Kyberkestävyyssäädöksellä uusien laitteiden tietoturva samalle lähtöviivalle

Kyberkestävyyssäädöksen, josta on käytetty myös termiä kyberresilienssisäädös, tavoitteena on varmistaa kaikille EU:ssa myytäville verkkoon liitettäville laitteille tietty kyberturvallisuuden perustaso. Verkkoon kytkemisen mahdollisuus voi nykypäivänä löytyä kodin valvontakameroiden, ovikellojen ja älylukkojen lisäksi kodinkoneista, kuten jääkaapeista, televisioista, pesukoneista ja imureista. Säädöksellä pyritään vaikuttamaan niin, että kyberturvallisuus huomioitaisiin jo laitteita ja ohjelmistoja suunniteltaessa ja kehitettäessä, jotta mahdollisimman vähän jäisi käyttäjän omatoimisuuden ja osaamisen varaan. (Euroopan unionin neuvosto, 2023a.)

Tarve kyberkestävyyssäädökselle

Tarve säädökselle on noussut kehityssuunnasta, jossa internetiin kytketään yhä enemmän erilaisia laitteita usein sen enempää tietoturvaa miettimättä, eikä päivityksistä huolehtimiseen välttämättä löydy aikaa, tai osaamista. Esimerkiksi Kyberturvallisuuskeskus kertoi viikkokatsauksessaan 15/2024 haavoittuvuudesta erään valmistajan televisiomallissa, joita Suomessa oli yli 6000 kappaletta. Kun eri valmistajat toimittavat jatkuvasti uusia tuotteita markkinoille, haavoittuvia laitteita on potentiaalisesti valtava määrä. (Kyberturvallisuuskeskus, 2024.)

Tällä hetkellä laitteiden ja ohjelmistojen kyberturvallisuuden taso vaihtelee suuresti, eikä korjauspäivitysten toimittamisesta haavoittuvuuksiin aina huolehdita riittävän hyvin. Kuluttajien ja yritysten on myös vaikea määritellä tai varmistaa, mikä tuote on oikeasti kyberturvallinen. Tavallinen kuluttaja ei sitä välttämättä aina tule edes miettineeksi. Näihin seikkoihin säädöksellä pyritään vaikuttamaan yrityksiin kohdistuvien yhdenmukaisten sääntöjen kautta.

Mitä toimialoja ja tuotteita säädös koskee?

Säädös koskee kaikkia kaupallisia toimijoita, eli valmistajia ja vähittäismyyjiä EU:n markkinoilla. Ohjelmistoihin ja digitaalisia elementtejä sisältäviin tuotteisiin, eli käytännössä tuotteisiin, jotka voidaan liittää tietoverkkoon tai toiseen laitteeseen, on tarkoitus tulla CE-merkintä osoittamaan standardinmukaisuus, jonka perusteella yritykset ja kuluttajat voivat paremmin luottaa niiden kyberturvallisuuteen. Säädöksen ulkopuolelle jäävät muun muassa lääkinnälliset laitteet, autot ja ilmailuala, joiden osalta noudatetaan niiden omaa voimassa olevaa säännöstöä. (Euroopan komissio, 2024.)

Valmistajan velvollisuudet

Sen lisäksi, että säädös takaa yhdenmukaiset säännöt ja asettaa kehyksen turvallisten tuotteiden suunnittelulle ja kehittämiselle, se myös velvoittaa yritykset huolehtimaan niiden turvallisuudesta koko elinkaaren (käyttöiän) ajalta (Euroopan komissio, 2024). Valmistajien on määriteltävä tuotteilleen odotettu käyttöikä, jota tuotteen tukikauden on vastattava. Tukikausi on vähintään viisi vuotta, pois lukien kuitenkin tuotteet, joiden odotettu käyttöikä on lyhyempi. (Euroopan unionin neuvosto, 2023a.)

