{"id":155,"date":"2026-06-21T09:00:00","date_gmt":"2026-06-21T09:00:00","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/21\/eu-cyber-resilience-act-cra-2026-syyskuu\/"},"modified":"2026-06-29T23:48:33","modified_gmt":"2026-06-29T23:48:33","slug":"eu-cyber-resilience-act-cra-2026-syyskuu","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/eu-cyber-resilience-act-cra-2026-syyskuu\/","title":{"rendered":"EU Cyber Resilience Act: 82 P\u00e4iv\u00e4\u00e4 Syyskuun M\u00e4\u00e4r\u00e4aikaan, \u20ac15M Sakot [2026]"},"content":{"rendered":"\n<p class=\"article-intro wp-block-paragraph\">EU:n kyberturvallisuusasetus (Cyber Resilience Act, CRA) saavutti ensimm\u00e4isen toiminnallisen virstanpylv\u00e4ns\u00e4 11. kes\u00e4kuuta 2026, kun vaatimustenmukaisuuden arviointilaitosten ilmoittamisvelvoitteet astuivat voimaan. Seuraava ja merkitt\u00e4v\u00e4mpi m\u00e4\u00e4r\u00e4aika on <strong>11. syyskuuta 2026<\/strong>, jolloin kaikki EU-markkinoille digitaalisia tuotteita toimittavat valmistajat ovat velvollisia ilmoittamaan aktiivisesti hy\u00f6dynnetyist\u00e4 haavoittuvuuksista ja vakavista tietoturvapoikkeamista 24 tunnin kuluessa. Maksimisanktioksi on asetettu <strong>15 miljoonaa euroa tai 2,5 prosenttia globaalista vuosiliikevaihdosta<\/strong>. Suomessa asetusta t\u00e4ydent\u00e4v\u00e4 kansallinen lains\u00e4\u00e4d\u00e4nt\u00f6 astui voimaan 1. kes\u00e4kuuta 2026, ja Traficom jatkaa maan kyberturvallisuusviranomaisena.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"miksi-juuri-nyt-kesakuun-virstanpylvas-on-ohitettu-syyskuu-lahestyy\">Miksi Juuri Nyt: Kes\u00e4kuun Virstanpylv\u00e4s On Ohitettu, Syyskuu L\u00e4hestyy<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CRA tuli voimaan 10. joulukuuta 2024, mutta asetuksen velvoitteet astuvat voimaan vaiheistettuna aikatauluna. Ensimm\u00e4inen operatiivinen etappi, vaatimustenmukaisuuden arviointilaitosten (Conformity Assessment Bodies, CAB) ilmoittamista koskevat s\u00e4\u00e4nn\u00f6t, aktivoitui 11. kes\u00e4kuuta 2026. Suomessa t\u00e4m\u00e4 tarkoittaa, ett\u00e4 Traficom on 11. kes\u00e4kuuta 2026 alkaen ilmoitettu arviointiteht\u00e4vi\u00e4 varten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Seuraava ja k\u00e4yt\u00e4nn\u00f6n kannalta kriittisin etappi on <strong>11. syyskuuta 2026<\/strong>. T\u00e4st\u00e4 p\u00e4iv\u00e4st\u00e4 alkaen kaikkien EU-markkinoille digitaalisia tuotteita toimittavien valmistajien, tuojien ja jakelijoiden on ilmoitettava aktiivisesti hy\u00f6dynnetyist\u00e4 haavoittuvuuksista ja merkitt\u00e4vist\u00e4 tietoturvapoikkeamista ENISA:lle sek\u00e4 kansalliselle tietoturvatiimille (CSIRT). Velvoite koskee tuotteita, jotka ovat jo markkinoilla, ei pelk\u00e4st\u00e4\u00e4n uusia tuotteita.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">T\u00e4ydellinen vaatimustenmukaisuus kaikissa CRA:n velvoitteissa astuu voimaan vasta <strong>11. joulukuuta 2027<\/strong>, mutta syyskuun ilmoitusvelvollisuus on ensimm\u00e4inen konkreettinen sanktioitava vaatimus, joka koskee laajaa joukkoa yrityksi\u00e4. Euroopan komissio julkaisi maaliskuussa 2026 luonnoksen ohjeistuksesta, jonka tarkoituksena on auttaa yrityksi\u00e4 tulkitsemaan velvoitteita yhten\u00e4isesti koko EU:ssa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cra-lyhyesti-keta-asetus-koskee-ja-mita-se-vaatii\">CRA Lyhyesti: Ket\u00e4 Asetus Koskee ja Mit\u00e4 Se Vaatii<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Kyberturvallisuusasetus koskee kaikkia <strong>digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4vi\u00e4 tuotteita<\/strong>, jotka asetetaan EU:n markkinoille. Soveltamisala on laaja: IoT-laitteet, kuluttajaelektroniikka, teollisuusohjausj\u00e4rjestelm\u00e4t, sulautetut j\u00e4rjestelm\u00e4t, tietokone-ohjelmistot, verkkolaitteet, kodinkoneet ja l\u00e4hes kaikki muu, joka voi muodostaa verkkoyhteyden tai sis\u00e4lt\u00e4\u00e4 ohjelmistoja.