Uusi kyberkestävyyssäädös on tullut voimaan – varmista vaatimustenmukaisuus ajoissa

EU:ssa tuli 10.12.2024 voimaan uusi asetus koskien kyberkestävyyttä. Asetus on suoraan sovellettavaa lainsäädäntöä jäsenvaltioissa ja näin ollen luo myös Suomessa välittömiä horisontaalisia vaikutuksia. Horisontaalinen vaikutus tarkoittaa jäsenvaltioiden kansalaisten, kuten kuluttajien, mahdollisuutta vedota EU:n säädökseen, jos tuote tai ohjelmisto ei täytä kyberkestävyyssäädöksen vaatimuksia.

Uusi kyberkestävyyssäädös asettaa valmistajille, maahantuojille ja jakelijoille vähimmäisvaatimukset verkkoon kytkettäville laitteille tai ohjelmistoille EU-alueella. Säännös keskittyy tuoteturvallisuuden parantamiseen tuotteissa ja ohjelmistoissa, jotka yhdistetään internettiin tai toiseen laitteeseen. Kyberturvallisuutta pyritään varmistamaan erityisesti tuotteen tai ohjelmiston suunnittelu-, kehittämis-, tuotanto- ja markkinoille saattamisvaiheessa. Tuotteet tai ohjelmistot, jotka täyttävät kaikki kyberkestävyyssäädöksen vaatimukset tullaan jatkossa merkitsemään CE-merkinnällä.

Siirtymäaika täydelle sovellettavuudelle on 3 vuotta, joten täysi sovellettavuus tulee voimaan 11. joulukuuta 2027. Tämä tarkoittaa, että EU:n markkinoille saatettujen tuotteiden on oltava suunniteltuja, kehitettyjä ja tuotettuja kyberturvallisuusvaatimusten mukaisesti viimeistään 11.12.2027.

Kyberkestävyyssäädöksen piiriin kuuluvat tuotteet

Kyberkestävyyssäädöksen soveltamisala on laaja. Asetuksessa sovellettavuus määritellään digitaalisen elementin avulla, kattaen laajalti tuotteet ja ohjelmistot, jotka yhdistetään internetiin tai toiseen laitteeseen. Kyseisiä tuotteita ovat esimerkiksi verkkoon yhdistyvät älykellot, puhelimet, turvakamerat, lelut, televisiot ja kotitalousreitittimet. Ohjelmistot sen sijaan kattavat muun muassa pelit, sovellukset, käyttöjärjestelmät, sekä tekstin- ja kuvankäsittelyohjelmat.

Sovellettavuus riippuu tuotteen mahdollisuudesta yhdistää se suoraan verkkoon tai epäsuorasti toiseen laitteeseen, mukaan lukien yksittäiset tuotteet osana laajempia ekosysteemejä. Tuotteet luokitellaan kolmeen alaluokkaan niiden riskitason perusteella. Suurin osa tuotteista kuuluvat oletusluokkaan, eli tuotteisiin, joihin ei liity erityistä kybervaarallisuusriskiä. Näiden tuotteiden osalta valmistajat voivat itse arvioida yhteensoveltuvuuden kyberkestävyyssäädöksen kanssa. Oletusluokan lisäksi digitaalisia elementtejä sisältävät tuotteet luokitellaan tärkeiden tuotteiden luokkaan I ja II. Luokaan I sisältyy muun muassa selaimet, älykotituotteet, älylelut, itkuhälyttimet, älykellot, haittaohjelmistojen esto-ohjelmistot, joiden osalta vaaditaan itsearviointia sekä kyberkestävyyssäädöksen standardinmukaisuutta. Mikäli tuotteelle tai ohjelmistolle ei ole olemassa standardeja, vaaditaan kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi. Luokka II sisältää muun muassa virtualisointijärjestelmät ja palomuurit, jotka vaativat kolmannen osapuolen suorittaman vaatimustenmukaisuuden arvioinnin.

