EU:n kyberkestävyyssäädös käytännössä – mitä vaatimuksia CRA asettaa yrityksille?

EU:n kyberkestävyyssäädös (CRA) asettaa merkittäviä vaatimuksia digitaalisia elementtejä sisältävien tuotteiden valmistajille, maahantuojille ja jakelijoille. Asetus velvoittaa organisaatiot suunnittelemaan tuotteensa kyberturvallisiksi ja varmistamaan tuotteidensa kyberturvallisuuden koko niiden elinkaaren ajan. Kevään viimeisessä Datakoulun jaksossa 20.5.2026 pureuduttiin CRA:n keskeisiin velvoitteisiin ja käytiin läpi, miten tunnistaa CRA:n soveltamisalaan kuuluvat tuotteet ja valmistautua pian voimaan astuviin vaatimuksiin, joista ensimmäisiä aletaan soveltamaan jo 11.9.2026.

Datakoulu-webinaarisarja käsittelee digi-, data- ja tekoälysääntelyn muutoksia yritysten näkökulmasta. Tällä kertaa Datakoulussa esiintyivät asiantuntijamme Pessi Honkasalo, Salha Hanna ja Eveliina Piha.

CRA:n perusteet: mitä, miksi ja milloin?

EU:n kyberkestävyyssäädös siirtää kyberturvallisuuteen liittyvät vaatimukset osaksi tuotesääntelyä ja asettaa digitaalisia elementtejä sisältäville tuotteille kyberturvallisuusvaatimuksia niiden koko elinkaaren ajaksi. Kyberturvallisuus katsotaan CRA:n myötä olennaiseksi osaksi tuoteturvallisuutta, ja sen mukaan digitaalisen elementin sisältävät tuotteet tulee jatkossa suunnitella, kehittää ja valmistaa kyberturvallisiksi. Valmistajalle asetetaan myös velvoitteet ylläpitää ja hallita tuotteiden kyberturvallisuutta tuotteen elinkaaren ajan. Lisäksi CRA asettaa velvoitteet ilmoittaa tuotteen haavoittuvuuksista ja vakavista turvallisuuspoikkeamista niin viranomaisille kuin tuotteiden käyttäjille, olivatpa he sitten kuluttajia tai organisaatiokäyttäjiä.

Sääntelymuutoksen taustalla vaikuttavat kasvavat kyberuhat, tuotteiden verkottuneisuus ja niiden ketjuttuvat turvallisuuspuutteet. Verkkoon liitettyjä laitteita ja ohjelmistoja on laajasti käytössä niin kotitalouksissa, yrityksissä kuin teollisuudessa, mutta monet tuotteet ovat haavoittuvia ja läpinäkyvyys tietoturvasta on puutteellista. Suuri osa tuotteista on tähän saakka ollut pakottavan kyberturvallisuussääntelyn ulkopuolella, mutta nyt vapaaehtoisuudesta siirrytään sääntelyn piiriin. CRA on muodollisesti ollut voimassa jo vuoden 2024 lopusta, mutta sen on säädetty tulevan portaittain sovellettavaksi. CRA:n operatiiviset säännökset astuvat voimaan kahdessa erässä: valmistajien raportointivelvollisuus alkaa syyskuussa 2026 (myös jo markkinoilla olevien tuotteiden osalta), ja täysimääräinen soveltaminen alkaa joulukuussa 2027. Tämä tarkoittaa muun ohella sitä, että uusien markkinoille saatavaksi asetettavien tuotteiden tulee 11.12.2027 lähtien täyttää CRA:n olennaiset kyberturvallisuusvaatimukset ja niihin tulee liittää vaatimustenmukaisuutta osoittava CE-merkintä.

Suomessa CRA:ta kansallisesti täydentävä uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista (439/2026) tuli voimaan 1.6.2026. Laissa säädetään erityisesti täydentävistä markkinavalvontaa ja sertifiointia koskevista toimivaltuuksista ja asetetaan Traficom pääsääntöiseksi kansalliseksi markkinavalvontaviranomaiseksi, jolla on siten jatkossa muun ohella valta määrätä CRA:n rikkomuksista johtuvista seuraamuksista Suomessa. 

Minkälaiset tuotteet kuuluvat CRA:n soveltamisalaan?

