Kyberkestävyyssäädöstä voisi luonnehtia tuotesäädökseksi, jonka keskiössä on kuitenkin fyysisen turvallisuuden sijaan tuotteiden kyberturvallisuus. Monien EU-säännösten tapaan säädöksen rikkomisesta voidaan määrätä liikevaihtoperusteisia sakkoja.
Rikkomuksesta aiheutuvia mahdollisia muita seuraamuksia ovat tuoteturvallisuussääntelylle luonteenomaiset velvoitteet tuotteen markkinoilta poistamiseen ja palautusjärjestelyyn. Laiminlyönti voi siten tulla moninkin eri tavoin kalliiksi, eikä tuotekehitysprosesseja sääntelevän säädöksen noudattaminen myöskään onnistu aivan viime hetkellä vain dokumentaatiota kasaamalla. Vuoden 2027 tuotteet suunnitellaan tänään.
Tässä blogissa tarkastelemme kyberkestävyyssäädöstä erityisesti tuotteen valmistajien näkökulmasta, ja kerromme, mistä valmistautuminen vaatimustenmukaisuuden saavuttamiseksi kannattaa aloittaa.
Mitä tuotteita kyberkestävyyssäädös koskee
Kyberkestävyyssäädöstä sovelletaan laajaan joukkoon digitaalisia elementtejä sisältäviä tuotteita kotitalouksien robottipölynimureista mittaviin teollisuuslaitteisiin ja niiden ohjelmistoihin. Keskeinen edellytys säädöksen soveltumiselle on, että kyseessä oleva digitaalisia elementtejä sisältävä tuote - laitteisto tai ohjelmisto - voidaan suunnitellun käyttötarkoituksensa tai ennakoitavissa olevan muun käytön puitteissa liittää datayhteydellä toiseen laitteeseen tai verkkoon.
Datayhteys on tässä yhteydessä ymmärrettävä laajasti. Yhdistämistä on paitsi fyysinen laitteistorajapintojen kautta tapahtuva liittäminen, myös looginen, kuten liitäntöjen, liukuhihnoitusten, tiedostojen, sovellusrajapintojen tai muiden ohjelmistorajapintojen kautta tapahtuva liittäminen. Suoran datayhteyden lisäksi on otettava huomioon epäsuora yhteys, joka voi tulla kyseeseen silloin, kun tuotteesta itsestään ei ole datayhteyttä, mutta se integroidaan tai liitetään yhteyden toteuttavaan laajempaan kokonaisuuteen, kuten tietojärjestelmään.
Laajan soveltamisalan ulkopuolelle on jätetty joitakin tuoteryhmiä. Ulkopuolelle jäävät mm. tietyt tuoteryhmät, joiden tuoteturvallisuutta koskee jo entuudestaan muu EU:n sääntely, kuten lääkinnälliset laitteet, tietyt ajoneuvot, laivavarusteet ja ilma-alukset. Säädöstä ei sovelleta kansalliseen turvallisuuteen tai puolustukseen liittyviin tarkoituksiin suunniteltuihin tuotteisiin. Lisäksi soveltamisalan ulkopuolelle jäävät pääsääntöisesti pilvipalvelut (esim. Software as a Service, ”SaaS”), ellei kyse ole tuotteen datan etäkäsittelyratkaisusta.
Milloin tuotteiden on oltava kyberkestävyyssäädöksen vaatimustasolla?
Kyberkestävyyssäädöksen täysimittainen soveltaminen alkaa 11.12.2027. Tästä alkaen EU-markkinoilla myytävien säädöksen piiriin kuuluvien tuotteiden on täytettävä vaatimukset, ja niissä on oltava CE-merkintä. Myös jo aiemmin markkinoille saatetun tuotteen merkittävä muutos johtaa siihen, että tuotteeseen sovelletaan kyberkestävyyssäädöstä sen koko laajuudessa. Edellä mainitusta poiketen, haavoittuvuuksien ja poikkeamien ilmoittamista koskevia vaatimuksia sovelletaan jo 11.9.2026.
Miten vaatimustenmukaisuus arvioidaan ja osoitetaan?
Kyberkestävyyssäädöksen alaisiin tuotteisiin, laitteiden lisäksi myös ohjelmistoihin, on liitettävä CE-merkintä osoituksena niiden vaatimustenmukaisuudesta. CE-merkintää edellyttää mittava pohjatyö tuotteen suunnittelu- ja kehitysprosessiin sekä säädöksen edellyttämä vaatimustenmukaisuuden arviointi.
Vaatimustenmukaisuuden arviointimenettely vaihtelee sen mukaan, mihin säädöksessä määritettyyn luokkaan tuote kuuluu. Vaativimmasta luokasta kevyimpään lueteltuna luokat ovat: kriittinen, tärkeä luokka 1, tärkeä luokka 2 ja näiden ulkopuolelle jäävien tuotteiden joukko, ns. oletusluokka. Oletusluokan tuotteiden osalta vaatimustenmukaisuuden arviointi voidaan toteuttaa itsearviointina, kun taas muissa luokissa menettelyllä on tarkemmat vaatimukset.
Pelkkä vaatimusten noudattaminenkaan ei riitä vaan valmistajan on myös huolehdittava, että tuotteesta ja sen kehitysprosessista syntyy ja on tarvittaessa saatavilla säädöksen edellyttämä dokumentaatio, kuten kyberriskiarviointi, tekninen dokumentaatio ja käyttäjäohjeet.
Mitä kyberkestävyyssäädöksen noudattaminen vaatii?
