Euroopan komissio julkaisi 3.3.2026 ohjeistuksen luonnoksen, jonka tarkoituksena on auttaa yrityksiä soveltamaan EU:n Cyber Resilience Act -asetusta (CRA) käytännössä. Ohjeistus käy läpi, miten asetuksen keskeisiä käsitteitä ja velvoitteita tulkitaan, jotta valmistajat pystyvät valmistautumaan määräaikoihin ajoissa.
Luonnoksesta voi antaa palautetta 31. maaliskuuta 2026 asti. Laitevalmistajilla, toimialajärjestöillä ja teknisillä asiantuntijoilla on siis vielä hetki aikaa vaikuttaa lopulliseen muotoiluun. Ohjeistus ei muuta asetuksen soveltamispäivämääriä.
Jos CRA ei ole ennestään tuttu, suosittelemme lukemaan ensin perusartikkelimme CRA:sta sekä joulukuun artikkelin komission ensimmäisistä FAQ-täsmennyksistä.
Muistutus: milloin mikäkin astuu voimaan?
11. syyskuuta 2026: Raportointivelvoitteet alkavat. Valmistajien on ilmoitettava aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja vakavista tietoturvapoikkeamista CSIRT-toimijoille ja ENISAlle, sekä tiedotettava käyttäjiä.
11. joulukuuta 2027: Kaikki muut CRA:n velvoitteet astuvat voimaan: kyberturvallisuuden olennaiset vaatimukset, riskiarvioinnit, tekninen dokumentaatio, vaatimustenmukaisuuden osoittaminen ja CE-merkintä.
Asetus koskee kaikkia yrityksiä, jotka valmistavat, maahantuovat tai jakavat digitaalisia elementtejä sisältäviä tuotteita EU:n markkinoille riippumatta siitä, missä yritys sijaitsee.
Mitä ohjeistusluonnos selventää?
Ohjeistusluonnos on laaja ja käy läpi useita käsitteitä, joissa on ollut eniten tulkinnanvaraa. Kokosimme sulautettujen järjestelmien ja laitevalmistajien kannalta keskeisimmät täsmennykset.
Milloin ohjelmisto "tulee markkinoille"?
Lasketaanko laite ja siihen kuuluva ohjelmisto yhdeksi tuotteeksi?
Kyllä, jos ohjelmisto on välttämätön laitteen toiminnalle. Tuotteen määrittely ei riipu siitä, miten tai milloin ohjelmisto toimitetaan käyttäjälle. Jos laite tarvitsee ohjelmistoa toimiakseen tarkoitetulla tavalla, laite ja ohjelmisto muodostavat yhdessä yhden CRA:n tarkoittaman tuotteen, vaikka ohjelmisto toimitettaisiin erikseen sovelluskaupan tai latauslinkin kautta.
Ohjeistus antaa konkreettisen esimerkin: verkkotulostimen laitteisto-ohjain, joka ladataan valmistajan verkkosivustolta, on osa samaa tuotetta kuin itse tulostin. Sama logiikka koskee esimerkiksi mittauslaitteita, joihin kuuluu erillinen mobiilisovellus.
Mitä tehdään tuotteille, jotka on suunniteltu ennen CRA:ta?
Tuotteet, jotka on suunniteltu ennen CRA:n voimaantuloa, voidaan saattaa markkinoille ilman täyttä uudelleensuunnittelua. Valmistajan on kuitenkin tehtävä kyberturvallisuuden riskiarviointi ja kyettävä osoittamaan, että tuote täyttää olennaiset vaatimukset sen nykyisessä muodossaan.
Alkuperäistä suunnittelu- tai testausdokumentaatiota ei tarvitse rekonstruoida, jos se ei enää ole saatavilla. Riittää, että nykyinen riskiarviointi dokumentoidaan ja osoitetaan, miten olemassa oleva rakenne lieventää tunnistettuja riskejä.
Milloin ohjelmistopäivitys edellyttää vaatimustenmukaisuuden uudelleenarviointia?
