Määrus (EL) 2024/2847 – kübervastupidavuse määrus (CRA)

Määrus (EL) 2024/2847 – kübervastupidavuse määrus (Cyber Resilience Act, CRA) on uus ELi määrus, millega kehtestatakse horisontaalsed küberturvalisuse nõuded „digitaalsete elementidega toodetele”. See võeti vastu 2024. aasta oktoobris ja pärast üleminekuperioode hakkab see alates 2027. aasta lõpust kehtima vahetult kõigis ELi liikmesriikides. Kui töötate tööstussektoris juhina – olgu teie vastutusalaks hooldus, hanked või nõuetele vastavus –, tasub juba praegu mõista, milliseid tooteid see määrus hõlmab, millised uued kohustused see paneb tootjatele, importijatele ja turustajatele ning kuidas ettevõtet eelseisvateks muudatusteks ette valmistada. Allpool anname praktilise ülevaate peamisest infost ilma juriidilise žargoonita, kuid tehnilist täpsust säilitades, et hõlbustada õigete ettevalmistavate sammude tegemist.

Kohaldamisala: milliseid tooteid kübervastupidavuse määrus hõlmab?

Määrus (EL) 2024/2847 puudutab kõiki ELi turul kättesaadavaks tehtavaid „digitaalsete elementidega tooteid”, mille kavandatud kasutus hõlmab ühendust teise seadme või võrguga (otse või kaudselt, füüsiliselt või loogiliselt). Teisisõnu kuulub uute nõuete alla enamik seadmeid või tarkvara, mis suudavad teiste süsteemidega suhelda. Praktikas hõlmab see muu hulgas IoT-seadmeid ja tarbeelektroonikat (nt nutikellad, mobiiltelefonid, nutikad kodumasinad ja olmeelektroonika, beebimonitorid), kantavaid seadmeid (nt aktiivsusmonitorid), võrgufunktsioonidega tööstusseadmeid (võrku ühendatud andurid ja tööstusmasinad) ning mitmesugust tarkvara (operatsioonisüsteemid, mobiili- ja arvutirakendused, äritarkvara jne). Oluline on see, et eraldi müüdav tarkvara (tootena) kuulub samuti CRA kohaldamisalasse, nagu ka kaugandmetöötlusteenused, mis moodustavad toote lahutamatu osa – näiteks nutikodu seadet juhtiv pilveteenus käsitatakse toote osana ja see peab vastama turvanõuetele.

Määruse kohaldamisala on väga lai, kuid see näeb ette ka erandid teatud tootekategooriatele, mida reguleerivad juba oma valdkondlikud õigusaktid. CRA ei hõlma muu hulgas meditsiiniseadmeid (mida reguleerivad määrused MDR 2017/745 ja 2017/746), sõidukeid ja nende varustust (mida hõlmab muu hulgas sõidukite tüübikinnituse valdkonnas määrus 2019/2144), õhusõidukeid (lennundust käsitlev määrus 2018/1139) ega mereseadmeid (direktiiv 2014/90/EL). Nendele toodetele kehtivad eraldi regulatsioonid, mis sisaldavad sageli juba vastava valdkonna jaoks kohandatud nõudeid, mistõttu on need CRA kohaldamisalast välja jäetud. Lisaks ei kohaldata uusi sätteid üksnes sõjaliseks kasutuseks või riikliku julgeoleku eesmärgil mõeldud riist- ja tarkvarale (ega salastatud teabe töötlemisele). Erand kehtib ka varuosadele, mida tarnitakse identsete komponentide asendamiseks – kui algne toode on õiguspäraselt turule lastud, ei pea identne varuosa eraldi CRA nõuetele vastama.

Samuti tasub märkida, et nn vaba ja avatud lähtekoodiga tarkvara (open source) ei kuulu CRA alla, kui seda ei tehta kättesaadavaks äritegevuse raames. Seega, kui tarkvara arendatakse ja avaldatakse tasuta ning väljaspool turukäivet, ei käsitata selle loojaid (nt avatud lähtekoodiga kogukonda) määruse tähenduses „tootjatena” ning neile ei laiene allpool kirjeldatud kohustused. Kui aga ettevõte kasutab avatud lähtekoodiga komponenti oma kommertstootes, siis vastutus turvanõuete täitmise eest lasub lõpptoote tootjal. Kokkuvõttes on CRA suunatud eelkõige professionaalselt arendatud ja müüdavatele digitoodetele, mis jõuavad ELi siseturul lõppkasutajateni.

Miks CRA kehtestati? Uued ohud, regulatiivne lünk ja tarneahel

Euroopa Liit nägi kasvavate ohtude taustal tungivat vajadust tugevdada digitoodete kübervastupidavust. Viimastel aastatel on internetti ühendatud seadmete arv ja mitmekesisus plahvatuslikult kasvanud – alates tehaste tööstuslikest IoT-süsteemidest kuni nutikate koduseadmeteni. Paraku on nende toodete küberturvalisuse tase sageli madal, mis väljendub laialt levinud haavatavustes ning turvauuenduste ebapiisavas ja ebaühtlases pakkumises. Paljud tootjad ei ole seni seadnud turvalisust prioriteediks kogu toote elutsükli vältel ning kasutajatel puudub sageli teadlikkus ja teave selle kohta, millised seadmed on turvalised, kui kaua neid uuendustega toetatakse ja kuidas neid ohutult kasutada. Nende tegurite koosmõju suurendab küberrünnakute riski.

Kübervastupidavuse määruse eesmärk on täita regulatiivne lünk – seni puudusid ELi tasandil ühtsed ja kohustuslikud nõuded toodete digitaalsele turvalisusele. Kuigi olemas olid sellised algatused nagu IKT-turbe sertifitseerimine (küberturvalisuse määruse 2019/881 alusel) või NIS2 direktiivi nõuded kriitilistele sektoritele, ei pannud ükski õigusakt otseselt kohustust rakendada „küberturvalisus juba kavandamisel” põhimõtet kõigi turule lastavate seadmete ja tarkvara puhul. CRA loob just sellise universaalse raamistiku – see nõuab, et riist- ja tarkvara projekteeritaks, toodetaks ja hooldataks, arvestades tugevaid kaitsemeetmeid kogu nende olelusringi vältel. Eesmärk on, et turule jõuaks vähem haavatavusi sisaldavaid tooteid ning tootjad tagaksid uute ohtude kiire kõrvaldamise (nt turvapaikadega), selle asemel et jätta kasutajad ebaturvaliste seadmetega üksi.

Kübervastupidavuse küsimusel on ka tarneahela- ja piiriülene mõõde. Ajal, mil kõik on kõigega ühendatud, võib intsident ühes näiliselt ebaolulises seadmes muutuda ründevektoriks kogu organisatsiooni või äripartnerite vastu. Üks nakatunud IoT-andur tootmishallis võib avada tee ettevõtte võrku; haavatavust laialt kasutatavas rakenduses võidakse ära kasutada üleilmselt mõne minutiga. Nagu määruse põhjendustes rõhutati, võib ühe toote küberintsident levida tarneahelas üle ühe riigi piiride mõne minutiga. Selliste rünnete kulusid ei kanna ainult tootjad ja kasutajad, vaid kogu ühiskond – kriitilise taristu häired, rahalised kahjud, avaliku julgeoleku rikkumised. Ühised ja kohustuslikud reeglid kogu ELis peavad tõstma üldist kaitsetaset ning vältima olukorda, kus nõrgim lüli (mittevastupidav toode) ohustab kõiki.

Lisamotiiv on suurendada usaldust digitoodete vastu ja luua võrdsed konkurentsitingimused. Praegu jäävad tootjad, kes investeerivad turvalisusesse juba kavandamise etapis, hinnas sageli alla neile, kes neid küsimusi eiravad. CRA eesmärk on muuta küberturvalisus kvaliteedistandardiks – kõik peavad täitma miinimumnõudeid, mis võrdsustab võimalusi ja vähendab rünnakute ühiskondlikke kulusid (mis praegu lükatakse ohvrite kanda). Selle tulemusel peaks suurenema kogu ELi turu vastupidavus ning klientide usaldus kaasaegsete digitaalsete elementidega seadmete vastu. Määrus sobitub ka ELi laiemasse strateegiasse (koos GDPR-i, NIS2, DORA jne-ga), mille eesmärk on tugevdada teenuste ja toodete küberturvalisust kui digimajanduse alust. Lisateavet praktilise ettevalmistuse kohta leiab artiklist CRA 2026–2027.

