Euroopan unionin Cyber Resilience Act (CRA, asetus EU 2024/2847) siirtyy juhlapuheista pakottavaksi velvoitteeksi. Kun asetuksen ensimmäinen kova takaraja, valmistajien ilmoitusvelvollisuus aktiivisesti hyödynnetyistä haavoittuvuuksista, astuu voimaan 11. syyskuuta 2026, suomalaisilla laite- ja ohjelmistovalmistajilla on enää noin kolme kuukautta aikaa rakentaa prosessit kuntoon. Pahimmillaan laiminlyönti maksaa 15 miljoonaa euroa tai 2,5 prosenttia maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi.
Asetus koskee käytännössä jokaista yritystä, joka tuo EU-markkinoille tuotteen, jossa on digitaalisia elementtejä, reitittimistä ja teollisuusantureista mobiilisovelluksiin ja avoimen lähdekoodin kirjastoihin. Suomessa valvonnasta vastaa Liikenne- ja viestintävirasto Traficom. Tässä uutisanalyysissä käymme läpi, mitä CRA tarkalleen vaatii, mitä se maksaa, miten se eroaa NIS2-direktiivistä ja mitä asiantuntijat ennustavat sen seurauksista Suomelle ja Pohjoismaille.
Mikä Cyber Resilience Act on ja miksi se säädettiin
Cyber Resilience Act on EU:n ensimmäinen horisontaalinen säädös, joka asettaa pakolliset kyberturvallisuusvaatimukset koko niiden tuotteiden elinkaarelle, joissa on digitaalisia elementtejä. Asetus astui voimaan 10. joulukuuta 2024. Siihen asti EU-markkinoilla on voinut myydä älylaitteita ja ohjelmistoja ilman, että valmistajalta vaadittaisiin todistettavaa kyberturvallisuuden perustasoa. Tulos on näkynyt vuosien ajan: vakiosalasanoilla varustettuja kameroita, päivittämättömiä reitittimiä ja IoT-laitteita, jotka on kaapattu botnet-verkkoihin.
CRA siirtää vastuun valmistajalle. Tuotteen on oltava turvallinen suunnittelultaan ja oletusasetuksiltaan (security by design and by default), valmistajan on tarjottava tietoturvapäivityksiä koko tuetun elinkaaren ajan, ja markkinoille pääsyn ehtona on todistettu vaatimustenmukaisuus. Asetus liittää kyberturvallisuuden osaksi olemassa olevaa CE-merkintäjärjestelmää: täysimääräisen soveltamisen jälkeen tuotetta, joka ei täytä CRA:n vaatimuksia, ei saa laillisesti saattaa EU-markkinoille.
Komissio on perustellut asetusta sillä, että digitaalisten tuotteiden haavoittuvuudet aiheuttavat merkittäviä taloudellisia vahinkoja koko sisämarkkinoilla ja että hajanainen kansallinen sääntely loisi esteitä. CRA:n tavoite on yhtenäistää vaatimukset niin, että sama tuote voidaan myydä kaikissa 27 jäsenmaassa yhdellä vaatimustenmukaisuuden osoituksella.
Aikataulu: kolme ratkaisevaa päivämäärää
CRA:n soveltaminen on porrastettu. Yritysten kannalta tärkeintä on tunnistaa kolme päivämäärää, joista keskimmäinen, syyskuun 2026 ilmoitusvelvollisuus, on nyt aivan ovella.
| Päivämäärä | Vaihe | Mitä velvoittaa |
|---|---|---|
| 10.12.2024 | Voimaantulo | Asetus tuli voimaan. Siirtymäkaudet alkoivat kulua. |
| 11.9.2026 | Ilmoitusvelvollisuudet | Valmistajien on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista: 24 tunnin ennakkovaroitus, 72 tunnin ilmoitus ja myöhempi loppuraportti. |
| 11.12.2027 | Täysimääräinen soveltaminen | Kaikki velvoitteet voimassa. Vaatimustenmukaisuus ja CE-merkintä ehto markkinoille pääsylle. |
Porrastus on tarkoituksellinen. Komissio antoi valmistajille kolme vuotta aikaa rakentaa tuotekehitysprosessit, dokumentaatio ja vaatimustenmukaisuuden arviointi kuntoon ennen kuin tuotteiden markkinointia aletaan rajoittaa. Ilmoitusvelvollisuus aikaistettiin kuitenkin erilleen, koska reaaliaikainen tieto aktiivisesti hyödynnetyistä haavoittuvuuksista olisi tehotonta vasta kahden vuoden päästä. Käytännössä tämä tarkoittaa, että vaikka tuotteesi ei vielä syyskuussa 2026 tarvitse CE-merkintää CRA:n nojalla, sinun on jo silloin osattava havaita ja raportoida hyökkäykset 24 tunnissa.
