Siirry sisältöön
Etusivu Tietopankki Digitalisaatio ja tekoäly Kyberkestävyyssäädös

Ky­ber­kes­tä­vyys­sää­dös

Euroopan unionin kyberkestävyyssäädöksen tavoitteena on parantaa EU:n markkinoille saatettujen tuotteiden tietoturvaa niin, että tuotteissa on vähemmän haavoittuvuuksia.

Päivitetty 03.04.2025 klo 12:34

Ky­ber­tur­val­li­suu­den sään­te­ly

Ky­ber­kes­tä­vyys­sää­dös (CRA) eli di­gi­taa­lis­ten tuot­tei­den (lait­teis­tot ja oh­jel­mis­tot) tur­val­li­suus­vaa­ti­muk­set koko nii­den elin­kaa­ren ajal­le

Euroopan unionin kyberkestävyyssäädöksen (EU) 2024/2847 tavoitteena on parantaa EU:n markkinoille saatettujen tuotteiden tietoturvaa niin, että tuotteissa on vähemmän haavoittuvuuksia. Kyberkestävyyssäädös on siis tuoteturvallisuusasetus, jonka vaatimusten toteutuminen taataan tulevaisuudessa osana CE-merkintää. Asetuksen mukaisten turvallisuusvaatimusten täyttyminen on jatkossa markkinoille pääsyn edellytys EU:ssa.

Säädöksellä asetetaan kyberturvallisuuden vähimmäisvaatimukset ns. digitaalisen elementin sisältäville laitteille ja ohjelmistoille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Valmistajat ovat vastuussa kyberturvallisuudesta tuotteen koko elinkaaren ajan. Asetus parantaa laitteiden ja ohjelmistotuotteiden turvallisuuden läpinäkyvyyttä.

Säädös koskee käytännössä kaikkia muita toimialoja ajoneuvo- ja ilmailuliikennettä sekä terveysteknologiaa lukuun ottamatta, koska näille tuotesektoreille on jo omaa tarkempaa sääntelyä. Säädös vaikuttaa erityisesti ohjelmistoja koskeviin velvoitteisiin. Se velvoittaa valmistajaa ilmoittamaan myös tuotteen tukijakson pituuden selkeästi.

Säädöksen soveltamisalaan kuuluvia tuotteita ovat esimerkiksi valvontakamerat, näyttöpäätteet, lelut, WiFi-laitteet sekä pelit, tekstin- ja kuvankäsittelyohjelmat. Säädös ulottaa kyberturvallisuusvaatimukset myös esimerkiksi käyttöjärjestelmiin, selaimiin, salasanan hallintaohjelmistoihin sekä tiettyihin mikroprosessoreihin ja -ohjaimiin. IoT-laitteisiin liittyvä valmistajan vastuulla oleva hallintapalvelu (esim. pilveen sijoitettu toiminnallisuus) eli datan etäkäsittelyratkaisu katsotaan myös osaksi tuotetta.

Laki astui voimaan joulukuussa 2024 ja soveltaminen alkaa portaittain niin, että tuotteiden ohjelmistohaavoittuvuuksien raportointia koskevia vaatimuksia sovelletaan 09/2026 lukien ja kaikkia tuotevaatimuksia 12/2027. Säädöksen perusteella annetaan useita kymmeniä eurooppalaisia harmonisoituja standardeja.

Li­sä­tie­to­ja