
5 asiaa, jotka jokaisen tuotevalmistajan on tiedettävä ennen EU:n kyberkestävyyssäädöksen voimaantuloa
EU:n kyberkestävyyssäädös (Cyber Resilience Act, CRA) on ensimmäinen sitova eurooppalainen laki, joka velvoittaa valmistajat rakentamaan kyberturvallisuuden tuotteisiinsa jo suunnitteluvaiheesta lähtien. Mikä CRA on, ketä ja mitä se koskee, ja miksi SBOM on niin tärkeä? Tässä tiivistelmä erityisesti teollisuuslaitteiden valmistajille.
Pitkään valmistajat ovat voineet myydä verkkoon kytkettäviä tuotteita ilman juurikaan lakisääteisiä velvoitteita niiden turvallisuudesta. Kyberturvallisuutta on pidetty valinnaisena ominaisuutena, joka voidaan lisätä myöhemmin, tai sitä ei ole huomioitu lainkaan. Samaan aikaan kyberhyökkäykset verkkoon kytkettyihin järjestelmiin ovat lisääntyneet nopeasti.
EU loi kyberkestävyyssäädöksen (Avautuu uuteen välilehteen) muuttaakseen tätä tilannetta. Teollisuuslaitteita valmistaville yrityksille se tuo perustavanlaatuisia muutoksia siihen, miten tuotteita suunnitellaan, dokumentoidaan, tuetaan ja myydään EU:n alueella.
CRA tuli voimaan 10. joulukuuta 2024, ja sille annettiin kolmen vuoden siirtymäaika. Syyskuun 11. päivästä 2026 alkaen valmistajien on kuitenkin raportoitava hyväksikäytetyt haavoittuvuudet 24 tunnin kuluessa, myös jo markkinoilla olevien tuotteiden osalta. Lopullisen määräajan koittaessa täysi vaatimustenmukaisuus tulee pakolliseksi.
1. CRA koskee digitaalisia elementtejä sisältäviä tuotteita
CRA kattaa kaikki EU:n markkinoille tuotavat digitaalisia elementtejä sisältävät tuotteet, jotka voivat kytkeytyä suoraan tai välillisesti laitteeseen tai verkkoon. Se koskee laitteistoja, kuten ajureita, PLC-ohjaimia, robotteja ja antureita, itsenäisiä ohjelmistoja, kuten SCADA-ohjelmistoja ja konfigurointityökaluja, sekä etäkäsittelyratkaisuja, kuten pilvipalveluita.
Asetus koskee valmistajien lisäksi myös EU:n ulkopuolisten valmistajien valtuutettuja edustajia, maahantuojia ja jakelijoita. Kaikkien näiden on varmistettava, että tuotteet täyttävät CRA:n vaatimukset. Ilman todennettua CRA-vaatimustenmukaisuutta CE-merkintää ei saa käyttää, eikä tuotetta voi tuoda EU:n markkinoille.
2. Kyberkestävyyssäädöksen turvallisuusvaatimukset alkavat suunnittelusta
CRA perustuu kolmeen periaatteeseen: turvallisuus suunnittelusta lähtien (security by design) ja oletusarvoisesti (security by default), koko tuotteen elinkaaren ajan. Suunnitteluvaiheessa valmistajien on arvioitava turvallisuusriskit ja suunniteltava tuote niin, että riskit pienenevät.
Kun tuote lähtee tehtaalta, sen on oltava valmiiksi turvallisessa tilassa ilman, että asiakkaan tarvitsee tehdä lisätoimenpiteitä. Valmistajien on tarjottava päivityksiä vähintään viiden vuoden ajan myynnin jälkeen, tai pidempään, jos tuote on edelleen käytössä.