Suomalaisille pk-yrityksille aikataulu on tiukka. Monella valmistajalla ei vielä ole muodollista haavoittuvuuksien hallintaprosessia eikä yhteyspistettä kansalliseen CSIRT-toimijaan. Näiden rakentaminen kestää viikkoja, ja syyskuun takaraja ei jousta.
Sakot voivat nousta 15 miljoonaan euroon
CRA:n pakottavuus tulee sen sanktioista. Asetus määrittelee kolme sakkoluokkaa sen mukaan, kuinka vakavasta laiminlyönnistä on kyse. Jokainen yläraja ilmaistaan sekä euromääränä että prosenttina maailmanlaajuisesta liikevaihdosta, ja viranomainen soveltaa näistä suurempaa.
| Rikkomuksen tyyppi | Sakon yläraja | Tai osuus liikevaihdosta |
|---|---|---|
| Olennaisten kyberturvallisuusvaatimusten ja keskeisten valmistajavelvoitteiden rikkominen | 15 milj. € | 2,5 % |
| Muiden CRA-velvoitteiden rikkominen | 10 milj. € | 2,0 % |
| Virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittaminen viranomaiselle | 5 milj. € | 1,0 % |
Vertailun vuoksi: NIS2-direktiivin nojalla keskeisten toimijoiden sakkokatto on Suomessa 10 miljoonaa euroa tai 2 prosenttia liikevaihdosta. CRA nostaa korkeimman tason 15 miljoonaan ja 2,5 prosenttiin, eli se on euromääräisesti EU:n ankarimpia tuoteturvallisuussäädöksiä. Suuren kansainvälisen konsernin kohdalla 2,5 prosentin liikevaihtoperusteinen sakko voi nousta euromääräistä kattoa selvästi korkeammaksi.
Sakot eivät ole ainoa riski. Markkinavalvontaviranomainen voi määrätä korjaavia toimenpiteitä, vaatia tuotteen vetämistä markkinoilta tai kieltää sen myynnin kokonaan. Myynnin estyminen koko EU-alueella on monelle valmistajalle taloudellisesti raskaampi seuraus kuin kertasakko.
Mitä “digitaalisia elementtejä sisältävä tuote” tarkoittaa
CRA:n soveltamisala on laaja. Se kattaa tuotteet, joissa on digitaalisia elementtejä (products with digital elements) ja jotka saatetaan EU-markkinoille. Käytännössä tähän kuuluvat sekä laitteet että ohjelmistot, jotka voidaan kytkeä suoraan tai välillisesti toiseen laitteeseen tai verkkoon.
Traficom kuvaa asetuksen velvoittavan koko talouden toimijakentän: valmistajat, maahantuojat, jakelijat ja avoimen lähdekoodin ohjelmistojen ylläpitäjät (open-source software stewards), jotka saattavat tuotteita EU-markkinoille. Soveltamisalan ulkopuolelle jäävät tuoteryhmät, joilla on jo oma EU:n turvallisuus- tai tietoturvasääntelynsä, kuten tietyt lääkinnälliset laitteet, ilmailutuotteet ja ajoneuvot.
Tämä laajuus on syy siihen, miksi CRA koskettaa Suomessa paljon useampaa yritystä kuin NIS2. Siinä missä NIS2 kohdistuu rajattuun joukkoon kriittisen infrastruktuurin toimijoita, CRA osuu jokaiseen ohjelmistotaloon, laitevalmistajaan ja jopa konepajaan, joka liittää tuotteeseensa anturin ja verkkoyhteyden. Myös pelkkä mobiilisovellus tai pilvipohjainen ohjelmisto, jota myydään EU:ssa, voi kuulua asetuksen piiriin.
