Kyberturvallisuuslaki
Kyberturvallisuuslaki
Yleiskatsaus
Kyberturvallisuuslaki (CRA) asettaa pakolliset kyberturvallisuusvaatimukset laitteisto- ja ohjelmistotuotteille, jotka sisältävät digitaalisia elementtejä. Se kattaa koko tuotteen elinkaaren suunnittelusta tukipalveluiden päättymiseen ja pyrkii torjumaan epävarmojen IoT- ja ohjelmistotuotteiden leviämistä.[1]
CRA koskee EU:n markkinoille saatettuja tuotteita riippumatta niiden valmistuspaikasta.
Soveltamisaikataulu
| Päivämäärä | Virstanpylväs |
|---|---|
| 10. joulukuuta 2024 | CRA tulee voimaan |
| 11. syyskuuta 2026 | Raportointivelvollisuudet alkavat |
| 11. joulukuuta 2027 | Kaikkien vaatimusten täysi soveltaminen |
Soveltamisalaan kuuluvat tuotteet
Katetut tuotteet
Tuotteet, joilla on digitaalisia elementtejä ja jotka:
- Ovat suorassa tai epäsuorassa loogisessa tai fyysisessä tietoyhteydessä laitteeseen tai verkkoon
- Sisältävät laitteisto- ja ohjelmistokomponentteja
Luokat
| Luokka | Vaatimukset | Esimerkkejä |
|---|---|---|
| Oletus | Itsearviointi | Suurin osa ohjelmistoista, perus-IoT |
| Tärkeä luokka I | Standardipohjainen arviointi | Selaimet, salasanojen hallinta, VPN:t, verkon hallinta |
| Tärkeä luokka II | Kolmannen osapuolen arviointi | Käyttöjärjestelmät, palomuurit, reitittimet, hypervisorit |
| Kriittinen | Kolmannen osapuolen arviointi + sertifiointi | Laitteiston turvamoduulit, älymittarit, älykortit |
Poikkeukset
- Avoimen lähdekoodin ohjelmistot (ei-kaupallinen kehitys)
- SaaS (katettu muissa säädöksissä)
- Jo säännellyt tuotteet (lääketieteelliset laitteet, ajoneuvot, ilmailu)
- Puolustus- ja kansallisen turvallisuuden tuotteet
Keskeiset kyberturvallisuusvaatimukset[2]
Turvallisuus suunnittelusta lähtien
Tuotteet on suunniteltava ja kehittävä siten, että ne varmistavat:
- Sopiva turvallisuustaso: Ennakoitavien riskien perusteella
- Ei tunnettuja hyväksikäytettäviä haavoittuvuuksia: Markkinoille saattamishetkellä
- Turvallinen oletusasetusten konfiguraatio: Sisältäen tehdasasetusten palautusmahdollisuuden
- Luottamuksellisuuden suojaus: Tallennetuille, siirrettäville ja käsiteltäville tiedoille
- Eheys: Suojaus luvattomalta muokkaukselta
- Saatavuus: Kestävyys palvelunestohyökkäyksiä vastaan
- Minimaalinen hyökkäyspinta-ala: Mahdollisten hyökkäysvektorien vähentäminen
- Häiriötilanteiden vaikutusten rajoittaminen: Vahinkojen minimointi
Todennus ja pääsynhallinta
- Vahvat, yksilölliset oletustunnukset tai käyttäjän asettamat ensimmäisellä käyttökerralla
- Suojaus brute force -hyökkäyksiä vastaan
- Turvalliset todennusmenetelmät
Tietosuoja
- Salattu tallennus arkaluonteisille tiedoille
- Turvallinen tiedonsiirto
- Tietojen poistaminen tai anonymisointi, kun niitä ei enää tarvita
Haavoittuvuuksien käsittelyvaatimukset[3]
Valmistajien on:
- Tunnistettava haavoittuvuudet: Testauksen ja seurannan avulla
- Dokumentoida komponentit: Ylläpidettävä ohjelmistokomponenttien luetteloa (SBOM)
- Käsiteltävä haavoittuvuudet: Tarjottava tietoturvapäivitykset viivytyksettä
- Ilmoitettava haavoittuvuuksista: Tehtävä yhteistyötä asianosaisten kanssa
- Tietoturvapäivitykset: Maksuttomat päivitykset määritellyn tukikauden ajan (vähintään 5 vuotta)
Haavoittuvuuksien raportointi
Syyskuusta 2026 alkaen valmistajien on raportoitava:
| Raporttityyppi | Aikataulu |
|---|---|
| Aktiivisesti hyödynnetty haavoittuvuus | 24 tuntia ENISA:lle |
| Turvallisuusvaikutteinen tapahtuma | 24 tuntia ENISA/CSIRT:lle |
| Haavoittuvuustiedote | 72 tuntia ENISA:lle |
Vaatimustenmukaisuuden arviointi
| Luokka | Menettely |
|---|---|
| Oletus | Itseilmoitus tai EU-tyyppitarkastus |
| Tärkeä luokka I | Harmonisoidut standardit TAI kolmannen osapuolen arviointi |
| Tärkeä luokka II | Kolmannen osapuolen vaatimustenmukaisuuden arviointi |
| Kriittinen | EU-tyyppitarkastus + tuotannon laadunvarmistus |
Tuotteissa on oltava CE-merkintä vaatimustenmukaisuuden vahvistamiseksi.
Rangaistukset
- Vaatimusten noudattamatta jättäminen: Jopa 15 miljoonaa euroa tai 2,5 % maailmanlaajuisesta liikevaihdosta
- Keskeisten vaatimusten rikkominen: Jopa 10 miljoonaa euroa tai 2 % liikevaihdosta
- Muut rikkomukset: Jopa 5 miljoonaa euroa tai 1 % liikevaihdosta[4]
Kehittäjän toimenpiteet
Ohjelmisto- ja laitevalmistajille:
- Tuoteinventaario: Määritä soveltuvat tuotteet ja niiden luokka
- Turvallisuus suunnittelussa: Integroi turvallisuus kehitysprosesseihin
- Haavoittuvuuksien hallinta: Perusta havaitsemis- ja käsittelymenettelyt
- SBOM:n laatiminen: Dokumentoi ohjelmistokomponentit ja riippuvuudet
- Tukisuunnittelu: Määritä ja viesti tukikaudet
- Päivitysmenetelmät: Rakenna turvalliset päivitysjärjestelmät
- Vaatimustenmukaisuuden valmistelu: Valmistele tekninen dokumentaatio
Lähteet ja viitteet
[1]
Asetus (EU) 2024/2847 tuotteiden kyberturvallisuusvaatimuksista. EUR-Lex: CRA virallinen teksti
[2]
CRA liite I: Keskeiset kyberturvallisuusvaatimukset. CRA-portaali: Liite I
[3]
CRA liite I osa II: Haavoittuvuuksien käsittelyvaatimukset. CRA-portaali: Haavoittuvuuksien käsittely
[4]
CRA artikla 64: Rangaistukset. CRA-portaali: Rangaistukset