EU:n kyberturvallisuusasetus (Cyber Resilience Act, CRA) saavutti ensimmäisen toiminnallisen virstanpylvänsä 11. kesäkuuta 2026, kun vaatimustenmukaisuuden arviointilaitosten ilmoittamisvelvoitteet astuivat voimaan. Seuraava ja merkittävämpi määräaika on 11. syyskuuta 2026, jolloin kaikki EU-markkinoille digitaalisia tuotteita toimittavat valmistajat ovat velvollisia ilmoittamaan aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista tietoturvapoikkeamista 24 tunnin kuluessa. Maksimisanktioksi on asetettu 15 miljoonaa euroa tai 2,5 prosenttia globaalista vuosiliikevaihdosta. Suomessa asetusta täydentävä kansallinen lainsäädäntö astui voimaan 1. kesäkuuta 2026, ja Traficom jatkaa maan kyberturvallisuusviranomaisena.
Miksi Juuri Nyt: Kesäkuun Virstanpylväs On Ohitettu, Syyskuu Lähestyy
CRA tuli voimaan 10. joulukuuta 2024, mutta asetuksen velvoitteet astuvat voimaan vaiheistettuna aikatauluna. Ensimmäinen operatiivinen etappi, vaatimustenmukaisuuden arviointilaitosten (Conformity Assessment Bodies, CAB) ilmoittamista koskevat säännöt, aktivoitui 11. kesäkuuta 2026. Suomessa tämä tarkoittaa, että Traficom on 11. kesäkuuta 2026 alkaen ilmoitettu arviointitehtäviä varten.
Seuraava ja käytännön kannalta kriittisin etappi on 11. syyskuuta 2026. Tästä päivästä alkaen kaikkien EU-markkinoille digitaalisia tuotteita toimittavien valmistajien, tuojien ja jakelijoiden on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista ja merkittävistä tietoturvapoikkeamista ENISA:lle sekä kansalliselle tietoturvatiimille (CSIRT). Velvoite koskee tuotteita, jotka ovat jo markkinoilla, ei pelkästään uusia tuotteita.
Täydellinen vaatimustenmukaisuus kaikissa CRA:n velvoitteissa astuu voimaan vasta 11. joulukuuta 2027, mutta syyskuun ilmoitusvelvollisuus on ensimmäinen konkreettinen sanktioitava vaatimus, joka koskee laajaa joukkoa yrityksiä. Euroopan komissio julkaisi maaliskuussa 2026 luonnoksen ohjeistuksesta, jonka tarkoituksena on auttaa yrityksiä tulkitsemaan velvoitteita yhtenäisesti koko EU:ssa.
CRA Lyhyesti: Ketä Asetus Koskee ja Mitä Se Vaatii
Kyberturvallisuusasetus koskee kaikkia digitaalisia elementtejä sisältäviä tuotteita, jotka asetetaan EU:n markkinoille. Soveltamisala on laaja: IoT-laitteet, kuluttajaelektroniikka, teollisuusohjausjärjestelmät, sulautetut järjestelmät, tietokone-ohjelmistot, verkkolaitteet, kodinkoneet ja lähes kaikki muu, joka voi muodostaa verkkoyhteyden tai sisältää ohjelmistoja.
Asetus määrittelee neljä osapuolta, joita velvoitteet koskevat: valmistajat (manufacturers), tuojat (importers), jakelijat (distributors) ja avoimen lähdekoodin kaupalliset stewardit. Suurin vastuu on valmistajilla, joiden on integroitava kyberturvallisuus tuotteen koko elinkaaren ajalle suunnittelusta hylkäämiseen saakka.
Tietyt tuotekategoriat on rajattu asetuksen ulkopuolelle, koska niillä on omat sääntelykehyksensä. Nämä ovat lääkinnälliset laitteet ja ajoneuvot. Lisäksi ei-kaupalliset avoimen lähdekoodin kehittäjät eivät kuulu sakkojen piiriin. Kaikki muut digitaalisia elementtejä sisältävät tuotteet EU-markkinoilla ovat CRA:n alaisia.
Asianajotoimisto Taylor Wessingin analyysin mukaan CRA:lla on maailmanlaajuinen ulottuvuus: mikä tahansa valmistaja, joka haluaa markkinoida tuotteitaan EU:ssa, on noudatettava eurooppalaisia kyberturvallisuusvaatimuksia alkuperämaasta riippumatta. Käytännössä yhdysvaltalainen, aasialainen tai suomalainen valmistaja kohtaa samat velvoitteet.
Kolmivaiheinen Ilmoitusvelvoite: 24 Tuntia, 72 Tuntia, 14 Päivää
Syyskuun 2026 jälkeen valmistajat kohtaavat tiukan kolmivaiheisen ilmoitusprosessin heti, kun he tulevat tietoisiksi aktiivisesti hyödynnetystä haavoittuvuudesta tai vakavasta tietoturvapoikkeamasta.
- Ensimmäinen ilmoitus (24 tunnin kuluessa): Alustava tieto, joka sisältää tiedot vaikuttuneesta tuotteesta, haavoittuvuuden luonteesta ja mahdollisista vaikutuksista. Tämä lähetetään samanaikaisesti ENISA:lle ja kansalliselle CSIRT-tiimille.
- Jatkoraportti (72 tunnin kuluessa): Yksityiskohtaisempia teknisiä tietoja sitä mukaa kuin niitä on saatavilla, mukaan lukien arvio hyödyntämisen laajuudesta.
- Loppuraportti (14 päivän kuluessa): Kattava analyysi perimmäisistä syistä, toteutetuista lieventämistoimenpiteistä ja suunnitelluista tietoturvapäivityksistä.
ENISA:n Keskitetty Ilmoitusalusta (SRP)
ENISA rakentaa parhaillaan CRA Single Reporting Platformia (SRP), joka toimii kaikkien ilmoitusten keskitettynä kanavana. Alustan kautta valmistajat voivat täyttää ilmoitusvelvoitteensa yhteen paikkaan, josta tieto välitetään asianomaisille kansallisille CSIRT-tiimeille ja viranomaisille. Alustan toiminnan odotetaan käynnistyvän ennen syyskuun 2026 määräaikaa, mutta tietoja yksityiskohdista päivitetään jatkuvasti.
Suomi Valmistautuu: Kansallinen Lainsäädäntö Voimaan 1. Kesäkuuta 2026
Suomi eteni CRA:n kansallisessa toimeenpanossa ripeästi. Tasavallan presidentin hyväksymä CRA:ta täydentävä kansallinen lainsäädäntö astui voimaan 1. kesäkuuta 2026. Lainsäädäntö kohdistuu erityisesti älylaitteiden ja ohjelmistojen kyberturvallisuuden parantamiseen.
Traficom (Liikenne- ja viestintävirasto) jatkaa Suomen kansallisena kyberturvallisuusviranomaisena CRA-kehyksen alla. Traficomin yhteydessä toimiva NCSC-FI (Kyberturvallisuuskeskus) vastaa käytännön ohjauksesta ja neuvonnasta yrityksille. Suomi ilmoitettiin arviointitehtäviä varten 11. kesäkuuta 2026 alkaen CRA:n sääntöjen mukaisesti, mikä tarkoittaa, että kotimaiset yritykset voivat hakea tuotteidensa vaatimustenmukaisuusarviointia suomalaisilta laitoksilta.
Suomen liikenne- ja viestintäministeriö on sisällyttänyt kyberturvallisuuden, tekoälyn ja tietosääntelyn budjettinesityksiinsä kasvavina prioriteetteina vuodelle 2026. Tämä heijastaa laajempaa kansallista tahtoa varmistaa, että kotimaiset yritykset saavat riittävästi tukea CRA-velvoitteiden täyttämisessä ennen syyskuuta 2026.