Tuoteluokat: oletus, tärkeä ja kriittinen
CRA porrastaa vaatimusten tiukkuuden tuotteen riskitason mukaan. Asetus käyttää kolmiportaista luokittelua, jossa vaatimustenmukaisuuden arviointi muuttuu sitä raskaammaksi, mitä kriittisemmästä tuotteesta on kyse.
Oletusluokka kattaa valtaosan tuotteista
Suurin osa tuotteista kuuluu tavalliseen oletusluokkaan. Toissijaisten lähteiden mukaan noin 90 prosenttia digitaalisia elementtejä sisältävistä tuotteista jää tähän luokkaan, jossa valmistaja voi pääsääntöisesti osoittaa vaatimustenmukaisuuden itsearvioinnilla. Tämä tarkoittaa, että valmistaja vastaa itse teknisestä dokumentaatiosta ja EU-vaatimustenmukaisuusvakuutuksesta ilman pakollista kolmannen osapuolen tarkastusta.
Tärkeät ja kriittiset tuotteet vaativat enemmän
Tärkeät tuotteet jaetaan kahteen luokkaan, ja niihin kohdistuu tiukempi arviointi. Kriittiset tuotteet ovat tiukimpien vaatimusten kohteena, ja niissä voidaan edellyttää ilmoitetun laitoksen (notified body) suorittamaa kolmannen osapuolen arviointia. Käytännössä esimerkiksi salasanojen hallintaohjelmistot, palomuurit, mikroprosessorit ja eräät verkkolaitteet asettuvat korkeamman riskin luokkiin. Mitä kriittisempi tuote, sitä raskaampi todistustaakka valmistajalla on.
24 tunnin ilmoitusvelvollisuus ja ENISA:n rooli
Syyskuun 2026 takaraja koskee nimenomaan ilmoitusvelvollisuutta. Kun valmistaja havaitsee aktiivisesti hyödynnetyn haavoittuvuuden tai vakavan tietoturvapoikkeaman, sen on käynnistettävä porrastettu raportointiketju:
- 24 tunnin ennakkovaroitus: ensimmäinen ilmoitus on tehtävä vuorokauden kuluessa havainnosta.
- 72 tunnin ilmoitus: tarkempi kuvaus poikkeamasta tai haavoittuvuudesta annetaan kolmen vuorokauden kuluessa.
- Loppuraportti: tapahtuman juurisyy, vaikutukset ja korjaavat toimenpiteet raportoidaan prosessin myöhemmässä vaiheessa.
Ilmoitukset tehdään EU:n yhteisen raportointijärjestelyn kautta, jossa keskeinen rooli on ENISA:lla, EU:n kyberturvallisuusvirastolla, ja kunkin maan kansallisella CSIRT-toimijalla. Suomessa tämä on Traficomin Kyberturvallisuuskeskus. Rakenne muistuttaa NIS2:n ilmoituslogiikkaa, ja se on tarkoituksella samankaltainen, jotta saman yrityksen ei tarvitse rakentaa kahta erillistä raportointiputkea.
24 tunnin aikaikkuna on monelle valmistajalle uutta. Se edellyttää, että yrityksellä on jatkuva valmius havaita hyökkäykset, päivystävä yhteyshenkilö ja ennalta sovittu prosessi ilmoituksen tekemiseen. Pelkkä reagointi virka-aikana ei riitä, sillä haavoittuvuuksia hyödynnetään ympäri vuorokauden.
Traficom valvoo CRA:ta Suomessa
Suomessa CRA:n markkinavalvonnasta ja toimivaltaisen viranomaisen tehtävistä vastaa Traficom. Virasto on linjannut, että CRA on EU-asetus, jonka tavoitteena on parantaa EU-markkinoille saatettavien, digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta. Traficomin mukaan vaatimustenmukaisuudesta tulee jatkossa edellytys tuotteen markkinoille saattamiselle.