Määrus (EL) 2024/2847: peamised kohustused tootjatele, importijatele ja turustajatele

Uus määrus kehtestab rea konkreetseid kohustusi ettevõtjatele, kes osalevad digitaalsete elementidega toodete tarneahelas. Vastutuse ulatus sõltub rollist – kõige rohkem nõudeid kehtib tootjatele, kuid ka importijatel ja turustajatel on oluline roll. Allpool võtame kokku peamised kohustused ettevõtte toodete nõuetele vastavuse eest vastutava juhi vaatenurgast.

Tootjate kohustused

Tootja (samuti ettevõtja, kes laseb toote turule oma kaubamärgi all või muudab toodet – ka teda käsitatakse tootjana) kannab peamist vastutust CRA nõuete täitmise eest. Tema olulisemad ülesanded on:

• Tagada toote vastavus määruse I lisas sätestatud küberturvalisuse olulistele nõuetele. Praktikas tähendab see, et tootel peavad juba projekteerimise ja konstruktsiooni etapis olema omadused, mis tagavad piisava digitaalse turvalisuse taseme, mis on seotud konkreetse tootega kaasneva riskiga proportsionaalne. Määrus loetleb rea konkreetseid tehnilisi nõudeid, sealhulgas teadaolevate haavatavuste puudumine turule laskmise hetkel, turvaliste vaikeseadistuste kasutamine (nt vaikimisi paroolide vältimine), krüpteerimine seal, kus see on asjakohane, kaitse volitamata juurdepääsu eest, kasutaja isikuandmete kaitse, vastupidavus rünnetele, mis häirivad toote funktsioone (nt DoS-rünnakud), ning võimalus teha tehaseseadete taastamine. Toode tuleb projekteerida nii, et selle „rünnepind” oleks võimalikult väike – näiteks ei tohiks sellel olla tarbetuid avatud porte ega teenuseid, mis suurendavad kokkupuudet küberohtudega. Need olulised nõuded (CRA I lisa I osa) moodustavad kontrollnimekirja turvaomadustest, millele iga digitaalne toode peab vastama.
• Haavatavuste ja intsidentide käsitlemise protsessi kehtestamine – tootja peab aktiivselt hoolitsema toote turvalisuse eest ka pärast selle müüki, kogu deklareeritud tugiperioodi vältel. I lisa II osas on sätestatud nõuded haavatavuste käsitlemise protsessile (vulnerability handling): regulaarne testimine ja seire uute nõrkuste tuvastamiseks, haavatavuste teadete vastuvõtmine (nt teadlastelt või kasutajatelt) ning avastatud haavatavuste kiire kõrvaldamine/lappimine turvauuenduste kaudu. Tootjal peab olema koordineeritud haavatavuste avalikustamise poliitika (coordinated disclosure) – st määratud kontaktpunkt, kuhu probleemidest saab teada anda, ning menetlused, kuidas sellistele teadetele reageerida. Oluline on, et uuendused kõrvaldaksid haavatavused viivitamata ja et neid levitataks turvalisel viisil (nt digitaalselt allkirjastatuna). Eriti oluline on see, et tootja on kohustatud tagama toe ja turvauuendused ajavahemiku jooksul, mis vastab toote eeldatavale elutsüklile, minimaalselt 5 aastat (välja arvatud juhul, kui toote olemus õigustab lühemat perioodi). Teisisõnu, kui meie seadet kasutatakse klientide juures tavaliselt ~5+ aastat, ei saa me lõpetada paikade väljastamist ühe või kahe aasta järel – nõutav on mitmeaastane müügijärgne tugi, et kasutaja ei jääks ebaturvalise seadmega.
• Küberturvalisuse riskihindamise läbiviimine – enne digitaalsete elementidega toote turule laskmist peab tootja tegema süstemaatilise riskianalüüsi, mis käsitleb selle tootega seotud küberohte. Riskihindamine peaks olema osa projekteerimisprotsessist (security by design) ning arvestama muu hulgas toote kavandatud kasutust, võimalikke väärkasutusi, kasutustingimusi (IT-keskkond, võrk, andmete liik, mida seade töötleb). Selle analüüsi põhjal tuleb kavandada sobivad kaitsemeetmed ja võtta need konstruktsioonis arvesse. Küberriskide hindamise dokumentatsioonist saab osa toote tehnilisest dokumentatsioonist ning seda tuleb ajakohastada, kui ilmnevad uued ohud. Tootja on kohustatud dokumentatsiooni säilitama vähemalt 10 aastat alates toote turule laskmisest (ja kui deklareeritud tugiperiood on pikem kui 10 aastat, siis vastavalt kauem). Riskihindamine ei ole ühekordne tegevus – seda tuleb vajaduse korral üle vaadata ja ajakohastada, eriti siis, kui avastatakse uusi haavatavusi või muutub toote kasutuskontekst.
• Väliste komponentide järelevalve – tootja peab kolmandate osapoolte komponentide, sealhulgas avatud lähtekoodiga teekide kasutamisel rakendama nõuetekohast hoolsust. Tuleb tagada, et välised komponendid (tark- ja riistvaralised) ei kahjusta kogu toote küberturvalisust. Praktikas tähendab see kasutatavate teekide versioonide ja uuenduste kontrollimist, nendes komponentides teadaolevate haavatavuste jälgimist (nt CVE-s avaldatud teated) ning nende ajakohastamist või asendamist, kui ilmnevad nõrkused. Kui tootes kasutatakse avatud lähtekoodiga tarkvara ja selles avastatakse haavatavus, on tootja kohustatud teavitama selle avatud lähtekoodiga tarkvara hoolduse eest vastutavat osapoolt (nt open source’i projekti) tekkinud probleemist ning juhul, kui ta kõrvaldab haavatavuse ise, edastama kogukonnale teabe tehtud paranduse kohta. Selle eesmärk on kaasata tootjad koordineeritud haavatavuste lappimise ökosüsteemi ka avatud lähtekoodiga komponentide puhul.
• Formaalne vastavushindamine ja dokumendid – enne kui toode turule jõuab, peab tootja läbi viima CRA nõuetele vastavuse hindamise menetluse ja koostama nõuete täitmist tõendava dokumentatsiooni. Enamiku „tavapäraste” toodete puhul (mis ei kuulu kõrgendatud riskiga kategooriasse) piisab sisemisest kontrollist (sisemine hindamine) ja tehnilise dokumentatsiooni koostamisest, mis sisaldab muu hulgas toote kirjeldust, riskianalüüsi tulemusi, rakendatud turvameetmete loetelu, testimise ja uuendamise protseduure jne. Seejärel koostab tootja ELi vastavusdeklaratsiooni, milles ta kinnitab, et toode vastab kõigile kohaldatavatele CRA nõuetele, ning kannab tootele CE-märgise. Tähelepanu: kui konkreetne toode on küberturvalisuse seisukohast liigitatud „oluliseks” või „kriitiliseks” (CRA III ja IV lisa), võivad sellele kohalduda rangemad vastavushindamise menetlused. Oluliste II klassi toodete ning kriitiliste toodete puhul on nõutav kolmanda osapoole sertifitseerimine, s.t kontroll ja sertifikaat, mille väljastab teavitatud asutus (nt akrediteeritud labor). I klassi oluliste toodete puhul on enesesertifitseerimine lubatud ainult siis, kui olemas on asjakohased ühtlustatud standardid, mida tootja kasutab – vastasel juhul on samuti vajalik kolmanda osapoole kaasamine. Seetõttu peaks juht välja selgitama, millisesse kategooriasse ettevõtte toode kuulub ja kas on vaja kavandada väline sertifitseerimine (see võib mõjutada toote turuletoomise ajakava).
• Turvalisuse seire pärast turule laskmist ja aruandlus – CRA-ga kehtestatud uus kohustus on teatada tõsistest turvaprobleemidest pädevatele asutustele. Tootja peab teavitama riiklikku CSIRTi (reageerimismeeskonda), kes on määratud koordinaatoriks, ning ENISAt kõigist oma toote aktiivselt ärakasutatavatest haavatavustest ja igast tõsisest intsidendist, mis mõjutab toote turvalisust. Teatamise tähtaeg on väga lühike – 24 tundi alates haavatavuse/sündmuse avastamisest (sarnaselt isikuandmete kaitse üldmääruse või NIS2 rangetele nõuetele). Teavitamine toimub ENISA hallatava ühtse Euroopa platvormi kaudu. Aruandluskohustus jõustub varem kui ülejäänud nõuded (september 2026 – vt allpool toodud tähtajad) ja sellest hetkest alates puudutab see kõiki turul olevaid tooteid. Seetõttu peavad tootjal olema sisemised protseduurid, mis võimaldavad intsidendi või haavatavuse tuvastada ja edastada määrusega nõutud teabe ühe ööpäeva jooksul. Eesmärk on anda järelevalveasutustele ülevaade esilekerkivatest ohtudest ja koordineerida reageerimist (nt hoiatada teisi kasutajaid, kui konkreetsel tootel on kriitiline nõrkus).

Need kohustused toovad sageli kaasa märkimisväärsed organisatsioonilised muudatused – alates Secure SDLC juurutamisest teadus- ja arendustegevuses kuni uute toote hoolduse ja toe põhimõteteni ning täiendava dokumentatsiooni ja töötajate koolituseni. Vastutasuks saab ettevõte suurema kindluse, et tema toode ei muutu ohtliku küberintsidendi allikaks, ning vastavuse peagi kehtima hakkavatele õigusnormidele, mis võimaldab jätkata müüki ELi turul.

Määrus (EL) 2024/2847: importijate ja turustajate kohustused

Ettevõtted, kes toovad digitaalsete elementidega tooteid ELi-välistest riikidest sisse (importijad) või müüvad neid edasi liidu turul (turustajad), peavad samuti tagama nende toodete vastavuse CRA nõuetele. Nende roll seisneb eelkõige vastavuse kontrollimises ja võimalikele mittevastavustele reageerimises.

Importija peab enne toote ELi turule laskmist kontrollima, kas tootja on oma kohustused täitnud – teisisõnu, kas tootel on nõutav CE-märgis ja ELi vastavusdeklaratsioon, kas kaasas on juhised ja ohutusteave ning kas tootja on koostanud nõutava tehnilise dokumentatsiooni. Importija ei pea ise toote küberturvalisust testima, kuid kui tal on põhjendatud kahtlus, et toode ei vasta nõuetele (nt puudub CE-märgis, puudub teave tugiperioodi kohta jne), ei tohi ta sellist toodet turul kättesaadavaks teha enne, kui on veendunud, et mittevastavus on kõrvaldatud. Kui selgub, et toode ei vasta CRA nõuetele, on importija kohustatud teavitama järelevalveasutusi ning võtma parandusmeetmeid – tagama toote vastavusse viimise või, kui see ei ole võimalik, kõrvaldama selle käibest või turult. Importijad peavad sarnaselt tootjatega säilitama vastavusdeklaratsiooni koopia ja tagama, et tehniline dokumentatsioon oleks asutustele nõudmisel kättesaadav. Samuti peavad nad kandma tootele (või pakendile) oma kontaktandmed ja tagama, et toode oleks nõuetekohaselt märgistatud. Praktikas on importija roll ohutusvärav – ta peab takistama selliste toodete levitamist ELis, millel puuduvad CRA nõuete täitmist tõendavad „paberid”.

Turustajad (riigisisesed hulgimüüjad, jaemüüjad jne) on sarnases olukorras nagu importijad, selle vahega, et nad kontrollivad nõuete täitmist nii tootja kui ka vajaduse korral importija poolt, kui toode pärineb väljastpoolt ELi. Seega peab turustaja enne edasimüüki kontrollima, kas tootel on CE-märgis, kas kaasas on seadusega nõutud deklaratsioon või juhised ning kas ei ole avaldatud teateid selle kohta, et konkreetne mudel ei vasta ohutusnõuetele. Kahtluse korral on tal samuti kohustus müük peatada, kuni asjaolud on selgitatud. Kui ta leiab (või teda teavitatakse), et toode kujutab endast tõsist ohtu või ei vasta CRA nõuetele, peab ta sellest teavitama tootjat või importijat ning järelevalveasutusi ja tegema koostööd parandusmeetmete rakendamisel (nt turult kõrvaldamise kampaaniate puhul).

