{"id":63,"date":"2026-06-12T20:52:54","date_gmt":"2026-06-12T20:52:54","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/12\/cyber-resilience-act-suomi-2026\/"},"modified":"2026-06-12T20:54:06","modified_gmt":"2026-06-12T20:54:06","slug":"cyber-resilience-act-suomi-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/2026\/06\/12\/cyber-resilience-act-suomi-2026\/","title":{"rendered":"Cyber Resilience Act: 15 M\u20ac sakot [2026]"},"content":{"rendered":"\n

Euroopan unionin Cyber Resilience Act<\/strong> (CRA, asetus EU 2024\/2847) siirtyy juhlapuheista pakottavaksi velvoitteeksi. Kun asetuksen ensimm\u00e4inen kova takaraja, valmistajien ilmoitusvelvollisuus aktiivisesti hy\u00f6dynnetyist\u00e4 haavoittuvuuksista, astuu voimaan 11. syyskuuta 2026<\/strong>, suomalaisilla laite- ja ohjelmistovalmistajilla on en\u00e4\u00e4 noin kolme kuukautta aikaa rakentaa prosessit kuntoon. Pahimmillaan laiminly\u00f6nti maksaa 15 miljoonaa euroa tai 2,5 prosenttia maailmanlaajuisesta liikevaihdosta<\/strong>, sen mukaan kumpi on suurempi.<\/p>\n\n\n\n

Asetus koskee k\u00e4yt\u00e4nn\u00f6ss\u00e4 jokaista yrityst\u00e4, joka tuo EU-markkinoille tuotteen, jossa on digitaalisia elementtej\u00e4, reitittimist\u00e4 ja teollisuusantureista mobiilisovelluksiin ja avoimen l\u00e4hdekoodin kirjastoihin. Suomessa valvonnasta vastaa Liikenne- ja viestint\u00e4virasto Traficom. T\u00e4ss\u00e4 uutisanalyysiss\u00e4 k\u00e4ymme l\u00e4pi, mit\u00e4 CRA tarkalleen vaatii, mit\u00e4 se maksaa, miten se eroaa NIS2-direktiivist\u00e4 ja mit\u00e4 asiantuntijat ennustavat sen seurauksista Suomelle ja Pohjoismaille.<\/p>\n\n\n\n

Mik\u00e4 Cyber Resilience Act on ja miksi se s\u00e4\u00e4dettiin<\/h2>\n\n\n\n

Cyber Resilience Act on EU:n ensimm\u00e4inen horisontaalinen s\u00e4\u00e4d\u00f6s, joka asettaa pakolliset kyberturvallisuusvaatimukset koko niiden tuotteiden elinkaarelle, joissa on digitaalisia elementtej\u00e4. Asetus astui voimaan 10. joulukuuta 2024<\/strong>. Siihen asti EU-markkinoilla on voinut myyd\u00e4 \u00e4lylaitteita ja ohjelmistoja ilman, ett\u00e4 valmistajalta vaadittaisiin todistettavaa kyberturvallisuuden perustasoa. Tulos on n\u00e4kynyt vuosien ajan: vakiosalasanoilla varustettuja kameroita, p\u00e4ivitt\u00e4m\u00e4tt\u00f6mi\u00e4 reitittimi\u00e4 ja IoT-laitteita, jotka on kaapattu botnet-verkkoihin.<\/p>\n\n\n\n

CRA siirt\u00e4\u00e4 vastuun valmistajalle. Tuotteen on oltava turvallinen suunnittelultaan ja oletusasetuksiltaan (security by design and by default), valmistajan on tarjottava tietoturvap\u00e4ivityksi\u00e4 koko tuetun elinkaaren ajan, ja markkinoille p\u00e4\u00e4syn ehtona on todistettu vaatimustenmukaisuus. Asetus liitt\u00e4\u00e4 kyberturvallisuuden osaksi olemassa olevaa CE-merkint\u00e4j\u00e4rjestelm\u00e4\u00e4: t\u00e4ysim\u00e4\u00e4r\u00e4isen soveltamisen j\u00e4lkeen tuotetta, joka ei t\u00e4yt\u00e4 CRA:n vaatimuksia, ei saa laillisesti saattaa EU-markkinoille.<\/p>\n\n\n\n

Komissio on perustellut asetusta sill\u00e4, ett\u00e4 digitaalisten tuotteiden haavoittuvuudet aiheuttavat merkitt\u00e4vi\u00e4 taloudellisia vahinkoja koko sis\u00e4markkinoilla ja ett\u00e4 hajanainen kansallinen s\u00e4\u00e4ntely loisi esteit\u00e4. CRA:n tavoite on yhten\u00e4ist\u00e4\u00e4 vaatimukset niin, ett\u00e4 sama tuote voidaan myyd\u00e4 kaikissa 27 j\u00e4senmaassa yhdell\u00e4 vaatimustenmukaisuuden osoituksella.<\/p>\n\n\n\n

Aikataulu: kolme ratkaisevaa p\u00e4iv\u00e4m\u00e4\u00e4r\u00e4\u00e4<\/h2>\n\n\n\n

CRA:n soveltaminen on porrastettu. Yritysten kannalta t\u00e4rkeint\u00e4 on tunnistaa kolme p\u00e4iv\u00e4m\u00e4\u00e4r\u00e4\u00e4, joista keskimm\u00e4inen, syyskuun 2026 ilmoitusvelvollisuus, on nyt aivan ovella.<\/p>\n\n\n\n

\n
P\u00e4iv\u00e4m\u00e4\u00e4r\u00e4<\/th>Vaihe<\/th>Mit\u00e4 velvoittaa<\/th><\/tr><\/thead>
10.12.2024<\/td>Voimaantulo<\/td>Asetus tuli voimaan. Siirtym\u00e4kaudet alkoivat kulua.<\/td><\/tr>\n
11.9.2026<\/td>Ilmoitusvelvollisuudet<\/td>Valmistajien on ilmoitettava aktiivisesti hy\u00f6dynnetyist\u00e4 haavoittuvuuksista ja vakavista poikkeamista: 24 tunnin ennakkovaroitus, 72 tunnin ilmoitus ja my\u00f6hempi loppuraportti.<\/td><\/tr>\n
11.12.2027<\/td>T\u00e4ysim\u00e4\u00e4r\u00e4inen soveltaminen<\/td>Kaikki velvoitteet voimassa. Vaatimustenmukaisuus ja CE-merkint\u00e4 ehto markkinoille p\u00e4\u00e4sylle.<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Porrastus on tarkoituksellinen. Komissio antoi valmistajille kolme vuotta aikaa rakentaa tuotekehitysprosessit, dokumentaatio ja vaatimustenmukaisuuden arviointi kuntoon ennen kuin tuotteiden markkinointia aletaan rajoittaa. Ilmoitusvelvollisuus aikaistettiin kuitenkin erilleen, koska reaaliaikainen tieto aktiivisesti hy\u00f6dynnetyist\u00e4 haavoittuvuuksista olisi tehotonta vasta kahden vuoden p\u00e4\u00e4st\u00e4. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 vaikka tuotteesi ei viel\u00e4 syyskuussa 2026 tarvitse CE-merkint\u00e4\u00e4 CRA:n nojalla, sinun on jo silloin osattava havaita ja raportoida hy\u00f6kk\u00e4ykset 24 tunnissa.<\/p>\n\n\n\n

Suomalaisille pk-yrityksille aikataulu on tiukka. Monella valmistajalla ei viel\u00e4 ole muodollista haavoittuvuuksien hallintaprosessia eik\u00e4 yhteyspistett\u00e4 kansalliseen CSIRT-toimijaan. N\u00e4iden rakentaminen kest\u00e4\u00e4 viikkoja, ja syyskuun takaraja ei jousta.<\/p>\n\n\n\n

Sakot voivat nousta 15 miljoonaan euroon<\/h2>\n\n\n\n

CRA:n pakottavuus tulee sen sanktioista. Asetus m\u00e4\u00e4rittelee kolme sakkoluokkaa sen mukaan, kuinka vakavasta laiminly\u00f6nnist\u00e4 on kyse. Jokainen yl\u00e4raja ilmaistaan sek\u00e4 eurom\u00e4\u00e4r\u00e4n\u00e4 ett\u00e4 prosenttina maailmanlaajuisesta liikevaihdosta, ja viranomainen soveltaa n\u00e4ist\u00e4 suurempaa.<\/p>\n\n\n\n

\n
Rikkomuksen tyyppi<\/th>Sakon yl\u00e4raja<\/th>Tai osuus liikevaihdosta<\/th><\/tr><\/thead>
Olennaisten kyberturvallisuusvaatimusten ja keskeisten valmistajavelvoitteiden rikkominen<\/td>15 milj. \u20ac<\/td>2,5 %<\/td><\/tr>\n
Muiden CRA-velvoitteiden rikkominen<\/td>10 milj. \u20ac<\/td>2,0 %<\/td><\/tr>\n
Virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittaminen viranomaiselle<\/td>5 milj. \u20ac<\/td>1,0 %<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Vertailun vuoksi: NIS2-direktiivin nojalla keskeisten toimijoiden sakkokatto on Suomessa 10 miljoonaa euroa tai 2 prosenttia liikevaihdosta. CRA nostaa korkeimman tason 15 miljoonaan ja 2,5 prosenttiin, eli se on eurom\u00e4\u00e4r\u00e4isesti EU:n ankarimpia tuoteturvallisuuss\u00e4\u00e4d\u00f6ksi\u00e4. Suuren kansainv\u00e4lisen konsernin kohdalla 2,5 prosentin liikevaihtoperusteinen sakko voi nousta eurom\u00e4\u00e4r\u00e4ist\u00e4 kattoa selv\u00e4sti korkeammaksi.<\/p>\n\n\n\n

Sakot eiv\u00e4t ole ainoa riski. Markkinavalvontaviranomainen voi m\u00e4\u00e4r\u00e4t\u00e4 korjaavia toimenpiteit\u00e4, vaatia tuotteen vet\u00e4mist\u00e4 markkinoilta tai kielt\u00e4\u00e4 sen myynnin kokonaan. Myynnin estyminen koko EU-alueella on monelle valmistajalle taloudellisesti raskaampi seuraus kuin kertasakko.<\/p>\n\n\n\n

Mit\u00e4 “digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4v\u00e4 tuote” tarkoittaa<\/h2>\n\n\n\n

CRA:n soveltamisala on laaja. Se kattaa tuotteet, joissa on digitaalisia elementtej\u00e4 (products with digital elements) ja jotka saatetaan EU-markkinoille. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4h\u00e4n kuuluvat sek\u00e4 laitteet ett\u00e4 ohjelmistot, jotka voidaan kytke\u00e4 suoraan tai v\u00e4lillisesti toiseen laitteeseen tai verkkoon.<\/p>\n\n\n\n

Traficom kuvaa asetuksen velvoittavan koko talouden toimijakent\u00e4n: valmistajat, maahantuojat, jakelijat ja avoimen l\u00e4hdekoodin ohjelmistojen yll\u00e4pit\u00e4j\u00e4t (open-source software stewards), jotka saattavat tuotteita EU-markkinoille. Soveltamisalan ulkopuolelle j\u00e4\u00e4v\u00e4t tuoteryhm\u00e4t, joilla on jo oma EU:n turvallisuus- tai tietoturvas\u00e4\u00e4ntelyns\u00e4, kuten tietyt l\u00e4\u00e4kinn\u00e4lliset laitteet, ilmailutuotteet ja ajoneuvot.<\/p>\n\n\n\n

T\u00e4m\u00e4 laajuus on syy siihen, miksi CRA koskettaa Suomessa paljon useampaa yrityst\u00e4 kuin NIS2. Siin\u00e4 miss\u00e4 NIS2 kohdistuu rajattuun joukkoon kriittisen infrastruktuurin toimijoita, CRA osuu jokaiseen ohjelmistotaloon, laitevalmistajaan ja jopa konepajaan, joka liitt\u00e4\u00e4 tuotteeseensa anturin ja verkkoyhteyden. My\u00f6s pelkk\u00e4 mobiilisovellus tai pilvipohjainen ohjelmisto, jota myyd\u00e4\u00e4n EU:ssa, voi kuulua asetuksen piiriin.<\/p>\n\n\n\n

Tuoteluokat: oletus, t\u00e4rke\u00e4 ja kriittinen<\/h2>\n\n\n\n

CRA porrastaa vaatimusten tiukkuuden tuotteen riskitason mukaan. Asetus k\u00e4ytt\u00e4\u00e4 kolmiportaista luokittelua, jossa vaatimustenmukaisuuden arviointi muuttuu sit\u00e4 raskaammaksi, mit\u00e4 kriittisemm\u00e4st\u00e4 tuotteesta on kyse.<\/p>\n\n\n\n

Oletusluokka kattaa valtaosan tuotteista<\/h3>\n\n\n\n

Suurin osa tuotteista kuuluu tavalliseen oletusluokkaan. Toissijaisten l\u00e4hteiden mukaan noin 90 prosenttia digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4vist\u00e4 tuotteista<\/strong> j\u00e4\u00e4 t\u00e4h\u00e4n luokkaan, jossa valmistaja voi p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti osoittaa vaatimustenmukaisuuden itsearvioinnilla. T\u00e4m\u00e4 tarkoittaa, ett\u00e4 valmistaja vastaa itse teknisest\u00e4 dokumentaatiosta ja EU-vaatimustenmukaisuusvakuutuksesta ilman pakollista kolmannen osapuolen tarkastusta.<\/p>\n\n\n\n

T\u00e4rke\u00e4t ja kriittiset tuotteet vaativat enemm\u00e4n<\/h3>\n\n\n\n

T\u00e4rke\u00e4t tuotteet jaetaan kahteen luokkaan, ja niihin kohdistuu tiukempi arviointi. Kriittiset tuotteet ovat tiukimpien vaatimusten kohteena, ja niiss\u00e4 voidaan edellytt\u00e4\u00e4 ilmoitetun laitoksen (notified body) suorittamaa kolmannen osapuolen arviointia. K\u00e4yt\u00e4nn\u00f6ss\u00e4 esimerkiksi salasanojen hallintaohjelmistot, palomuurit, mikroprosessorit ja er\u00e4\u00e4t verkkolaitteet asettuvat korkeamman riskin luokkiin. Mit\u00e4 kriittisempi tuote, sit\u00e4 raskaampi todistustaakka valmistajalla on.<\/p>\n\n\n\n

24 tunnin ilmoitusvelvollisuus ja ENISA:n rooli<\/h2>\n\n\n\n

Syyskuun 2026 takaraja koskee nimenomaan ilmoitusvelvollisuutta. Kun valmistaja havaitsee aktiivisesti hy\u00f6dynnetyn haavoittuvuuden tai vakavan tietoturvapoikkeaman, sen on k\u00e4ynnistett\u00e4v\u00e4 porrastettu raportointiketju:<\/p>\n\n\n\n

    \n
  • 24 tunnin ennakkovaroitus:<\/strong> ensimm\u00e4inen ilmoitus on teht\u00e4v\u00e4 vuorokauden kuluessa havainnosta.<\/li>\n
  • 72 tunnin ilmoitus:<\/strong> tarkempi kuvaus poikkeamasta tai haavoittuvuudesta annetaan kolmen vuorokauden kuluessa.<\/li>\n
  • Loppuraportti:<\/strong> tapahtuman juurisyy, vaikutukset ja korjaavat toimenpiteet raportoidaan prosessin my\u00f6hemm\u00e4ss\u00e4 vaiheessa.<\/li>\n<\/ul>\n\n\n\n

    Ilmoitukset tehd\u00e4\u00e4n EU:n yhteisen raportointij\u00e4rjestelyn kautta, jossa keskeinen rooli on ENISA<\/strong>:lla, EU:n kyberturvallisuusvirastolla, ja kunkin maan kansallisella CSIRT-toimijalla. Suomessa t\u00e4m\u00e4 on Traficomin Kyberturvallisuuskeskus. Rakenne muistuttaa NIS2:n ilmoituslogiikkaa, ja se on tarkoituksella samankaltainen, jotta saman yrityksen ei tarvitse rakentaa kahta erillist\u00e4 raportointiputkea.<\/p>\n\n\n\n

    24 tunnin aikaikkuna on monelle valmistajalle uutta. Se edellytt\u00e4\u00e4, ett\u00e4 yrityksell\u00e4 on jatkuva valmius havaita hy\u00f6kk\u00e4ykset, p\u00e4ivyst\u00e4v\u00e4 yhteyshenkil\u00f6 ja ennalta sovittu prosessi ilmoituksen tekemiseen. Pelkk\u00e4 reagointi virka-aikana ei riit\u00e4, sill\u00e4 haavoittuvuuksia hy\u00f6dynnet\u00e4\u00e4n ymp\u00e4ri vuorokauden.<\/p>\n\n\n\n

    Traficom valvoo CRA:ta Suomessa<\/h2>\n\n\n\n

    Suomessa CRA:n markkinavalvonnasta ja toimivaltaisen viranomaisen teht\u00e4vist\u00e4 vastaa Traficom<\/strong>. Virasto on linjannut, ett\u00e4 CRA on EU-asetus, jonka tavoitteena on parantaa EU-markkinoille saatettavien, digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4vien tuotteiden kyberturvallisuutta. Traficomin mukaan vaatimustenmukaisuudesta tulee jatkossa edellytys tuotteen markkinoille saattamiselle.<\/p>\n\n\n\n

    Asetuksena CRA on suoraan sovellettavaa oikeutta kaikissa j\u00e4senmaissa, eli toisin kuin direktiivi, se ei vaadi erillist\u00e4 kansallista t\u00e4yt\u00e4nt\u00f6\u00f6npanolakia muuttaakseen sis\u00e4lt\u00f6\u00e4\u00e4n. Kansalliselle lains\u00e4\u00e4t\u00e4j\u00e4lle j\u00e4\u00e4 l\u00e4hinn\u00e4 valvontaviranomaisen nime\u00e4minen, valvontavaltuuksien ja seuraamusmenettelyn t\u00e4sment\u00e4minen sek\u00e4 resurssien varaaminen. T\u00e4ss\u00e4 CRA eroaa NIS2:sta, joka pantiin Suomessa t\u00e4yt\u00e4nt\u00f6\u00f6n erillisell\u00e4 kyberturvallisuuslailla.<\/p>\n\n\n\n

    Traficomin Kyberturvallisuuskeskus toimii my\u00f6s kansallisena CSIRT-toimijana, jolle CRA:n mukaiset ilmoitukset osaltaan ohjautuvat. T\u00e4m\u00e4 keskitt\u00e4\u00e4 suomalaisille yrityksille kosketuspinnan: sama viranomainen valvoo, ohjeistaa ja vastaanottaa ilmoitukset.<\/p>\n\n\n\n

    CRA vs NIS2: tuote vastaan organisaatio<\/h2>\n\n\n\n

    CRA:ta verrataan usein NIS2-direktiiviin, mutta ne s\u00e4\u00e4ntelev\u00e4t eri asioita. Yksinkertaistettuna: CRA s\u00e4\u00e4ntelee tuotteita, NIS2 organisaatioita<\/strong>. Moni suomalaisyritys kuuluu kummankin piiriin.<\/p>\n\n\n\n

    \n
    Ominaisuus<\/th>Cyber Resilience Act<\/th>NIS2-direktiivi<\/th><\/tr><\/thead>
    Kohde<\/td>Digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4v\u00e4t tuotteet<\/td>Keskeiset ja t\u00e4rke\u00e4t organisaatiot<\/td><\/tr>\n
    S\u00e4\u00e4d\u00f6styyppi<\/td>Asetus (suoraan sovellettava)<\/td>Direktiivi (kansallinen laki)<\/td><\/tr>\n
    Painopiste<\/td>Tuotteen turvallisuus koko elinkaaren ajan<\/td>Organisaation riskienhallinta ja hallinto<\/td><\/tr>\n
    Sakkojen yl\u00e4raja<\/td>15 milj. \u20ac \/ 2,5 %<\/td>10 milj. \u20ac \/ 2 %<\/td><\/tr>\n
    Valvoja Suomessa<\/td>Traficom (markkinavalvonta)<\/td>Toimialakohtaiset valvojat, Traficom keski\u00f6ss\u00e4<\/td><\/tr>\n
    Vaatimustenmukaisuuden osoitus<\/td>CE-merkint\u00e4 ja vakuutus<\/td>Hallintomalli ja tekniset kontrollit<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

    K\u00e4yt\u00e4nn\u00f6n esimerkki: teollisuusautomaatiota valmistava suomalaisyritys voi olla NIS2:n nojalla t\u00e4rke\u00e4 toimija, jonka on huolehdittava oman organisaationsa kyberturvallisuudesta, ja samalla CRA:n nojalla valmistaja, jonka jokaisen markkinoille saatetun ohjauslaitteen on t\u00e4ytett\u00e4v\u00e4 tuotekohtaiset vaatimukset. Kaksi s\u00e4\u00e4d\u00f6st\u00e4, kaksi vaatimusjoukkoa, mutta osin yhteinen ilmoituslogiikka. Yritysten kannattaa kartoittaa molempien velvoitteet samalla kertaa.<\/p>\n\n\n\n

    Mit\u00e4 valmistajien on k\u00e4yt\u00e4nn\u00f6ss\u00e4 teht\u00e4v\u00e4<\/h2>\n\n\n\n

    CRA:n vaatimukset tiivistyv\u00e4t joukoksi konkreettisia toimenpiteit\u00e4, jotka valmistajan on toteutettava ennen t\u00e4ysim\u00e4\u00e4r\u00e4ist\u00e4 soveltamista. Useimmat n\u00e4ist\u00e4 kannattaa aloittaa heti, sill\u00e4 ne vaikuttavat tuotekehitykseen ja toimitusketjuun.<\/p>\n\n\n\n

      \n
    1. Turvallisuus suunnittelusta l\u00e4htien:<\/strong> tuotteet on kehitett\u00e4v\u00e4 kyberturvallisuus huomioiden alusta alkaen, mukaan lukien turvalliset oletusasetukset.<\/li>\n
    2. Tekninen dokumentaatio:<\/strong> valmistajan on yll\u00e4pidett\u00e4v\u00e4 dokumentaatiota, joka osoittaa, miten tuote t\u00e4ytt\u00e4\u00e4 CRA:n vaatimukset, mukaan lukien riski- ja tietoturva-arviot.<\/li>\n
    3. Ohjelmiston osaluettelo (SBOM):<\/strong> valmistajan odotetaan yll\u00e4pit\u00e4v\u00e4n ohjelmiston osaluetteloa, jotta kolmannen osapuolen komponenttien ja niiden haavoittuvuuksien seuranta on mahdollista.<\/li>\n
    4. Haavoittuvuuksien hallinta:<\/strong> tarvitaan prosessi haavoittuvuuksien vastaanottoon, arviointiin, korjaamiseen ja koordinoituun julkistamiseen.<\/li>\n
    5. Tietoturvap\u00e4ivitykset:<\/strong> p\u00e4ivityksi\u00e4 on tarjottava tuotteen tuetun elinkaaren ajan, ja tukijakson kesto on ilmoitettava selke\u00e4sti.<\/li>\n
    6. Poikkeamien ilmoittaminen:<\/strong> aktiivisesti hy\u00f6dynnetyist\u00e4 haavoittuvuuksista ja vakavista poikkeamista on raportoitava lyhyill\u00e4 m\u00e4\u00e4r\u00e4ajoilla.<\/li>\n
    7. Vaatimustenmukaisuuden arviointi ja CE-merkint\u00e4:<\/strong> tuote on k\u00e4yt\u00e4v\u00e4 l\u00e4pi sen riskiluokkaa vastaava arviointi, ja sen on kannettava EU-vaatimustenmukaisuusvakuutus ja CE-merkint\u00e4 ennen markkinoille saattamista.<\/li>\n<\/ol>\n\n\n\n

      Erityisesti SBOM ja koordinoitu haavoittuvuuksien julkistaminen ovat monelle suomalaiselle pk-valmistajalle uusia k\u00e4yt\u00e4nt\u00f6j\u00e4. Ne edellytt\u00e4v\u00e4t ty\u00f6kaluja, prosesseja ja vastuuhenkil\u00f6iden nime\u00e4mist\u00e4. Hyv\u00e4 uutinen on, ett\u00e4 samat k\u00e4yt\u00e4nn\u00f6t parantavat tuotteen tietoturvaa konkreettisesti, eiv\u00e4t vain t\u00e4yt\u00e4 paperivaatimusta.<\/p>\n\n\n\n

      Asiantuntijat ja viranomaiset arvioivat CRA:n vaikutuksia<\/h2>\n\n\n\n

      CRA on her\u00e4tt\u00e4nyt sek\u00e4 kiitosta ett\u00e4 huolta. S\u00e4\u00e4d\u00f6ksen valmistelusta vastannut Thierry Breton<\/strong>, sis\u00e4markkinoista vastannut Euroopan komission j\u00e4sen asetusta ehdotettaessa, on puolustanut CRA:ta keinona nostaa digitaalisten tuotteiden kyberturvallisuuden perustasoa ja siirt\u00e4\u00e4 vastuuta selvemmin valmistajille. H\u00e4nen julkinen linjansa on ollut, ett\u00e4 markkinoille p\u00e4\u00e4syn ehtona pit\u00e4\u00e4 olla todistettu turvallisuus, ei vain markkinointilupaus.<\/p>\n\n\n\n

      Henna Virkkunen<\/strong>, Euroopan komission teknologiasuvereniteetista, turvallisuudesta ja demokratiasta vastaava varapuheenjohtaja, on julkisesti tukenut CRA:n laajempaa tavoitetta tehd\u00e4 digitaalisista tuotteista turvallisempia koko EU-markkinoilla. H\u00e4nen viestins\u00e4 korostaa, ett\u00e4 yhten\u00e4iset s\u00e4\u00e4nn\u00f6t vahvistavat Euroopan kyky\u00e4 hallita omaa digitaalista infrastruktuuriaan.<\/p>\n\n\n\n

      Juhan Lepassaar<\/strong>, ENISA:n p\u00e4\u00e4johtaja, on virastonsa kautta esitt\u00e4nyt CRA:n keskeisen\u00e4 v\u00e4lineen\u00e4 parantaa tuotteiden kyberturvallisuutta ja v\u00e4hent\u00e4\u00e4 haavoittuvista digitaalisista tuotteista aiheutuvia riskej\u00e4. ENISA:lle asetus tuo my\u00f6s uuden operatiivisen roolin haavoittuvuuksien ja poikkeamien raportoinnin solmukohtana.<\/p>\n\n\n\n

      Avoimen l\u00e4hdekoodin yhteis\u00f6\u00e4 edustava Open Source Security Foundation (OpenSSF)<\/strong> on todennut CRA:n ensisijaisena tavoitteena olevan tietomurroista aiheutuvien kustannusten v\u00e4hent\u00e4minen ja luottamuksen lis\u00e4\u00e4minen digitaalisia elementtej\u00e4 sis\u00e4lt\u00e4viin tuotteisiin. Samalla avoimen l\u00e4hdekoodin kent\u00e4ll\u00e4 on esitetty huoli siit\u00e4, miten velvoitteet kohdistuvat yll\u00e4pit\u00e4jiin, jotka tarjoavat koodinsa ilmaiseksi. Teollisuuden kommentaattorit ovat laajalti yht\u00e4 mielt\u00e4 siit\u00e4, ett\u00e4 asetus pakottaa tuoteturvallisuuden kypsym\u00e4\u00e4n SBOM:ien, haavoittuvuuksien hallinnan ja vaatimustenmukaisuuden todentamisen kautta, mutta varoittavat samalla kasvavasta hallinnollisesta ty\u00f6m\u00e4\u00e4r\u00e4st\u00e4.<\/p>\n\n\n\n

      Markkinavaikutus Suomessa ja Pohjoismaissa<\/h2>\n\n\n\n

      CRA:n vaikutus kohdistuu Pohjoismaissa erityisesti vahvaan laite- ja teollisuusvalmistuksen sektoriin. Suomessa peliin tulevat muun muassa verkkolaitteiden, teollisuusautomaation, mittauslaitteiden ja IoT-tuotteiden valmistajat sek\u00e4 laaja ohjelmistoala. Pohjoismaiden vientivetoisille teknologiayrityksille EU-markkina on keskeinen, joten CRA:n vaatimukset eiv\u00e4t ole valinnaisia.<\/p>\n\n\n\n

      Lyhyell\u00e4 aikav\u00e4lill\u00e4 asetus nostaa kustannuksia. Vaatimustenmukaisuuden arviointi, dokumentaatio, SBOM-ty\u00f6kalut ja haavoittuvuuksien hallintaprosessit vaativat investointeja ja osaamista. Pienille yrityksille suhteellinen rasitus on suurempi kuin suurille konserneille, joilla on jo tuotetietoturvan tiimit. T\u00e4m\u00e4 voi lyhyell\u00e4 t\u00e4ht\u00e4imell\u00e4 suosia suuria toimijoita ja kiihdytt\u00e4\u00e4 alan keskittymist\u00e4.<\/p>\n\n\n\n

      Pidemm\u00e4ll\u00e4 aikav\u00e4lill\u00e4 CRA voi kuitenkin olla suomalaisille turvallisuuteen panostaville yrityksille kilpailuetu. Kun jokaisen markkinoilla olevan tuotteen on t\u00e4ytett\u00e4v\u00e4 sama perustaso, todistettavasti turvallinen tuote erottuu paremmin my\u00f6s niill\u00e4 markkinoilla, joilla turvallisuus ei ole aiemmin ollut myyntivaltti. Yhten\u00e4inen EU-standardi v\u00e4hent\u00e4\u00e4 my\u00f6s pirstaleisen kansallisen s\u00e4\u00e4ntelyn aiheuttamia esteit\u00e4, mist\u00e4 hy\u00f6tyy erityisesti pieni vientimarkkina kuten Suomi.<\/p>\n\n\n\n

      Vertailukohtana toimii NIS2: kun se pantiin t\u00e4yt\u00e4nt\u00f6\u00f6n, suomalaisyritykset joutuivat nopeasti kartoittamaan kuuluvatko ne soveltamisalaan ja rakentamaan ilmoitusprosessit. CRA:n kohdalla sama kartoitusty\u00f6 on edess\u00e4, mutta soveltamisala on laajempi ja koskee suoraan tuotteita eik\u00e4 vain organisaatioita.<\/p>\n\n\n\n

      Historiallinen konteksti: vakiosalasanoista CE-merkint\u00e4\u00e4n<\/h2>\n\n\n\n

      CRA ei syntynyt tyhj\u00e4st\u00e4. Sen taustalla on vuosikymmenen mittainen sarja tapahtumia, joissa heikosti suojatut kuluttajalaitteet ovat aiheuttaneet laajaa vahinkoa. Vakiosalasanoilla varustettuja IP-kameroita ja reitittimi\u00e4 on kaapattu massoittain botnet-verkkoihin, jotka ovat k\u00e4ytt\u00e4neet niit\u00e4 palvelunestohy\u00f6kk\u00e4yksiin. Kun yksitt\u00e4inen halpa laite voi tulla osaksi maailmanlaajuista hy\u00f6kk\u00e4ysinfrastruktuuria, ongelma ei ole en\u00e4\u00e4 vain ostajan vaan koko verkon.<\/p>\n\n\n\n

      CE-merkint\u00e4 on ollut EU:ssa tuoteturvallisuuden symboli jo vuosikymmeni\u00e4: se on kertonut, ett\u00e4 tuote t\u00e4ytt\u00e4\u00e4 terveytt\u00e4, turvallisuutta ja ymp\u00e4rist\u00f6\u00e4 koskevat vaatimukset. CRA laajentaa t\u00e4m\u00e4n logiikan kyberturvallisuuteen. Jatkossa CE-merkki ei kerro vain siit\u00e4, ettei laite syty tuleen, vaan my\u00f6s siit\u00e4, ett\u00e4 se on suunniteltu kest\u00e4m\u00e4\u00e4n verkkohy\u00f6kk\u00e4yksi\u00e4 ja ett\u00e4 valmistaja paikkaa haavoittuvuudet.<\/p>\n\n\n\n

      CRA on osa laajempaa EU:n kyberturvallisuuden s\u00e4\u00e4ntelyaaltoa, johon kuuluvat my\u00f6s NIS2-direktiivi ja DORA-asetus rahoitusalalle. Yhdess\u00e4 ne muodostavat kokonaisuuden, jossa organisaatioiden, kriittisten palveluiden ja tuotteiden turvallisuutta s\u00e4\u00e4nnell\u00e4\u00e4n rinnakkain. T\u00e4m\u00e4 heijastaa EU:n tavoitetta digitaalisesta suvereniteetista: v\u00e4hemm\u00e4n riippuvuutta turvattomista tuotteista ja enemm\u00e4n vaatimuksia niit\u00e4 kohtaan, jotka haluavat myyd\u00e4 sis\u00e4markkinoilla.<\/p>\n\n\n\n

      Viisi ennustetta CRA:n seurauksista<\/h2>\n\n\n\n

      Mihin CRA johtaa Suomessa ja Pohjoismaissa? Seuraavat viisi ennustetta perustuvat asetuksen tunnettuihin vaatimuksiin ja aiempien EU-s\u00e4\u00e4d\u00f6sten t\u00e4yt\u00e4nt\u00f6\u00f6npanon kokemuksiin.<\/p>\n\n\n\n