EU:n kyberkestävyyssäädös ((EU) 2024/2847) luo puitteet turvallisten digitaalisia elementtejä sisältävien tuotteiden kehittämiselle. Kyberkestävyyssäädöksessä tällaisilla tuotteilla tarkoitetaan ohjelmisto- tai laitteistotuotteita ja niiden datan etäkäsittelyä koskevia ratkaisuja.

Kyberkestävyyssäädöstä sovelletaan kaikkiin markkinoilla saataville asetettuihin digitaalisia elementtejä sisältäviin tuotteisiin, joiden käyttötarkoitus tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai välillisen loogisen tai fyysisen datayhteyden johonkin laitteeseen tai verkkoon. Esimerkkejä ovat älykotituotteet kuten älylukot, hälytysjärjestelmät ja valvontakamerat, henkilökohtainen puettava terveysteknologia, lelut, kotireitittimet, palomuurit, videoneditointityökalut sekä tietyt mikroprosessorit ja mikro-ohjaimet, joissa on turvallisuustoimintoja.

Valmistajat ovat vastuussa kyberturvallisuudesta koko tuotteen elinkaaren ajan. Heidän on varmistettava, että tuotteet suunnitellaan, kehitetään ja tuotetaan kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti. Näiden vaatimusten noudattaminen on edellytys sille, että tuotteeseen voidaan kiinnittää vaadittu CE-merkintä. Kyberkestävyyssäädös parantaa myös läpinäkyvyyttä edellyttämällä, että valmistajat selkeästi ilmoittavat tuotteen tukikauden ja, mikäli teknisesti mahdollista, toimittavat tietoturvapäivitykset erillisinä toiminnallisuuspäivityksinä.

Valmistajien on perustettava keskitetty yhteyspiste, johon voi ilmoittaa ja josta saa tietoja digitaalisia elementtejä sisältävän tuotteen haavoittuvuuksista ja josta löytyvät valmistajan soveltamat koordinoitua haavoittuvuuksien julkistamista koskevat periaatteet. Keskitetyn yhteyspisteen tiedot on toimitettava myös digitaalisia elementtejä sisältävän tuotteen mukana.

Kyberkestävyyssäädöksen tärkeimmät vaatimukset koskevat tuotteita, jotka saatetaan markkinoille 11. joulukuuta 2027 jälkeen (tuote katsotaan saatetuksi markkinoille, kun se on ensi kerran saatavilla markkinoilla). Myös ne tuotteet, jotka on saatettu markkinoille ennen 11. joulukuuta 2027, kuuluvat kyberkestävyyssäädöksen vaatimusten piiriin, jos kyseisen ajankohdan jälkeen kyseiselle tuotteelle tehdään merkittävä muutos.

Eräitä velvoitteita sovelletaan aiemmin: artikla 14, joka käsittää raportointivelvollisuudet, astuu voimaan 11. syyskuuta 2026; ja luku IV (artiklat 35–51), joka käsittelee ilmoitusmenettelyjä vaatimustenmukaisuuden arviointielimille, astuu voimaan 11. kesäkuuta 2026.

11. syyskuuta 2026 alkaen valmistajien on ilmoitettava kaikista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista ja tuotteen tietoturvaan vaikuttavista vakavista poikkeamista, joista se on tullut tietoiseksi, samanaikaisesti CSIRT-yksikölle (Computer Security Incident Response Team) ja ENISA:lle (Euroopan kyberturvallisuusvirasto) 24 tunnin kuluessa (ja sen jälkeen päivitettävä raporttia kyberkestävyyssäädöksen määrittelemin aikavälein), sekä tuotteen käyttäjille. Tämä velvoite koskee myös jo olemassa olevia tuotteita, ei vain uusia markkinoille saatettavia tuotteita.

Kyberkestävyyssäädöksen noudattamatta jättämisestä voi seurata merkittäviä seuraamuksia — enintään 15 miljoonan euron sakko tai sakko, joka on 2,5 % edellisen tilikauden maailmanlaajuisesta vuotuisesta liikevaihdosta, sen mukaan kumpi näistä määristä on suurempi.

Vaikka pääasialliset velvoitteet eivät vielä ole voimassa, valmistajien on aloitettava tuotteidensa arviointi ja valmistautuminen kyberkestävyyssäädöksen vaatimusten täyttämiseen, raportointivelvollisuuksia unohtamatta.

Palvelumme

◆ Tekoäly, data ja tietosuoja
◆ Kaupalliset sopimukset