Sakkorakenne: Kolme Porrasta, Jopa 15 Miljoonaa Euroa
CRA:n seuraamusjärjestelmä on kolmiportainen, ja sanktioiden suuruus riippuu rikkomuksen vakavuudesta. Sakot eivät ole kiinteät vaan riippuvat yrityksen koosta, ja ne lasketaan suhteessa yrityksen globaaliin vuosiliikevaihtoon.
| Rikkomuksen tyyppi | Enimmäissakko | Vaihtoehto (jos suurempi) |
|---|---|---|
| Vakavat rikkomukset (liite I:n olennaiset vaatimukset, 13. ja 14. artikla) | 15 000 000 € | 2,5 % globaalista vuosiliikevaihdosta |
| Virheellisen tai puutteellisen tiedon antaminen viranomaisille | 10 000 000 € | 2,0 % globaalista vuosiliikevaihdosta |
| Yhteistyöstä kieltäytyminen valvontaviranomaisen kanssa | 5 000 000 € | 1,0 % globaalista vuosiliikevaihdosta |
Rahallisten sanktioiden lisäksi markkinavalvontaviranomaisilla on toimivalta vaatia tuotteiden vetämistä pois markkinoilta, myynnin kieltämistä, tuontirajoituksia (tulli-pidätykset tuotteille, joilta puuttuu CE-merkintä) sekä pakollisia korjaustoimenpiteitä, kuten palautuksia tai ohjelmistopäivityksiä. Avoimen lähdekoodin ei-kaupalliset kehittäjät on vapautettu rahallisista sanktioista, mutta kaupallinen hyödyntäminen muuttaa tilanteen.
CRA-sakkoihin erikoistuneen ComplyCRA-analytiikkapalvelun arvion mukaan sääntely tulee tuottamaan 5 322–8 843 sakkoa seitsemän ensimmäisen soveltamisvuoden aikana (2027–2034). Keskimääräisen sakon kooksi arvioidaan 1,54 miljoonaa euroa, vaikka mediaanisakko jäänee huomattavasti pienemmäksi, 5 000–10 000 euron tuntumaan. Yhteenlaskettujen sakkojen kokonaisarvo on arvioitu 8,2–13,6 miljardia euroa seitsemässä vuodessa.
CRA:n Aikajana: Kolme Kriittistä Päivämäärää
| Päivämäärä | Velvoite | Ketä koskee |
|---|---|---|
| 10.12.2024 | CRA tuli voimaan (Regulation EU 2024/2847) | Kaikki EU-markkinoilla toimivat |
| 1.6.2026 | Suomen kansallinen CRA-lainsäädäntö voimaan | Suomalaiset yritykset |
| 11.6.2026 | CAB-ilmoitusvelvoitteet voimaan; Suomi ilmoitettu arviointitehtäviä varten | Vaatimustenmukaisuuslaitokset ja kansalliset viranomaiset |
| 11.9.2026 | Artikla 14: pakollinen haavoittuvuus- ja poikkeamailmoittaminen alkaa (24h) | Kaikki EU-markkinoille digitaalisia tuotteita myyvät valmistajat |
| 11.12.2027 | Täydellinen vaatimustenmukaisuus kaikissa CRA-velvoitteissa | Kaikki digitaalisia elementtejä sisältäviä tuotteita EU:n markkinoille asettavat |
SBOM-Vaatimus: Ohjelmiston Ainesosat Kirjattava Ylös
CRA edellyttää valmistajilta Software Bill of Materials -dokumentin (SBOM) ylläpitoa. Käytännössä tämä tarkoittaa kattavaa inventaaria kaikista ohjelmistokomponenteista, kirjastoista, viitekehyksistä ja riippuvuuksista sekä niiden tarkoista versionumeroista. Dokumentaatioon on sisällytettävä lisensointitiedot, tekijät ja tunnetut haavoittuvuudet tai tietoturva-aukot.