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Asetus m\u00e4\u00e4rittelee nelj\u00e4 osapuolta, joita velvoitteet koskevat: <strong>valmistajat<\/strong> (manufacturers), <strong>tuojat<\/strong> (importers), <strong>jakelijat<\/strong> (distributors) ja <strong>avoimen l\u00e4hdekoodin kaupalliset stewardit<\/strong>. Suurin vastuu on valmistajilla, joiden on integroitava kyberturvallisuus tuotteen koko elinkaaren ajalle suunnittelusta hylk\u00e4\u00e4miseen saakka.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Tietyt tuotekategoriat on rajattu asetuksen ulkopuolelle, koska niill\u00e4 on omat s\u00e4\u00e4ntelykehyksens\u00e4. N\u00e4m\u00e4 ovat <strong>l\u00e4\u00e4kinn\u00e4lliset laitteet<\/strong> ja <strong>ajoneuvot<\/strong>. Lis\u00e4ksi ei-kaupalliset avoimen l\u00e4hdekoodin kehitt\u00e4j\u00e4t eiv\u00e4t kuulu sakkojen piiriin. Kaikki muut digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4v\u00e4t tuotteet EU-markkinoilla ovat CRA:n alaisia.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Asianajotoimisto Taylor Wessingin analyysin mukaan CRA:lla on <strong>maailmanlaajuinen ulottuvuus<\/strong>: mik\u00e4 tahansa valmistaja, joka haluaa markkinoida tuotteitaan EU:ssa, on noudatettava eurooppalaisia kyberturvallisuusvaatimuksia alkuper\u00e4maasta riippumatta. K\u00e4yt\u00e4nn\u00f6ss\u00e4 yhdysvaltalainen, aasialainen tai suomalainen valmistaja kohtaa samat velvoitteet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"kolmivaiheinen-ilmoitusvelvoite-24-tuntia-72-tuntia-14-paivaa\">Kolmivaiheinen Ilmoitusvelvoite: 24 Tuntia, 72 Tuntia, 14 P\u00e4iv\u00e4\u00e4<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Syyskuun 2026 j\u00e4lkeen valmistajat kohtaavat tiukan kolmivaiheisen ilmoitusprosessin heti, kun he tulevat tietoisiksi aktiivisesti hy\u00f6dynnetyst\u00e4 haavoittuvuudesta tai vakavasta tietoturvapoikkeamasta.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ensimm\u00e4inen ilmoitus (24 tunnin kuluessa):<\/strong> Alustava tieto, joka sis\u00e4lt\u00e4\u00e4 tiedot vaikuttuneesta tuotteesta, haavoittuvuuden luonteesta ja mahdollisista vaikutuksista. T\u00e4m\u00e4 l\u00e4hetet\u00e4\u00e4n samanaikaisesti ENISA:lle ja kansalliselle CSIRT-tiimille.<\/li>\n<li><strong>Jatkoraportti (72 tunnin kuluessa):<\/strong> Yksityiskohtaisempia teknisi\u00e4 tietoja sit\u00e4 mukaa kuin niit\u00e4 on saatavilla, mukaan lukien arvio hy\u00f6dynt\u00e4misen laajuudesta.<\/li>\n<li><strong>Loppuraportti (14 p\u00e4iv\u00e4n kuluessa):<\/strong> Kattava analyysi perimm\u00e4isist\u00e4 syist\u00e4, toteutetuista lievent\u00e4mistoimenpiteist\u00e4 ja suunnitelluista tietoturvap\u00e4ivityksist\u00e4.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"enisan-keskitetty-ilmoitusalusta-srp\">ENISA:n Keskitetty Ilmoitusalusta (SRP)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">ENISA rakentaa parhaillaan <strong>CRA Single Reporting Platformia (SRP)<\/strong>, joka toimii kaikkien ilmoitusten keskitettyn\u00e4 kanavana. Alustan kautta valmistajat voivat t\u00e4ytt\u00e4\u00e4 ilmoitusvelvoitteensa yhteen paikkaan, josta tieto v\u00e4litet\u00e4\u00e4n asianomaisille kansallisille CSIRT-tiimeille ja viranomaisille. Alustan toiminnan odotetaan k\u00e4ynnistyv\u00e4n ennen syyskuun 2026 m\u00e4\u00e4r\u00e4aikaa, mutta tietoja yksityiskohdista p\u00e4ivitet\u00e4\u00e4n jatkuvasti.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"suomi-valmistautuu-kansallinen-lainsaadanto-voimaan-1-kesakuuta-2026\">Suomi Valmistautuu: Kansallinen Lains\u00e4\u00e4d\u00e4nt\u00f6 Voimaan 1. Kes\u00e4kuuta 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Suomi eteni CRA:n kansallisessa toimeenpanossa ripe\u00e4sti. Tasavallan presidentin hyv\u00e4ksym\u00e4 CRA:ta t\u00e4ydent\u00e4v\u00e4 kansallinen lains\u00e4\u00e4d\u00e4nt\u00f6 astui voimaan <strong>1. kes\u00e4kuuta 2026<\/strong>. Lains\u00e4\u00e4d\u00e4nt\u00f6 kohdistuu erityisesti \u00e4lylaitteiden ja ohjelmistojen kyberturvallisuuden parantamiseen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Traficom<\/strong> (Liikenne- ja viestint\u00e4virasto) jatkaa Suomen kansallisena kyberturvallisuusviranomaisena CRA-kehyksen alla. Traficomin yhteydess\u00e4 toimiva <strong>NCSC-FI<\/strong> (Kyberturvallisuuskeskus) vastaa k\u00e4yt\u00e4nn\u00f6n ohjauksesta ja neuvonnasta yrityksille. Suomi ilmoitettiin arviointiteht\u00e4vi\u00e4 varten 11. kes\u00e4kuuta 2026 alkaen CRA:n s\u00e4\u00e4nt\u00f6jen mukaisesti, mik\u00e4 tarkoittaa, ett\u00e4 kotimaiset yritykset voivat hakea tuotteidensa vaatimustenmukaisuusarviointia suomalaisilta laitoksilta.