Arviointi ei perustu muutoksen laajuuteen vaan sen vaikutukseen tuotteen kyberturvallisuusriskeihin. Käytännössä kysymys on: tuoko päivitys mukanaan uusia tietoturvariskejä, mahdollistaako se uusia hyökkäystapoja, tai muuttaako se aiemmin tunnistettujen riskien todennäköisyyttä tai vakavuutta? Jos kyllä, kyseessä saattaa olla olennainen muutos (substantial modification).
Tietoturvapäivitykset eivät pääsääntöisesti ole olennaisia muutoksia, koska niiden tarkoitus on vähentää olemassa olevia riskejä. Sen sijaan esimerkiksi uusi ”muista minut” -toiminto, joka tallentaa kirjautumistiedot paikallisesti laitteelle, saattaa ohjeistuksen mukaan olla olennainen muutos. Vaikka toiminto itsessään vaikuttaisi pieneltä, se voi tuoda mukanaan riskejä, joita alkuperäisessä riskiarvioinnissa ei ole käsitelty.
Kuinka pitkä tukijakso tuotteelle vaaditaan?
Milloin valmistajan vastuu ulottuu tuotteen taustajärjestelmiin?
Etätietojenkäsittely (Remote Data Processing) kuuluu tuotteen piiriin CRA:n soveltamisessa, jos nämä ehdot täyttyvät samanaikaisesti:
- Tietojenkäsittely tapahtuu etänä (“at a distance”).
- Kyseisen tietojenkäsittelyn puuttuminen estäisi tuotetta suorittamasta jotain sen toiminnoista.
- Ohjelmisto on valmistajan itse suunnittelema ja kehittämä, tai valmistajan vastuulla.
Kolmannen osapuolen valmis SaaS-ratkaisu ei kuulu valmistajan etätietojenkäsittelyyn, mutta se on silti käsiteltävä kolmannen osapuolen komponenttina, eli siihen liittyvät riskit on arvioitava ja due diligence on tehtävä.
Ohjeistus sisältää useita yksityiskohtaisia tuote-esimerkkejä (kuten pankkisovellus, älytermostaatti, e-kirjojen lukulaite ja teollisuusrobotti), joiden avulla voi hahmottaa, missä etätietojenkäsittelyn raja kulkee oman tuotteen kohdalla.
Mitä tämä tarkoittaa käytännössä nyt?
Syyskuun 2026 deadline lähestyy. Raportointivelvollisuuden täyttäminen edellyttää prosesseja, joilla haavoittuvuudet tunnistetaan ja joilla tieto kulkee oikeille tahoille määritetyssä ajassa. Ensimmäinen ilmoitus on tehtävä 24 tunnin kuluessa siitä, kun valmistaja saa riittävän varmuuden hyväksikäytetystä haavoittuvuudesta tai vakavasta tietoturvapoikkeamasta.
Joulukuun 2027 deadline taas vaatii kokonaisvaltaista valmistautumista: riskiarviointeja, teknistä dokumentaatiota, vaatimustenmukaisuuden osoittamista ja tarvittaessa kolmannen osapuolen arviointia. Tuotekehityssyklien pituudet huomioiden aikaa on rajoitetusti.
Hyvä uutinen on, että komission ohjeistus luo nyt selkeämmän pohjan sille, mistä lähdetään liikkeelle. Asiat, jotka ovat olleet eniten tulkinnanvaraisia, kuten tuotteen soveltamisalan määrittely ja olennaisen muutoksen käsite, on nyt avattu tarkemmin.
Qalmarilla autamme laitevalmistajia selvittämään, mitä CRA käytännössä tarkoittaa juuri teille. Jos asetus tuntuu monimutkaiselta tai deadlinet painavat mieltä, tutustu CRA-valmiusarviointiimme tai ota yhteyttä.
Lähde: Draft Commission guidance on the Cyber Resilience Act (European Commission 3.3.2026)