Lisäksi Euroopan unionin kyberturvallisuusvirasto, Enisa, tulee perustamaan alustan, johon valmistajien on jatkossa raportoitava haavoittuvuuksista ja häiriötilanteista viiveettä, 24 tunnin sisällä ongelman havaitsemisesta (Euroopan parlamentin ja neuvoston asetus 2022/0272, 69,134).

Vaatimukset valmistajille pähkinänkuoressa:

Kyberturvallisuuden huomioon ottaminen suunnittelussa, kehityksessä, tuotannossa sekä toimitus- ja kunnossapitovaiheessa
kyberturvallisuuteen liittyvien uhkien dokumentointi
ajankohtaisista haavoittuvuuksista ja häiriötilanteista raportointi
haavoittuvuuksien käsittely tehokkaasti koko tuotteen elinkaaren ajan
selkeiden käyttöohjeiden toimittaminen käyttäjille
selkeän menettelyohjeen toimittaminen käyttäjille siitä, millä keinoilla havaitut tietoturvaa vaarantavat tekijät saadaan valmistajan tietoon
tietoturvapäivitysten toimittaminen käyttäjille koko tuotteen käyttöiän ajan.

(Euroopan komissio, 2023; Euroopan parlamentin ja neuvoston asetus 2022/0272, Liite 1, 1–5.)

Vaatimustenmukaisuuden osoittaminen

Säädöksessä digitaaliset tuotteet jaetaan kahteen ryhmään perustuen niiden riskitasoon (kuva 1). Ensimmäiseen ryhmään kuuluvat ei-kriittiset tuotteet, joita ovat esimerkiksi kovalevyt ja sellaiset älykodin tuotteet, joissa ei ole turvallisuustoimintoja, ja toiseen tärkeät/kriittiset tuotteet (Hanssen & Vogel, 2024).

Tärkeiden ja kriittisten tuotteiden ryhmä puolestaan jaetaan kriittisyyden tason ja käyttötarkoituksen mukaan edelleen kolmeen luokkaan: tärkeät tuotteet luokka 1, tärkeät tuotteet luokka 2, sekä kriittiset tuotteet. Luokkaan 1 kuuluvat esimerkiksi älylukot ja virtuaalisten yksityisverkkojen luomiseen tarvittavat tuotteet, ja luokkaan 2 muun muassa palomuurit ja tunkeutumisen havaitsemis- ja estojärjestelmät. Kriittisiin lukeutuvat älykortit ja vastaavat tuotteet, ”fyysiset laitteet, joissa on peukaloinnilta suojaavia turvamekanismeja”, tietyt älymittareiden yhdyskäytävät sekä muut ”kehittyneisiin turvallisuustarkoituksiin” käytettävät laitteet. (Euroopan parlamentin ja neuvoston asetus 2022/0272, Liite 3, 1–3.)

Ei-kriittiset tuotteet muodostavat arviolta 90 prosenttia markkinoilla olevista tuotteista. Näiden osalta valmistajan on vakuutettava, omalla vastuullaan, että tuote täyttää kyberkestävyyssäädöksessä määritellyt turvallisuusvaatimukset. (Euroopan parlamentin ja neuvoston asetus 2022/0272, 76; Hanssen & Vogel, 2024.)

Myös luokan 1 tuotteiden osalta valmistaja voi suorittaa itsearvioinnin omalla vastuullaan, kunhan se soveltaa tuotteeseensa kyberturvallisuusstandardeja, tai EU:n kyberturvallisuuslain mukaisia sertifiointijärjestelmiä. Jos tuotteeseen liittyen ei ole olemassa standardeja tai järjestelmiä, tai niitä ei ole täysin sovellettu, tarvitaan kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi. Luokan 2 tuotteissa kolmannen osapuolen suorittama arviointi on ainoa vaihtoehto. Kriittisten tuotteiden tapauksessa vaatimuksena on varmuustason ”korotettu” eurooppalainen kyberturvallisuussertifikaatti, jos sellainen on saatavilla. Ellei ole, pätevät siihen samat vaatimukset kuin luokan 2 tärkeisiin tuotteisiin. (Euroopan parlamentin ja neuvoston asetus 2022/0272, 76, 116, 172; Hanssen & Vogel, 2024.)

Seuraamukset

Olennaisten kyberturvallisuusvaatimusten ja säädettyjen velvoitteiden noudattamatta jättämisestä voidaan määrätä jopa 15 miljoonan euron hallinnollinen sakko. Sakkoa määrättäessä on kuitenkin otettava huomioon ”kaikki kyseiseen tilanteeseen liittyvät merkitykselliset olosuhteet”, mukaan lukien yrityksen koko. (Euroopan parlamentin ja neuvoston asetus 2022/0272, 94, 220.)

Nähtäviksi jääkin, miten säädös tarkalleen ottaen vaikuttaa pienten ja mikroyritysten toimintaan, ja minkälaiset sanktiot niitä tulevat koskemaan. Todennäköisesti säädös joka tapauksessa lisää pienten ja keskisuurten yritysten menoja, erityisesti jos tietoturvaan ei ole tähän mennessä riittävästi panostettu.

Säädöksen vaikutus avoimen lähdekoodin ohjelmistoihin

Avoimen lähdekoodin yhteisössä kyberkestävyyssäädöksen alkuperäinen luonnos herätti huolta, koska se ei huomioinut riittävällä tarkkuudella avoimen lähdekoodin ohjelmistojen käyttöä tuotteiden toimitusketjuissa. Säädöksen luonnoksessa kaupallisen toiminnan määrittely oli tulkinnanvaraista, ja olisi saattanut johtaa siihen, että avoimen lähdekoodin kehittäjät olisivat olleet vastuussa haavoittuvuuksista tuotteissa, joissa käytetään kyseisiä ohjelmistoja. Näiden ongelmakohtien takia seitsemän avoimen lähdekoodin tahoa, muun muassa säätiöt, jotka ylläpitävät Pythonia, Apachea, Blenderiä ja Rustia, kävivät neuvotteluja ja auttoivat hahmottamaan ja tarkentamaan säädöksen avointa lähdekoodia koskevaa osuutta. (Collins, 2024.)

Säädökseen lisättiinkin tarkennuksia, joissa muun muassa määriteltiin, että avoimen lähdekoodin ohjelmistotuotteiden valmistamista ei pidetä kaupallisena toimintana, elleivät niiden valmistajat hyödy siitä rahallisesti. Säädöstä ei myöskään sovelleta koodin tuottamiseen osallistuviin luonnollisiin henkilöihin tai oikeushenkilöihin avoimen lähdekoodin tuotteissa, jotka eivät ole heidän vastuullaan. (Hubert, 2023.)

Lisäksi säädökseen lisättiin avoimen lähdekoodin ohjelmistovastaavan määritelmä. Avoimen lähdekoodin ohjelmistovastaava tarkoittaa tiettyjä säätiöitä ja toimijoita, “jotka kehittävät ja julkaisevat vapaita ja avoimen lähdekoodin ohjelmistoja liiketoimintaympäristössä”. Näihin toimijoihin on tarkoitus soveltaa räätälöityä, kevyttä sääntelyjärjestelmää, eikä niille voida määrätä hallinnollisia sakkoja. Avoimen lähdekoodin ohjelmistovastaaville ei toisaalta suoda oikeutta liittää CE-merkintää tukemiinsa tuotteisiin. (Euroopan parlamentin ja neuvoston asetus 2022/0272, 17.)

Toimeenpanon aikataulu

Kyberkestävyyssäädös on asetus, joka annettiin EU:n kyberturvallisuusstrategiassa vuonna 2020 täydentämään NIS2-kehystä ja muuta alaan liittyvää lainsäädäntöä. EU:n lainsäädännössä asetukset tulevat automaattisesti voimaan kaikissa jäsenvaltioissa ilman, että ne erikseen hyväksytettäisiin mukaan kansalliseen lainsäädäntöön (Suni, 2024).