Asetuksena CRA on suoraan sovellettavaa oikeutta kaikissa jäsenmaissa, eli toisin kuin direktiivi, se ei vaadi erillistä kansallista täytäntöönpanolakia muuttaakseen sisältöään. Kansalliselle lainsäätäjälle jää lähinnä valvontaviranomaisen nimeäminen, valvontavaltuuksien ja seuraamusmenettelyn täsmentäminen sekä resurssien varaaminen. Tässä CRA eroaa NIS2:sta, joka pantiin Suomessa täytäntöön erillisellä kyberturvallisuuslailla.
Traficomin Kyberturvallisuuskeskus toimii myös kansallisena CSIRT-toimijana, jolle CRA:n mukaiset ilmoitukset osaltaan ohjautuvat. Tämä keskittää suomalaisille yrityksille kosketuspinnan: sama viranomainen valvoo, ohjeistaa ja vastaanottaa ilmoitukset.
CRA vs NIS2: tuote vastaan organisaatio
CRA:ta verrataan usein NIS2-direktiiviin, mutta ne sääntelevät eri asioita. Yksinkertaistettuna: CRA sääntelee tuotteita, NIS2 organisaatioita. Moni suomalaisyritys kuuluu kummankin piiriin.
| Ominaisuus | Cyber Resilience Act | NIS2-direktiivi |
|---|---|---|
| Kohde | Digitaalisia elementtejä sisältävät tuotteet | Keskeiset ja tärkeät organisaatiot |
| Säädöstyyppi | Asetus (suoraan sovellettava) | Direktiivi (kansallinen laki) |
| Painopiste | Tuotteen turvallisuus koko elinkaaren ajan | Organisaation riskienhallinta ja hallinto |
| Sakkojen yläraja | 15 milj. € / 2,5 % | 10 milj. € / 2 % |
| Valvoja Suomessa | Traficom (markkinavalvonta) | Toimialakohtaiset valvojat, Traficom keskiössä |
| Vaatimustenmukaisuuden osoitus | CE-merkintä ja vakuutus | Hallintomalli ja tekniset kontrollit |
Käytännön esimerkki: teollisuusautomaatiota valmistava suomalaisyritys voi olla NIS2:n nojalla tärkeä toimija, jonka on huolehdittava oman organisaationsa kyberturvallisuudesta, ja samalla CRA:n nojalla valmistaja, jonka jokaisen markkinoille saatetun ohjauslaitteen on täytettävä tuotekohtaiset vaatimukset. Kaksi säädöstä, kaksi vaatimusjoukkoa, mutta osin yhteinen ilmoituslogiikka. Yritysten kannattaa kartoittaa molempien velvoitteet samalla kertaa.
Mitä valmistajien on käytännössä tehtävä
CRA:n vaatimukset tiivistyvät joukoksi konkreettisia toimenpiteitä, jotka valmistajan on toteutettava ennen täysimääräistä soveltamista. Useimmat näistä kannattaa aloittaa heti, sillä ne vaikuttavat tuotekehitykseen ja toimitusketjuun.
- Turvallisuus suunnittelusta lähtien: tuotteet on kehitettävä kyberturvallisuus huomioiden alusta alkaen, mukaan lukien turvalliset oletusasetukset.
- Tekninen dokumentaatio: valmistajan on ylläpidettävä dokumentaatiota, joka osoittaa, miten tuote täyttää CRA:n vaatimukset, mukaan lukien riski- ja tietoturva-arviot.
- Ohjelmiston osaluettelo (SBOM): valmistajan odotetaan ylläpitävän ohjelmiston osaluetteloa, jotta kolmannen osapuolen komponenttien ja niiden haavoittuvuuksien seuranta on mahdollista.
- Haavoittuvuuksien hallinta: tarvitaan prosessi haavoittuvuuksien vastaanottoon, arviointiin, korjaamiseen ja koordinoituun julkistamiseen.
- Tietoturvapäivitykset: päivityksiä on tarjottava tuotteen tuetun elinkaaren ajan, ja tukijakson kesto on ilmoitettava selkeästi.
- Poikkeamien ilmoittaminen: aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista on raportoitava lyhyillä määräajoilla.
- Vaatimustenmukaisuuden arviointi ja CE-merkintä: tuote on käytävä läpi sen riskiluokkaa vastaava arviointi, ja sen on kannettava EU-vaatimustenmukaisuusvakuutus ja CE-merkintä ennen markkinoille saattamista.
