EU-kyberturvallisuusasetus
CRA on EU:n kyberturvallisuusasetus, joka asettaa pakolliset vaatimukset verkkoon kytkeytyville laitteille ja niihin liittyville ohjelmistoille. Tämä sivu kokoaa yhteen sen, mitä jokaisen laitevalmistajan täytyy tietää soveltuvuudesta vaatimuksiin ja aikatauluihin.
Nyt
Asetus tuli voimaan joulukuussa 2024. Siirtymäajat ovat käynnissä.
11.9.2026
Raportointivelvoitteet alkavat. Vakavat haavoittuvuudet raportoitava 24 h sisällä ENISAlle.
11.12.2027
Cyber Resilience Act (CRA) on EU:n asetus, joka tuli voimaan joulukuussa 2024. Se tuo pakolliset kyberturvallisuusvaatimukset lähes kaikille verkkoon tai toisiin laitteisiin kytkeytyville laitteille sekä niihin liittyville ohjelmistoille. Tavoitteena on tehdä tietoturvasta yhtä tärkeä osa tuotekehitystä kuin tuoteturvallisuus ja laatu.
Toisin kuin direktiivit, CRA on asetus, joka on suoraan voimassa kaikissa EU-jäsenmaissa sellaisenaan, ilman kansallista toimeenpanoa. Valmistajien velvollisuudet ovat siis yhtenäiset koko EU:n alueella.
CRA
Koskee tuotteita ja niiden valmistajia. Jos valmistat tai myyt verkkoon kytkeytyviä laitteita tai ohjelmistoja EU-markkinoilla, CRA koskee sinua.
NIS2
Koskee kriittisten toimialojen toimijoita ja palveluntarjoajia (kuten energia, rahoitus). NIS2 velvoittaa organisaatioita, ei tuotteita.
Käytännössä EU:ssa ei voi enää myydä verkkoyhteyksillä varustettuja laitteita ilman, että jompikumpi asetus koskee niitä: valmistajaa sitoo CRA, palveluntarjoajaa NIS2.
CRA koskee laitteita ja ohjelmistoja, joiden tarkoitettu tai ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran yhteyden internetiin tai toiseen verkkoon liitettyyn laitteeseen. Yrityksen koolla ei ole merkitystä.
Soveltuvuus arvioidaan aina kokonaisuutena, ei pelkän laitteen perusteella. Kokonaisuuteen kuuluvat laite, siihen sisältyvät ohjelmistot ja komponentit sekä valmistajan tarjoamat palvelut, jotka ovat tuotteen toiminnan kannalta välttämättömiä.
CRA todennäköisesti koskee teitä, jos:
CRA ei koske:
Näihin sovelletaan NIS2:ta.
Selvitä tilanne nopeasti kyselyn kautta. Jätä yhteydenottopyyntö, jos kaipaat apua vaatimusten täyttämiseksi.
CRA asettaa vaatimuksia koko tuotteen elinkaaren ajalle suunnittelusta ylläpitoon ja käytöstä poistamiseen. Vaatimukset perustuvat riskiperusteiseen lähestymistapaan, eli mitä suurempi riski, sitä tiukemmat vaatimukset.
Voimaan 11.9.2026
Vakavista aktiivisesti hyväksikäytetyistä haavoittuvuuksista on ilmoitettava ENISA:lle ja CSIRT-toimijoille 24 tunnin kuluessa siitä, kun valmistajalla on riittävä varmuus tilanteesta. Raportointi koskee myös vanhoja tuotteita, jotka on saatettu markkinoille ennen 11.12.2027.
Voimaan 11.12.2027
Tuotteen, siihen liittyvien ohjelmistojen ja pilvipalveluiden kyberturvallisuusriskit on arvioitava ja dokumentoitava. Tämä on kaiken muun lähtökohta. CRA ei määrää tiettyä menetelmää, vaan valmistaja voi valita sen itse, kunhan arviointi kattaa kaikki relevantit riskit ja on viranomaisten todennettavissa.
Voimaan 11.12.2027
Valmistajan on tarjottava tietoturvapäivityksiä vähintään viiden vuoden ajan markkinoille saattamisesta. Jos tuotteen odotettu käyttöikä on pidempi tukijakson on heijastettava tätä. Kaikkia haavoittuvuuksia ei tarvitse paikata päivityksellä, vaan valmistaja arvioi riskin ja valitsee sopivat toimenpiteet.