Hankejuhi vaatenurgast tähendavad need regulatsioonid vajadust olla seadmete ja tarkvara tarnijate valikul märksa tähelepanelikum. Tuleb veenduda, et ELi-välised partnerid tarnivad juba CRA nõuetele vastavaid tooteid, sest vastasel juhul kannab puuduste eest vastutust meie ettevõte (importijana). Turustaja jaoks (nt automaatikaseadmetega kauplev ettevõte) lisandub kohustus jälgida, kas eri kaubamärkide tooted tema valikus omavad kehtivaid vastavusdeklaratsioone ja vastavad nõuetele – praktikas eeldab see tihedat koostööd tootjatega ja kiiret reageerimist kõigile müüdavaid seadmeid puudutavatele turvahoiatustele.

Oluline on märkida: kui importija või turustaja laseb toote turule oma logo või kaubamärgi all või muudab toodet (nt muudab selle funktsionaalsust, tarkvara või konfiguratsiooni viisil, mis on küberturvalisuse seisukohalt oluline), siis muutub ta määruse kohaselt ise selle toote tootjaks. Sel juhul peab ta üle võtma kõik tootja kohustused (tegema vastavushindamise, koostama oma vastavusdeklaratsiooni jne). See puudutab näiteks süsteemiintegraatoreid, kes müüvad OEM-seadmeid oma kaubamärgi all – nad peavad olema väga tähelepanelikud, sest formaalselt vastutavad nad vastavuse eest samamoodi nagu algne tootja.

Jõustumise tähtajad ja üleminekuperioodid

Määrus (EL) 2024/2847 avaldati Euroopa Liidu Teatajas 20. novembril 2024. See jõustus 10. detsembril 2024 (20 päeva pärast avaldamist), kuid peamised kohustused hakkavad kehtima alles 36 kuu möödumisel sellest kuupäevast. Seadusandja nägi ette pika üleminekuperioodi, et anda sektorile aega kohanemiseks. Siin on peamised kuupäevad:

• 11. september 2026 – sellest kuupäevast hakkavad kehtima haavatavuste ja intsidentide raporteerimise kohustused. Iga ELi turul oleva digitaalse elemendiga toote tootja peab pädevatele asutustele teatama kõigist tema toodet puudutavatest aktiivselt ära kasutatavatest haavatavustest ning tõsistest turvaintsidentidest. See kuupäev saabub 21 kuud pärast CRA jõustumist ja tähendab, et ettevõtetel peavad juba 2026. aastal olema olemas turvalisuse seire ja probleemidest teavitamise protseduurid. See ei sõltu sellest, millal toode turule lasti – see kehtib ka enne 2026. aastat müüdud toodete kohta, mida endiselt kasutatakse. Teisisõnu, isegi kui seade lasti turule näiteks 2025. aastal (enne määruse kohaldumist) ja 2026. aasta septembris ilmneb selles kriitiline haavatavus, on tootjal kohustus sellest teatada ja see kõrvaldada.
• 11. juuni 2026 – sellest kuupäevast peavad kehtima sätted, mis käsitlevad teavitatud asutusi ja vastavushindamisasutusi. Liikmesriigid valmistavad 2026. aasta keskpaigaks ette süsteemi nende asutuste määramiseks ja teavitamiseks, kellel on õigus sertifitseerida tooteid (olulisi ja kriitilisi) CRA nõuetele vastavuse osas. Tootjate jaoks on oluline, et 2026. aasta teisel poolel oleks juba olemas vajalik taristu nõutavate katsete ja sertifitseerimise läbiviimiseks.
• 11. detsember 2027 – CRA määruse täielik kohaldamine. Alates sellest kuupäevast ei tohi ühtegi digitaalse elemendiga toodet, mis ei vasta CRA nõuetele, ELi territooriumil seaduslikult turule lasta. See tähtaeg (3 aastat pärast jõustumist) on viimane kuupäev toodete ja protsesside kohandamiseks. Pärast 11.12.2027 peavad kõik ELis müüdavad uued seadmed ja tarkvara olema kavandatud, toodetud ja hooldatud kooskõlas CRA-ga – vastasel juhul seab ettevõte end tõsiste sanktsioonide ohtu. Oluline on rõhutada, et õigusaktid näevad ette teatud leevenduse juba turul olevatele toodetele: kui konkreetne toode (konkreetne eksemplar) on juba turul kättesaadavaks tehtud enne 11. detsembrit 2027, võib see jääda käibesse ka ilma CRA nõuete täitmiseta. See puudutab siiski ainult üksikuid eksemplare – enne CRA-d kavandatud toote tüüp ei saa automaatselt erandit. Iga uus partii ja iga uus eksemplar, mis pärast seda kuupäeva müüki lastakse, peab vastama CRA nõuetele, välja arvatud juhul, kui see oli juba varem füüsiliselt turul (mis praktikas tähendab näiteks seda, et kaup oli tähtajaks juba selle eelnevalt ostnud turustaja laos). Seega ei saa nõudeid vältida nii, et toodetakse „varuks” ja müüakse pärast 2027. aastat – iga toode allub turule laskmise hetkel kehtivatele nõuetele. Erandiks on veel enne seda kuupäeva muude õigusaktide alusel välja antud kehtivad ELi tüübihindamissertifikaadid – need jäävad kehtima kuni 2028. aasta juunini, kui ei ole määratud lühemat tähtaega.

Ettevõtete jaoks on praktiline järeldus see, et tegelik tähtaeg on 2027. aasta lõpp. Alates 2028. aastast ei saa ELis müüa seadmeid, mis ei vasta CRA nõuetele. Samas tuleb juba 2026. aastal olla valmis uuteks intsidentidest teatamise kohustusteks. Allesjäänud aega tuleks kasutada toodete analüüsimiseks ja kohandamiseks. Kuigi 3 aastat võib näida pikk aeg, võivad muudatused osutuda ulatuslikuks – parem on alustada ettevalmistustega varakult. Allpool esitame kontrollnimekirja tegevustest, mida juht peaks kaaluma, et valmistada oma organisatsioon ette kübervastupidavuse määruse nõuete täitmiseks.

Määrus (EL) 2024/2847: kuidas valmistuda aastateks 2026/2027 – kontrollnimekiri juhile

• Tuvastage tooted, millele CRA kohaldub – Koostage nimekiri ettevõtte toodetest, mis on „digitaalsete elementidega tooted” (riistvara või tarkvara, mis ühendub võrgu või teiste seadmetega). Määrake iga toote puhul kindlaks, kas seda võib määruse tähenduses pidada oluliseks või kriitiliseks (Annex III/IV) – näiteks kas see täidab olulisi ohutusfunktsioone või kas selle kompromiteerimine võib põhjustada ulatuslikku kahju. Sellest liigitusest sõltub muu hulgas nõutav vastavushindamise kord (sealhulgas see, kas vaja on kolmanda osapoole kaasamist).
• Tutvuge nõuete ja standarditega – Analüüsige CRA I lisas toodud küberturvalisuse põhinõudeid ja seostage need oma toodetega. Kontrollige, kas olemas on juba sobivad ühtlustatud standardid või valdkondlikud standardid, mis võivad nõuete täitmist lihtsustada (näiteks IEC 62443 standardiperekonna nõuded tööstusautomaatika süsteemide kaitseks võivad olla abiks masinate turvameetmete kavandamisel). Hoidke end kursis standardimise arengutega – võimalik, et ilmuvad juhised, mis lihtsustavad CRA nõuete rakendamist teie valdkonnas.
• Tehke lüngaanalüüs (gap analysis) – Võrrelge oma toodete ja protsesside praegust seisu uute nõuetega. Hinnake, mil määral vastab praegune kaitsetase nõuetele (näiteks kas seadmetel on autentimis-, krüpteerimis- ja turvalise uuendamise mehhanismid jne). Analüüsige ettevõtte tarkvaraarendusprotsessi – kas turvalise programmeerimise põhimõtteid rakendatakse, kas tehakse penetratsiooniteste, kui kiiresti reageerite teatatud haavatavustele. Tuvastage puudujäägid ja parendusvaldkonnad nii korralduse (protseduurid) kui ka tehnoloogia (turvafunktsioonid) poolel.
• Kohandage toodete projekteerimist ja arendust – Kui lüngaanalüüs toob välja puudused, kavandage puuduvate mehhanismide ja praktikate kasutuselevõtt. See võib hõlmata muudatusi toote arhitektuuris (nt krüpteerimismooduli lisamine, sideühenduste kaitsmine), SDLC (Software Development Life Cycle) protsessi täiendamist selliste elementidega nagu threat modeling, turvalisusele suunatud code review, fuzzing-testid jms, samuti uute tooteturbe poliitikate kehtestamist. Veenduge, et R&D meeskond käsitleb küberturvalisust projekteerimisnõudena samal tasemel funktsionaalsusega – määrus nõuab lähenemist „security by design/default”.
