<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Kyberkestävyyssäädös voimaan – onko yrityksesi valmis kyberkestävyyden uuteen aikakauteen?</span>

Tietoturva

Kyberkestävyyssäädös voimaan – onko yrityksesi valmis kyberkestävyyden uuteen aikakauteen?

Kirjoittanut

Juri Heiniluoma
Juri Heiniluoma

NIS2/Kyberturvallisuuslaki on tuonut jo konkreettisia muutoksia kyberturvallisuuteen ja perinteisessä teollisuudessa tuotteiden CE-merkinnät ja vaatimukset näiden osalta ovat tuttuja. Nyt Cyber Resilience Act (CRA) tuo samankaltaisia vaatimuksia ohjelmistopuolen tuotteisiin. Ensimmäiset konkreettiset velvollisuudet alkavat syyskuussa 2026. 

EU:n Cyber Resilience Act (CRA) muuttaa merkittävästi tapaa, jolla digitaalisia tuotteita kehitetään, ylläpidetään ja tuodaan markkinoille Euroopassa.

CRA on tullut EU:ssa voimaan jo 10.12.2024 ilman velvoitteita. Suomessa sääntelyn kansallinen täydentävä laki tuli voimaan 1.6.2026, ja samalla yrityksille käynnistyi käytännössä siirtymä kohti uusia velvoitteita.

Vaikka CRA:n tekniset vaatimukset tulevat täysimääräisesti voimaan vasta joulukuussa 2027, ensimmäiset konkreettiset velvollisuudet alkavat jo syyskuussa 2026. Nyt on viimeinen hetki varmistaa, että tuotteet, prosessit ja toimitusketjut kestävät uuden sääntelyn vaatimukset.

Mikä CRA oikein on?

CRA koskee käytännössä kaikkia digitaalisia elementtejä sisältäviä tuotteita – ohjelmistoja, laitteita ja yhdistettyjä ratkaisuja – joilla on suora tai välillinen datayhteys ja joita tarjotaan markkinoille kaupallisesti. Myös maksuttomat kaupalliset ohjelmistot kuuluvat sääntelyn piiriin.

Suomessa lähes kaikki CRA:n kansalliset viranomaistehtävät on keskitetty Traficomin Kyberturvallisuuskeskukselle. Viranomaisen viesti yrityksille on kuitenkin selkeä: tavoitteena ei ole ensisijaisesti rankaiseminen, vaan ohjaus ja neuvonta. Hallinnolliset seuraamusmaksut ovat viimesijainen keino.

Kaikki tuotteet eivät kuitenkaan kuulu CRA:n soveltamisalaan. Esimerkiksi lääkinnälliset laitteet, ajoneuvot, ilmailutuotteet sekä puolustuksen ja kansallisen turvallisuuden tuotteet jäävät sääntelyn ulkopuolelle, koska niille on jo olemassa oma tiukempi sääntelykehikkonsa.

Pilvipalvelut eivät automaattisesti jää CRA:n ulkopuolelle

Yksi käytännön tulkinnoista liittyy pilvipalveluihin ja etäkäsittelyyn. Puhtaat pilvipalvelut eivät yleensä kuulu CRA:n piiriin, mutta tilanne muuttuu, jos pilvipalvelu on olennainen osa tuotteen toiminnallisuutta. 

Hyvä esimerkki tästä on älylaite, jonka toiminta riippuu valmistajan ylläpitämästä taustajärjestelmästä. Tällöin myös pilvipalvelu katsotaan osaksi tuotetta ja kuuluu CRA-vaatimusten piiriin.

Yritysten kannattaa myös huomioida niin sanottu ydintoiminnallisuuden periaate. Jos tuotteessa on useita ominaisuuksia, sovellettava vaatimustaso määräytyy tuotteen pääasiallisen käyttötarkoituksen mukaan.

Kaikki tuotteet eivät ole CRA:n näkökulmasta samanarvoisia

Suurin osa tuotteista voidaan arvioida valmistajan omalla itsearvioinnilla. Tietyt tuotteet on kuitenkin luokiteltu tärkeiksi tai kriittisiksi, jolloin vaatimukset kiristyvät merkittävästi.

Esimerkiksi selaimet, reitittimet ja virustorjuntatuotteet kuuluvat tärkeiden tuotteiden luokkaan, joissa voidaan joutua hyödyntämään ulkopuolista arviointia tai harmonisoituja standardeja.

Kriittisissä tuotteissa, kuten älykorteissa tai suojatuissa elementeissä, vaatimuksenmukaisuuden osoittaminen edellyttää lähtökohtaisesti vahvempaa ulkopuolista arviointia tai erikseen säädettyä sertifiointimenettelyä.

Syyskuu 2026 on ensimmäinen todellinen takaraja

Monelle yritykselle suurin yllätys saattaa olla se, että raportointivelvollisuudet alkavat paljon ennen varsinaisia CE-vaatimuksia. 

11.9.2026 alkaen valmistajien on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista tietoturvapoikkeamista.  