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Suomen liikenne- ja viestint\u00e4ministeri\u00f6 on sis\u00e4llytt\u00e4nyt kyberturvallisuuden, teko\u00e4lyn ja tietos\u00e4\u00e4ntelyn budjettinesityksiins\u00e4 kasvavina prioriteetteina vuodelle 2026. T\u00e4m\u00e4 heijastaa laajempaa kansallista tahtoa varmistaa, ett\u00e4 kotimaiset yritykset saavat riitt\u00e4v\u00e4sti tukea CRA-velvoitteiden t\u00e4ytt\u00e4misess\u00e4 ennen syyskuuta 2026.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sakkorakenne-kolme-porrasta-jopa-15-miljoonaa-euroa\">Sakkorakenne: Kolme Porrasta, Jopa 15 Miljoonaa Euroa<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CRA:n seuraamusj\u00e4rjestelm\u00e4 on kolmiportainen, ja sanktioiden suuruus riippuu rikkomuksen vakavuudesta. Sakot eiv\u00e4t ole kiinte\u00e4t vaan riippuvat yrityksen koosta, ja ne lasketaan suhteessa yrityksen globaaliin vuosiliikevaihtoon.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Rikkomuksen tyyppi<\/th><th>Enimm\u00e4issakko<\/th><th>Vaihtoehto (jos suurempi)<\/th><\/tr><\/thead><tbody><tr><td>Vakavat rikkomukset (liite I:n olennaiset vaatimukset, 13. ja 14. artikla)<\/td><td>15 000 000 \u20ac<\/td><td>2,5 % globaalista vuosiliikevaihdosta<\/td><\/tr><tr><td>Virheellisen tai puutteellisen tiedon antaminen viranomaisille<\/td><td>10 000 000 \u20ac<\/td><td>2,0 % globaalista vuosiliikevaihdosta<\/td><\/tr><tr><td>Yhteisty\u00f6st\u00e4 kielt\u00e4ytyminen valvontaviranomaisen kanssa<\/td><td>5 000 000 \u20ac<\/td><td>1,0 % globaalista vuosiliikevaihdosta<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Rahallisten sanktioiden lis\u00e4ksi markkinavalvontaviranomaisilla on toimivalta vaatia <strong>tuotteiden vet\u00e4mist\u00e4 pois markkinoilta<\/strong>, <strong>myynnin kielt\u00e4mist\u00e4<\/strong>, <strong>tuontirajoituksia<\/strong> (tulli-pid\u00e4tykset tuotteille, joilta puuttuu CE-merkint\u00e4) sek\u00e4 <strong>pakollisia korjaustoimenpiteit\u00e4<\/strong>, kuten palautuksia tai ohjelmistop\u00e4ivityksi\u00e4. Avoimen l\u00e4hdekoodin ei-kaupalliset kehitt\u00e4j\u00e4t on vapautettu rahallisista sanktioista, mutta kaupallinen hy\u00f6dynt\u00e4minen muuttaa tilanteen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CRA-sakkoihin erikoistuneen ComplyCRA-analytiikkapalvelun arvion mukaan s\u00e4\u00e4ntely tulee tuottamaan <strong>5 322\u20138 843 sakkoa seitsem\u00e4n ensimm\u00e4isen soveltamisvuoden aikana<\/strong> (2027\u20132034). Keskim\u00e4\u00e4r\u00e4isen sakon kooksi arvioidaan 1,54 miljoonaa euroa, vaikka mediaanisakko j\u00e4\u00e4nee huomattavasti pienemm\u00e4ksi, 5 000\u201310 000 euron tuntumaan. Yhteenlaskettujen sakkojen kokonaisarvo on arvioitu <strong>8,2\u201313,6 miljardia euroa<\/strong> seitsem\u00e4ss\u00e4 vuodessa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cran-aikajana-kolme-kriittista-paivamaaraa\">CRA:n Aikajana: Kolme Kriittist\u00e4 P\u00e4iv\u00e4m\u00e4\u00e4r\u00e4\u00e4<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>P\u00e4iv\u00e4m\u00e4\u00e4r\u00e4<\/th><th>Velvoite<\/th><th>Ket\u00e4 koskee<\/th><\/tr><\/thead><tbody><tr><td>10.12.2024<\/td><td>CRA tuli voimaan (Regulation EU 2024\/2847)<\/td><td>Kaikki EU-markkinoilla toimivat<\/td><\/tr><tr><td>1.6.2026<\/td><td>Suomen kansallinen CRA-lains\u00e4\u00e4d\u00e4nt\u00f6 voimaan<\/td><td>Suomalaiset yritykset<\/td><\/tr><tr><td>11.6.2026<\/td><td>CAB-ilmoitusvelvoitteet voimaan; Suomi ilmoitettu arviointiteht\u00e4vi\u00e4 varten<\/td><td>Vaatimustenmukaisuuslaitokset ja kansalliset viranomaiset<\/td><\/tr><tr><td>11.9.2026<\/td><td>Artikla 14: pakollinen haavoittuvuus- ja poikkeamailmoittaminen alkaa (24h)<\/td><td>Kaikki EU-markkinoille digitaalisia tuotteita myyv\u00e4t valmistajat<\/td><\/tr><tr><td>11.12.2027<\/td><td>T\u00e4ydellinen vaatimustenmukaisuus kaikissa CRA-velvoitteissa<\/td><td>Kaikki digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4vi\u00e4 tuotteita EU:n markkinoille asettavat<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sbom-vaatimus-ohjelmiston-ainesosat-kirjattava-ylos\">SBOM-Vaatimus: Ohjelmiston Ainesosat Kirjattava Yl\u00f6s<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CRA edellytt\u00e4\u00e4 valmistajilta <strong>Software Bill of Materials<\/strong> -dokumentin (SBOM) yll\u00e4pitoa. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa kattavaa inventaaria kaikista ohjelmistokomponenteista, kirjastoista, viitekehyksist\u00e4 ja riippuvuuksista sek\u00e4 niiden tarkoista versionumeroista. Dokumentaatioon on sis\u00e4llytett\u00e4v\u00e4 lisensointitiedot, tekij\u00e4t ja tunnetut haavoittuvuudet tai tietoturva-aukot.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Vaatimus on suuri muutos erityisesti yrityksille, jotka k\u00e4ytt\u00e4v\u00e4t laajoja avoimen l\u00e4hdekoodin komponentteja ja monimutkaisia toimitusketjuja. OneKeyn helmikuussa 2026 julkaiseman analyysin mukaan monet valmistajat aliarvioivat t\u00e4h\u00e4n liittyv\u00e4n ty\u00f6m\u00e4\u00e4r\u00e4n: t\u00e4ydellinen SBOM voi kattaa satoja tai jopa tuhansia komponentteja yhdess\u00e4 tuotteessa.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">SBOM-velvoite linkittyy vahvasti ilmoitusvelvollisuuteen: kun haavoittuvuus paljastuu, valmistajan on pystytt\u00e4v\u00e4 nopeasti tunnistamaan, mitk\u00e4 tuotteet ovat alttiita, ja raportoimaan t\u00e4st\u00e4 viranomaisille 24 tunnin kuluessa. Ilman ajantasaista SBOM:a t\u00e4m\u00e4 aikaraja on k\u00e4yt\u00e4nn\u00f6ss\u00e4 mahdoton t\u00e4ytt\u00e4\u00e4.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ce-merkinta-digitaalisiin-tuotteisiin-uusi-normi-eu-markkinoilla\">CE-Merkint\u00e4 Digitaalisiin Tuotteisiin: Uusi Normi EU-Markkinoilla<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Joulukuusta 2027 alkaen kaikissa EU-markkinoille asetettavissa digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4viss\u00e4 tuotteissa on oltava <strong>CE-merkint\u00e4<\/strong>, joka osoittaa CRA:n vaatimusten t\u00e4yttymisen. Merkint\u00e4 on k\u00e4yt\u00f6ss\u00e4 jo monissa tuotekategorioissa (s\u00e4hk\u00f6tuotteet, lelut, rakennustuotteet), mutta ohjelmistoihin ja digitaalisiin tuotteisiin se on uutuus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CE-merkint\u00e4 edellytt\u00e4\u00e4 vaatimustenmukaisuuden arviointia. Suurimmalle osalle tuotteita (ns. horisontaalinen luokka A) valmistaja voi suorittaa arvioinnin itse, mutta kyberturvallisuuden kannalta kriittisemmille tuotteille (luokat B ja C) tarvitaan kolmannen osapuolen arviointi akkreditoitujen vaatimustenmukaisuuslaitosten (CAB) toimesta. Saksa on jo nimennyt BSI:n (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) CAB-ilmoittajakseen kes\u00e4kuusta 2026 alkaen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"valmiustila-pohjoismaissa-vain-47-yrityksista-proaktiivisia\">Valmiustila Pohjoismaissa: Vain 47% Yrityksist\u00e4 Proaktiivisia<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Vaikka m\u00e4\u00e4r\u00e4aika l\u00e4hestyy, teollisuuden valmiusaste on huolestuttavan matala. NMi:n (eurooppalainen vaatimustenmukaisuus- ja mittausorganisaatio) LinkedIn-kyselyss\u00e4 vain <strong>47 prosenttia vastaajista<\/strong> kuvaili olevansa &#8220;t\u00e4ysin tietoisia ja proaktiivisia&#8221; CRA-vaatimusten suhteen. Loput 53 prosenttia ovat joko osittain tietoisia tai eiv\u00e4t ole viel\u00e4 k\u00e4ynnist\u00e4neet toimia.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"pohjoismainen-kyberturvallisuustilanne-2025-2026\">Pohjoismainen Kyberturvallisuustilanne 2025-2026<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">DNV:n Pohjoismainen kyberresilienssi 2026 -raportti antaa kontekstin sille, miksi CRA-valmistautuminen on erityisen kiireellist\u00e4 Pohjoismaissa. Vuoden 2025 aikana pohjoismaisiin organisaatioihin kohdistui yhteens\u00e4 166 kyberturvallisuuspoikkeamaa.