Valmistavan teollisuuden valmistauduttava EU:n kyberkestävyyssäädökseen – Tuotteiden ja ohjelmistojen oltava tietoturvallisempia
Euroopan Komissio julkaisi ehdotuksensa EU:n kyberkestävyyssäädökseksi (Cyber Resilience Act, CRA) torstaina 15. syyskuuta. Tämä on yksi keskeinen askel EU:n edelläkävijyyteen kyberturvaekosysteemin rakentamisessa. Vaikka säädösehdotuksessa esiintyykin termi ”kyber”, säädös ei suinkaan kosketa vain kyber- ja tietoturvateollisuuden toimijoita. Asetusta sovelletaan kaikkiin toimijoihin, jotka valmistavat tai tuovat markkinoille tietoverkkoon kytkettäviä laitteita ja ohjelmistoja. Säädösehdotuksen vaikutusalue on siis laaja ja sen soveltamisalakin on ns. horisontaalinen eli lähes kaikki erilaiset tuotekategoriat läpäisevä. Ainoat poikkeukset ovat lääkintä- ja laboratoriolaitteet, siviili-ilmailu- sekä tyyppihyväksyttävät tieliikenteessä käytettävät laitteet.
EU-jargonilla sanoitettuna kyse on siis tästä: laitteiden ja ohjelmistojen horisontaalisääntely koskisi EU:n markkinoille sijoitettavien tuotteiden markkinavaatimusten mukaisuutta ja markkinavalvontaa koko niiden elinkaaren ajalta. Lisäksi 10 prosenttia tuotteista arvioidaan olevan siten korkeariskisiä (sensitive), että niiltä tultaisiin vaatimaan kolmannen osapuolen turvallisuusarviointia.
Säädösehdotuksessa nostetaan ansiokkaasti esille eri laitteiden ja ohjelmistojen heikon tietoturvallisuuden merkitys koko unionin digitaaliselle tulevaisuudelle. Onkin vihdoin syytä luoda edellytykset turvallisten, ”digitaalisia elementtejä” sisältävien tuotteiden kehittämiselle varmistamalla, että laitteisto- ja ohjelmistotuotteet tuodaan markkinoille vähemmän haavoittuvuuksin.
On varmistettava, että valmistajat suhtautuvat tietoturvaan vakavasti tuotteen koko elinkaaren ajan. Lisäksi sääntely pyrkii luomaan olosuhteet, joissa käyttäjät voivat ottaa kyberturvallisuuden huomioon valitessaan ja käyttäessään digitaalisia elementtejä sisältäviä tuotteita. Sääntely täydentää Data Act:issa ehdotettua ‘data by design’ -periaatetta lisäämällä verkkoon kytkettäville laitteille ‘cybersecure by design’ -periaatteen.
Säädöksellä lisätään valmistajien vastuuta velvoittamalla ne tarjoamaan tietoturvatukea ja ohjelmistopäivityksiä havaittujen haavoittuvuuksien korjaamiseksi.
Säädöksellä varmistetaan, että digitaaliset tuotteet, kuten verkkoon yhteydessä olevat laitteet ja ohjelmistot, ovat kuluttajien kannalta tietoturvallisempia kaikkialla EU:ssa. Säädöksellä lisätään valmistajien vastuuta velvoittamalla ne tarjoamaan tietoturvatukea ja ohjelmistopäivityksiä havaittujen haavoittuvuuksien korjaamiseksi.
Säädöksessä tullaankin asettamaan prosessuaalisia vaatimuksia tuotteiden suunnittelu-, kehitys- ja valmistusvaiheisiin sekä niiden elinkaaren turvallisuuden ylläpitoon unohtamatta käyttäjien mahdollisuuksia käyttää tuotteiden turvaominaisuuksia. Lisäksi säädöksessä edellytetään aiempaa suurempaa läpinäkyvyyttä tuotteiden turvallisuuteen vaikuttaviin ominaisuuksiin.
Voidaan ajatella, että kaikkiin tietoliikenneominaisuuksia sisältäviin laitteisiin ja ohjelmistoihin tulee ns. pakollinen ”CE-merkki”, jonka avulla valmistaja tai markkinoija osoittaa tuotteen vastaavan kyberresilienssisäädöksen vähimmäisvaatimuksia niin prosessuaalisten kuin teknistenkin vaatimusten osalta.
Asetuksen lisäksi on odotettavissa sen perusteella annettavia eurooppalaisia harmonisoituja teknisiä standardeja sekä mahdollisesti muita komission antamia teknisiä vaatimuksia.
Koska kyseessä on EU-asetus, se on suoraan sovellettavaa oikeutta kaikissa EU-maissa. Tämä tarkoittaa sitä, että mahdolliset kansalliset säädökset ja vähimmäisvaatimukset eivät enää päde asetuksen siirtymäajan jälkeen eli 24 kuukautta hyväksymisestä.
Lisätietoja:
Toimitusjohtaja Peter Sund (Kyberala ry), puh. 050 565 0621, Twitter: @PeteSund
Lisää aiheesta:
Asetusehdotus Cyber Resilience Act
Komission tiedote: Uusien EU-sääntöjen myötä laitteisto- ja ohjelmistotuotteista tietoturvallisempia
