Kyberkestävyyssäädös (CRA) — tuotteiden valmistelu EU-markkinoille

Kyberkestävyyssäädös asettaa kyberturvallisuuden perusvaatimukset digitaalisia elementtejä sisältäville tuotteille, joita myydään EU-markkinoilla. Se koskee laajasti laitteita ja ohjelmistoja. Jos tuote kuuluu säädöksen soveltamisalaan, sen on täytettävä CRA:n vaatimukset ja kannettava CE-merkintää ennen markkinoille saattamista. Keskeiset velvoitteet sisältyvät erityisesti artiklaan 13, artiklaan 14 ja liitteeseen I.

Säädöksen päävelvoitteita sovelletaan 11.12.2027 alkaen. Aktiivisesti hyödynnettyjä haavoittuvuuksia ja vakavia poikkeamia koskevat raportointivelvoitteet tulevat voimaan jo 11.9.2026. Monelle valmistajalle valmistautuminen ei kuitenkaan voi odottaa siirtymäajan loppuun, koska tuotteita, julkaisuja ja dokumentaatiota suunnitellaan jo nyt.

Insta on yksi Suomen johtavista kyberturvallisuuden palveluntarjoajista. Instan Data & Cyber Compliance -tiimi auttaa valmistajia arvioimaan, mitkä tuotteet kuuluvat CRA:n piiriin, mitä kehitysprosessissa ja haavoittuvuuksien hallinnassa on syytä muuttaa sekä millaista teknistä dokumentaatiota CRA:n vaatimukset ja CE-merkintä edellyttävät.

Mitä kyberkestävyyssäädös vaatii

• Tiivistetysti kyberkestävyyssäädös asettaa vaatimuksia kolmelle osa-alueelle artiklan 13 ja liitteen I kautta:

• Tuotteiden kehitysprosessille sekä tuotteen elinkaaren menettelyille suunnittelusta tukiajan päättymiseen.

• Tuotteiden kyberturvallisuusominaisuuksille.

• Haavoittuvuuksien hallinnalle.

Suunnittelu, kehitys ja tuotanto
Artikla 13 ja liite I edellyttävät, että tuotteet suunnitellaan, kehitetään ja tuotetaan niiden riskeihin nähden riittävän turvallisiksi. Käytännössä tämä tarkoittaa, ettei vaatimustenmukaisuutta voi jättää projektin loppuun. Tuotehallinnan, kehityksen, testauksen, julkaisun ja toimittajahallinnan ratkaisut vaikuttavat kaikki lopputulokseen.

Tuotteen tietoturvaominaisuudet
Liite I asettaa myös tuotteen ominaisuuksille keskeiset tietoturvavaatimukset. Tähän kuuluvat esimerkiksi turvalliset oletusasetukset, tietojen suojaaminen ja kyky korjata haavoittuvuuksia tietoturvapäivityksillä. Tuotetta ei pitäisi saattaa markkinoille, jos siinä on tiedossa olevia hyödynnettäviä haavoittuvuuksia. Tarvittavat toimet riippuvat tuotteesta, sen käyttötarkoituksesta ja riskitasosta.

Haavoittuvuuksien hallinta
Liitteen I II osa edellyttää toimivaa haavoittuvuuksien hallinnan prosessia. Valmistajan on tunnistettava komponentit ja haavoittuvuudet, ylläpidettävä SBOMia sekä korjattava ongelmat ilman aiheetonta viivytystä. Kun se on mahdollista, tietoturvakorjaukset kannattaa pitää erillään toimintopäivityksistä.

Säännöllinen tietoturvatestaus, koordinoitu haavoittuvuuksien julkistaminen, päivitysten turvallinen jakelu ja selkeät raportointikanavat ovat kaikki osa kokonaisuutta. Artikla 14 tuo mukaan myös aktiivisesti hyödynnettyjä haavoittuvuuksia ja vakavia poikkeamia koskevat raportointivelvoitteet. Monelle organisaatiolle juuri tässä kohtaa käytännön työ alkaa.

