CRA: mitä jokaisen laitevalmistajan täytyy tietää EU:n kyberkestävyysasetuksesta?

Mikä on Cyber Resilience Act?

Cyber Resilience Act (CRA) on EU:n uusi kyberturvallisuusasetus, joka tuo pakolliset vaatimukset lähes kaikille suoraan tai epäsuorasti verkkoon tai toisiin laitteisiin yhdistettäville laitteille sekä niihin liittyville ohjelmistoille. Asetuksen tavoitteena on tehdä tietoturvasta yhtä tärkeä osa tuotekehitystä kuin tuoteturvallisuus ja laatu.

Asetus velvoittaa valmistajia huomioimaan tietoturvan koko tuotteen elinkaaren ajan suunnittelusta ylläpitoon ja haavoittuvuuksien raportointiin asti. 

CRA täydentää muuta EU-sääntelyä, kuten NIS2-direktiiviä ja radiolaitedirektiiviä (Radio Equipment Directive, RED). Toisin kuin direktiivit, CRA on suoraan voimassa kaikissa jäsenmaissa sellaisenaan. Tämä tarkoittaa, että valmistajien velvollisuudet ovat yhtenäiset koko EU:n alueella, eikä jäsenmailla ole mahdollisuutta soveltaa vaatimuksia eri tavalla.

Koskeeko tämä teitä?

Jos valmistatte tai myytte tuotetta, jonka tarkoitettu tai ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran yhteyden internetiin tai toiseen verkkoon liitettyyn laitteeseen, CRA todennäköisesti koskee teitä yrityksen koosta riippumatta.

CRA ei rajoitu pelkkään laitteeseen, vaan kattaa myös siihen liittyvät ohjelmistot ja komponentit sekä valmistajan tarjoamat palvelut, jotka ovat tuotteen toiminnan kannalta välttämättömiä. Tämä sisältää myös valmistajan vastuulla olevat etätietojenkäsittelyratkaisut (remote data processing solutions), kuten esimerkiksi pilvipalvelun, jota ilman IoT-laite ei toimisi.

On tärkeää huomata ero:

  • Kuuluu CRA:n piiriin, jos kyseessä on valmistajan suunnittelema ja ylläpitämä etätietojenkäsittelyratkaisu, joka on välttämätön tuotteen toiminnalle (esim. laitteen ohjaus valmistajan pilven kautta).
  • Ei kuulu CRA:n piiriin, jos kyse on yleisestä, valmistajasta riippumattomasta SaaS-/PaaS-/IaaS-palvelusta tai verkkosivusta. Tällöin sovelletaan NIS2-direktiiviä eikä CRA:ta.

Soveltuvuutta ei siis arvioida pelkän laitteen perusteella, vaan kokonaisuutena: laite + siihen sisältyvä ohjelmisto/komponentit + valmistajan etätietojenkäsittelyratkaisut.

CRA ei myöskään koske tuotteita, joille on jo oma erillinen EU-lainsäädäntö, kuten lääkinnälliset laitteet, puolustustarkoituksiin valmistetut tuotteet tai muut erikseen säädellyt kriittiset tuotekategoriat.

Miten CRA eroaa NIS-direktiivistä?

NIS2-direktiivi velvoittaa kriittisten toimialojen (energia, rahoitus, terveydenhuolto jne.) toimijoita ja pilvipalveluntarjoajia. CRA puolestaan kohdistuu itse tuotteisiin ja niiden valmistajiin. Käytännössä EU:n alueella ei voi enää myydä verkkoyhteyksillä varustettuja laitteita, jotka eivät kuulu jomman kumman sääntelyn piiriin: valmistaja CRA:n ja palveluntarjoaja NIS2:n.

NIS2 siis koskee palveluja ja operaattoreita. CRA taas velvoittaa laitteiden ja ohjelmistojen valmistajia.

Mitä tuotteelta vaaditaan?

CRA asettaa vaatimuksia, jotka perustuvat riskiperusteiseen lähestymistapaan: mitä suurempi riski, sitä tiukemmat vaatimukset.

CRA:n keskeisiä vaatimuksia ovat mm.:

  • Riskianalyysi: Arvioi tuotteen ja siihen kiinteästi liittyvien ohjelmistojen ja pilvipalveluiden kyberturvallisuusriskit ja dokumentoi toimenpiteet. Tämä on CRA-vaatimusten lähtökohta.
  • Tietojen suojaaminen: Suojaa käsiteltävät tiedot ja minimoi tarpeeton tiedonkeruu.
  • Järjestelmän eheys: Estä luvattoman ohjelmiston käynnistäminen. Tähän liittyy tyypillisesti Secure Boot / Chain of Trust –ratkaisut.
  • Tietoturvapoikkeamien käsittely ja raportointi: 11.9.2026 alkaen valmistajan on ilmoitettava vakavista haavoittuvuuksista ENISA:lle (EU:n kyberturvallisuusvirasto) 24 tunnin kuluessa ja julkaistava korjaus ilman aiheetonta viivästystä.
  • Toimitusketjun hallinta: Valmistajan vastuu ulottuu myös toimittajiin ja alihankkijoihin.
  • Tekninen dokumentaatio: CRA edellyttää dokumentointia tuotteen tietoturvasta, ja se on osa CE-merkintään vaadittavaa vaatimustenmukaisuutta.