Euroopan unionin neuvosto hyväksyi lain lokakuussa, ja se astui voimaan joulukuun alkupuolella. Säädöstä aletaan soveltaa 36 kuukauden siirtymäkauden jälkeen. Se velvoittaa kaikki EU:n jäsenmaat ottamaan käyttöön laitteisto- ja ohjelmistotuotteiden suunnittelussa, kehityksessä ja tuotannossa pakolliset kyberturvallisuusvaatimukset 11.12.2027 alkaen. Haavoittuvuuksien ilmoittamisen osalta säädöstä aletaan kuitenkin soveltaa jo 11.9.2026, ja kolmannen osapuolen arviointeja toteuttavia niin kutsuttuja ”ilmoitettuja laitoksia” koskevan sääntelyn osalta jo 11.6.2026. (Euroopan unionin neuvosto, 2024; Valtioneuvosto, 2024.)

Jamk yritysten tukena kohti kyberkestävyyttä

Jamk voi osaltaan olla tukemassa pieniä ja keskisuuria yrityksiä, joiden toimintaan kuuluu ohjelmistotuotantoa tai joiden valmistamissa tai myymissä tuotteissa on tietoverkkoon liittämisen mahdollisuus. IT-instituutilla on pitkä kokemus ohjelmistotuotannon kouluttajana, ja se voi siten tarjota yrityksille koulutuksia esimerkiksi kyberturvalliseen ohjelmistotuotantoon. Jamkiin kuuluva kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTEC puolestaan on tunnustettu kyberturvallisuuden osaaja, jonka palveluihin kuuluvat kyberturvallisuustestaukset, kuten erilaisten laitteiden tai ohjelmistojen haavoittuvuuksien havaitseminen, sekä testaaminen suuren rasituksen tai väärinkäytösten varalta (JYVSECTEC, n.d.).

Digitaalisten ohjelmistojen ja laitteiden kyberturvallisuuden parantaminen vaikuttaa pitkällä tähtäimellä kaikilla yhteiskunnan tasoilla. Vaikka kyberkestävyyssäädöksen konkreettiset hyödyt, ja mahdolliset haitat, kuten lisäkustannukset, jäävät vielä nähtäväksi, vie se kuitenkin varmasti osaltaan kehitystä kohti kyberturvallisempaa Eurooppaa. Jamkilla onkin nyt hyvä tilaisuus olla tukemassa paikallisia yrityksiä, ja helpottamassa siirtymää kohti kyberkestävyyssäädöksen velvoitteiden noudattamista.

Lue lisää

Avainsanat:

digitalisaatio esineiden internet kyberturvallisuus lainsäädäntö

Kirjoittajat:

Vesa Vertainen

Asiantuntija

Jyväskylän ammattikorkeakoulu

Työskentelen Jyväskylän ammattikorkeakoulun IT-instituutissa asiantuntijana kyberturvallisuuteen liittyvien hankkeiden parissa.

Lähteet:

Collins, B. (2024). Open source foundations unite on common standards for EU’s Cyber Resilience Act. Viitattu 11.10.2024. https://www.techradar.com/pro/open-source-foundations-unite-on-common-standards-for-eus-cyber-resilience-act

Council of the European Union. (2023). Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 – Letter sent to the European Parliament. Viitattu 29.10.2024. https://eur-lex.europa.eu/legal-content/FI/ALL/?uri=CONSIL:ST_17000_2023_INIT

Euroopan komissio. (2023). Kyberresilienssisäädös – Tietokooste. Viitattu 23.8.2024. https://digital-strategy.ec.europa.eu/fi/library/cyber-resilience-act-factsheet

Euroopan komissio. (2024). EU:n kyberresilienssisäädös. Viitattu 23.8.2024 https://digital-strategy.ec.europa.eu/fi/policies/cyber-resilience-act

