Kyberturvallisuuteen liittyvä sääntely laajenee nyt nopeasti monessa eri muodossa, ja monessa organisaatiossa pohditaan juuri nyt, mitä uudet vaatimukset tarkoittavat käytännössä.
Organisaatioiden on arvioitava, mihin vaatimuksiin fokusta kannattaa kohdistaa, missä aikataulussa ja kuinka laajalla resursoinnilla. Monelle haaste ei ole vain yksittäisen säädöksen ymmärtäminen, vaan se, että uusia regulaatioita ja standardeja tulee samanaikaisesti, osin päällekkäisin vaatimuksin. Siksi olennaista on muodostaa kokonaiskuva siitä, mitä sääntely omassa toimintaympäristössä tarkoittaa, missä vaatimukset limittyvät ja miten niiden toimeenpano kannattaa rakentaa hallitusti osaksi tuotteita, prosesseja, johtamista ja vastuunjakoa.
Uusia velvoitteita ja odotuksia tulee samanaikaisesesti esimerkiksi CRA:n, NIS2:n, RED:n, konedirektiivin kyberturvallisuuslisäysten, lääkinnällisten laitteiden kybervaatimusten, meriteollisuuden UR E26- ja E27-vaatimusten sekä AI Actin ja Space Actin kaltaisten säädösten ja viitekehysten kautta. Tässä kokonaisuudessa CRA ja NIS2 ovatkin monelle yritykselle kaksi keskeistä lähtöpistettä.
EU:n Cyber Resilience Act eli CRA tuo digitaalisille tuotteille pakollisia kyberturvallisuusvaatimuksia koko elinkaaren ajalle, kun taas NIS2 vahvistaa organisaatioiden velvollisuuksia kyberturvallisuuden hallinnassa ja jatkuvuuden varmistamisessa. Yhteistä näille säädöksille on se, että ne eivät ole vain teknisiä yksityiskohtia, vaan ne vaikuttavat johtamiseen, toimintamalleihin, prosesseihin ja vastuihin koko organisaatiossa.
Mikä CRA on?
CRA eli Cyber Resilience Act on EU:n laajuinen säädös, jonka tavoitteena on parantaa digitaalisten tuotteiden kyberturvallisuutta. Se koskee sekä laitteita että ohjelmistoja, joissa on digitaalisia elementtejä.
Käytännössä tämä tarkoittaa, että yritysten on huolehdittava tuotteidensa kyberturvallisuudesta jo suunnitteluvaiheesta lähtien ja koko tuotteen elinkaaren ajan. Vaatimusten täyttäminen ei ole vapaaehtoista: jos yritys ei noudata säädöstä määräaikaan mennessä, tuotetta ei voida saattaa EU-markkinoille tai se voidaan joutua poistamaan markkinoilta. Voit lukea lisää CRA:n aikataulusta ja tärkeistä päivämääristä aiemmasta blogistani.
Mikä NIS2 on ja miten se eroaa CRA:sta?
NIS2 on EU:n verkkoturva- ja tietoturvadirektiivin uudistettu versio, joka kohdistuu erityisesti organisaatioiden kyberturvallisuuden hallintaan, riskienhallintaan, raportointiin ja toimintavarmuuteen.
Siinä missä CRA keskittyy digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuuteen, NIS2 painottaa organisaation kykyä hallita kyberriskejä ja suojata kriittisiä toimintoja. Yksinkertaistettuna CRA kysyy, kuinka turvallinen tuote on, kun taas NIS2 kysyy, kuinka hyvin organisaatio kykenee johtamaan kyberturvallisuuttaan. Lue lisää NIS2-direktiivistä täältä.
Ketä sääntelyt koskevat?
CRA koskee valmistajia, maahantuojia ja jakelijoita, joiden tuotteissa on digitaalisia elementtejä. Käytännössä sääntelyn piiriin kuuluvat hyvin monenlaiset tuotteet, jos ne kommunikoivat digitaalisesti tai ovat osa verkottunutta ympäristöä.
NIS2 puolestaan kohdistuu valittuihin toimialoihin ja organisaatioihin, joilla on yhteiskunnan tai talouden kannalta merkittävä rooli. Monelle yritykselle olennaisin kysymys ei ole enää se, koskeeko sääntely meitä, vaan miten laajasti se vaikuttaa tuotteisiin, prosesseihin, toimitusketjuun ja johtamiseen.