Monet CRA:n vaatimuksista, kuten ohjelmiston alkuperän todennus, Secure Boot ja tietojen salaus, edellyttävät avainten hallintaa. Avainten suojaus laitteistotasolla on olennaista, ja valmistajalla tulee olla myös mekanismit avainten päivittämiseen sekä vaarantuneiden avainten mitätöimiseen (blacklistaus). Salausavaimet ja identiteetit kannattaa tallentaa erilliseen turvamoduuliin, kuten Secure Elementiin tai HSM:ään. Tämä estää hyökkääjiä lukemasta tai väärinkäyttämästä tietoja, vaikka ohjelmisto vaarantuisi. Avainten suojaaminen laitteistotasolla on olennaista CRA-vaatimusten täyttämisessä.

Mitä tapahtuu, jos CRA:n vaatimuksia ei noudateta?

Jos tuotteesi ei täytä vaatimuksia, seuraukset voivat olla vakavat: 

  • Sakkosumma voi kohota merkittäväksi (jopa 15 miljoonaa euroa tai 2,5 % liikevaihdosta, jos se on suurempi)
  • Tuotteen myynti EU-alueella kielletään
  • Mainehaitat

Milloin CRA:n vaatimukset astuvat voimaan?

  • CRA on tullut voimaan joulukuussa 2024
  • Tietoturvapoikkeamien raportointivelvollisuus alkaa 11.9.2026
  • Kaikkien tuotteiden on oltava vaatimusten mukaisia 11.12.2027, jolloin siirtymäaika päättyy
CRA koskee uusia tuotteita ja EU:n markkinoilla jo olevia tuotteita, joiden elinkaari jatkuu säädöksen siirtymäajan yli.

Miksi kannattaa toimia nyt?

CRA edellyttää kyberturvallisuuden huomioimista koko tuotteen elinkaaren ajan. Tämä alkaa valmistuksesta ja jatkuu aina käytöstä poistoon saakka.

Valmistajan on tarjottava tietoturvapäivityksiä vähintään viiden vuoden ajan markkinoille saattamisesta tai siihen asti, kun tuote poistuu markkinoilta, jos tämä tapahtuu aiemmin. Suojausten on katettava myös avainten generointi, päivityskäytännöt ja laitteen turvallinen käytöstäpoisto. Elinkaariajattelu vaatii kokonaisuuden hallintaa, ei vain yksittäisiä korjauksia.

CRA:n edellyttämien muutosten toteuttaminen vie aikaa. Erityisesti riskianalyysit, dokumentaation laatiminen ja hallintaprosessien rakentaminen kannattaa aloittaa hyvissä ajoin. Vaikka siirtymäaika päättyy vasta vuoden 2027 lopussa, suosittelemme aloittamaan valmistelut jo nyt.

Tarkistuslista: Onko CRA jo kunnossa?

Jos yksikin kohta mietityttää, on hyvä hetki toimia. 

  • Onko tuotteellenne tehty kyberturvallisuuden riskianalyysi ja dokumentoitu se?
  • Tiedättekö, mitä tietoja tuote kerää? Ja miksi juuri niitä?
  • Onko tuotteessa käytössä turvallinen käynnistysprosessi (Secure Boot, chain of trust), jossa jokainen vaihe varmentaa seuraavan (bootloader → firmware → käyttöjärjestelmä)
  • Onko tuotteessa selkeä suunnitelma ohjelmistopäivityksille ja tietoturvakorjauksille?
  • Pystyttekö havaitsemaan ja raportoimaan tietoturvaloukkaukset 24 tunnin sisällä?
  • Onko salausavainten hallinta turvallista, myös fyysisesti?
  • Tiedättekö mitä alihankkijoiden järjestelmissä tapahtuu?
  • Onko tekninen dokumentaatio CE-merkintää varten kunnossa?
  • Onko ohjelmistokehitysprosessinne hallittu ja toistettava, sisältäen CI/CD-käytännöt, buildien toistettavuuden, luotettavan allekirjoituksen ja selkeät julkaisu-/release-prosessit?

Qalmari auttaa varautumaan CRA:han

Me Qalmarilla autamme ohjelmistotuotteita ja IoT-laitteita valmistavia yrityksiä täyttämään CRA-vaatimukset selkeästi ja käytännönläheisesti. Puheen sijaan tarjoamme konkreettisia ratkaisuja.

Asiantuntijamme auttavat:

  • Tunnistamaan, miltä osin CRA voi koskea tuotettanne, mitä se tarkoittaa käytännön tasolla, sekä tekemään tarvittavat muutokset, jotta tuote vastaa vaatimuksia.
  • Tukemaan riskianalyysin ja dokumentaation laatimisessa osana tuotekehitystä.
  • Kyberturvallisuuden arkkitehtuurin kehittämisessä.
  • Tietoturvapäivityskäytäntöjen suunnittelussa.
  • Ilmoitusprosessien ja toimitusketjun hallinnan rakentamisessa.

Ota yhteyttä, niin katsotaan yhdessä, miten teidän kannattaa edetä.

Luitko jo nämä?

Ota yhteyttä niin jatketaan juttua!

Qalmarin Sales Lead Petri Karvinen.

Petri Karvinen

Sales Lead
petri.karvinen@qalmari.fi
+358 40 355 6689

Juho Arkkola

Head of Sales
juho.arkkola@qalmari.fi
+358 40 560 2336