Kyberkestävyyssäädös

11.12.2027 alkaen Euroopan unionissa saa saattaa markkinoille vain tuotteita, jotka täyttävät kyberkestävyyssäädöksen (CRA) vaatimukset. CRA sisältää ohjeet digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuudesta.

Mitä uusia vaatimuksia kyberkestävyyssäädös tuo mukanaan? Mitkä tuotteet kuuluvat CRA:n soveltamisalaan? Mitä yritysten on tehtävä? Olemme koonneet yhteen tärkeimmät tiedot.

Mikä on kyberkestävyyssäädös?

Kyberkestävyyssäädös (Cyber Resilience Act, CRA) on EU-asetus, jossa määritellään vaatimukset digitaalisia osia sisältäville tuotteille Industrial Securityn osalta. Kyseisten tuotteiden osalta on tehtävä perusteellinen tarkastelu ja mukautus. Tämä on pakollista, sillä joulukuusta 2027 alkaen markkinoille saa saattaa vain CRA-vaatimusten mukaisia tuotteita!

Milloin kyberkestävyyssäädös astuu voimaan?

CRA julkaistiin EU:n virallisessa lehdessä 20. marraskuuta 2024. Se tuli voimaan 10. 12.2024, ja sitä sovelletaan EU:ssa 11.12.2027 alkaen. Valmistajien velvollisuus ilmoittaa hyödynnetyistä haavoittuvuuksista tulee kuitenkin voimaan 11. syyskuuta 2026 alkaen CRA:n mukaisesti.

Mitä kyberkestävyyssäädöksessä tarkalleen ottaen vaaditaan?

CRA:n tavoitteena on suojella kuluttajia ja yrityksiä paremmin verkkohyökkäyksiltä. Kyberkestävyyssäädös sisältää siksi suuren määrän vaatimuksia valmistajille, maahantuojille ja vähittäismyyjille, joiden tuotteiden digitaaliset elementit pystyvät kommunikoimaan muiden tuotteiden kanssa. Tämä koskee sekä ohjelmistoja että laitteita. Tämä kattaa koko tuotteen elinkaaren eli tuotteen suunnittelun, kehittämisen, valmistuksen, toimituksen ja ylläpidon sekä koko sen käyttöiän asiakkaalla.

Onko kyberkestävyyssäädös asetus vai ohje?

Kyberkestävyyssäädös on EU-asetus, joten sitä sovelletaan kaikissa Euroopan unionin jäsenvaltioissa ilman, että se on saatettu osaksi kansallista lainsäädäntöä.

Mitkä tuotteet kuuluvat CRA:n soveltamisalaan?

CRA koskee komponentteja, erityisesti digitaalisia elementtejä sisältäviä tuotteita, joille vaaditaan vaatimustenmukaisuuden arviointi.

Kyberkestävyyssäädöstä (Cyber Resilience Act, CRA) sovelletaan kaikkiin tuotteisiin, jotka sisältävät digitaalisia komponentteja - kuten ohjelmistoja tai korkean riskin tekoälyjärjestelmiä - ja jotka on liitetty verkkoihin tai muihin laitteisiin. Siten kyberkestävyyssäädöksen luottoluokituslaitoksen soveltamisala on hyvin kattava, ja se kattaa muun muassa seuraavat tuoteryhmät:

• Teollisuuslaitteistot ja -ohjelmistot, kuten IoT-laitteet, ohjelmoitavat logiikkaohjaimet (PLC) ja anturit.
• Ohjelmistoratkaisut, kuten työpöytä-, verkko- ja mobiilisovellukset sekä käyttöjärjestelmät.
• Älylaitteet yksityiskäyttöön, sekä laitteistot että ohjelmistot.

Nämä tuotteet luokitellaan niiden riskipotentiaalin mukaan. Erityisesti kriittisissä infrastruktuureissa, teollisessa tuotannossa tai energia- ja teollisuussektoreilla käytettävät järjestelmät kuuluvat korkeampiin riskiluokkiin. Vaatimustenmukaisuuden arviointimenettelyä koskevat vaatimukset muuttuvat näiden tuotteiden osalta, koska niillä voi olla merkittävä vaikutus yleiseen turvallisuuteen ja talouden vakauteen.

Mitä on tehtävä? Mitä vaatimuksia yrityksille asetetaan?

Digitaalisia elementtejä sisältävien tuotteiden valmistajan on noudatettava CRA:n turvallisuusvaatimuksia. Tästä johtuvat tehtävät ovat riskianalyysin laatiminen sekä mahdollisten riskien vähentämiseksi tarvittavien toimenpiteiden määrittäminen ja toteuttaminen. On myös pakollista luoda ja ylläpitää riskinarviointia (ja myös turvallisuusriskien vähentämiseksi toteutettuja toimenpiteitä) koskevia asiakirjoja, jotka on säilytettävä vähintään 10 vuotta. Mahdollisten tietoturva-aukkojen jatkuva seuranta, turvallisuuspäivitysten ilmainen toimittaminen tuotteen tyypillisen käyttöiän (vähintään 5 vuotta) aikana ja havaittujen tietoturva-aukkojen ilmoittaminen 24 tunnin kuluessa ENISAlle ja tarvittaessa kansallisille viranomaisille ovat myös pakollisia.

