Euroopan komissio julkaisi 3. joulukuuta 2025 ensimmäisen virallisen FAQ-dokumentin Cyber Resilience Actin (CRA) toimeenpanosta. Kyseessä on ensimmäinen virallinen tulkintaohje sen jälkeen, kun asetus julkaistiin marraskuussa 2024.
Dokumentti on 66-sivuinen, joten kokosimme tähän artikkeliin keskeiset täsmennykset, joita valmistajat ovat odottaneet.
Jos CRA ei ole vielä tuttu, suosittelemme lukemaan ensin perusartikkelimme: CRA: mitä jokaisen laitevalmistajan täytyy tietää EU:n kyberkestävyysasetuksesta?
Huomio: FAQ-dokumentti on komission palveluiden laatima. Dokumentissa todetaan, ettei sitä pidä pitää Euroopan komission virallisena kantana. Vastaukset eivät laajenna lainsäädännöstä johtuvia oikeuksia tai velvoitteita eivätkä luo uusia vaatimuksia.
Muistutus aikataulusta
11.6.2026: Ilmoitettujen laitosten nimeämistä koskevat säännökset astuvat voimaan.
11.9.2026: Raportointivelvoitteet alkavat.
11.12.2027: CRA:n päävelvoitteet astuvat voimaan täysimääräisesti.
Mitä "tunnettu hyväksikäytettävissä oleva haavoittuvuus" tarkoittaa?
CRA edellyttää, että tuote saatetaan markkinoille ilman tunnettuja hyväksikäytettävissä olevia haavoittuvuuksia (known exploitable vulnerabilities). FAQ selventää, että tämä ei tarkoita, että tuotteen pitäisi olla vapaa kaikista haavoittuvuuksista.
Kaikki haavoittuvuudet eivät ole hyväksikäytettävissä käytännön olosuhteissa. FAQ antaa konkreettisen esimerkin: jos haavoittuvuuden hyväksikäyttö vaatisi fyysisen pääsyn laitteeseen, laitteen purkamisen ja juottamisen emolevylle, valmistaja voi riskianalyysissaan päätyä siihen, ettei kyseessä ole käytännössä hyväksikäytettävissä oleva haavoittuvuus.
Arvioinnissa huomioidaan muun muassa missä määrin haavoittuva koodi on käytössä tuotteen normaalissa toiminnassa, millainen pääsy hyväksikäyttöön vaaditaan, ja onko jo olemassa kompensoivia kontrolleja, jotka estävät hyväksikäytön.
Tukijakson kesto: viisi vuotta ei aina riitä
FAQ tarkentaa tukijakson määrittelyä. Viisi vuotta on minimi, mutta jos tuotteen odotetaan olevan käytössä pidempään, tukijakson on heijastettava tätä.
Dokumentissa todetaan, että esimerkiksi laitteistokomponentit kuten emolevyt tai mikroprosessorit, verkkolaitteet kuten reitittimet, modeemit tai kytkimet sekä ohjelmistot kuten käyttöjärjestelmät tai videonmuokkaustyökalut ovat usein käytössä huomattavasti pidempään kuin viisi vuotta. Erityisesti teollisuusympäristöihin tarkoitetut tuotteet, kuten teollisuuden ohjausjärjestelmät, ovat usein käytössä merkittävästi pidempiä aikoja.
Tukijakso voi olla alle viisi vuotta vain, jos tuotteen odotettu käyttöikä on lyhyempi. FAQ mainitsee esimerkkeinä pandemian ajaksi tarkoitetun kontaktinjäljityssovelluksen sekä tilausperusteiset ohjelmistot, jotka lakkaavat toimimasta tilauksen päättyessä.
Kaikkia haavoittuvuuksia ei tarvitse paikata päivityksellä
FAQ selventää, että valmistajan ei tarvitse toimittaa päivitystä jokaiseen tukijakson aikana löydettyyn haavoittuvuuteen. Kun haavoittuvuus löytyy, valmistajan on arvioitava sen aiheuttama riski. Korjaustoimenpiteet riippuvat riskistä.
FAQ listaa esimerkkejä mahdollisista toimenpiteistä: välitön päivitys, ohjeistus kiertoratkaisusta (workaround) jota myöhemmin täydennetään ohjelmistopäivityksellä, käyttöohjeiden päivitys tai vaikuttavan toiminnon poistaminen käytöstä konfiguraatio-ohjeistuksella, jos se on teknisesti ja operatiivisesti toteuttamiskelpoinen.
Komponenttien integrointi: mitä due diligence tarkoittaa käytännössä?