Erityisesti SBOM ja koordinoitu haavoittuvuuksien julkistaminen ovat monelle suomalaiselle pk-valmistajalle uusia käytäntöjä. Ne edellyttävät työkaluja, prosesseja ja vastuuhenkilöiden nimeämistä. Hyvä uutinen on, että samat käytännöt parantavat tuotteen tietoturvaa konkreettisesti, eivät vain täytä paperivaatimusta.
Asiantuntijat ja viranomaiset arvioivat CRA:n vaikutuksia
CRA on herättänyt sekä kiitosta että huolta. Säädöksen valmistelusta vastannut Thierry Breton, sisämarkkinoista vastannut Euroopan komission jäsen asetusta ehdotettaessa, on puolustanut CRA:ta keinona nostaa digitaalisten tuotteiden kyberturvallisuuden perustasoa ja siirtää vastuuta selvemmin valmistajille. Hänen julkinen linjansa on ollut, että markkinoille pääsyn ehtona pitää olla todistettu turvallisuus, ei vain markkinointilupaus.
Henna Virkkunen, Euroopan komission teknologiasuvereniteetista, turvallisuudesta ja demokratiasta vastaava varapuheenjohtaja, on julkisesti tukenut CRA:n laajempaa tavoitetta tehdä digitaalisista tuotteista turvallisempia koko EU-markkinoilla. Hänen viestinsä korostaa, että yhtenäiset säännöt vahvistavat Euroopan kykyä hallita omaa digitaalista infrastruktuuriaan.
Juhan Lepassaar, ENISA:n pääjohtaja, on virastonsa kautta esittänyt CRA:n keskeisenä välineenä parantaa tuotteiden kyberturvallisuutta ja vähentää haavoittuvista digitaalisista tuotteista aiheutuvia riskejä. ENISA:lle asetus tuo myös uuden operatiivisen roolin haavoittuvuuksien ja poikkeamien raportoinnin solmukohtana.
Avoimen lähdekoodin yhteisöä edustava Open Source Security Foundation (OpenSSF) on todennut CRA:n ensisijaisena tavoitteena olevan tietomurroista aiheutuvien kustannusten vähentäminen ja luottamuksen lisääminen digitaalisia elementtejä sisältäviin tuotteisiin. Samalla avoimen lähdekoodin kentällä on esitetty huoli siitä, miten velvoitteet kohdistuvat ylläpitäjiin, jotka tarjoavat koodinsa ilmaiseksi. Teollisuuden kommentaattorit ovat laajalti yhtä mieltä siitä, että asetus pakottaa tuoteturvallisuuden kypsymään SBOM:ien, haavoittuvuuksien hallinnan ja vaatimustenmukaisuuden todentamisen kautta, mutta varoittavat samalla kasvavasta hallinnollisesta työmäärästä.
Markkinavaikutus Suomessa ja Pohjoismaissa
CRA:n vaikutus kohdistuu Pohjoismaissa erityisesti vahvaan laite- ja teollisuusvalmistuksen sektoriin. Suomessa peliin tulevat muun muassa verkkolaitteiden, teollisuusautomaation, mittauslaitteiden ja IoT-tuotteiden valmistajat sekä laaja ohjelmistoala. Pohjoismaiden vientivetoisille teknologiayrityksille EU-markkina on keskeinen, joten CRA:n vaatimukset eivät ole valinnaisia.
Lyhyellä aikavälillä asetus nostaa kustannuksia. Vaatimustenmukaisuuden arviointi, dokumentaatio, SBOM-työkalut ja haavoittuvuuksien hallintaprosessit vaativat investointeja ja osaamista. Pienille yrityksille suhteellinen rasitus on suurempi kuin suurille konserneille, joilla on jo tuotetietoturvan tiimit. Tämä voi lyhyellä tähtäimellä suosia suuria toimijoita ja kiihdyttää alan keskittymistä.