Tiivistetysti kyberkestävyyssäädös asettaa vaatimuksia kolmelle osa-alueelle:
1. Tuotteiden kehitysprosessille sekä tuotteen elinkaaren menettelyille suunnittelusta tukiajan päättymiseen
2. Tuotteiden kyberturvallisuusominaisuuksille
3. Haavoittuvuuksien hallinnalle
Suunnittelua, kehitystä ja tuottamista koskeva vaatimus
Kyberkestävyyssäädös asettaa vaatimuksia tuotteelle, mutta myös menettelyille tuotteen elinkaaren kaikissa vaiheissa suunnittelusta käytöstä poistamiseen ja tukiajan päättymiseen. Tuotteiden on täytettävä olennaiset kyberturvallisuusvaatimukset, joihin sisältyy aivan ensimmäisenä vaatimus siitä, että ”tuotteet on suunniteltava, kehitettävä ja tuotettava siten, että niiden kyberturvallisuuden taso on oikeassa suhteessa riskeihin” (Kyberkestävyyssäädöksen Liite I, I osa, 1) -kohta).
Tuotteiden ominaisuuksia koskevat vaatimukset
Tuotteiden ominaisuuksiin liittyvät olennaiset kyberturvallisuusvaatimukset määritellään kyberkestävyyssäädöksen (Liitteen I, I osan 2) -kohdassa. Joitakin vaatimuksia yksilöidäkseni, tuotteissa on mm. oltava oletusarvoisesti tietoturvalliset asetukset, ja niissä on varmistettava tietojen luottamuksellisuus, eheys ja minimointiperiaatteen noudattaminen. Lisäksi haavoittuvuuksiin on voitava puuttua tietoturvapäivityksillä. Markkinoille saataville asetettaessa tuotteissa ei saa olla tiedossa olevia hyödynnettävissä olevia haavoittuvuuksia. Vaatimustason määrittämisessä pohjana on kyberkestävyyssäädöksessä velvoittavaksi määrätty kyberturvallisuusriskien arviointi (artikla 13).
Haavoittuvuuksien käsittelyä koskevat vaatimukset
Kyberkestävyyssäädös asettaa vaatimukset haavoittuvuuksien käsittelylle. Tuotteiden valmistajien on kyberkestävyyssäädöksen mukaan (Liite I, II osa):
1. tunnistettava haavoittuvuudet ja komponentit, ja laadittava ohjelmistojen materiaaliluettelo (ns. software bill of materials, eli SBOM-kuvaus);
2. korjattava haavoittuvuudet viipymättä esimerkiksi tietoturvapäivityksien avulla - jos teknisesti mahdollista, erillään toimintopäivityksistä;
3. tehtävä säännöllisesti tietoturvatestausta ja tietoturvan arviointia;
4. tietoturvapäivityksen saataville asettamisen jälkeen jaettava ja julkistettava tiedot korjatuista haavoittuvuuksista;
5.otettava käyttöön koordinoitua haavoittuvuuksien julkistamista koskevat periaatteet;
6. helpotettava tietojen jakamista tuotteensa ja sen kolmannen osapuolen komponenttien haavoittuvuuksista, mm. ilmoittamalla yhteysosoite haavoittuvuuksien raportointia varten;
7. huolehdittava tuotteiden päivitysten tietoturvallisen jakelun varmistamismekanismeista; varmistettava, että tietoturvapäivitykset levitetään viipymättä.
Kyberkestävyyssäädöksen vaatimukset ja velvoitteet ovat ylätasolla, tavoitteiden ja periaatteiden luonteisina ohjenuorina. Yksityiskohdissa säädös nojaa myöhemmin julkaistaviin harmonisoituihin standardeihin, joiden osalta työ on vielä käynnissä ja tuloksia nähtävissä todennäköisesti vuoden 2026 puolella. Myös komissiolta on odotettavissa ohjeistusta eräiden CRA-vaatimuksien ja -käsitteiden tulkintaan.
Standardien laatimisessa hyödynnetään alalla hyväksi todettuja menettelyitä, parhaita käytäntöjä ja nykyisiä standardeja. ENISA ja JRC ovat julkaisseet kattavan analyysin kyberkestävyyssäädöksen luonnoksen ja eräiden kyberturvallisuutta koskevien standardien vastaavuudesta.
Mukana tässä analyysissa ovat mm. ISO 27001 ja IEC 62443-4-1 -standardit. Standardointityötä voi seurata verkkosivuilla.
Kyberkestävyyssäädöksen vaatimusten ja turvallisen sovelluskehityksen (Secure Development Lifecycle, SDL) viitekehysten yhteys on vahva. Tulevia standardeja ja komission tulkintaohjeistusta odotellessa turvallisen sovelluskehityksen eli SDL:n yleisesti tunnustettua viitekehystä, kuten esimerkiksi NIST SSDF, IEC 62443-4-1 tai OWASP SAMM, noudattavan tie kyberkestävyyssäädöksen vaatimusten täyttämisessä on todennäköisesti jo hyvällä, ellei kiitettävällä tasolla.
-------
Instan palveluissa yhdistyvät saumattomasti tietoturvan, SDL:n ja kyberregulaation osaaminen. Instan lähestymistapa turvalliseen sovelluskehitykseen nivoutuu saumattomasti yhteen esimerkiksi ISO 27001- ja IEC 62443 -standardien kanssa.
Tutustu Instan palveluihin:
Turvallinen sovelluskehitys (SDL)
Case Sandvik: Kyberturvallisuuden vahvistaminen kilpailukyvyn tukena
Ota yhteyttä