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Maa<\/th><th>Kyberpoikkeamat 2025<\/th><th>CRA-kansallinen viranomainen<\/th><th>Lains\u00e4\u00e4d\u00e4nt\u00f6 voimaan<\/th><\/tr><\/thead><tbody><tr><td>Ruotsi<\/td><td>60<\/td><td>NCSC-SE (MSB)<\/td><td>2026<\/td><\/tr><tr><td>Suomi<\/td><td>44<\/td><td>NCSC-FI (Traficom)<\/td><td>1.6.2026<\/td><\/tr><tr><td>Tanska<\/td><td>41<\/td><td>CSIRT-DK (CFCS)<\/td><td>2026<\/td><\/tr><tr><td>Norja<\/td><td>21<\/td><td>NorCERT (NSM)<\/td><td>2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Suomi sijoittui pohjoismaiden toiseksi eniten hy\u00f6kk\u00e4yksille altistuneeksi maaksi Ruotsin j\u00e4lkeen. Pohjoismainen kyberturvallisuustilanne on Suomelle erityisen haastava my\u00f6s geopoliittisessa kontekstissa: Supon vuoden 2026 kansallisessa turvallisuuskatsauksessa varoitetaan Ven\u00e4j\u00e4n ja Kiinan kybervakoilusta, joka kohdistuu hallituksen j\u00e4rjestelmiin ja kriittiseen infrastruktuuriin.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"avoin-lahdekoodi-ja-cra-kaupallinen-hyodyntaja-on-valmistaja\">Avoin L\u00e4hdekoodi Ja CRA: Kaupallinen Hy\u00f6dynt\u00e4j\u00e4 On Valmistaja<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CRA:n yksi keskeisimmist\u00e4 tulkintakysymyksist\u00e4 koskee avointa l\u00e4hdekoodia. Asetus vapauttaa ei-kaupalliset avoimen l\u00e4hdekoodin kehitt\u00e4j\u00e4t rahallisista sanktioista, mutta <strong>kaupallinen hy\u00f6dynt\u00e4minen muuttaa tilanteen<\/strong>: jos yritys k\u00e4ytt\u00e4\u00e4 avointa l\u00e4hdekoodia kaupallisessa tuotteessaan, siit\u00e4 tulee CRA:n tarkoittama valmistaja ja kaikki velvoitteet koskevat sit\u00e4.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Open Source Security Foundation (OpenSSF) on korostanut, ett\u00e4 asetus luo erityisaseman kaupallisille avoimen l\u00e4hdekoodin stewardeille. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 esimerkiksi SaaS-palvelut, jotka rakentuvat avoimen l\u00e4hdekoodin komponenttien p\u00e4\u00e4lle ja joita myyd\u00e4\u00e4n EU-markkinoilla, kuuluvat CRA:n soveltamisalaan. T\u00e4m\u00e4 koskee suurta osaa suomalaisista ohjelmistoyrityksist\u00e4.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"talousarvio-mihin-cra-maksaa-yrityksille\">Talousarvio: Mihin CRA Maksaa Yrityksille<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Vaatimustenmukaisuuden kustannuksista ei ole viel\u00e4 julkisia laajoja tutkimuksia, mutta CRA:n velvoitteiden pohjalta voidaan arvioida keskeisi\u00e4 kustannuseri\u00e4. Taylor Wessingin lakitoimiston analyysin mukaan merkitt\u00e4vimm\u00e4t investointialueet ovat: kyberturvallisuus suunnitteluvaiheessa (security by design), SBOM-j\u00e4rjestelmien rakentaminen ja yll\u00e4pito, vaatimustenmukaisuusarvioinnit sek\u00e4 CE-merkint\u00e4prosessit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ComplyCRA-palvelun ennuste antaa ankaran kuvan tulevista sakkokustannuksista: yhteenlaskettujen CRA-sakkojen arvioidaan nousevan <strong>8,2\u201313,6 miljardiin euroon<\/strong> asetuksen seitsem\u00e4n ensimm\u00e4isen soveltamisvuoden aikana (2027\u20132034). Yksitt\u00e4isten sakkojen mediaanin arvioidaan olevan 5 000\u201310 000 euroa, mutta suurten yritysten kohdalla yksitt\u00e4inen sakko voi nousta miljooniin euroihin. Sakkohuipun arvioidaan osuvan vuoteen 2031.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">T\u00e4rkein taloudellinen n\u00e4k\u00f6kulma ei kuitenkaan ole itse sakot vaan niiden seuraukset: tuotteiden vet\u00e4minen pois markkinoilta, myyntikielto tai pakollinen palautus voi aiheuttaa moninkertaiset kustannukset rahalliseen sanktioon verrattuna, erityisesti valmistajille, jotka toimittavat tuotteitaan koko EU-markkinoille.