Voimaan 11.12.2027
Tuotteen on estettävä luvattoman ohjelmiston käynnistäminen. Tähän liittyy tyypillisesti Secure Boot ja Chain of Trust -ratkaisut. Salausavaimet ja identiteetit on suositeltavaa tallentaa erilliseen turvamoduuliin kuten Secure Elementiin tai HSM:ään, joka estää hyökkääjiä väärinkäyttämästä tietoja, vaikka ohjelmisto vaarantuisi. Lisäksi tuote ei saa kerätä tarpeettomia tietoja.
Voimaan 11.12.2027
Valmistajan vastuu ulottuu myös kolmannen osapuolen komponentteihin. Due diligence -velvoite edellyttää käytännössä esimerkiksi komponentin päivityshistorian tarkistamista, haavoittuvuustietokantojen läpikäyntiä, Software Composition Analysis -analyysiä ja SBOM:n (Software Bill of Materials) tarkistamista. Due diligencen laajuus riippuu komponentin riskitasosta.
Voimaan 11.12.2027
CRA edellyttää kattavaa dokumentaatiota tuotteen tietoturvasta osana CE-merkintäprosessia. Alkuperäistä suunnittelu- tai testausdokumentaatiota ei tarvitse rekonstruoida, jos se ei ole enää saatavilla. Riittää, että nykyinen riskiarviointi on dokumentoitu ja siitä käy ilmi, miten tunnistettuja riskejä lievennetään.
CRA tunnistaa kolme eri arviointimenetelmää sen mukaan, mihin tuoteluokkaan tuote kuuluu. Suurin osa laitteista kuuluu oletusluokkaan, jossa valmistaja voi tehdä itsearvioinnin.
Moduuli A
Valmistaja arvioi itse tuotteen vaatimustenmukaisuuden. Soveltuu kaikille tuotteille, jotka eivät kuulu tärkeisiin tai kriittisiin kategorioihin. Myös tärkeille Class I -tuotteille, jos harmonisoitua standardia on sovellettu.
Moduuli B + C
Ilmoitettu laitos arvioi tuotteen suunnittelun ja kehityksen sekä näytekappaleen. Pakollinen tärkeille Class I -tuotteille ilman harmonisoitua standardia sekä Class II -tuotteille ja kriittisille tuotteille.
Moduuli H
Valmistaja toteuttaa kattavan laadunhallintajärjestelmän, jonka ilmoitettu laitos arvioi kokonaisuutena. Hyödyllinen valmistajille, joilla on useita tuotetyyppejä tai tuotteita, joihin tehdään usein päivityksiä.
Seuraukset voivat olla vakavia. Valvontaviranomaisilla on toimivalta kieltää tuotteen myynti EU-alueella ja määrätä merkittäviä sakkoja.
Sakkosumma 15 M€ tai 2,5 % liikevaihdosta sen mukaan, kumpi on suurempi.
Tuotteen myyntikielto EU-alueella astuen voimaan välittömästi.
Erityisesti tietoturvaloukkauksen yhteydessä vaikutukset voivat olla pitkäkestoiset.
Raportointivelvoite alkaa syyskuussa 2026. Sen täyttäminen edellyttää prosesseja, joilla haavoittuvuudet tunnistetaan ja joilla tieto kulkee oikeille tahoille 24 tunnin sisällä.
Siirtymäaika päättyy joulukuussa 2027, mutta valmistautuminen kannattaa aloittaa nyt. Erityisesti riskianalyysit, dokumentaation rakentaminen ja sisäisten prosessien uudistaminen vievät aikaa.
On myös hyvä huomata, että raportointivelvoite koskee kaikkia CRA:n piiriin kuuluvia tuotteita. Myös niitä, jotka on saatettu markkinoille ennen vuotta 2027. Vanhan tuotteen olemassaolo ei poista velvoitetta.
Teemme kanssasi selkeän arvion siitä, koskeeko CRA tuotettanne, mikä nykytilanne on suhteessa vaatimuksiin, ja mitä kannattaa tehdä ja missä järjestyksessä. Arviointi etenee ennakkokyselyn ja kahden puolipäiväisen työpajan kautta selkeäksi dokumentaatioksi: gap-raportti, priorisoitu toimenpidelista ja tiekartta aikatauluineen.
Hinta alkaen 4 700 € (+ alv)
Kyllä. CRA koskee käytännössä kaikkia laitteita, jotka yhdistyvät suoraan tai epäsuorasti internetiin tai toiseen verkkoon kytkettyyn laitteeseen. IoT-laitteet, sulautetut järjestelmät ja niihin liittyvät ohjelmistot kuuluvat asetuksen piiriin. Soveltuvuus arvioidaan kokonaisuutena: laite, siihen sisältyvä ohjelmisto ja valmistajan etätietojenkäsittelyratkaisut.
CRA on tullut voimaan joulukuussa 2024.
11.9.2026 alkavat raportointivelvoitteet: vakavista haavoittuvuuksista on ilmoitettava ENISAlle 24 tunnin kuluessa.
11.12.2027 kaikki muut vaatimukset astuvat täysimääräisesti voimaan.
Sakko voi nousta jopa 15 miljoonaan euroon tai 2,5 prosenttiin liikevaihdosta sen mukaan, kumpi on suurempi. Lisäksi tuotteen myynti EU-alueella voidaan kieltää. Mainehaitat voivat olla pitkäkestoisia, erityisesti jos kyse on tietoturvaloukkauksesta, johon olisi voitu varautua.
CRA koskee sekä laitteita että ohjelmistoja. Jos ohjelmisto on välttämätön laitteen toiminnalle, se katsotaan osaksi samaa tuotetta, vaikka se toimitettaisiin erikseen esimerkiksi sovelluskaupan tai latauslinkin kautta. Myös valmistajan ylläpitämät pilvipalvelut voivat kuulua asetuksen piiriin, jos laite ei toimi ilman niitä.
Vähintään viisi vuotta markkinoille saattamisesta, mutta se ei ole automaattinen oletusarvo kaikille tuotteille. Jos tuotteen odotetaan olevan käytössä pidempään, tukijakson on heijastettava todellista käyttöikää. Erityisesti teollisuuden ohjausjärjestelmät ja verkkolaitteet ovat usein käytössä merkittävästi pidempään. Tukijakson päättymispäivä on ilmoitettava ostajalle selkeästi ostohetkellä.
Ei. Valmistajan ei tarvitse toimittaa päivitystä jokaiseen haavoittuvuuteen. Kun haavoittuvuus löytyy, valmistajan on arvioitava sen aiheuttama riski. Toimenpiteet voivat olla esimerkiksi ohjelmistopäivitys, ohjeistus kiertoratkaisusta, käyttöohjeiden päivitys tai vaikuttavan toiminnon poistaminen käytöstä konfiguraatio-ohjeistuksella. Oleellista on, että päätös ja sen perusteet on dokumentoitu.
Kyllä, mutta ei ilman toimenpiteitä. Tuotteet, jotka on suunniteltu ennen CRA:n voimaantuloa, voidaan saattaa markkinoille ilman täyttä uudelleensuunnittelua. Valmistajan on kuitenkin tehtävä kyberturvallisuuden riskiarviointi ja kyettävä osoittamaan, että tuote täyttää olennaiset vaatimukset nykyisessä muodossaan. Alkuperäistä dokumentaatiota ei tarvitse rekonstruoida, vaan riittää, että nykyinen tilanne on arvioitu ja dokumentoitu.
Valmistaja voi integroida avoimen lähdekoodin komponentteja, vaikka niillä ei olisi CE-merkintää. Valmistajan on kuitenkin tehtävä due diligence varmistaakseen, etteivät nämä komponentit vaaranna tuotteen kyberturvallisuutta. Käytännössä tämä tarkoittaa esimerkiksi haavoittuvuustietokantojen tarkistamista, Software Composition Analysis -analyysiä ja komponentin päivityshistorian arviointia.
Cyber Resilience Act (CRA) on EU:n uusi kyberturvallisuusasetus, joka tuo pakolliset vaatimukset lähes kaikille suoraan tai epäsuorasti verkkoon tai toisiin laitteisiin yhdistettäville laitteille sekä niihin liittyville ohjelmistoille.
Euroopan komissio julkaisi 3. joulukuuta 2025 ensimmäisen virallisen FAQ-dokumentin Cyber Resilience Actin (CRA) toimeenpanosta. Kyseessä on ensimmäinen virallinen tulkintaohje sen jälkeen, kun asetus julkaistiin marraskuussa 2024.
Euroopan komissio julkaisi 3.3.2026 ohjeistuksen luonnoksen, jonka tarkoituksena on auttaa yrityksiä soveltamaan EU:n Cyber Resilience Act -asetusta (CRA) käytännössä.
Head of Sales
juho.arkkola@qalmari.fi
+358 40 560 2336