Jopa tuotteet, jotka ovat jo CRA-vaatimusten mukaisia ja joita ei ole muutettu, on silti testattava ja arvioitava ymmärrettävien sääntöjen mukaisesti. Tarkastuksen tulokset dokumentoidaan, ja ne on säilytettävä kymmenen vuoden ajan. Lisäksi on laadittava ohjelmiston materiaaliluettelo ja osoitettava, että se on kehitetty ja testattu turvallisesti Industrial Securityn turvallisuuden mukaisesti.

Mitä EU:n vaatimustenmukaisuusvakuutus tarkoittaa CRA:n yhteydessä?

EU-vaatimustenmukaisuusvakuutuksen antaa jatkossakin valmistaja, ja siinä todetaan, että olennaisten kyberturvallisuusvaatimusten täyttyminen on osoitettu. Valmistajien kannalta tämä tarkoittaa: Riskinarviointia, haavoittuvuuden hallintaa ja dokumentointia koskevien vaatimusten täyttyminen varmistetaan vaatimustenmukaisuuden arvioinnilla. Jos kaikki vaatimukset täyttyvät, annetaan vaatimustenmukaisuusvakuutus. 

Onko edelleen olemassa EU-vaatimustenmukaisuusvakuutus kaikelle unionin lainsäädännölle?

Jos digitaalisia elementtejä sisältävään tuotteeseen sovelletaan useita Euroopan unionin säädöksiä, joista kukin edellyttää EU-vaatimustenmukaisuusvakuutusta, on annettava yksi EU-vaatimustenmukaisuusvakuutus kaikille unionin säädöksille. Tässä ilmoituksessa on täsmennettävä asiaa koskevat unionin säädökset ja niiden viittaukset Euroopan unionin virallisessa lehdessä.

Kuinka kauan EU-vaatimustenmukaisuusvakuutuksen on oltava saatavilla?

Valmistajan on laadittava kirjallinen vaatimustenmukaisuusvakuutus jokaisesta tuotemallista ja pidettävä se kansallisten viranomaisten saatavilla kymmenen vuoden ajan sen jälkeen, kun digitaalisia elementtejä sisältävä tuote on saatettu markkinoille, tai tukikauden ajan sen mukaan, kumpi on pidempi. Vaatimustenmukaisuusvakuutuksessa on ilmoitettava tuotemalli, jolle se on annettu. Vaatimustenmukaisuusvakuutuksen jäljennös annetaan pyynnöstä toimivaltaisten viranomaisten käyttöön.

Mitä eroa on kyberkestävyyssäädöksellä ja NIS 2:lla?

• CRA sisältää kyberturvallisuuden perusvaatimukset, jotka koskevat digitaalisia elementtejä sisältävien tuotteiden suunnittelua, kehittämistä ja valmistusta, sekä taloudellisten toimijoiden velvoitteet näiden tuotteiden osalta kyberturvallisuuden osalta.
• NIS-2-direktiivi on suunnattu yrityksille, ja se edellyttää, että ne toteuttavat organisatorisia ja teknisiä toimenpiteitä vähentääkseen Industrial Security -riskejä yrityksessä.
• Kyberturvallisuuden vahvistaminen EU:ssa Nämä kaksi säädöskokonaisuutta - CRA ja NIS 2 - täydentävät toisiaan käsittelemällä kyberturvallisuuden eri tasoja: CRA keskittyy tuoteturvallisuuteen, kun taas NIS 2:n tavoitteena on infrastruktuurien ja keskeisten palvelujen turvallisuus. Yhdessä ne edistävät merkittävästi kyberturvallisuuden kokonaisvaltaista parantamista Euroopan unionissa.

Pilz on jo useiden vuosien ajan järjestänyt kehitysprosessinsa IEC 62443-4-1 -standardin mukaisesti. Industrial Securityn perusstandardina tässä standardissa määritellään turvallinen tuotekehitys eli turvallisuuden kehittämisen elinkaariprosessi. TÜV Süd on tarkastanut ja vahvistanut kehitysprosessiemme vaatimustenmukaisuuden. Pilzin tuotekehitystyö tapahtuu turvallisesti ja suojatusti!

Tämä on tärkeää asiakkaillemme, sillä EU-asetuksen 2024/2847 - kyberkestävyyssäädös (CRA) myötä uuden koneasetuksen (EU-asetus 2023/1230) lisäksi toinen turvallisuutta koskeva asetus tulee pakolliseksi vuonna 2027.

Käytännössä tämä tarkoittaa: Olemassa olevat tuotteet jälkivarustetaan tarpeen mukaan, uusia tuotteita kehitetään CRA-vaatimustenmukaisuuden mukaisesti ja vaatimustenmukaisuus (CE-merkintä) mukautetaan sovellettavien eritelmien mukaisesti. Tuotteet, jotka eivät enää täytä eritelmiä, joko poistuvat markkinoilta tai jäävät saataville varaosina. Jälkimmäisessä tapauksessa niitä ei kuitenkaan saa enää käyttää uusissa asennuksissa.