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"asiantuntija-arviot-missa-yritykset-kompastuvat\">Asiantuntija-Arviot: Miss\u00e4 Yritykset Kompastuvat<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Kyberturvallisuusyhti\u00f6 OneKey varoitti helmikuussa 2026 julkaisemassaan analyysiss\u00e4: <em>&#8220;Valmistajien on toimittava nopeasti. CRA:n ensimm\u00e4inen operatiivinen vaihe alkaa vuonna 2026 ja tuo mukanaan ilmoitusvelvoitteet. T\u00e4h\u00e4n menness\u00e4 monet yritykset ovat aliarvioineet kaikkien ohjelmistokomponenttien kattavan inventaarin vaatiman ty\u00f6m\u00e4\u00e4r\u00e4n.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Taylor Wessingin analyysi nosti esiin CRA:n maailmanlaajuisen ulottuvuuden haasteena: <em>&#8220;Asetus koskee periaatteessa kaikkia digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4vi\u00e4 tuotteita sektorista tai k\u00e4ytt\u00f6alueesta riippumatta. Mink\u00e4 tahansa valmistajan, joka haluaa markkinoida tuotetta EU:ssa, on t\u00e4ytett\u00e4v\u00e4 eurooppalaiset kyberturvallisuusvaatimukset.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Euroopan komissio julkaisi maaliskuussa 2026 luonnoksen ohjeistuksesta, jonka tarkoituksena on auttaa valmistajia, kehitt\u00e4ji\u00e4 ja muita sidosryhmi\u00e4 ymm\u00e4rt\u00e4m\u00e4\u00e4n velvoitteensa ja varmistamaan yhten\u00e4inen l\u00e4hestymistapa koko EU:ssa. Ohjeistuksen avoimessa kommenttikierroksessa ilmeni, ett\u00e4 erityisen ep\u00e4selvi\u00e4 alueita ovat SBOM:n tarkkuustaso, ilmoitusvelvollisuuden kynnysarvot ja CAB-arviointien soveltamisala.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Suurimmiksi kompastuskiviksi asiantuntijat ovat tunnistaneet: (1) 24 tunnin ilmoitusaikarajaan vastaaminen ilman kyps\u00e4\u00e4 haavoittuvuudenhallintaprosessia, (2) t\u00e4ydellisen ja ajan tasalla olevan SBOM:n yll\u00e4pit\u00e4minen kaikille tuotteille, (3) CE-merkint\u00e4prosessien integrointi olemassa oleviin kehitysputkiin ja (4) toimitusketjun hallinta tilanteissa, joissa useita alihankkijoita on mukana yhdess\u00e4 tuotteessa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ennusteet-mita-tapahtuu-2026-2027\">Ennusteet: Mit\u00e4 Tapahtuu 2026\u20132027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Analyysimme perusteella voidaan esitt\u00e4\u00e4 seuraavat arviot CRA:n kehityksest\u00e4 l\u00e4hikuukausina:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>ENISA:n SRP-alusta k\u00e4ynnistyy ennen 11. syyskuuta 2026<\/strong>, mutta sen toimivuudessa on odotettavissa alkuvaikeuksia. Monet valmistajat raportoivat ensimm\u00e4iset ilmoituksensa ep\u00e4virallisesti kansallisille CSIRT-tiimeille, kunnes alusta on t\u00e4ysin toimintakykyinen.<\/li>\n<li><strong>Ensimm\u00e4iset merkitt\u00e4v\u00e4t sanktiotapaukset tulevat todenn\u00e4k\u00f6isesti vuoden 2028 alkupuolella<\/strong>, kun valvontaviranomaisilla on ollut aikaa rakentaa valvontakapasiteettia. ComplyCRA arvioi sakkohuippuvuodeksi 2031.<\/li>\n<li><strong>Pohjoismaiset yritykset, erityisesti IoT-valmistajat ja ohjelmistotalot<\/strong>, kohtaavat merkitt\u00e4vi\u00e4 compliance-investointeja. Suomessa Traficom-NCSC-FI:n neuvontapalveluihin kohdistuu kasvava kysynt\u00e4.<\/li>\n<li><strong>Avoimen l\u00e4hdekoodin ekosysteemiss\u00e4 tapahtuu muutos<\/strong>, kun kaupalliset hy\u00f6dynt\u00e4j\u00e4t investoivat SBOM-toolingiin ja osa yrityksist\u00e4 siirtyy kaupallisiin komponenttikirjastoihin v\u00e4ltt\u00e4\u00e4kseen compliance-riskej\u00e4 avoimen l\u00e4hdekoodin toimitusketjuissa.<\/li>\n<li><strong>EU:n CRA luo paineen kansainv\u00e4liselle harmonisaatiolle<\/strong>: Yhdysvallat, Iso-Britannia ja muut suuret talousalueet pohtivat vastaavia s\u00e4\u00e4ntelykehyksi\u00e4. Suomalaisille teknologiayrityksille CRA-valmiustila antaa kilpailuedun kansainv\u00e4lisill\u00e4 markkinoilla.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"toimenpiteet-ennen-11-syyskuuta-2026-kaytannon-tarkistuslista\">Toimenpiteet Ennen 11. Syyskuuta 2026: K\u00e4yt\u00e4nn\u00f6n Tarkistuslista<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Yrityksille, jotka eiv\u00e4t viel\u00e4 ole CRA-valmiita, 82 p\u00e4iv\u00e4\u00e4 on kiireinen mutta riitt\u00e4v\u00e4 aika keskeisten ilmoitusvelvoitteiden t\u00e4ytt\u00e4miseksi. Prioriteettij\u00e4rjestyksess\u00e4 t\u00e4rkeimm\u00e4t toimenpiteet ovat:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Kartoita tuoteportfolio<\/strong>: Selvit\u00e4, mitk\u00e4 tuotteet kuuluvat CRA:n soveltamisalaan ja mihin luokkaan (A, B, tai C) ne kuuluvat.<\/li>\n<li><strong>Aloita SBOM:n rakentaminen<\/strong>: Inventoi kaikki ohjelmistokomponentit, riippuvuudet ja versiot. Automatisoidut SBOM-ty\u00f6kalut nopeuttavat prosessia.<\/li>\n<li><strong>Rakenna haavoittuvuudenhallintaprosessi<\/strong>: Varmista, ett\u00e4 tiimill\u00e4 on kyky reagoida 24 tunnin sis\u00e4ll\u00e4 vakavan haavoittuvuuden paljastumisesta, mukaan lukien ilmoituksen l\u00e4hetys ENISA:lle ja Traficomille.<\/li>\n<li><strong>Ota yhteytt\u00e4 Traficom-NCSC-FI:hin<\/strong>: Suomalainen kyberturvallisuuskeskus tarjoaa ohjausta ja neuvontaa CRA-velvoitteiden t\u00e4ytt\u00e4miseen.<\/li>\n<li><strong>Seuraa ENISA:n SRP:n kehityst\u00e4<\/strong>: Rekister\u00f6idy ajoissa alustalle, kun se avautuu, jotta ilmoitusten l\u00e4hetys onnistuu syyskuun j\u00e4lkeen.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aiheeseen-liittyvaa\">Aiheeseen Liittyv\u00e4\u00e4<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"lue-myos\">Lue My\u00f6s<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/fi\/supo-kybervakoilu-venaja-kiina-2026\/\">Supo 2026: Ven\u00e4j\u00e4 ja Kiina vakoilevat Suomea, ei helpotusta n\u00e4kyviss\u00e4<\/a><\/li>\n<li><a href=\"\/fi\/dnv-pohjoismaat-kyberturvallisuus-2026-166-iskua\/\">DNV: Pohjoismaihin 166 kyberiskua 2025<\/a><\/li>\n<li><a href=\"\/fi\/truesec-ciso-raportti-murtoaika-2026\/\">Truesec: AI Kutisti Murtoajan 2,4 P\u00e4iv\u00e4\u00e4n Pohjoismaissa<\/a><\/li>\n<li><a href=\"\/fi\/24-miljardia-tunnusta-tietovuoto-2026\/\">24 Miljardia Tunnusta Verkossa: 8,3 TB Tietovuoto<\/a><\/li>\n<li><a href=\"\/fi\/f-secure-total-vs-windows-defender\/\">F-Secure Total vs Windows Defender: 18\/18 vs 0\u20ac\/kk<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"usein-kysytyt-kysymykset-ukk\">Usein Kysytyt Kysymykset (UKK)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"milloin-eun-kyberturvallisuusasetus-cra-astuu-taysin-voimaan\">Milloin EU:n kyberturvallisuusasetus (CRA) astuu t\u00e4ysin voimaan?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">CRA:n t\u00e4ydellinen vaatimustenmukaisuus vaaditaan <strong>11. joulukuuta 2027<\/strong>. Asetus tuli voimaan 10. joulukuuta 2024, mutta velvoitteet astuvat voimaan vaiheistettuna. Ensimm\u00e4inen merkitt\u00e4v\u00e4 operatiivinen velvoite, haavoittuvuus- ja poikkeamailmoittaminen, alkaa <strong>11. syyskuuta 2026<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"koskeeko-cra-kaikkia-suomalaisia-ohjelmistoyrityksia\">Koskeeko CRA kaikkia suomalaisia ohjelmistoyrityksi\u00e4?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">CRA koskee kaikkia yrityksi\u00e4, jotka asettavat digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4vi\u00e4 tuotteita EU-markkinoille. T\u00e4m\u00e4 tarkoittaa k\u00e4yt\u00e4nn\u00f6ss\u00e4 l\u00e4hes kaikkia SaaS-palveluja, sovelluksia, ohjelmistoja ja laitteita tarjoavia suomalaisia yrityksi\u00e4, jotka myyv\u00e4t EU-alueella. Poikkeuksia ovat l\u00e4\u00e4kinn\u00e4lliset laitteet, ajoneuvot ja ei-kaupalliset avoimen l\u00e4hdekoodin projektit.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"mika-on-cran-suurin-sanktio\">Mik\u00e4 on CRA:n suurin sanktio?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Vakavimpien rikkomusten enimm\u00e4issanktio on <strong>15 miljoonaa euroa tai 2,5 prosenttia yrityksen globaalista vuosiliikevaihdosta<\/strong>, sen mukaan kumpi on suurempi. Pienempi sakkoporras (10 M\u20ac \/ 2%) koskee virheellisen tiedon antamista, ja matalin porras (5 M\u20ac \/ 1%) kielt\u00e4ytymist\u00e4 yhteisty\u00f6st\u00e4 viranomaisten kanssa.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"mita-sbom-tarkoittaa-ja-miksi-se-vaaditaan\">Mit\u00e4 SBOM tarkoittaa ja miksi se vaaditaan?