Näin Insta auttaa

Instan palveluissa yhdistyvät kyberturvallisuus, turvallinen ohjelmistokehitys ja regulaatio-osaaminen. Alla olevat viisi palvelua ovat tyypillisiä lähtökohtia CRA-valmistautumiselle. Osa asiakkaista tarvitsee nopean näkymän tuoteluokitukseen ja keskeisiin puutteisiin, osa taas käytännön tukea prosessien kehittämiseen, testaukseen, dokumentaatioon ja arviointiin.

CRA-nykytilan arviointi

Tässä kolmesta viiteen viikkoa kestävässä toimeksiannossa tuotteita verrataan CRA:n vaatimuksiin, ne luokitellaan ja tärkeimmät puutteet tunnistetaan. Lopputulos ei ole pelkkä yhteenveto, vaan käytännön päätöspaketti: prioriteetit, riippuvuudet, työmääräarviot ja backlog, jonka pohjalta kehitystiimi voi edetä.

Turvallisen sovelluskehityksen (SDL) jalkautus

Insta SDL pohjautuu IEC 62443-4-1 -standardiin ja voidaan sovittaa yhteen ISO 27001 -hallintajärjestelmän kanssa. Käytännössä tiimit tarvitsevat apua usein tietyissä kohdissa, eivät kaikkialla yhtä aikaa: uhkamallinnuksessa, tietoturvavaatimuksissa, toimittajakomponenteissa, julkaisun tarkistuspisteissä, korjausprosesseissa ja näyttöaineiston kokoamisessa. Jos organisaatio hyödyntää jo viitekehyksiä, kuten NIST SSDF:ää, IEC 62443-4-1:tä tai OWASP SAMMia, CRA:n vaatima lisätyö on usein pienempi kuin aluksi näyttää.

Haavoittuvuuksien hallinta ja SBOM

Insta auttaa rakentamaan toimivan haavoittuvuuksien hallinnan prosessin. Se voi sisältää koordinoidun haavoittuvuuksien julkistamisen, ilmoitusten vastaanoton ja triagen, vastuunjaon ja eskaloinnin, SBOMin tuottamisen osana kehitysprosessia sekä 11.9.2026 alkaen tarvittavat raportointityönkulut.

Tekninen dokumentaatio ja CE-merkintä

Insta tukee teknisen tiedoston, EU-vaatimustenmukaisuusvakuutuksen, tukiaikasitoumuksen ja CRA:n edellyttämien tuoteohjeiden valmistelussa. Tässä vaiheessa yleinen ongelma on, ettei dokumentaatio vastaa kaikilta osin toimitettua tuotetta. Työskentelemme tuote-, kehitys- ja lakitiimien kanssa, jotta tämä ero saadaan korjattua ennen arviointia.

Penetraatiotestaus ja kolmannen osapuolen arvioinnin tuki

Instan tiimi tarjoaa laitteisto-, firmware- ja ohjelmistotestausta. Kun tuote edellyttää kolmannen osapuolen arviointia, tuemme näyttöaineiston valmistelussa, ennakkotestauksessa, korjauskierroksissa sekä käytännön työssä ennen ilmoitetun laitoksen arviointia ja sen aikana.

Instan CRA-asiantuntijat

Satu Streng, Senior Compliance Consultant — työskentelee data- ja kyberregulaation parissa kattaen GDPR:n, NIS2:n, AI Actin, Data Actin ja CRA:n. Hän tukee pohjoismaisia organisaatioita säädösten tulkinnassa ja toimeenpanon suunnittelussa, kun vaatimukset pitää muuttaa käytännön toimintamalleiksi.

Jyrki Nivala, Senior Director, Cyber Consulting — johtaa Instan kyberturvallisuuskonsultointia. Hänellä on kahden vuosikymmenen kokemus kriittisestä infrastruktuurista, valmistavasta teollisuudesta ja julkisesta sektorista.