Selkeä suunnitelma CRA-vaatimusten täyttämiseen

Cyber Resilience Act vaatii laitevalmistajilta toimenpiteitä, mutta harva tietää, mistä aloittaa. CRA-valmiusarvioinnissa selvitämme kanssasi nykytilanteen ja teemme selkeän suunnitelman siitä, mitä kannattaa tehdä ja missä järjestyksessä.

Hinta alkaen 4 700 € (+ alv)

Mitä saat CRA-valmiusarvioinnista?

Selkeän arvion siitä, koskeeko CRA tuotettanne ja missä laajuudessa.
Nykytilannekuvan suhteessa CRA:n vaatimuksiin, jäsenneltynä keskeisiin osa-alueisiin.
Priorisoidun toimenpidelistan, jossa on huomioitu CRA:n aikataulut ja pakolliset vaatimukset.
Konkreettisen tiekartan CRA-vaatimusten täyttämiseksi.

CRA-valmiusarviointi tiivistää hajallaan olevan tiedon ymmärrettäväksi kokonaiskuvaksi ja tekee CRA-työstä hallittavaa: tiedätte, mitä pitää tehdä, missä järjestyksessä ja kenen toimesta.

Kenelle CRA-valmiusarviointi on tarkoitettu?

CRA koskee monia tuotteita, mutta vaikutukset eivät ole kaikille samanlaisia. Valmiusarviointi on hyödyllinen organisaatioille, jotka:

valmistavat tai myyvät verkkoon tai muihin laitteisiin kytkeytyviä laitteita EU-markkinoilla.
kehittävät IoT-tuotteita, sulautettuja järjestelmiä tai niihin liittyviä ohjelmistoja.
ovat tehneet jo paljon tietoturvan eteen, mutta CRA tuo uuden viitekehyksen, johon nykyiset käytännöt pitää suhteuttaa.
tietävät CRA:n olevan tulossa, mutta eivät vielä tiedä (tai ehdi selvittää) mitä se tarkoittaa juuri heidän tuotteelleen.
haluavat aloittaa valmistelut hallitusti, ilman että CRA-työ muuttuu viime hetken kriisiksi.

CRA:n aikataulut

CRA:n raportointivelvoitteet alkavat 11.9.2026, ja kaikki vaatimukset astuvat voimaan 11.12.2027.

Käytännössä tämä tarkoittaa, että valmistautuminen kannattaa aloittaa hyvissä ajoin. CRA edellyttää muutoksia sekä teknisiin ratkaisuihin, dokumentaatioon että sisäisiin prosesseihin, ja kaikkea ei voi tehdä kerralla.

Monelle tuotekehitystiimille suurin haaste ei ole yksittäinen tekninen vaatimus, vaan kokonaisuuden hahmottaminen: mitä kaikkea CRA edellyttää ja missä järjestyksessä asioita kannattaa tehdä.

Selvitä minuutissa, koskeeko CRA tuotettanne

Kahdessa minuutissa voit kuvailla tilannettasi tarkemmin, ja otamme yhteyttä jatkokeskustelua varten.

Näin CRA-valmiusarviointi etenee

CRA-valmiusarviointi voidaan tyypillisesti toteuttaa muutamassa viikossa lähtötietojen saatavuudesta riippuen.

1. Ennakkotiedot ja aloituskeskustelu

Keräämme ennakkokyselyn avulla keskeiset lähtötiedot arvioitavasta tuotteesta. Ennakkokyselyn yhteydessä pyydämme myös mahdollisesti muita arvioinnin kannalta keskeisiä materiaaleja työpajan valmistelua varten.

2. Työpaja nro 1

Puolen päivän strukturoidussa työpajassa käymme läpi CRA:n keskeiset vaatimukset järjestelmällisesti ja muodostamme perustan CRA-valmiusarvioinnille.

3. Työpaja nro 2

Toisessa puolen päivän työpajassa syvennymme ensimmäisessä työpajassa tunnistettuihin osa-alueisiin. Käymme läpi dokumentaation ja prosessien nykytilan sekä tarkennamme kokonaiskuvaa gap-analyysiä varten.

4. Tiekartta ja toimenpiteet

Yhdistämme kaiken saamamme ennakkotiedon, oman analyysimme sekä CRA:n vaatimukset. Saat selkeän dokumentaation, joka kokoaa yhteen tiekartan, priorisoidun toimenpidelistan ja kustannusarvion toteutuksesta.

5. Läpikäynti ja luovutus

Käymme raportin läpi yhdessä ja varmistamme, että kokonaisuus on selkeä. Sovimme tarvittaessa jatkosta.

Lopputuloksena selkeä tilannekuva ja etenemissuunnitelma

Tämän kokonaisuuden avulla tiedätte mitä CRA:n suhteen pitää tehdä, missä järjestyksessä ja millä resursseilla.

CRA-soveltuvuusarvio

Kirjallinen arvio siitä, kuuluuko tuotteenne CRA:n piiriin, mihin tuoteluokkaan se kuuluu ja mitkä vaatimukset koskevat juuri teidän tuotettanne.