Kyberkestävyyssäädöksen velvoittamat tahot

Kyberkestävyyssäädös asettaa ensisijaisesti velvoitteita valmistajille, maahantuojille ja jakelijoille EU-alueella. Sovellettavuuden kannalta yrityksen koolla ei ole merkitystä. Tämän vuoksi myös pienet ja keskisuuret yritykset kuuluvat soveltamisalan piiriin, jos ne valmistavat tai tuottavat EU-markkinoille tuotteita tai ohjelmistoja, jotka yhdistetään internetiin tai toiseen laitteeseen.

Tuotteisiin kohdistuvat vaatimukset uuden kyberkestävyyssäädöksen myötä

Vaatimukset voidaan jakaa seuraavasti:

  1. Riskiarviointi koko tuotteen tai ohjelmiston elinkaaren aikana
  2. Haavoittuvuuksien hallinta
  3. Läpinäkyvyys ja dokumentointi
  4. Raportointivelvoite

Kohdan 1 riskiarviointivaatimukset perustuvat riskien ennaltaehkäisyyn. Tuotteisiin kohdistuvia vaatimuksia on koko tuotteen elinkaaren aikana ja ne muodostuvat muun muassa seuraavista:

  • Oletusarvoinen ja sisäänrakennettu tietoturva, joka laaditaan ennen tuotteen saattamista markkinoille,
  • Oikea-aikaiset ja automaattiset turvallisuuspäivitykset koko tuotteen elinkaaren aikana,
  • Pääsy luvattomilta on estetty käyttämällä asianmukaista valvontamekanismia, esimerkiksi todennus-, ja identiteettihallintaa,
  • Tietoja säilytetään luottamuksellisesti ja data minimoidaan ainoastaan tarpeelliseen.

Kohta 2 asettaa valmistajalle velvollisuuden varmistaa asianmukainen haavoittavuuksien hallinta. Tämä tarkoittaa muun muassa, että valmistajan tulee:

  • Tunnistaa haavoittuvuudet ja dokumentointi ohjelmistojen materiaaliluettelossa,
  • Puuttua haavoittuvuuksiin ja korjata ne viivästyksettä,
  • Suorittaa säännöllisiä tietoturvatestejä ja arviointeja,
  • Jakaa ja julkaista tieto haavoittuvuudesta korjauksen jälkeen,
  • Ilmoittaa yhteysosoite haavoittuvuuksien raportointia varten,
  • Varmistaa turvalliset ja nopeat tuotepäivitykset sekä automaattiset tietoturvapäivitykset,
  • Jakaa tietoturvapäivitykset viipymättä, maksutta ja ohjeistuksen kera.

Kohta 3 asettaa vaatimuksia valmistajalle dokumentoida ja toimia läpinäkyvästi suhteessa käyttäjiin. Valmistajan on ilmoitettava käyttäjille:

  • Tuotteiden tai ohjelmistojen tietoturvaominaisuudet sisältäen tietoturvariskit,
  • Yhteyspiste haavoittuvuuksien ilmoittamiselle,
  • Tukiaika, vaatimustenmukaisuusvakuutus ja turvallisen käytön ohjeet.

Valmistajan tulee myös laatia tekninen dokumentaatio ja ohjelmistojen materiaaliluettelo ja pidettävä nämä ajan tasalla.

Kohta 4 asettaa valmistajille raportointivelvoitteen. Valmistajan tulee ilmoittaa Traficomin Kyberturvallisuuskeskukseen sekä EU:n valvovalle viranomaiselle ENISA:lle ilman aiheetonta viivästystä viimeistään 24 tunnin kuluessa tulessaan tietoiseksi:

  1. tuotteessa tai ohjelmistossa havaitusta aktiivisesti hyödynnetyistä haavoittavuuksista tai
  2. tuotteen tai ohjelmiston tietoturvaan vaikuttavat vakavat poikkeamat.

Haavoittuvuudesta tai poikkeamasta on myös ilmoitettava käyttäjille.

Tämän jälkeen on 72 tunnin kuluessa laadittava poikkeama- tai haavoittuvuusilmoitus, jossa kuvataan poikkeaman tai haavoittuvuuden luonne sekä toteutetut toimenpiteet ja arvio tietojen arkaluonteisuudesta. Lopuksi on laadittava loppuraportti, jossa käsitellään korjaavat ja lieventävät toimenpiteet. Aikarajat ovat 14 päivää haavoittuvuuden havaitsemisesta ja 30 päivää poikkeaman havaitsemisesta.

Kyberkestävyyssäädöksen laiminlyönnin seuraamukset

Vaatimustenvastainen tuote tai ohjelmisto voidaan kieltää tai rajoittaa markkinoilla. Tämän lisäksi olennaisten vaatimusten, valmistajan velvoitteiden tai raportointivelvoitteiden noudattamatta jättämisestä voi määräytyä sakko. Sakon määrä on 15 miljoonaa euroa tai 2,5 % vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan kumpi näistä määristä on suurempi.

Valmistautuminen uuteen kyberkestävyyssäädökseen

Valmistajien, maahantuojien ja jakelijoiden on tärkeää selvittää tuotteen tai ohjelmiston luokitus ja varmistaa, että se täyttää uudet kyberkestävyysvaatimukset. Keskeisiä valmistautumistoimia ovat:

  • Tietoturvan integrointi tuotekehitykseen: Riskienhallinta ja vaatimusten jalkauttaminen jo suunnitteluvaiheessa.
  • Dokumentaation laadinta ja sertifiointi: Tekninen dokumentaatio, riskianalyysit ja vaaditut sertifikaatit ajan tasalle.
  • Haavoittuvuuksien hallinta ja raportointivelvoitteet: Tehokas seuranta, nopea reagointi ja avoin tiedottaminen.
  • Sopimusten ja hankintaprosessien päivitys: Tietoturvavaatimukset huomioitava toimitusketjussa.
  • Henkilöstön koulutus: Varmistettava, että työntekijät ymmärtävät säädöksen velvoitteet ja osaavat soveltaa niitä.

Aikainen valmistautuminen ja prosessien kehittäminen mahdollistavat vaivattoman siirtymän uuteen sääntelyyn sekä vahvistavat yrityksen kyberturvallisuutta, kyberkestävyyttä ja markkina-asemaa.

Jan Långstedt

Jan Långstedt

Asianajaja, osakas
Puh. 040 053 8022
S-posti:
Jan Långstedt

Jan Långstedt

Asianajaja, osakas
Puh. 040 053 8022
S-posti:
Facebook
Twitter
LinkedIn

Asianajotoimisto MK-Law Oy
Piispansilta 9 A
02230 Espoo
Avaa kartalla
S-posti: ,

Raaseporin toimisto:
Asianajotoimisto MK-Law Oy
Ystadinkatu 3 (2 krs)
10600 Tammisaari
Avaa kartalla
S-posti:

Asianajotoimisto MK-Law Oy on merkitty Patentti- ja rekisterihallituksen ylläpitämään kaupparekisteriin. Sen Y-tunnus on 2319614-9 ja arvonlisäverotunniste FI23196149.

Asianajotoimisto MK-Law Oy:n yleiset sopimusehdot sisältäen sopimusehdon toimivaltaisesta tuomioistuimesta ja sovellettavasta laista löytyvät tästä.

Tietosuojaselosteemme löytyy tästä.

Asianajotoimisto MK-Law Oy:n asianajajat on merkitty Suomen Asianajajaliiton ylläpitämään asianajajaluetteloon. Asianajajien käyttämä “asianajaja” -ammattinimeke on annettu Suomessa. Asianajotoimisto MK-Law Oy:n asianajajia valvova viranomainen on:

Suomen Asianajajaliitto
PL 194 (Simonkatu 12 B)
00101 Helsinki
Puh: 09-6866120
S-posti:

Asianajotoimistolla MK-Law Oy:llä on Suomen Asianajajaliiton vastuuvakuutusta koskevien ohjeiden mukainen varallisuusvahingon varalle otettu vastuuvakuutus. Vakuutuksen antajan yhteystiedot ovat:

Fennia
00017 Fennia
Puh: 010 5031
www.fennia.fi