Miksi tähän kannattaa reagoida nyt?
Aikataulu on nopea, ja monessa organisaatiossa tarvittavat muutokset ovat laajempia kuin aluksi ajatellaan. CRA:n osalta keskeisiä päivämääriä ovat 11.9.2026, jolloin haavoittuvuuksien raportointia koskevat vaatimukset tulevat voimaan, sekä 11.12.2027, jolloin tuotteiden olennaisten kyberturvallisuusvaatimusten soveltaminen alkaa.
Lisäksi organisaatiot tarvitsevat aikaa nykytilan arviointiin, mahdollisten puutteiden tunnistamiseen, dokumentaation rakentamiseen, roolien selkeyttämiseen sekä käytännön toimintamallien viemiseen osaksi arkea. Mitä myöhemmin työ aloitetaan, sitä todennäköisemmin siitä tulee kiireinen compliance-hanke sen sijaan, että siitä rakennettaisiin hallittu liiketoiminnan muutos.
Mitä sääntely tarkoittaa käytännössä yrityksessä?
Käytännössä yrityksen on pystyttävä tulkitsemaan vaatimukset, arvioimaan nykytilaansa, tunnistamaan puutteet ja päättämään, miten kyberturvallisuus integroidaan osaksi tuotteita, toimintaa ja päätöksentekoa. Tämä edellyttää yhteistyötä liiketoiminnan, IT:n, OT:n, tuotekehityksen, laadun, hankinnan ja johdon välillä.
Työ ei siis rajoitu tekniseen toteutukseen, vaan siihen kuuluu myös hallintamallien rakentamista, riskienhallintaa, vastuiden määrittelyä, dokumentaatiota, raportointia ja edistymisen seurantaa.
Kenen vastuulla kyberturvasääntely on?
Vastuu ei kuulu yhdelle tiimille yksin. Vaikka kyberturvallisuus- ja compliance-asiantuntijoilla on keskeinen rooli, sääntelyn toimeenpano onnistuu vain, jos johto omistaa suunnan, liiketoiminta sitoutuu tavoitteisiin ja eri toimintojen vastuut on määritelty selkeästi.
Sääntelyä ei kannata käsitellä irrallisena lakivelvoitteena, vaan osana riskienhallintaa, tuotekehitystä, operatiivista jatkuvuutta ja liiketoiminnan päätöksentekoa.
Millaista tukea organisaatiot yleensä tarvitsevat?
Usein suurin tarve liittyy siihen, miten monimutkaiset vaatimukset käännetään käytännön tekemiseksi. Organisaatiot tarvitsevat tukea sääntelyn tulkintaan, gap-analyysiin, projektien ja ohjelmien johtamiseen, eri sidosryhmien koordinointiin sekä siihen, miten vaatimustenmukaisuutta seurataan ja johdetaan johdon tasolla. Arvo syntyy erityisesti silloin, kun sääntelytyö saadaan muutettua hallituksi etenemiseksi: yksittäisistä toimenpiteistä koordinoiduksi muutokseksi ja arvioinnista mitattavaksi valmiudeksi.
Mikä on hyvä ensimmäinen askel?
Hyvä ensimmäinen askel on muodostaa yhteinen tilannekuva. Se tarkoittaa sen arvioimista, mitä sääntely yrityksenne kohdalla oikeasti tarkoittaa, mitä tuotteita, palveluita tai toimintoja se koskee, missä nykyiset puutteet ovat ja mitä pitää tehdä seuraavaksi. Kun kokonaiskuva on selvä, voidaan rakentaa realistinen etenemissuunnitelma, priorisoida toimet ja varmistaa, että työ tukee sekä vaatimustenmukaisuutta että liiketoiminnan tavoitteita.
Kyberturvasääntely ei ole vain uusi velvoite, vaan myös mahdollisuus vahvistaa tuotteiden turvallisuutta, toiminnan jatkuvuutta ja asiakkaiden luottamusta. Kun CRA:ta ja NIS2:ta lähestytään hallitusti ja liiketoimintalähtöisesti, niistä voi tulla enemmän kuin compliance-projekti: ne voivat toimia vipuna parempaan riskienhallintaan, selkeämpään johtamiseen ja kestävämpään digitaaliseen liiketoimintaan.
