Tietoturva & kyberturvallisuus blogi – Silverskin

EU:n kyberkestävyyssäädös (Cyber Resilience Act, CRA) – mitä organisaatioiden tulee tietää?

Kirjoittanut Silverskinin asiantuntija | 6 / 2026

Digitalisaatio on tuonut mukanaan valtavasti mahdollisuuksia, mutta samalla se on avannut ovia kyberuhille. Tähän asti monien verkkoon kytkettyjen laitteiden ja ohjelmistojen tietoturva on ollut pitkälti valmistajan hyvän tahdon varassa. EU:n nk. kyberkestävyyssäädös (2024/2847), eli Cyber Resilience Act (CRA), muuttaa säännöt pysyvästi.

 

Kyseessä on uusi koko EU:n laajuinen sääntelykehys, joka asettaa pakolliset kyberturvallisuusvaatimukset kaikille digitaalisia elementtejä sisältäville tuotteille. Säädös tuli voimaan 10.12.2024, ja sen soveltaminen etenee vaiheittain vuoteen 2027 saakka.

HUOM. Suomessa hallitus on antanut esityksen CRA:n täytäntöönpanemiseksi, jossa määritellään kansallisen täytäntöönpanon edellyttämät täsmentävät ja täydentävät säännökset.

 

 

Mitä tuotteita CRA koskee – ja mitä se ei koske?

CRA koskee kaikkia laitteita ja ohjelmistoja, joilla on suora tai epäsuora digitaalinen tai verkkoyhteys.

  • IoT‑laitteet ja älylaitteet

  • Teollisuuden ohjausjärjestelmät

  • Ohjelmistot ja sulautetut järjestelmät

  • Näihin erikseen myytävät komponentit

 

CRA ei koske:

  • Kansallisen turvallisuuden ja puolustuksen tuotteita

  • Lääketieteellisiä laitteita ja muita sektorikohtaisesti säänneltyjä tuotteita

  • Puhtaita pilvipalveluja (SaaS/PaaS/IaaS), elleivät ne ole välttämättömiä tuotteen toiminnalle

  • Ei-kaupallista avoimen lähdekoodin ohjelmistoa (tietyin poikkeuksin)



Mitä vaatimuksia CRA asettaa?

CRA:n tuomat vaatimukset valmistajille ja organisaatioille jakautuvat kolmeen eri tasoon:  


(a) Perusvaatimukset kaikille tuotteille

Valmistajan on varmistettava tuotteen elinkaaren aikana muun muassa:

  • Turvallinen suunnittelu ja kehitys
  • Oletusarvoisesti turvalliset asetukset
  • Suoja haavoittuvuuksilta ja kyberhyökkäyksiltä
  • Turvallinen päivitys- ja haavoittuvuuksien käsittelyprosessi 

(b) Riskiperusteinen luokittelu (Class I–II)

Korkeamman riskin tuotteet, kuten identiteetinhallintajärjestelmät, palomuurit ja käyttöjärjestelmät vaativat kolmannen osapuolen arvioinnin.

(c) Haavoittuvuuksien raportointi

Aika on jatkossa rahaa ja turvallisuutta: valmistajien on raportoitava merkittävät haavoittuvuudet ja tietoturvaloukkaukset viranomaisille  24 tunnin sisällä sen havaitsemisesta (ennakkovaroitus/Early Warning), tarkempi ilmoitus (Incident Notification) viimeistään 72 tunnin kuluessa ja loppuraportti (Final Report) lähtökohtaisesti kuukauden kuluessa tapahtuman ilmoittamisesta.

 

CRA:n aikataulu

Säädöksen velvoitteet astuvat voimaan porrastetusti, mikä antaa organisaatioille aikaa sopeutua:

  • 10.12.2024 – Säädös tuli virallisesti voimaan

  • 11.06.2026 – Ilmoitettujen arviointilaitosten rekisteröinti alkaa

  • 11.09.2026Haavoittuvuuksien raportointivelvoitteet astuvat voimaan

  • 11.12.2027Täysi soveltaminen astuu voimaan: Tämän jälkeen vain CRA-vaatimukset täyttävät tuotteet voidaan tuoda EU-markkinoille.

Toimijoiden velvollisuudet

CRA ei koske vain tuotteiden valmistajia, vaan se määrittelee selkeät vastuut koko toimitusketjulle.

  • Valmistajat: On tehtävä EU-vaatimustenmukaisuusvakuutus, kiinnitettävä tuotteeseen CE-merkintä ja ylläpidettävä haavoittuvuuksien hallintaa koko tuotteen elinkaaren ajan. Päivitysten on oltava saatavilla vähintään tuotteen odotetun käyttöiän ajan.
  • Maahantuojat ja jakelijat: Heidän on aktiivisesti varmistettava, että maahan tuotavat tai edelleen myytävät tuotteet ovat CRA-yhteensopivia ennen kuin ne lasketaan markkinoille.

 

Miten CRA:n alainen tuote tuodaan markkinoille?

Kun tuotetta valmistellaan EU-markkinoille, prosessi etenee seuraavien vaiheiden kautta:

1. Riskiluokan määrittely: Tarkistetaan, kuuluuko tuote perusluokkaan vai kriittisempiin luokkiin I–II.
 
2. Vaatimustenmukaisuuden arviointi: Tehdään joko yrityksen oma itsearviointi tai käytetään ilmoitetun ulkopuolisen laitoksen arviointia (riippuen riskiluokasta).

3. Teknisen dokumentaation laatiminen: Prosessit ja ratkaisut dokumentoidaan tarkasti.

4. EU-vaatimustenmukaisuusvakuutus: Laaditaan virallinen vakuutus.

5. CE-merkintä: Kiinnitetään CE-merkki tuotteeseen merkiksi siitä, että se täyttää EU:n kyberturvavaatimukset.
 
6. Jatkuva ylläpito: Siirrytään jatkuvan haavoittuvuuksien hallinnan ja raportoinnin piiriin.
 
 
 

CRA:n noudattamatta jättämisen seuraukset

Säädöksen laiminlyönnillä voi olla organisaatiolle vakavat seuraukset:

  • Taloudelliset sanktiot: CRA:n noudattamatta jättäminen voi johtaa jopa 15 miljoonan euron tai 2,5 % maailmanlaajuisesta liikevaihdosta laskettuihin sakkoihin.
  • Liiketoiminnalliset esteet ja johdon vastuu: Riskinä ovat tuotekiellot, tuotteiden vetäminen pois markkinoilta sekä mahdolliset johdon vastuukysymykset kansallisen lainsäädännön kautta (Suomen osalta soveltaminen täsmentyy vielä hallituksen esityksen myötä).
  • Maine ja korvausvelvollisuus: Puutteellinen kyberturvallisuus aiheuttaa merkittävän maineriskin ja asiakasluottamuksen menetyksen, minkä lisäksi valmistajalle voi syntyä suora korvausvastuu vahingoista.
 
 
 

Lisätietoja ja hyödyllisiä linkkejä

Suomessa Traficomin Kyberturvallisuuskeskus antaa CRA:ta koskevaa neuvontaa ja virallista tietoa. Tutustu aiheeseen tarkemmin seuraavista lähteistä:

 

Miten teidän organisaationne on varautunut CRA-vaatimuksiin? 

Ota meihin yhteyttä oheisen lomakkeen kautta. Jutellaan matalalla kynnyksellä siitä, mitä säädös tarkoittaa juuri teidän tuotteillenne tai toiminnallenne.
Näytä koko julkaisu