Vauvamonitoreista älykelloihin, tuotteet ja ohjelmistot, jotka sisältävät digitaalisen komponentin, ovat läsnä jokapäiväisessä elämässämme. Monille käyttäjille vähemmän ilmeistä on turvallisuusriski, jota tällaiset tuotteet ja ohjelmistot saattavat aiheuttaa.
Kyberresilienssisäädöksellä pyritään turvaamaan kuluttajat ja yritykset, jotka ostavat tai käyttävät tuotteita tai ohjelmistoja, joissa on digitaalinen komponentti. Lain mukaan puutteelliset turvaominaisuudet muuttuisivat menneisyydeksi, kun tällaisten tuotteiden valmistajille ja vähittäiskauppiaille asetettaisiin pakolliset kyberturvallisuusvaatimukset, joiden suoja ulottuu tuotteen koko elinkaaren ajan.
Asetuksessa käsitelty ongelma on kaksiosainen.
Ensinnäkin monien tuotteiden kyberturvallisuuden taso on riittämätön tai tällaisten tuotteiden ja ohjelmistojen tietoturvapäivitykset puutteellisia.
Toinen on se, että kuluttajat ja yritykset eivät tällä hetkellä pysty määrittämään, mitkä tuotteet ovat kyberturvallisia, tai perustamaan niitä tavalla, jolla varmistetaan niiden kyberturvallisuuden suojaaminen.
Kyberresilienssisäädöksellä taataan
- yhdenmukaistetut säännöt, kun tuotteita tai ohjelmistoja saatetaan markkinoille digitaalisella komponentilla;
- tällaisten tuotteiden suunnittelua, suunnittelua, kehittämistä ja ylläpitoa koskevat kyberturvallisuusvaatimukset, joihin liittyvät velvoitteet on täytettävä arvoketjun kaikissa vaiheissa;
- velvollisuus huolehtia tällaisten tuotteiden koko elinkaaresta.
Kun asetus tulee voimaan, internetiin liitetyissä ohjelmistoissa ja tuotteissa olisi CE-merkintä, joka osoittaa, että ne ovat uusien standardien mukaisia. Vaatimalla valmistajia ja vähittäiskauppiaita asettamaan etusijalle kyberturvallisuus, asiakkaat ja yritykset voisivat tehdä paremmin tietoon perustuvia valintoja ja luottaa CE-merkittyjen tuotteiden kyberturvallisuusvaltuutuksiin.
Asetuksesta ilmoitettiin vuoden 2020 EU:n kyberturvallisuusstrategiassa, ja sillä täydennetään muuta tämän alan lainsäädäntöä, erityisesti NIS2 -kehystä.
Sitä sovelletaan kaikkiin tuotteisiin, jotka on liitetty suoraan tai välillisesti toiseen laitteeseen tai verkkoon, lukuun ottamatta tiettyjä poikkeuksia, kuten avoimen lähdekoodin ohjelmistoja tai palveluja, jotka kuuluvat jo voimassa olevien sääntöjen soveltamisalaan, kuten lääkinnällisten laitteiden, ilmailun ja autojen osalta.
Asetuksen odotetaan tulevan voimaan vuoden 2024 alussa. Valmistajien on sovellettava sääntöjä 36 kuukauden kuluttua niiden voimaantulosta. Tämän jälkeen komissio tarkastelee säädöstä määräajoin ja raportoi sen toiminnasta.
Aiheeseen liittyvää
Aiheesta laajemmin
Euroopan unioni toimii eri aloilla edistääkseen kyberresilienssiä, turvatakseen viestintämme ja datamme sekä pitääkseen verkkoyhteiskunnan ja talouden turvallisena.
Katso myös
EU:n kyberturvallisuusalan solidaarisuussäädöksellä parannetaan kyberturvallisuuspoikkeamiin varautumista, havaitsemista ja niihin reagointia kaikkialla EU:ssa.
Keskeisten palvelujen tarjoajat (OES), kansalliset kyberturvallisuuden sertifiointiviranomaiset ja kyberturvallisuudesta vastaavat kansalliset toimivaltaiset viranomaiset kuuluvat valittuihin hakijoihin, jotka saavat 11 miljoonaa euroa rahoitusta Verkkojen Eurooppa -välineen...
Euroopan kyberturvallisuusverkosto ja kyberturvallisuuden osaamiskeskus auttavat EU:ta säilyttämään ja kehittämään kyberturvallisuuden teknologisia ja teollisia valmiuksia.
Sidosryhmien kyberturvallisuuden sertifiointiryhmä perustettiin antamaan neuvoja kyberturvallisuussertifiointiin liittyvissä strategisissa kysymyksissä.
Kyberturvallisuussäädöksellä vahvistetaan EU:n kyberturvallisuusvirastoa (ENISA) ja luodaan tuotteiden ja palvelujen kyberturvallisuuden sertifiointikehys.
EU:n kyberturvallisuuden sertifiointikehys tieto- ja viestintätekniikan tuotteille mahdollistaa räätälöityjen ja riskiperusteisten EU:n sertifiointijärjestelmien luomisen.
NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Siinä säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa.