Tuotteiden kyberturvallisuus tulee EU:ssa pakolliseksi nopealla aikataululla
Suomalaiset yritykset nukkuvat huolestuttavan laajasti ruususen unta EU:n kyberturvallisuutta koskevan lainsäädännön kiristymisen kynnyksellä. Erityisesti teollisuudessa laitteiden uudelleensuunnittelulla alkaa olla kiire. EU:lta on tulossa lähivuosina peräti kymmenkunta kyberturvallisuutta koskevaa direktiiviä tai säädöstä. Jos niitä ei noudata, tuotteiden myynti muuttuu laittomaksi. Siksi päättäjien ja tuotekehittäjien niin laite- kuin ohjelmistoalalla pitää nyt perehtyä uusiin säädöksiin ja aloittaa niihin varautuminen pikaisesti.
Ensimmäisenä merkittäviä tiukennuksia tuo Radiolaitedirektiivi 1.8.2024 alkaen, koskien langattomia radioyhteyksiä sisältäviä laitteita, jopa langattomia kuulokkeita. Silloin nykyisten laitteiden myynti muuttuu pääosin laittomaksi, koska ne eivät täytä direktiivin kyberturvallisuuden vaatimuksia. Jos yritys haluaa jatkaa nykyisten langattomien laitteiden myyntiä EU:ssa, niille pitää hankkia uusien vaatimusten mukainen CE-merkintä.
Loppuvuodesta 2024 tulee voimaan NIS2-direktiivi. Se laajentaa merkittävästi yhteiskunnalle tärkeiden toimijoiden listaa kattamaan esimerkiksi sähkölaitteiden valmistuksen, kemianteollisuuden ja ICT-palvelut. Periaatteessa NIS2 koskee vain keskikokoisia ja isoja yrityksiä, joita se velvoittaa ottamaan käyttöön tietoturvallisuuden johtamisjärjestelmät. Käytännössä vaatimukset kohdistuvat myös lukuisiin pienyrityksiin, koska suurempien yritysten pitää edellyttää myös alihankkijoiltaan tietoturvallisuuden takaavia prosesseja.
Vieläkin laaja-alaisempi on vuosina 2025-26 voimaan tuleva kyberresilienssisäädös. Se kosk tuotteita, joilla on digitaalinen ulottuvuus eli käytännössä lähes kaikkia uusia laitteita ja ohjelmistoja sekä monia elektroniikka- ja ohjelmistokomponentteja. Niiden pitää täyttää uudet kyberturvallisuuden CE-merkintävaatimukset.
On siis tärkeä huomata, kuinka nämä EU-sääntelyn muutokset vaativat huomiota ja toimenpiteitä yhtä lailla ohjelmistofirmoissa kuin teollisuuden laitevalmistajien parissa. Esimerkiksi ketterälle ohjelmistoyritykselle CE-merkintä voi olla vieras käsite.
Jos yritys vielä nukkuu, tiedossa on vakavia ongelmia jo siksi, että lainsäädännön hallitsevista ihmisistä ja sen käytännön toteuttajista on huutava pula. Uutta opittavaa on paljon.
Nyt onkin hyvä hetki etsiä oikeat kumppanit ja käydä yhdessä läpi, mitä muuttuvan sääntelyn vuoksi pitää tehdä. Vaatimuksista on tärkeää avata keskustelu omien alihankkijoiden ja päämiesten kanssa.
Ryhtymällä uuden kyberlainsäädännön vaatimiin toimenpiteisiin ajoissa, yritys varmistaa jatkuvuuden tuotteiden ja palveluiden myynnille ilman katkoksia. Lisäksi vaatimukset täyttävä yritys pelastaa itsensä rikosoikeudelliselta vastuulta ja merkittäviltä hallinnollisilta sakoilta, jos sen valmistamia tuotteita liittyy vahinkoa aiheuttavaan kyberhyökkäykseen.