Pidemmällä aikavälillä CRA voi kuitenkin olla suomalaisille turvallisuuteen panostaville yrityksille kilpailuetu. Kun jokaisen markkinoilla olevan tuotteen on täytettävä sama perustaso, todistettavasti turvallinen tuote erottuu paremmin myös niillä markkinoilla, joilla turvallisuus ei ole aiemmin ollut myyntivaltti. Yhtenäinen EU-standardi vähentää myös pirstaleisen kansallisen sääntelyn aiheuttamia esteitä, mistä hyötyy erityisesti pieni vientimarkkina kuten Suomi.
Vertailukohtana toimii NIS2: kun se pantiin täytäntöön, suomalaisyritykset joutuivat nopeasti kartoittamaan kuuluvatko ne soveltamisalaan ja rakentamaan ilmoitusprosessit. CRA:n kohdalla sama kartoitustyö on edessä, mutta soveltamisala on laajempi ja koskee suoraan tuotteita eikä vain organisaatioita.
Historiallinen konteksti: vakiosalasanoista CE-merkintään
CRA ei syntynyt tyhjästä. Sen taustalla on vuosikymmenen mittainen sarja tapahtumia, joissa heikosti suojatut kuluttajalaitteet ovat aiheuttaneet laajaa vahinkoa. Vakiosalasanoilla varustettuja IP-kameroita ja reitittimiä on kaapattu massoittain botnet-verkkoihin, jotka ovat käyttäneet niitä palvelunestohyökkäyksiin. Kun yksittäinen halpa laite voi tulla osaksi maailmanlaajuista hyökkäysinfrastruktuuria, ongelma ei ole enää vain ostajan vaan koko verkon.
CE-merkintä on ollut EU:ssa tuoteturvallisuuden symboli jo vuosikymmeniä: se on kertonut, että tuote täyttää terveyttä, turvallisuutta ja ympäristöä koskevat vaatimukset. CRA laajentaa tämän logiikan kyberturvallisuuteen. Jatkossa CE-merkki ei kerro vain siitä, ettei laite syty tuleen, vaan myös siitä, että se on suunniteltu kestämään verkkohyökkäyksiä ja että valmistaja paikkaa haavoittuvuudet.
CRA on osa laajempaa EU:n kyberturvallisuuden sääntelyaaltoa, johon kuuluvat myös NIS2-direktiivi ja DORA-asetus rahoitusalalle. Yhdessä ne muodostavat kokonaisuuden, jossa organisaatioiden, kriittisten palveluiden ja tuotteiden turvallisuutta säännellään rinnakkain. Tämä heijastaa EU:n tavoitetta digitaalisesta suvereniteetista: vähemmän riippuvuutta turvattomista tuotteista ja enemmän vaatimuksia niitä kohtaan, jotka haluavat myydä sisämarkkinoilla.
Viisi ennustetta CRA:n seurauksista
Mihin CRA johtaa Suomessa ja Pohjoismaissa? Seuraavat viisi ennustetta perustuvat asetuksen tunnettuihin vaatimuksiin ja aiempien EU-säädösten täytäntöönpanon kokemuksiin.
- 1. Syyskuun 2026 takaraja yllättää pk-yritykset. Moni pieni valmistaja ei ole rakentanut 24 tunnin ilmoitusvalmiutta ajoissa, ja ensimmäiset puutteet havaitaan vasta todellisen haavoittuvuuden iskiessä.
- 2. SBOM:sta tulee toimitusketjun vakiovaatimus. Suuret tilaajat alkavat vaatia ohjelmiston osaluetteloa alihankkijoiltaan, jolloin CRA:n vaikutus leviää myös soveltamisalan reunalla oleviin yrityksiin.
- 3. Avoimen lähdekoodin ylläpitäjien asema selkiytyy hitaasti. Stewards-roolin tulkinta ja vastuunjako kaupallisten hyödyntäjien ja vapaaehtoisten ylläpitäjien välillä aiheuttaa tulkintakiistoja ja tarkentavaa ohjeistusta.
- 4. Vaatimustenmukaisuuspalveluiden markkina kasvaa. Suomeen ja Pohjoismaihin syntyy kysyntää konsulteille, ilmoitetuille laitoksille ja työkaluille, jotka auttavat valmistajia todistamaan CRA-yhteensopivuuden.
- 5. Ensimmäiset merkittävät sakot tulevat vasta 2028 jälkeen. Koska täysimääräinen soveltaminen alkaa joulukuussa 2027, ensimmäiset suuret seuraamuspäätökset ja niiden ennakkotapaukset nähdään todennäköisesti vasta sen jälkeen.