Vaatimus on suuri muutos erityisesti yrityksille, jotka käyttävät laajoja avoimen lähdekoodin komponentteja ja monimutkaisia toimitusketjuja. OneKeyn helmikuussa 2026 julkaiseman analyysin mukaan monet valmistajat aliarvioivat tähän liittyvän työmäärän: täydellinen SBOM voi kattaa satoja tai jopa tuhansia komponentteja yhdessä tuotteessa.
SBOM-velvoite linkittyy vahvasti ilmoitusvelvollisuuteen: kun haavoittuvuus paljastuu, valmistajan on pystyttävä nopeasti tunnistamaan, mitkä tuotteet ovat alttiita, ja raportoimaan tästä viranomaisille 24 tunnin kuluessa. Ilman ajantasaista SBOM:a tämä aikaraja on käytännössä mahdoton täyttää.
CE-Merkintä Digitaalisiin Tuotteisiin: Uusi Normi EU-Markkinoilla
Joulukuusta 2027 alkaen kaikissa EU-markkinoille asetettavissa digitaalisia elementtejä sisältävissä tuotteissa on oltava CE-merkintä, joka osoittaa CRA:n vaatimusten täyttymisen. Merkintä on käytössä jo monissa tuotekategorioissa (sähkötuotteet, lelut, rakennustuotteet), mutta ohjelmistoihin ja digitaalisiin tuotteisiin se on uutuus.
CE-merkintä edellyttää vaatimustenmukaisuuden arviointia. Suurimmalle osalle tuotteita (ns. horisontaalinen luokka A) valmistaja voi suorittaa arvioinnin itse, mutta kyberturvallisuuden kannalta kriittisemmille tuotteille (luokat B ja C) tarvitaan kolmannen osapuolen arviointi akkreditoitujen vaatimustenmukaisuuslaitosten (CAB) toimesta. Saksa on jo nimennyt BSI:n (Bundesamt für Sicherheit in der Informationstechnik) CAB-ilmoittajakseen kesäkuusta 2026 alkaen.
Valmiustila Pohjoismaissa: Vain 47% Yrityksistä Proaktiivisia
Vaikka määräaika lähestyy, teollisuuden valmiusaste on huolestuttavan matala. NMi:n (eurooppalainen vaatimustenmukaisuus- ja mittausorganisaatio) LinkedIn-kyselyssä vain 47 prosenttia vastaajista kuvaili olevansa “täysin tietoisia ja proaktiivisia” CRA-vaatimusten suhteen. Loput 53 prosenttia ovat joko osittain tietoisia tai eivät ole vielä käynnistäneet toimia.
Pohjoismainen Kyberturvallisuustilanne 2025-2026
DNV:n Pohjoismainen kyberresilienssi 2026 -raportti antaa kontekstin sille, miksi CRA-valmistautuminen on erityisen kiireellistä Pohjoismaissa. Vuoden 2025 aikana pohjoismaisiin organisaatioihin kohdistui yhteensä 166 kyberturvallisuuspoikkeamaa.
| Maa | Kyberpoikkeamat 2025 | CRA-kansallinen viranomainen | Lainsäädäntö voimaan |
|---|---|---|---|
| Ruotsi | 60 | NCSC-SE (MSB) | 2026 |
| Suomi | 44 | NCSC-FI (Traficom) | 1.6.2026 |
| Tanska | 41 | CSIRT-DK (CFCS) | 2026 |
| Norja | 21 | NorCERT (NSM) | 2026 |
Suomi sijoittui pohjoismaiden toiseksi eniten hyökkäyksille altistuneeksi maaksi Ruotsin jälkeen. Pohjoismainen kyberturvallisuustilanne on Suomelle erityisen haastava myös geopoliittisessa kontekstissa: Supon vuoden 2026 kansallisessa turvallisuuskatsauksessa varoitetaan Venäjän ja Kiinan kybervakoilusta, joka kohdistuu hallituksen järjestelmiin ja kriittiseen infrastruktuuriin.