CRA:n osalta monissa yrityksissä mietitään, kuuluuko oma tuote soveltamisalan piiriin ja mihin tuotteen rajat tulisi vetää. CRA soveltuu, jos seuraavat kolme kumulatiivista kriteeriä täyttyvät:

1. Kyseessä tulee olla digitaalisia elementtejä sisältävä tuote, joita voivat olla sekä laitteisto- että ohjelmistotuotteet. Tuote sisältää myös datan etäkäsittelyratkaisut ja siihen sisällytetyt komponentit. Määritelmä kattaa laajan joukon tuotteita robotti-imurista paperikoneeseen ja kalenterisovelluksesta monimutkaiseen toiminnanohjausjärjestelmään. Olennaista on, että tuotteen tulee pystyä käsittelemään, tallentamaan tai siirtämään dataa digitaalisesti. 
2. Tuotteen käyttötarkoitukseen tai kohtuudella ennakoitavaan käyttöön tulee myös kuulua suora tai epäsuora looginen tai fyysinen datayhteys toiseen laitteeseen tai verkkoon. Tämä voi tarkoittaa mitä tahansa yhteyttä aina langattomasta yhteydestä Bluetoothiin ja USB-yhteyteen. Verkko voi tarkoittaa internetiä tai suljettua verkkoa. Soveltamisalan piiriin kuuluvat myös epäsuorat yhteydet, joissa dataa lähetetään tai vastaanotetaan välikappaleen kautta.
3. Tuotteen tulee olla asetettu saataville EU-markkinoilla.

Tuotteen rajojen määrittämisessä lähtökohtana on, että valmistaja määrittää, mistä tuote koostuu ja on vastuussa omasta tuotteestaan kokonaisuudessaan sisältäen tuotteen lisäksi siihen integroidut komponentit ja datan etäkäsittelyratkaisut. Etäkäsittelyratkaisun tulee täyttää kaksi kriteeriä: sen tulee olla suunniteltu sen tuotteen valmistajan toimesta, toimeksiannosta tai vastuulla, johon etäkäsittelyratkaisu on liitetty ja tuotteen tulee olla kykenemätön suorittamaan jotakin toimintoaan ilman kyseistä ratkaisua. On hyvä huomata, että CRA ei koske pilvipalveluita, vaikka näitä yleisesti kutsutaankin "tuotteiksi". Pilvipalvelu voi tulla CRA:n soveltamisalan piiriin vain, jos tuote on yllä kuvatulla tavalla siitä riippuvainen siinä määrin, että pilvipalvelu on katsottava tuotteeseen nähden datan etäkäsittelyratkaisuksi. Rajanveto ohjelmistotuotteen ja pilvipalvelun välillä voi joskus olla vaikeaa. Myös ulkoiset riippuvuudet, kuten ympäristö, jossa tuote toimii ja jonka kanssa se on vuorovaikutuksessa, eivät kuulu itse tuotteeseen, mutta valmistajan velvollisuuksiin kuuluu osana tuotteen riskiarviointia huomioida myös tuotteen ulkoiset riippuvuudet ja niistä tuoteturvallisuudelle aiheutuvat riskit.

Valmistaja on vastuussa tuotteesta kokonaisuudessaan eli valmistaja vastaa myös tuotteen sisältämistä kolmannen osapuolen komponenteista. Komponentilla tarkoitetaan ohjelmistoa tai laitteistoa, joka on tarkoitettu integroitavaksi sähköiseen tietojärjestelmään (esimerkiksi ohjelmistokirjasto tai piirilevy). Komponentit tulee arvioida osana tuotteen riskienarviointia, minkä lisäksi valmistajalla on due diligence -velvoite komponenttien hankinnassa. Valmistaja on velvollinen korjaamaan komponentissa havaitsemansa haavoittuvuuden ja raportoimaan aktiivisesti hyödynnetyistä haavoittuvuuksista. On hyvä kuitenkin huomata, että mikäli komponentti katsotaan itsessään CRA-tuotteeksi, vastaa sen valmistaja komponentin vaatimustenmukaisuudesta, ja komponentin tuotteeseensa sisällyttävä valmistaja voi pitkälle nojata tähän. 

CRA:n soveltamisalan ulkopuolelle jäävät:

• tuotteet, jotka on asetettu saataville ennen CRA:n täysimääräistä soveltamista 11.12.2027 (lukuun ottamatta CRA:n raportointivelvoitteita, jotka koskevat myös jo tätä ennen markkinoille saatettuja tuotteita),
• varaosat, jos ne ovat alkuperäisen mukaisia, eli ne eivät olennaisesti muuta tuotetta,
• sisäiseen käyttöön tarkoitetut tai EU:n ulkopuolella saataville asetetut tuotteet,
• tietyt erityissäännellyt tuoteryhmät, ei-kaupalliset vapaan ja avoimen lähdekoodin ohjelmistot sekä tuotteet, jotka on kehitetty yksinomaan kansallisen turvallisuuden tai puolustuksen tarkoituksiin, sekä
• palvelut, joita voivat olla myös tuotteeseen liittyvät huolto-, tuki- ja oheispalvelut. 

Mitä vaatimuksia CRA asettaa yrityksille?

Suurin osa CRA:n velvoitteista kohdistuu valmistajiin, mutta myös muihin talouden toimijoihin, kuten maahantuojiin, jakelijoihin ja valtuutettuihin edustajiin, joista jokaisen on omassa roolissaan huolehdittava, että markkinoille asetetaan saataville CRA:n mukaisia tuotteita.

Valmistajan keskeisiin velvoitteisiin kuuluvat muun muassa seuraavat:

• Tuote on suunniteltava, kehitettävä ja valmistettava kyberturvalliseksi ja sen tulee täyttää tuotteiden olennaiset kyberturvallisuusvaatimukset.
• Tuotteesta on annettava vaatimustenmukaisuusvakuutus ja sillä tulee olla CE-merkintä. EU:ssa valmistellaan parhaillaan harmonisoituja standardeja, jotka helpottavat vaatimusten arviointia, sillä yhdenmukaistettujen standardien noudattaminen luo olettaman siitä, että tuote täyttää niitä vastaavat CRA:n vaatimukset. Suurimmassa osassa tuotteista vaatimustenmukaisuus voidaan osoittaa valmistajan itsearvioinnilla, mutta tietyt kriittisemmät tuoteryhmät voivat edellyttää ulkopuolista arviointia.
• Valmistajan tulee huolehtia tuotteeseen liittyvien informointi- ja dokumentointivelvoitteiden toteutumisesta. Käyttäjille tulee antaa käyttöohjeet ja tuotteen tietoturvaa koskevat tiedot mukaan lukien ennakoitavissa olevat väärinkäyttöolosuhteet, jotka voivat johtaa kyberturvallisuusriskeihin. Sisäisesti valmistajan tulee laatia tuotteen tekninen dokumentaatio, johon sisältyy tuotteen riskiarviointi ja ohjelmistojen materiaaliluettelo (SBOM). 
• Valmistajan tulee määrittää tuotteen elinkaarta vastaava tukiaika (vähintään viisi vuotta, ellei käyttöaika ole lyhyempi), jonka aikana valmistajan on ylläpidettävä tuoteturvallisuutta ja käsiteltävä tuotteen haavoittuvuudet tehokkaasti. Tärkeimpänä tähän liittyvänä velvoitteena valmistajan tulee suorittaa aktiivista haavoittuvuuksien hallintaa. Tukiajan aikana valmistajien tulee siis jatkossa reagoida tuotteen tietoturvan vaarantaviin haavoittuvuuksiin viipymättä, erityisesti tarjoamalla haavoittuvuuden korjaamiseksi tarvittavat tietoturvapäivitykset. 
• Valmistajalla on raportointivelvoite viranomaisille. Aktiivisesti hyödynnettävät haavoittuvuudet ja tuotteen tietoturvaan vaikuttavat vakavat poikkeamat on ilmoitettava samanaikaisesti kansalliselle CSIRT-yksikölle (Traficom) ja ENISAlle (EU:n kyberturvallisuusvirasto) keskitetyn raportointialustan kautta 11.9.2026 alkaen. Keskitettyä raportointialustaa ei vielä ole, mutta sitä kehitetään parhaillaan. Ennakkovaroitus tulee tehdä 24 tunnin sisällä siitä, kun valmistaja on tullut tietoiseksi aktiivisesti hyödynnetystä haavoittuvuudesta tai vakavasta poikkeamasta. Varsinainen ilmoitus on tehtävä 72 tunnin sisällä ja loppuraportti 14 vuorokauden sisällä (haavoittuvuudet) siitä, kun korjaava tai lieventävä toimenpide on saatavilla tai yhden kuukauden sisällä (poikkeamat).
• Myös käyttäjille tulee ilmoittaa aktiivisesti hyödynnetyistä haavoittuvuuksista ja tuotteen tietoturvaan vaikuttavista vakavista poikkeamista. Ilmoitus on tehtävä käyttäjille, joihin vaikutukset kohdistuvat, ja ilmoitukseen tulee myös sisällyttää tieto mahdollisista riskienhallintatoimenpiteistä ja korjaavista toimenpiteistä, joita käyttäjät voivat toteuttaa lieventääkseen haavoittuvuuden tai poikkeaman vaikutuksia.

Maahantuojien ja jakelijoiden on puolestaan omassa roolissaan varmistettava, että markkinoille saatettavat tuotteet ovat CRA:n mukaisia ja että valmistaja on täyttänyt sille kuuluvat velvoitteet. Myös jakelijan ja maahantuojan on tietyissä tapauksissa raportoitava havaitsemistaan puutteista viranomaisille, mutta nämä raportointivelvoitteet tulevat voimaan vasta 11.12.2027 lukien.

Jos CRA:n vaatimuksia ei noudateta, tuotteen markkinoille asettaminen voidaan kieltää tai tuote voidaan vetää pois markkinoilta. CRA:n noudattamatta jättämisestä voi seurata hallinnollinen seuraamusmaksu, joka on olennaisten vaatimusten, valmistajan velvoitteiden tai raportointivelvoitteiden noudattamatta jättämisen osalta enintään 15 miljoonaa euroa tai 2,5 % toimijan vuotuisesta maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi.

Miten yritykset voivat valmistautua CRA:n vaatimuksiin?

1. Tunnista soveltamisala ja tuotteen rajat: Mistä tuote koostuu ja mitkä ovat sen komponentit ja datan etäkäsittelyratkaisut? Liittyykö tuotteeseen palveluelementtejä, jotka ovat itse asiassa tuotteen rajojen ulkopuolella? Onko tuotteella ulkoisia, esim. asiakkaan ympäristöstä johtuvia riippuvuuksia, jotka ovat itse asiassa tuotteen rajojen ulkopuolella? Onko tuote vuorovaikutuksessa sellaisten toisten tuotteiden kanssa, jotka eivät itse asiassa ole osa tuotetta, vaan jotka kuuluvat tämän toisen tuotteen valmistajan vastuulle?
2. Kehitä toimivat haavoittuvuuksien hallinta- ja raportointimenettelyt: Aktiivisesti hyödynnettyjen haavoittuvuuksien ja vakavien poikkeamien raportointivelvollisuus alkaa jo 11.9.2026 ja koskee myös jo markkinoille saatettuja digitaalisen elementin sisältäviä tuotteita. Kokoa tuotekohtainen SBOM sekä huolehdi kyvykkyydestä havaita omia tuotteita koskevat haavoittuvuudet ja reagoida niihin.
3. Vie kyberturvallisuusvaatimukset osaksi tuotekehitystä ja hankintaa: Ota kyberturvallisuusvaatimukset, riskiarvio ja teknisen dokumentaation laatiminen ja ylläpito osaksi tuotteiden suunnittelua ja kehitystä. Huomioi myös tuotedokumentaatiota ja vaatimustenmukaisuuden osoittamista koskevat prosessit. Määritä hankintaa koskevat vaatimukset ja tee tarvittavat muutokset tuotteita tai komponentteja koskeviin hankintaehtoihin.  

Datakoulu palaa jälleen ensi vuonna!

Datakoulu palaa uusilla jaksoilla ensi keväänä, mutta sillä välin voit halutessasi ilmoittautua uutiskirjelistallemme saadaksesi lisää tietoa Krogeruksen tapahtumista ja webinaareista. Technology, Data & IP -praktiikkamme jatkaa myös mielellään keskusteluja sääntelymuutoksista.