Raportointi tapahtuu ENISAn keskitetyn raportointialustan kautta, ja aikataulut ovat tiukkoja:

  • ensi-ilmoitus 24 tunnin sisällä

  • varsinainen ilmoitus 72 tunnin sisällä

  • loppuraportti 14 päivän tai kuukauden kuluessa tapauksesta riippuen.

Käytännössä tämä tarkoittaa sitä, että yrityksillä täytyy olla valmiiksi harjoitellut prosessit haavoittuvuuksien vastaanottamiseen, analysointiin ja raportointiin.

Viranomaiset ovat myös korostaneet matalan kynnyksen ilmoittamista. Jos esimerkiksi uusi Log4j-tyyppinen haavoittuvuus herättää epäilyn oman tuotteen altistumisesta, 24 tunnin ensi-ilmoitus kannattaa tehdä varmuuden vuoksi.

CRA tuo kyberturvallisuuden koko tuotteen elinkaarelle

CRA ei koske vain tuotteen julkaisuvaihetta. Valmistajien on määritettävä tuotteille tukiaika, jonka tulee vastata tuotteen odotettua käyttöikää.

Vaikka asetuksessa mainitaan viiden vuoden oletustaso, esimerkiksi teollisuusautomaatiossa tukivaatimus voi olla huomattavasti pidempi.

Samalla Software Bill of Materials (SBOM) nousee keskeiseen rooliin. Yritysten täytyy ymmärtää ohjelmistojen riippuvuudet ja toimitusketjut aiempaa huomattavasti tarkemmin. Täydellinen näkyvyys ei aina ole realistista, mutta riskienhallinta ja avoin yhteistyö toimittajien kanssa ovat välttämättömiä.

Myös roolit toimitusketjussa voivat muuttua yllättävän helposti. Jos maahantuoja tai jakelija brändää tuotteen omalle nimelleen tai tekee siihen merkittävän muutoksen, se voidaan mahdollisesti CRA:n näkökulmasta tulkita valmistajaksi.

Sanktiot voivat olla merkittäviä

CRA:n seuraamusmaksut ovat huomattavia. Vakavimmissa tapauksissa valmistajalle voidaan määrätä sakkoja jopa 15 miljoonaa euroa tai 2,5 % liikevaihdosta.

Toisaalta viranomaiset ovat painottaneet yhteistyötä ja suhteellisuutta. Nopea reagointi, oma-aloitteinen yhteistyö ja korjaavat toimenpiteet ovat avainasemassa.

Mitä yritysten kannattaa tehdä nyt?

Seuraavan 12 kuukauden aikana yritysten kannattaa keskittyä erityisesti kolmeen asiaan:

1. Käy tuoteportfolio läpi  

Tunnista

  • mitkä tuotteet kuuluvat CRA:n piiriin

  • mihin luokkaan tuotteet sijoittuvat

  • mikä on tuotteiden realistinen käyttö- ja tukiaika. 

2. Rakenna raportointiprosessit ennen syyskuuta 2026 

 Organisaatiolla tulee olla ainakin

  • selkeä vastuunjako

  • toimiva haavoittuvuuksien käsittelyprosessi

  • harjoiteltu (ja dokumentoitu!) toimintamalli poikkeamatilanteisiin. 

3. Panosta riskiperusteiseen turvallisuuteen 

CRA perustuu vahvasti riskienhallintaan. Teknisten ratkaisujen, kuten salauksen ja pääsynhallinnan lisäksi on hyvä huomioida myös riippuvuudet avoimen lähdekoodin ohjelmistopaketeista sekä riskiarviodokumentaatiot.

Hyödynnä CRA:n mahdollisuudet

Parhaimmillaan CRA toimii mahdollisuutena rakentaa kilpailuetua. Yritykset, jotka ottavat kyberkestävyyden osaksi tuotekehitystä, toimitusketjua ja palveluiden elinkaarta jo nyt, ovat vahvoilla sekä markkinoilla että tulevissa auditoinneissa.

Kyse ei ole enää vain tietoturvasta, vaan tuotteiden pitkäjänteisestä luotettavuudesta ja asiakkaiden luottamuksesta.

Missä Advania voisi olla avuksi?

Tarjoamme monipuoliset tietoturvapalvelut, jotka auttavat yritystäsi parantamaan tietoturvaa vaatimusten mukaiseksi ja koko liiketoiminnan resilienssiä parantavaksi. Palveluihimme kuuluu muun muassa konsultointi; voit esimerkiksi varata kanssamme työpajan, jossa tarkastellaan yrityksenne nykyistä tasoa ja tehdään tiekarttaa tulevaan. 

Tulossa on mm. Agentic SOC -ratkaisu, joka vastaa isoon osaan tietoturvamurheistanne.

Kannattaa tutustua myös toimitusketjun tietoturvariskien arviointi ja seuranta -palveluumme.

Aiheesta lisää:

Traficomin CRA-infotilaisuus 3.6.2006

Valtioneuvoston tiedote: Hallitus esittää kyberturvallisuuslakiin täydennyksiä kriittisille toimijoille

Cyber Resilience Act – Manufactures, European Commission

NIS2:n mukainen riskienhallinta ja tietoturvatoimenpiteet