Usein kysytyt kysymykset CRA:sta
Milloin Cyber Resilience Act tulee voimaan?
Asetus astui voimaan 10. joulukuuta 2024. Ilmoitusvelvollisuudet aktiivisesti hyödynnetyistä haavoittuvuuksista alkavat 11. syyskuuta 2026, ja kaikki velvoitteet ovat täysimääräisesti voimassa 11. joulukuuta 2027 alkaen.
Kuinka suuria CRA:n sakot voivat olla?
Vakavimmista rikkomuksista sakko voi olla enintään 15 miljoonaa euroa tai 2,5 prosenttia maailmanlaajuisesta liikevaihdosta, kumpi on suurempi. Muista velvoiterikkomuksista yläraja on 10 miljoonaa euroa tai 2 prosenttia, ja virheellisten tietojen toimittamisesta 5 miljoonaa euroa tai 1 prosentti.
Mitä tuotteita CRA koskee?
CRA koskee digitaalisia elementtejä sisältäviä tuotteita, jotka saatetaan EU-markkinoille. Tähän kuuluvat sekä laitteet että ohjelmistot, jotka voidaan kytkeä toiseen laitteeseen tai verkkoon. Soveltamisalan ulkopuolelle jäävät tuoteryhmät, joilla on jo oma EU-sääntelynsä, kuten tietyt lääkinnälliset laitteet ja ajoneuvot.
Mikä on ero CRA:n ja NIS2:n välillä?
CRA sääntelee tuotteita ja niiden kyberturvallisuutta koko elinkaaren ajan, kun taas NIS2 sääntelee organisaatioiden riskienhallintaa ja ilmoitusvelvollisuuksia. Moni yritys kuuluu molempien soveltamisalaan: NIS2 koskee organisaatiota, CRA sen valmistamia tuotteita.
Kuka valvoo CRA:ta Suomessa?
Suomessa markkinavalvonnasta vastaa Traficom. Sen Kyberturvallisuuskeskus toimii myös kansallisena CSIRT-toimijana, jolle CRA:n mukaiset ilmoitukset osaltaan ohjautuvat.
Mitä on SBOM ja miksi CRA edellyttää sitä?
SBOM (Software Bill of Materials) on ohjelmiston osaluettelo, joka kertoo, mistä komponenteista ja kirjastoista tuote koostuu. CRA edellyttää sitä, jotta valmistaja pystyy seuraamaan kolmannen osapuolen komponenttien haavoittuvuuksia ja korjaamaan ne nopeasti.
Riittääkö valmistajalle itsearviointi?
Noin 90 prosenttia tuotteista kuuluu oletusluokkaan, jossa valmistaja voi pääsääntöisesti osoittaa vaatimustenmukaisuuden itsearvioinnilla. Tärkeät ja kriittiset tuotteet vaativat raskaamman arvioinnin, ja kriittisimmissä luokissa voidaan edellyttää ilmoitetun laitoksen suorittamaa kolmannen osapuolen arviointia.
Aiheeseen liittyvää
- NIS2 Suomessa: 24 tunnin ilmoitus, 10 M€ sakot
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa
- Tietomurrot: miten ne tapahtuvat ja miten suojaudut
- 2FA-vertailu: 5 tapaa ja 99,9 % suoja
- HTTPS ja TLS: miten salattu yhteys suojaa sinua
- Verkkoturvallisuus: opas digitaalisen elämän suojaamiseen
Lähteet ja lisätietoa
- Euroopan komissio: Cyber Resilience Act
- Euroopan komissio: CRA usein kysytyt kysymykset
- ENISA, EU:n kyberturvallisuusvirasto
- Traficom
- Traficomin Kyberturvallisuuskeskus
Julkaistu 12. kesäkuuta 2026. Artikkeli perustuu Cyber Resilience Act -asetuksen (EU 2024/2847) julkisiin tietoihin sekä Euroopan komission, ENISA:n ja Traficomin aineistoihin. Sakko- ja päivämäärätiedot voivat tarkentua toimeenpanevien säädösten myötä.