- CE-merkinnän tarkistaminen (jos komponentilla on)
- Komponentin päivityshistorian tarkistaminen
- Haavoittuvuustietokantojen tarkistaminen (EU:n haavoittuvuustietokanta ja muut julkisesti saatavilla olevat tietokannat)
- Lisätestit kuten fuzz-testaus, penetraatiotestaus, firmware-analyysi, red team -harjoitukset, verkkoliikenteen analyysi
- Software Composition Analysis
- Kriittisten komponenttien eristäminen (sandboxing)
- Komponentin SBOM:n (Software Bill of Materials) tarkistaminen, jos saatavilla
- Komponentin tukijakson tarkistaminen
- Komponentin valmistajan turvallisuusaseman arviointi
FAQ tarkentaa myös, että valmistaja voi integroida komponentteja, joissa ei ole CE-merkintää. Tämä koskee esimerkiksi avoimen lähdekoodin komponentteja, jotka eivät kuulu CRA:n soveltamisalaan, tai komponentteja, jotka on saatettu markkinoille ennen CRA:n soveltamisen alkamista. Valmistajan on kuitenkin varmistettava due diligence -toimin, etteivät nämä komponentit vaaranna tuotteen kyberturvallisuutta.
Due diligencen laajuus riippuu komponentin luonteesta ja siihen liittyvästä kyberturvallisuusriskistä: mitä suurempi riski, sitä laajemmat toimenpiteet.
Ohjelmiston eri versioiden ylläpito
- Uusin versio on käyttäjien saatavilla ilmaiseksi
- Käyttäjille ei aiheudu lisäkustannuksia laitteisto- tai ohjelmistoympäristön mukauttamisesta (esimerkiksi uuden laitteiston, kuten nopeamman prosessorin tai lisämuistin, hankkimisesta)
Raportointivelvoite koskee myös vanhoja tuotteita
FAQ vahvistaa, että raportointivelvoitteet (11.9.2026 alkaen) koskevat kaikkia CRA:n soveltamisalaan kuuluvia tuotteita, myös niitä, jotka on saatettu markkinoille ennen 11.12.2027. Valmistajan on raportoitava aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja vakavista tietoturvapoikkeamista myös vanhoissa tuotteissaan.
Siirtymäaika koskee yksittäisiä tuotteita, ei tuotetyyppejä
FAQ tarkentaa, että CRA soveltuu yksittäisiin tuotteisiin, ei tuotetyyppeihin.
Dokumentissa annetaan esimerkki: valmistaja tuottaa 10 000 kappaletta reititintä ja saattaa ne markkinoille ennen 11.12.2027. Näiden tuotteiden ei tarvitse olla CRA-vaatimusten mukaisia. Valmistaja ei kuitenkaan voi tuottaa samaa mallia 5 000 kappaletta lisää ja saattaa niitä markkinoille 11.12.2027 jälkeen, koska nämä 5 000 kappaletta eivät olisi CRA-vaatimusten mukaisia.
Vaatimustenmukaisuuden arvioinnin moduulit
FAQ kuvaa kolme vaatimustenmukaisuuden arviointimenetelmää:
Moduuli A (itsearviointi): Valmistaja arvioi itse tuotteen vaatimustenmukaisuuden. Ilmoitetut laitokset eivät osallistu. Soveltuu kaikkiin tuotteisiin, jotka eivät kuulu tärkeisiin tai kriittisiin tuotekategorioihin. Soveltuu myös tärkeisiin Class I -tuotteisiin, jos harmonisoitua standardia on sovellettu.
Moduuli B+C (EU-tyyppitarkastus): Ilmoitettu laitos arvioi tuotteen suunnittelun ja kehityksen sekä yhden näytekappaleen tai mallin. Ilmoitettu laitos suorittaa myös tarvittavat testit. Pakollinen tärkeille Class I -tuotteille ilman harmonisoitua standardia, tärkeille Class II -tuotteille ja kriittisille tuotteille.
Moduuli H (täysi laadunvarmistus): Valmistaja toteuttaa kattavan laadunhallintajärjestelmän, joka kattaa suunnittelun ja tuotannon. Ilmoitettu laitos arvioi järjestelmän kokonaisuutena. FAQ toteaa, että tämä voi olla erityisen hyödyllinen valmistajille, jotka saattavat markkinoille useita tuotetyyppejä tai tuotteita, joihin tehdään usein päivityksiä.
Riskiarviointimenetelmä: vapaus valita
FAQ tarkentaa, että CRA ei määrää tiettyä riskiarviointimenetelmää. Valmistaja voi valita käyttämänsä metodologian. Riskiarvioinnin on kuitenkin katettava kaikki relevantit riskit ja tuettava dokumentointia, joka mahdollistaa markkinavalvontaviranomaisten todentamisen siitä, miten riskit on tunnistettu, arvioitu ja lievennetty.
Mitä seuraavaksi?
Komissio valmistelee CRA:n artiklan 26 mukaista virallista ohjeistusta, joka julkaistaan tulevien kuukausien aikana.
Harmonisoidut standardit ovat valmisteilla. Komissio on pyytänyt eurooppalaisia standardointijärjestöjä (CEN, CENELEC, ETSI) kehittämään 41 harmonisoitua standardia CRA:n tueksi: 15 horisontaalista standardia ja 26 tuotekohtaista standardia.
ENISA:n ylläpitämä Single Reporting Platform tulee olemaan toiminnassa 11.9.2026 mennessä, jolloin raportointivelvoitteet alkavat.
Lähde: FAQs on the Cyber Resilience Act (European Commission 3.12.2025)
