetä määräaikaan mennessä, tuotetta ei voi tuoda EU:n markkinoille tai se voidaan vetää pois myynnistä. Lisäksi rikkomuksista voi seurata merkittäviä sanktioita.
CRA:n aikataulu ja tärkeimmät päivämäärät
Keskeisimpiä päivämääriä yrityksellesi ovat 11.9.2026, jolloin haavoittuvuuksien raportointia koskevat vaatimukset astuvat voimaan sekä 11.12.2027, jolloin tuotteiden olennaisten kyberturvallisuusvaatimusten soveltaminen alkaa.
Alla olevasta listasta näet tärkeimmät kyberkestävyyssäädöksen ja siihen liittyvien vaatimusten julkaisupäivämäärät.
- 11.12.2025: Tärkeiden ja kriittisten tuotteiden teknisten kuvausten määräaika (artikla 7).
- 30.8.2026: Tyyppi A -standardi julkaistaan (riskienhallinta ja tuotteen kyberturvallisuustoimet). Samana päivänä julkaistaan myös tyyppi B-standardi haavoittuvuuksien käsittelystä.
- 11.9.2026: Haavoittuvuuksien raportointia koskevien vaatimusten soveltaminen alkaa. Huom! Tämä vaatimus koskee nykyisiäkin tuotteita, ei ainoastaan ensimmäistä kertaa markkinoille tuotavia tuotteita.
- 30.10.2026: Tyyppi C -standardit tärkeille/kriittisille tuotteille (CRA:n liitteet III/IV) sekä OT-ympäristöihin liittyvä laajempi vertikaalistandardi (ISA/IEC 62443) julkaistaan.
- 30.10.2027: Tyyppi B -standardi yleisistä kyberturvallisuusvaatimuksista julkaistaan.
- 11.12.2027: Tuotteiden olennaisten kyberturvallisuusvaatimusten soveltaminen alkaa. Näitä vaatimuksia sovelletaan tuotteisiin, jotka saatetaan ensimmäistä kertaa markkinoille 11.12.2027 jälkeen.
Euroopan komissio ei ole vielä tehnyt standardointipyyntöjä eikä määritellyt määräaikoja muille tyyppi C-standardeille.
Mitä CRA tarkoittaa yrityksellesi?
CRA:n myötä yritysten on arvioitava tuotteidensa kyberturvallisuus, hallittava riskejä ja varmistettava, että turvallisuus huomioidaan koko tuotteen elinkaaren ajan. Tämä vaatii uudenlaista osaamista, prosesseja ja dokumentaatiota sekä jatkuvaa kehitystä.
Kyberturvallisuustiimimme tuntee CRA:n vaatimukset ja auttaa varmistamaan, että yrityksesi täyttää ne oikein ja ajallaan. Palveluihimme kuuluvat muun muassa:
- Vaatimustenmukaisuuden arviointi
- Turvallisen ohjelmisto- ja tuotekehityksen prosessit
- Uhkamallinnus ja riskienhallinta
- Turvallisuuskoulutukset
- IEC 62443 -standardin vaatimukset ja tuki niiden saavuttamiseksi
- Turvallisuustestaus ja haavoittuvuuksien tunnistaminen