Euroopan parlamentin ja neuvoston asetus 2022/0272. Asetus digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) n:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta (Kyberkestävyyssäädös). Viitattu 4.11.2024. https://eur-lex.europa.eu/legal-content/FI/ALL/?uri=CONSIL:PE_100_2023_REV_1

Euroopan unionin neuvosto. (2023a). Kyberresilienssisäädös: neuvosto ja parlamentti sopuun digitaalisten tuotteiden turvallisuusvaatimuksista. Viitattu 29.10.2024. https://www.consilium.europa.eu/fi/press/press-releases/2023/11/30/cyber-resilience-act-council-and-parliament-strike-a-deal-on-security-requirements-for-digital-products/

Euroopan unionin neuvosto. (2023b). Kyberresilienssisäädös: jäsenmailta yhteinen kanta digituotteiden turvallisuusvaatimuksiin. Viitattu 23.8.2024. https://www.consilium.europa.eu/fi/press/press-releases/2023/07/19/cyber-resilience-act-member-states-agree-common-position-on-security-requirements-for-digital-products/

Euroopan unionin neuvosto. (2024). Kyberkestävyyssäädös: neuvostolta uusi laki digitaalisten tuotteiden turvallisuusvaatimuksista. Viitattu 4.11.2024. https://www.consilium.europa.eu/fi/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

Hanssen, H., Vogel, A. (2024). The EU Cyber Resilience Act: Implications for Companies. Viitattu 3.12.2024. https://www.hoganlovells.com/en/publications/the-eu-cyber-resilience-act-implications-for-companies-

Hubert, B. (2023). EU CRA: What does it mean for open source? Viitattu 11.10.2024. https://berthub.eu/articles/posts/eu-cra-what-does-it-mean-for-open-source/?ref=blog.nlnetlabs.nl

JYVSECTEC . (n.d.) Security Testing. Viitattu 26.11.2024. https://jyvsectec.fi/services/testing/

Kyberturvallisuuskeskus. (2024). Kyberturvallisuuskeskuksen viikkokatsaus 15/2024. Viitattu 23.8.2024 https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-152024

Suni, E. (2024). Kyberturvallisempi Eurooppa: NIS2-direktiivin myötä Suomeen uusi kyberturvallisuuslaki. Jamk Arena Public. Viitattu 29.10.2024 https://urn.fi/urn:nbn:fi:jamk-issn-2984-0791-107

Valtioneuvosto. (2024). Kyberkestävyyssäädös asettaa vähimmäisvaatimukset internetiin kytkettäville tuotteille – kansallinen toimeenpanohanke käynnissä. Viitattu 22.11.2024 https://valtioneuvosto.fi/-/1410829/kyberkestavyyssaados-asettaa-vahimmaisvaatimukset-internetiin-kytkettaville-tuotteille-kansallinen-toimeenpanohanke-kaynnissa

Robocoast EDIH

Tämä artikkeli on osa artikkelisarjaa, jossa esitellään ajankohtaista kyberturvallisuuteen liittyvää EU-lainsäädäntöä. Artikkeli on kirjoitettu Robocoast EDIH -projektissa.

Projekti tarjoaa yrityksille tukea kyberturvallisuuden varmistamisessa. Projekti myös auttaa yrityksiä ottamaan uusia digitaalisia ratkaisuja käyttöön tehokkaasti ja liiketoimintalähtöisesti. Robocoast EDIH (European Digital Innovation Hub) toimintaa osarahoittavat Euroopan unioni, Business Finland ja projektin toteuttajakumppanit.

Esitetyt näkemykset ja mielipiteet ovat ainoastaan tämän tekstin laatijan näkemyksiä eivätkä välttämättä vastaa Euroopan unionin tai Euroopan komission kantaa. Euroopan unioni ja projektin rahoittajat eivät ole vastuussa niistä.

Lue lisää