Avoin Lähdekoodi Ja CRA: Kaupallinen Hyödyntäjä On Valmistaja
CRA:n yksi keskeisimmistä tulkintakysymyksistä koskee avointa lähdekoodia. Asetus vapauttaa ei-kaupalliset avoimen lähdekoodin kehittäjät rahallisista sanktioista, mutta kaupallinen hyödyntäminen muuttaa tilanteen: jos yritys käyttää avointa lähdekoodia kaupallisessa tuotteessaan, siitä tulee CRA:n tarkoittama valmistaja ja kaikki velvoitteet koskevat sitä.
Open Source Security Foundation (OpenSSF) on korostanut, että asetus luo erityisaseman kaupallisille avoimen lähdekoodin stewardeille. Käytännössä tämä tarkoittaa, että esimerkiksi SaaS-palvelut, jotka rakentuvat avoimen lähdekoodin komponenttien päälle ja joita myydään EU-markkinoilla, kuuluvat CRA:n soveltamisalaan. Tämä koskee suurta osaa suomalaisista ohjelmistoyrityksistä.
Talousarvio: Mihin CRA Maksaa Yrityksille
Vaatimustenmukaisuuden kustannuksista ei ole vielä julkisia laajoja tutkimuksia, mutta CRA:n velvoitteiden pohjalta voidaan arvioida keskeisiä kustannuseriä. Taylor Wessingin lakitoimiston analyysin mukaan merkittävimmät investointialueet ovat: kyberturvallisuus suunnitteluvaiheessa (security by design), SBOM-järjestelmien rakentaminen ja ylläpito, vaatimustenmukaisuusarvioinnit sekä CE-merkintäprosessit.
ComplyCRA-palvelun ennuste antaa ankaran kuvan tulevista sakkokustannuksista: yhteenlaskettujen CRA-sakkojen arvioidaan nousevan 8,2–13,6 miljardiin euroon asetuksen seitsemän ensimmäisen soveltamisvuoden aikana (2027–2034). Yksittäisten sakkojen mediaanin arvioidaan olevan 5 000–10 000 euroa, mutta suurten yritysten kohdalla yksittäinen sakko voi nousta miljooniin euroihin. Sakkohuipun arvioidaan osuvan vuoteen 2031.
Tärkein taloudellinen näkökulma ei kuitenkaan ole itse sakot vaan niiden seuraukset: tuotteiden vetäminen pois markkinoilta, myyntikielto tai pakollinen palautus voi aiheuttaa moninkertaiset kustannukset rahalliseen sanktioon verrattuna, erityisesti valmistajille, jotka toimittavat tuotteitaan koko EU-markkinoille.
Asiantuntija-Arviot: Missä Yritykset Kompastuvat
Kyberturvallisuusyhtiö OneKey varoitti helmikuussa 2026 julkaisemassaan analyysissä: “Valmistajien on toimittava nopeasti. CRA:n ensimmäinen operatiivinen vaihe alkaa vuonna 2026 ja tuo mukanaan ilmoitusvelvoitteet. Tähän mennessä monet yritykset ovat aliarvioineet kaikkien ohjelmistokomponenttien kattavan inventaarin vaatiman työmäärän.”
Taylor Wessingin analyysi nosti esiin CRA:n maailmanlaajuisen ulottuvuuden haasteena: “Asetus koskee periaatteessa kaikkia digitaalisia elementtejä sisältäviä tuotteita sektorista tai käyttöalueesta riippumatta. Minkä tahansa valmistajan, joka haluaa markkinoida tuotetta EU:ssa, on täytettävä eurooppalaiset kyberturvallisuusvaatimukset.”
Euroopan komissio julkaisi maaliskuussa 2026 luonnoksen ohjeistuksesta, jonka tarkoituksena on auttaa valmistajia, kehittäjiä ja muita sidosryhmiä ymmärtämään velvoitteensa ja varmistamaan yhtenäinen lähestymistapa koko EU:ssa. Ohjeistuksen avoimessa kommenttikierroksessa ilmeni, että erityisen epäselviä alueita ovat SBOM:n tarkkuustaso, ilmoitusvelvollisuuden kynnysarvot ja CAB-arviointien soveltamisala.
