Kybertilannekuva

Kyberkestävyysasetus

Euroopan unionin uuden kyberkestävyysasetuksen (Cyber Resilience Act) tavoitteena on varmistaa, että laitteisto- ja ohjelmistotuotteiden suunnittelussa, kehittämisessä ja ylläpidossa otetaan huomioon asianmukaiset kyberturvallisuusvaatimukset. Lisäksi se asettaa vaatimuksia muun muassa tuotteisiin liittyvien haavoittuvuuksien hallintaan sekä raportointiin.

Ota yhteyttä

Uusia velvoitteita tuotteiden kyberturvallisuudelle

Kyberkestävyysasetusta sovelletaan kaikkiin digitaalisia elementtejä sisältäviin ohjelmisto- että laitteistotuotteisiin, jotka sisältävät datayhteyden johonkin laitteeseen tai verkkoon. Velvoitteita asetetaan niin tuotteiden valmistajille, maahantuojille kuin jälleenmyyjillekin.

Kyberkestävyysasetuksen soveltamisesta lähtien digitaalisia elementtejä sisältäviä tuotteita ei saa asettaa markkinoille, jos ne eivät täytä kyberkestävyysasetuksen velvoitteita. Tuotteiden tulee täyttää velvoitteet koko elinkaarensa ajan. Jos jo markkinoille asetettu tuote ei enää täytä asetuksen vaatimuksia, on valmistajan välittömästi toteutettava tarvittavat korjaavat toimenpiteet, tai tuote on poistettava markkinoilta.

Kyberkestävyysasetuksen odotetaan tulevan voimaan vuoden 2024 aikana ja velvoitteita on pääsääntöisesti sovellettava 36 kuukauden kuluttua asetuksen voimaantulosta.

Keskeiset velvoitteet

Tuotteen kyberturvallisuusvaatimukset

Digitaalisia elementtejä sisältävät tuotteet tulee suunnitella, kehittää ja tuottaa siten, että niiden kyberturvallisuuden taso on oikeassa suhteessa riskeihin. Tuotteiden kehityksessä tulee muun muassa ottaa huomioon hyökkäyspintojen minimointi sekä niihin tallennetun datan eheyden ja luottamuksellisuuden turvaaminen. Lisäksi tuotteet on asettava markkinoille ilman tiedostettuja hyödynnettävissä olevia haavoittuvuuksia ja oletusarvioisesti tietoturvallisin asetuksin.

Haavoittuvuuksien hallinnan prosessit

Valmistajien käyttöönottamien haavoittuvuuksien hallintaan liittyvien prosessien tulee täyttää asetuksessa vahvistetut olennaiset vaatimukset. Valmistajien tulee muun muassa tunnistaa ja dokumentoida tuotteeseen liittyvät haavoittuvuudet ja komponentit, puuttua haavoittuvuuksiin ja korjata ne viipymättä, testata ja arvioida tuotteen tietoturvallisuutta säännöllisesti sekä jaettava tietoa korjatuista haavoittuvuuksista ja ohjeistaa tuotteen käyttäjiä niiden korjaamiseksi.

Vaatimustenmukaisuuden osoitus ja dokumentaatio

Valmistajien tulee ennen tuotteen markkinoille asettamista laatia tarvittavat dokumentaatiot sisältäen asetuksen mukaiset tekniset asiakirjat sekä käyttäjille annettavat tiedot ja ohjeet. Lisäksi valmistajien tulee osoittaa tuotteen vaatimustenmukaisuus asianmukaisella vaatimuksenmukaisuuden arviointimenettelyllä, vaatimustenmukaisuusvakuutuksella sekä liittää tuotteeseen CE-merkintä.

Kolmiportainen raportointivelvoite

Valmistajien tulee raportoida aktiivisesti hyödynnetyistä haavoittuvuuksista sekä tuotteen tietoturvaan vaikuttavista vakavista poikkeamista kolmiportaisesti viranomaiselle. Ensimmäinen ilmoitus tapahtumasta tulee antaa 24 tunnin sisällä siitä, kun valmistaja on tullut tietoiseksi kyseistä haavoittuvuudesta tai poikkeamasta.

Miten Insta voi auttaa?

Yhdistämällä juridiikan, tietoturvan ja teknisen osaamisen Insta auttaa asiakkaitaan vastaamaan kyberturvallisuuden uusiin säädöksiin. Digitaalisia elementtejä sisältävän tuotteen saattaminen kyberkestävyysasetuksen mukaiseksi voi vaatia merkittävän työpanoksen ja valmistautuminen siihen on syytä aloittaa hyvissä ajoin. Tutustu alta tarkemmin kyberturvallisuuden palveluihimme ja ota meihin yhteyttä yhteydenottolomakkeen kautta.

Kyberkonsultointi ja asiantuntijapalvelutTurvallinen sovelluskehitys (SDL)Uhkamallinnus

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.