3. Teollisuuslaitteita valmistavat yritykset kohtaavat vaikeita haasteita
Kuluttajatuotteet vaihtuvat yleensä muutaman vuoden välein, mutta monien teollisuustuotteiden elinkaari voi kestää vuosikymmeniä. Tämä pakottaa valmistajat sitoutumaan pitkäaikaiseen turvallisuustukeen myös vanhemmille laitteille. Tämä on suuri muutos nykyisiin käytäntöihin verrattuna.
Monimutkaiset sulautetut ohjelmistot ja toimitusketjujen riippuvuudet lisäävät haastetta entisestään. Suuren riskin tuotteet, kuten kriittisessä infrastruktuurissa käytettävät laitteet, saattavat vaatia myös ulkopuolisen tahon tekemän auditoinnin.
4. CRA-vaatimustenmukaisuus edellyttää dokumentaatiota
Kaikkien tuotteiden on täytettävä noin kymmenkunta turvallisuusvaatimusta, ja vaatimustenmukaisuus on osoitettava dokumentaatiolla. Valmistajien on tehtävä kyberturvallisuuden riskiarviointeja. Heidän on myös laadittava ja ylläpidettävä tuotteen suunnittelua ja turvallisuusarkkitehtuuria koskevat tekniset asiakirjat vähintään 10 vuoden ajan.
Jokaisen tuotteen SBOM (ohjelmiston osaluettelo, Software Bill of Materials) kannattaa laatia huolella, sillä sitä tarvitaan viranomaisvalvonnassa, ja sen kokoaminen jälkikäteen vie aikaa. SBOM:n on oltava koneluettavassa, yleisesti käytetyssä muodossa. Se on myös välttämätön reaaliaikaisen haavoittuvuusraportoinnin kannalta, sillä sen avulla SBOM:ia voidaan verrata julkisiin haavoittuvuustietokantoihin.
Tarvitsetko apua CRA-dokumentaation, SBOM-valmiuden tai kyberturvallisuuden vaatimustenmukaisuuden arvioinnissa? Ota yhteyttä kyberturvallisuusasiantuntijoihimme
5. Kyberkestävyyssäädöksen rikkomisesta voi seurata ankaria seuraamuksia
Vaatimustenmukaisuuden laiminlyönti voi johtaa taloudellisiin sanktioihin, markkinoilta poissulkemiseen ja mainehaittaan.
Jos yritys ei täytä keskeisiä kyberturvallisuusvaatimuksia, sakko voi olla 15 miljoonaa euroa tai 2,5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi. Hyväksikäytettyjen haavoittuvuuksien myöhästyneestä raportoinnista sakko voi olla jopa 10 miljoonaa euroa. EU voi myös kieltää tuotteiden myynnin, määrätä ne vedettäväksi pois markkinoilta ja julkistaa rikkomukset.
Mitä valmistajien tulisi tehdä seuraavaksi?
- Aloita nykytilan kartoituksella, jotta näet mitä muutoksia tarvitaan
- Ota käyttöön prosessit, joilla varmistetaan, että uudet tuotteet täyttävät vaatimukset heti alusta alkaen
- Rakenna järjestelmät reaaliaikaiseen haavoittuvuuksien seurantaan ja poikkeamien raportointiin
Agenttinen tekoäly voi nopeuttaa vaatimustenmukaisuuden saavuttamista automatisoimalla SBOM:ien ja dokumentaation laatimista sekä tukemalla uhkamallinnusta ja tunkeutumistestausta.
Pelkkä teknologia ei kuitenkaan riitä. Nopein ja paras tapa edetä on tehdä yhteistyötä kumppanin kanssa, joka tuntee sekä CRA:n että teollisuustekniikan. Nyt on aika toimia.
Valmistaudutko EU:n kyberkestävyyssäädökseen? Etteplan auttaa tuotevalmistajia arvioimaan vaatimustenmukaisuuden puutteet, vahvistamaan kyberturvallisuusprosesseja ja nopeuttamaan valmiutta.

Kysy asiantuntijaltamme

SVP, Software and Embedded Solutions