Suurimmiksi kompastuskiviksi asiantuntijat ovat tunnistaneet: (1) 24 tunnin ilmoitusaikarajaan vastaaminen ilman kypsää haavoittuvuudenhallintaprosessia, (2) täydellisen ja ajan tasalla olevan SBOM:n ylläpitäminen kaikille tuotteille, (3) CE-merkintäprosessien integrointi olemassa oleviin kehitysputkiin ja (4) toimitusketjun hallinta tilanteissa, joissa useita alihankkijoita on mukana yhdessä tuotteessa.
Ennusteet: Mitä Tapahtuu 2026–2027
Analyysimme perusteella voidaan esittää seuraavat arviot CRA:n kehityksestä lähikuukausina:
- ENISA:n SRP-alusta käynnistyy ennen 11. syyskuuta 2026, mutta sen toimivuudessa on odotettavissa alkuvaikeuksia. Monet valmistajat raportoivat ensimmäiset ilmoituksensa epävirallisesti kansallisille CSIRT-tiimeille, kunnes alusta on täysin toimintakykyinen.
- Ensimmäiset merkittävät sanktiotapaukset tulevat todennäköisesti vuoden 2028 alkupuolella, kun valvontaviranomaisilla on ollut aikaa rakentaa valvontakapasiteettia. ComplyCRA arvioi sakkohuippuvuodeksi 2031.
- Pohjoismaiset yritykset, erityisesti IoT-valmistajat ja ohjelmistotalot, kohtaavat merkittäviä compliance-investointeja. Suomessa Traficom-NCSC-FI:n neuvontapalveluihin kohdistuu kasvava kysyntä.
- Avoimen lähdekoodin ekosysteemissä tapahtuu muutos, kun kaupalliset hyödyntäjät investoivat SBOM-toolingiin ja osa yrityksistä siirtyy kaupallisiin komponenttikirjastoihin välttääkseen compliance-riskejä avoimen lähdekoodin toimitusketjuissa.
- EU:n CRA luo paineen kansainväliselle harmonisaatiolle: Yhdysvallat, Iso-Britannia ja muut suuret talousalueet pohtivat vastaavia sääntelykehyksiä. Suomalaisille teknologiayrityksille CRA-valmiustila antaa kilpailuedun kansainvälisillä markkinoilla.
Toimenpiteet Ennen 11. Syyskuuta 2026: Käytännön Tarkistuslista
Yrityksille, jotka eivät vielä ole CRA-valmiita, 82 päivää on kiireinen mutta riittävä aika keskeisten ilmoitusvelvoitteiden täyttämiseksi. Prioriteettijärjestyksessä tärkeimmät toimenpiteet ovat:
- Kartoita tuoteportfolio: Selvitä, mitkä tuotteet kuuluvat CRA:n soveltamisalaan ja mihin luokkaan (A, B, tai C) ne kuuluvat.
- Aloita SBOM:n rakentaminen: Inventoi kaikki ohjelmistokomponentit, riippuvuudet ja versiot. Automatisoidut SBOM-työkalut nopeuttavat prosessia.
- Rakenna haavoittuvuudenhallintaprosessi: Varmista, että tiimillä on kyky reagoida 24 tunnin sisällä vakavan haavoittuvuuden paljastumisesta, mukaan lukien ilmoituksen lähetys ENISA:lle ja Traficomille.
- Ota yhteyttä Traficom-NCSC-FI:hin: Suomalainen kyberturvallisuuskeskus tarjoaa ohjausta ja neuvontaa CRA-velvoitteiden täyttämiseen.
- Seuraa ENISA:n SRP:n kehitystä: Rekisteröidy ajoissa alustalle, kun se avautuu, jotta ilmoitusten lähetys onnistuu syyskuun jälkeen.