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Software Bill of Materials (SBOM) on laaja lista kaikista tuotteen ohjelmistokomponenteista, kirjastoista ja riippuvuuksista versionumeroineen. CRA edellytt\u00e4\u00e4 SBOM:n yll\u00e4pitoa, koska se mahdollistaa nopean reagoinnin: kun haavoittuvuus paljastuu, valmistajan on pystytt\u00e4v\u00e4 24 tunnin sis\u00e4ll\u00e4 tunnistamaan, mitk\u00e4 tuotteet ovat alttiita, ja raportoimaan t\u00e4st\u00e4 viranomaisille.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"mihin-ilmoitan-haavoittuvuuden-syyskuun-2026-jalkeen\">Mihin ilmoitan haavoittuvuuden syyskuun 2026 j\u00e4lkeen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ilmoitukset tehd\u00e4\u00e4n ENISA:n rakentaman <strong>CRA Single Reporting Platformin (SRP)<\/strong> kautta sek\u00e4 kansalliselle CSIRT-tiimille. Suomessa kansallinen tiimi on Traficomin NCSC-FI. Ensimm\u00e4inen alustava ilmoitus on teht\u00e4v\u00e4 <strong>24 tunnin sis\u00e4ll\u00e4<\/strong> haavoittuvuuden havaitsemisesta, jatkoraportti 72 tunnin sis\u00e4ll\u00e4 ja loppuraportti 14 p\u00e4iv\u00e4n sis\u00e4ll\u00e4.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"koskeeko-cra-myos-tuotteita-jotka-on-jo-asetettu-markkinoille\">Koskeeko CRA my\u00f6s tuotteita, jotka on jo asetettu markkinoille?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Kyll\u00e4, osittain. Syyskuun 2026 haavoittuvuus- ja poikkeamailmoitusvelvoitteet koskevat <strong>my\u00f6s jo markkinoilla olevia tuotteita<\/strong>. T\u00e4ydellinen vaatimustenmukaisuus (CE-merkint\u00e4, SBOM, turvallisuus suunnitteluvaiheessa) vaaditaan vasta vuoden 2027 joulukuussa, ja silloin se koskee uusia markkinoille asetettavia tuotteita. Olemassa olevat tuotteet, joihin ei tehd\u00e4 merkitt\u00e4vi\u00e4 muutoksia, ovat p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti vapautettuja.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L\u00e4hteet ja lis\u00e4lukemista:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" rel=\"noopener noreferrer\" target=\"_blank\">Euroopan komissio: Cyber Resilience Act<\/a><\/li>\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cra-summary\" rel=\"noopener noreferrer\" target=\"_blank\">Euroopan komissio: CRA-yhteenveto<\/a><\/li>\n<li><a href=\"https:\/\/www.taylorwessing.com\/en\/insights-and-events\/insights\/2025\/11\/cyber-resilience-act-overview\" rel=\"noopener noreferrer\" target=\"_blank\">Taylor Wessing: Cyber Resilience Act \u2013 laaja katsaus<\/a><\/li>\n<li><a href=\"https:\/\/complycra.eu\/cra-fines\/\" rel=\"noopener noreferrer\" target=\"_blank\">ComplyCRA: CRA-sakkoanalyysi 2027\u20132034<\/a><\/li>\n<li><a href=\"https:\/\/openssf.org\/public-policy\/eu-cyber-resilience-act\/\" rel=\"noopener noreferrer\" target=\"_blank\">Open Source Security Foundation: CRA ja avoin l\u00e4hdekoodi<\/a><\/li>\n<\/ul>\n\n\n\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>EU:n kyberturvallisuusasetus (Cyber Resilience Act, CRA) saavutti ensimm\u00e4isen toiminnallisen virstanpylv\u00e4ns\u00e4 11. kes\u00e4kuuta 2026, kun vaatimustenmukaisuuden arviointilaitosten ilmoittamisvelvoitteet astuivat voimaan. Seuraava ja merkitt\u00e4v\u00e4mpi m\u00e4\u00e4r\u00e4aika on 11. syyskuuta 2026, jolloin kaikki EU-markkinoille\u2026<\/p>\n","protected":false},"author":7,"featured_media":156,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,3],"tags":[],"class_list":["post-155","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/posts\/155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/comments?post=155"}],"version-history":[{"count":3,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/posts\/155\/revisions"}],"predecessor-version":[{"id":182,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/posts\/155\/revisions\/182"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/media\/156"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/media?parent=155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/categories?post=155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fi\/wp-json\/wp\/v2\/tags?post=155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}