Valmistajat huomio: CE-merkintä laajenee kyberturvallisuuteen
EU:n kyberkestävyyssäädöksen siirtymäaikaa on jäljellä alle kaksi vuotta – joulukuusta 2027 alkaen lähes kaikilla verkkoon liitettävillä tuotteilla on oltava CE-merkintä, joka todistaa tuotteen kyberturvallisuuden. Siirtymäaika voi tuntua pitkältä, mutta käytännössä se on lyhyt, kun ottaa huomioon tuotekehityksen tavanomaisen keston. Päätökset, jotka tehdään tänään tuotekehityksessä, määrittävät tuotteen ominaisuudet vuosien päähän. Siksi oikea hetki aloittaa valmistautuminen on nyt.
Kyberkestävyyssäädös koskettaa lähes kaikkia tuotteita.
EU:n kyberkestävyyssäädös (Cyber Resilience Act, CRA) astui voimaan 10.12.2024. Säädös koskee kaikkia digitaalisia tuotteita eli ohjelmistoja ja laitteita, jotka voidaan liittää internetiin tai muihin laitteisiin. Tämä tarkoittaa lähes kaikkia tuotteita aina kuluttajakäyttöön suunnitelluista älykelloista teollisuuden ohjausjärjestelmiin, työvälineisiin ja laitteisiin.
Tuoteturvallisuus laajenee kyberturvallisuuteen ja koko toimitusketjuun
Sinänsä tuoteturvallisuudessa ei ole mitään uutta. Tuttu CE-merkintä yksinkertaisesti laajenee CRA:n myötä, ja jatkossa tuotteilta edellytetään kyberturvallisuutta koko niiden elinkaaren ajan. Joulukuusta 2027 alkaen tuotteiden on täytettävä olennaiset kyberturvallisuusvaatimukset, ja CE-merkintä on osoitus tuotteen kyberturvallisuudesta.
Riskiluokitus ja arviointi
Tuoteturvallisuuden varmistamiseksi tuotteet tullaan jakamaan eri riskiluokkiin muun muassa käyttötarkoituksen mukaan. Suurin osa tuotteista kuuluu niin sanottuun oletusluokkaan, jossa valmistaja voi itsearvioida tuotteensa. Mitä suurempi riskiprofiili, sitä todennäköisemmin tuote luokitellaan tärkeäksi tai kriittiseksi tuotteeksi, jolloin sen on läpikäytävä kolmannen osapuolen kyberturvallisuusarviointi. Valmistaja vastaa tuotteensa luokittelusta ja olennaisten kyberturvallisuusvaatimusten täyttämisestä itse. Tämä koskee uusien tuotteiden lisäksi myös nykyisiä, jo markkinoille saatettuja ja tuotekehitysvaiheessa olevia tuotteita.
Toimitusketjun vastuut
Uudet vastuut ulottuvat koko laajaan toimitusketjuun. Valmistajien on siis varmistettava, että yhteistyökumppanit ja toimittajat noudattavat kyberturvallisuusvelvoitteita. Sopimukset ovat tässäkin asiassa kriittinen työkalu: niissä on määriteltävä selkeästi toimittajien velvoitteet sekä sovittava esimerkiksi auditointioikeuksista.
Aikataulu ja tärkeät päivämäärät
- 1.6.2026 kansallinen lainsäädäntö astuu voimaan Suomessa
- 11.9.2026 valmistajien raportointivelvollisuus haavoittuvuuksista ja poikkeamista viranomaisille alkaa
- 11.12.2027 CRA tulee täysimääräisesti sovellettavaksi, CE-merkintä pakollinen
CRA on EU-asetus ja sellaisenaan sitova Suomessa ja muissa EU:n jäsenvaltioissa. EU:n jäsenvaltioiden on kuitenkin kansallisesti säädettävä valvovasta viranomaisesta. Suomessa valvovaksi viranomaiseksi on esitetty Liikenne- ja viestintävirasto Traficomia.
Suomessa kansallinen lainvalmistelu on edelleen käynnissä ja hallituksen esitys on annettu eduskunnalle marraskuussa 2025. Kansallisen lain on tarkoitus astua voimaan kesäkuun 2026 alussa.
Kirjoittaja
Counsel, IP & Technology | Asianajotoimisto Hannes Snellman
Lue myös nämä
Katso kaikki artikkelit »- Asiantuntijablogi, Muutosjohtaminen
- Uutiset, Yhteisö