Aiheeseen Liittyvää
Lue Myös
- Supo 2026: Venäjä ja Kiina vakoilevat Suomea, ei helpotusta näkyvissä
- DNV: Pohjoismaihin 166 kyberiskua 2025
- Truesec: AI Kutisti Murtoajan 2,4 Päivään Pohjoismaissa
- 24 Miljardia Tunnusta Verkossa: 8,3 TB Tietovuoto
- F-Secure Total vs Windows Defender: 18/18 vs 0€/kk
Usein Kysytyt Kysymykset (UKK)
Milloin EU:n kyberturvallisuusasetus (CRA) astuu täysin voimaan?
CRA:n täydellinen vaatimustenmukaisuus vaaditaan 11. joulukuuta 2027. Asetus tuli voimaan 10. joulukuuta 2024, mutta velvoitteet astuvat voimaan vaiheistettuna. Ensimmäinen merkittävä operatiivinen velvoite, haavoittuvuus- ja poikkeamailmoittaminen, alkaa 11. syyskuuta 2026.
Koskeeko CRA kaikkia suomalaisia ohjelmistoyrityksiä?
CRA koskee kaikkia yrityksiä, jotka asettavat digitaalisia elementtejä sisältäviä tuotteita EU-markkinoille. Tämä tarkoittaa käytännössä lähes kaikkia SaaS-palveluja, sovelluksia, ohjelmistoja ja laitteita tarjoavia suomalaisia yrityksiä, jotka myyvät EU-alueella. Poikkeuksia ovat lääkinnälliset laitteet, ajoneuvot ja ei-kaupalliset avoimen lähdekoodin projektit.
Mikä on CRA:n suurin sanktio?
Vakavimpien rikkomusten enimmäissanktio on 15 miljoonaa euroa tai 2,5 prosenttia yrityksen globaalista vuosiliikevaihdosta, sen mukaan kumpi on suurempi. Pienempi sakkoporras (10 M€ / 2%) koskee virheellisen tiedon antamista, ja matalin porras (5 M€ / 1%) kieltäytymistä yhteistyöstä viranomaisten kanssa.
Mitä SBOM tarkoittaa ja miksi se vaaditaan?
Software Bill of Materials (SBOM) on laaja lista kaikista tuotteen ohjelmistokomponenteista, kirjastoista ja riippuvuuksista versionumeroineen. CRA edellyttää SBOM:n ylläpitoa, koska se mahdollistaa nopean reagoinnin: kun haavoittuvuus paljastuu, valmistajan on pystyttävä 24 tunnin sisällä tunnistamaan, mitkä tuotteet ovat alttiita, ja raportoimaan tästä viranomaisille.
Mihin ilmoitan haavoittuvuuden syyskuun 2026 jälkeen?
Ilmoitukset tehdään ENISA:n rakentaman CRA Single Reporting Platformin (SRP) kautta sekä kansalliselle CSIRT-tiimille. Suomessa kansallinen tiimi on Traficomin NCSC-FI. Ensimmäinen alustava ilmoitus on tehtävä 24 tunnin sisällä haavoittuvuuden havaitsemisesta, jatkoraportti 72 tunnin sisällä ja loppuraportti 14 päivän sisällä.
Koskeeko CRA myös tuotteita, jotka on jo asetettu markkinoille?
Kyllä, osittain. Syyskuun 2026 haavoittuvuus- ja poikkeamailmoitusvelvoitteet koskevat myös jo markkinoilla olevia tuotteita. Täydellinen vaatimustenmukaisuus (CE-merkintä, SBOM, turvallisuus suunnitteluvaiheessa) vaaditaan vasta vuoden 2027 joulukuussa, ja silloin se koskee uusia markkinoille asetettavia tuotteita. Olemassa olevat tuotteet, joihin ei tehdä merkittäviä muutoksia, ovat pääsääntöisesti vapautettuja.
Lähteet ja lisälukemista:
