Kyberresilienssisäädöksellä parannetaan digitaalista komponenttia sisältävien tuotteiden kyberturvallisuusstandardeja ja edellytetään, että valmistajat ja vähittäismyyjät varmistavat kyberturvallisuuden tuotteidensa koko elinkaaren ajan.
Digitaalisen komponentin sisältävät tuotteet ja ohjelmistot ovat läsnä jokapäiväisessä elämässämme vauvanmonitoreista älykelloihin. Vähemmän ilmeinen monille käyttäjille on tietoturvariski, jonka tällaiset tuotteet ja ohjelmistot voivat aiheuttaa.
Kyberresilienssisäädöksellä pyritään suojaamaan kuluttajia ja yrityksiä, jotka ostavat ohjelmisto- tai laitteistotuotteita, joissa on digitaalinen komponentti. Kyberresilienssisäädöksessä käsitellään monien tuotteiden kyberturvallisuuden riittämätöntä tasoa sekä tuotteiden ja ohjelmistojen oikea-aikaisten tietoturvapäivitysten puutetta. Siinä käsitellään myös haasteita, joita kuluttajat ja yritykset kohtaavat tällä hetkellä yrittäessään määrittää, mitkä tuotteet ovat kyberturvallisia, ja pystyttäessään niitä turvallisesti. Uudet vaatimukset helpottavat kyberturvallisuuden huomioon ottamista digitaalisia elementtejä sisältävien tuotteiden valinnassa ja käytössä. On yksinkertaisempaa tunnistaa laitteisto- ja ohjelmistotuotteet, joilla on asianmukaiset kyberturvallisuusominaisuudet.
Kyberresilienssisäädöksellä otetaan käyttöön valmistajia ja vähittäiskauppiaita koskevat pakolliset kyberturvallisuusvaatimukset, jotka koskevat tällaisten tuotteiden suunnittelua, kehittämistä ja ylläpitoa. Nämä velvoitteet on täytettävä arvoketjun kaikissa vaiheissa. Laki edellyttää valmistajilta myös huolenpitoa tuotteidensa elinkaaren aikana. Joillekin kyberturvallisuuden kannalta erityisen merkittäville kriittisille tuotteille on myös tehtävä valtuutetun elimen suorittama kolmannen osapuolen arviointi ennen kuin niitä myydään EU:n markkinoilla.
Asetusta sovelletaan kaikkiin tuotteisiin, jotka on liitetty suoraan tai välillisesti toiseen laitteeseen tai verkkoon, lukuun ottamatta tiettyjä poikkeuksia, kuten tiettyjä avoimen lähdekoodin ohjelmistoja tai palvelutuotteita, joihin jo sovelletaan voimassa olevia sääntöjä, kuten lääkinnällisiin laitteisiin, ilmailuun ja autoihin. Tuotteissa on CE-merkintä, joka osoittaa, että ne täyttävät luottoluokituslaitosten vaatimukset. Uusilla säännöillä tasapainotetaan vastuuta valmistajiin nähden, joiden on varmistettava, että niiden digitaalisia elementtejä sisältävät tuotteet täyttävät EU:n markkinoiden kyberturvallisuusstandardit. Näin ostajat voivat tehdä tietoon perustuvia päätöksiä luottaen CE-merkittyjen tuotteiden kyberturvallisuuteen.
Kyberresilienssisäädös tuli voimaan 10. joulukuuta 2024. Lailla käyttöön otettuja keskeisiä velvoitteita sovelletaan 11. joulukuuta 2027 alkaen.
Lisäksi ollaan perustamassa kyberresilienssisäädöksen asiantuntijaryhmää (CRA Expert Group). Asiantuntijaryhmä avustaa ja neuvoo komissiota kyberresilienssisäädöksen täytäntöönpanon kannalta merkityksellisissä kysymyksissä.
Kyberresilienssisäädös perustuu vuonna 2020 hyväksyttyyn EU:n kyberturvallisuusstrategiaan ja EU:n turvallisuusunionistrategiaan. Sillä täydennetään alan muuta lainsäädäntöä, erityisesti toista verkko- ja tietoturvadirektiiviä.
Aiheeseen liittyvää
Aiheesta laajemmin