CRA gap-raportti

Nykytilanne verrattuna CRA:n keskeisiin vaatimuksiin jäsenneltynä kolmelta osa-alueelta: tekniset ratkaisut, dokumentaatio ja sisäiset prosessit. Arvio perustuu materiaaleihin ja työpajoihin.

Priorisoitu toimenpidelista

Mitä kannattaa tehdä ennen 11.9.2026 ja mitä ennen 11.12.2027. Jokaiselle toimenpiteelle arvio toteutuksen laajuudesta ja tarvittavasta osaamisesta.

Jatkoehdotus

Selkeä näkemys siitä, mitä seuraavaksi kannattaa tehdä ja miten pääsette sinne.

CRA-valmiusarviointi alkaen 4 700€ (+ alv)

Hinta koskee yhden tuotteen arviointia. Jos tuotekokonaisuuksia on useampia, niistä sovitaan erikseen. Lopullinen kiinteä hinta sovitaan aina ennen aloittamista.

Varaa aika lyhyelle keskustelulle

Usein kysyttyjä kysymyksiä

Koskeeko CRA meidän tuotettamme?

Cyber Resilience Act koskee tuotteita, joiden tarkoitettu tai ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran yhteyden verkkoon tai toisiin laitteisiin. Tämä kattaa esimerkiksi IoT-laitteet, sulautetut järjestelmät sekä niihin liittyvät ohjelmistot ja valmistajan tarjoamat pilvipalvelut.

Jos soveltuvuus mietityttää, voimme käydä tilanteenne läpi lyhyessä keskustelussa.

Mitä CRA käytännössä vaatii laitevalmistajilta?

CRA edellyttää muun muassa:

tietoturvariskien arviointia
turvallista ohjelmistokehitystä
haavoittuvuuksien hallintaa ja raportointia
teknistä dokumentaatiota
turvallisia päivitysmekanismeja

Vaatimukset koskevat koko tuotteen elinkaarta.

Jos soveltuvuus mietityttää, voimme käydä tilanteenne läpi lyhyessä keskustelussa.

Onko CRA-valmiusarviointi sama asia kuin CRA-compliance?

Ei. CRA-valmiusarviointi ei yksin tee tuotteesta CRA-yhteensopivaa.

Arviointi antaa kuitenkin selkeän lähtöpisteen:

soveltuvuusarvion
nykytilannekuvan suhteessa CRA-vaatimuksiin
priorisoidun toimenpidelistan

Näiden pohjalta varsinainen compliance-työ voidaan toteuttaa hallitusti.

Kuinka kauan CRA-valmiusarviointi kestää?

Tyypillisesti noin 2–3 viikkoa ennakkomateriaalin keräämisestä valmiiseen raporttiin.

Aikataulu riippuu esimerkiksi tuotteen monimutkaisuudesta ja lähtötietojen saatavuudesta, mutta sovimme aikataulun etukäteen ja pidämme siitä kiinni.

Mitä jos meillä on useampi tuote?

Perushinta koskee yhden tuotteen arviointia.

Jos tuotteita on useita, voimme usein tarkastella tuoteperheen yhteisiä komponentteja, ohjelmistoja ja prosesseja samalla kertaa, mikä säästää aikaa ja kustannuksia.

Milloin CRA-vaatimukset astuvat voimaan?

CRA:n haavoittuvuuksien raportointivelvoitteet alkavat 11.9.2026.

Kaikkien CRA-vaatimusten tulee täyttyä 11.12.2027 mennessä.

Jos tuote on markkinoilla tämän jälkeen, sen on täytettävä vaatimukset koko elinkaarensa ajan.

Mitä tapahtuu CRA-arvioinnin jälkeen?

Arviointi tuottaa selkeän dokumentin, jonka pohjalta voitte edetä haluamallanne tavalla. Monet asiakkaat jatkavat Qalmarin kanssa toteutusvaiheeseen, mutta se ei ole valmiusarvioinnin edellytys.

Muutamia asiakkaitamme

Luitko jo nämä?

Miksi Secure Boot on välttämätön osa laiteturvallisuutta?

Jos laite voi käynnistää mitä tahansa koodia, se ei ole enää valmistajansa hallinnassa, vaan mahdollisen hyökkääjän. Secure Boot estää hyökkäykset varmistamalla, että laitteen käynnistyksessä hyväksytään vain valmistajan allekirjoittama ohjelmisto.

CRA: mitä jokaisen laitevalmistajan täytyy tietää EU:n kyberkestävyysasetuksesta?

Cyber Resilience Act (CRA) on EU:n uusi kyberturvallisuusasetus, joka tuo pakolliset vaatimukset lähes kaikille suoraan tai epäsuorasti verkkoon tai toisiin laitteisiin yhdistettäville laitteille sekä niihin liittyville ohjelmistoille.

Juho Arkkola

Head of Sales
juho.arkkola@qalmari.fi
+358 40 560 2336

Petri Karvinen

Sales Lead
petri.karvinen@qalmari.fi
+358 40 355 6689