• Kavandage uuenduste ja toe süsteem – Analüüsige, kas teie ettevõte on valmis tooteid piisavalt kaua toetama. Võib osutuda vajalikuks luua ajakava ja eraldada ressursid regulaarsete uuenduste avaldamiseks püsivarale mitme aasta jooksul pärast müüki. Kontrollige, kas toodetel on tehniline võimekus uuendusteks (kaug- või kohapeal) – kui mitte, on see tõsine probleem, sest CRA nõuab võimalust kõrvaldada haavatavused ka pärast müüki. Määrake realistlik toeperiood (vähemalt 5 aastat) ja teavitage sellest kasutajaid. Samuti valmistage ette plaan klientidelt saabuvate turvateadete tehniliseks käsitlemiseks.
• Valmistage ette nõutav dokumentatsioon – Veenduge, et iga toote kohta koostatakse küberturvalisuse vaatest täielik tehniline dokumentatsioon. See peaks sisaldama muu hulgas riskihindamise aruannet, turbearhitektuuri kirjeldust, rakendatud meetmete loetelu (nt krüpteerimine, autoriseerimine), turvatestide tulemusi, uuenduste protseduure, haavatavuste avalikustamise poliitikat jne. See dokumentatsioon on vastavuse tõendamise aluseks kontrolli korral (ning vajaduse korral ka sertifitseerimisasutusele esitamiseks). Korraldage ka selle arhiveerimise protsess nõutavaks ajavahemikuks (10 aastat või kauem). Lisaks valmistage oma toodete jaoks ette ELi vastavusdeklaratsiooni vormid – pidades meeles, et need peavad sisaldama uut sõnastust, mis kinnitab kõigi määruse nõuete täitmist.
• Pöörake tähelepanu tarneahelale – Võtke ühendust komponentide tarnijatega (eriti tarkvara, IoT-moodulite jms osas), et arutada CRA-ga vastavuse küsimusi. Uuendage tarnijatega sõlmitud lepinguid, lisades klauslid komponentidele nõutava küberturvalisuse taseme ja avastatud haavatavustest teavitamise kohustuse kohta. Veenduge, et teil on juurdepääs teabele komponentide päritolu ja versioonide kohta (pidage toodete jaoks SBOM-i – Software Bill of Materials, mis lihtsustab sõltuvates teekides esinevate haavatavuste jälgimist). Kui kasutate tootega seotud väliseid pilveteenuseid, kontrollige nende kaitsemeetmeid ja vastavust NIS2-le (sest SaaS võib kuuluda pigem NIS2 kui CRA alla). Toote küberturvalisus tähendab ka kõigi selle koostisosade turvalisust – tarnijad peavad tegutsema ühise eesmärgi nimel.
• Koolitage töötajaid ja teavitage kliente – Uued kohustused tähendavad, et ettevõtte eri osakondadel peab olema CRA-st vähemalt baasteadmine. Korraldage koolitused projekteerimis-, kvaliteedi-, IT- ja teenindusosakonnale määruse nõuete ja sisemiste protseduuride kohta (nt kuidas reageerida haavatavuse teatele, kuidas dokumenteerida muudatusi vastavuse seisukohast). Samuti tasub teavitada ostu- ja müügiosakonda, et nad oleksid teadlikud uutest märgistustest ja deklaratsioonidest (näiteks vajadusest kontrollida, kas ELi-väline tarnija on esitanud vastavusdeklaratsiooni). Kaaluge klientidele teabe koostamist teie toodete turvapoliitika kohta – läbipaistvus selles valdkonnas võib muutuda kaubanduslikuks eeliseks (kasutajad hakkavad tähele panema, kas konkreetne toode vastab küberturvalisuse nõuetele ja kas sellele on tagatud uuendused).
• Jälgige juhiseid ja tähtaegu – Jälgige Euroopa Komisjoni ja riiklike asutuste teateid CRA kohta. Võivad ilmuda delegeeritud või rakendusaktid, mis täpsustavad teatud küsimusi (nt sektoripõhised erandid – komisjon võib otsustada jätta CRA kohaldamisalast välja tooted, millele kehtivad samaväärsed sektoripõhised nõuded). Jälgige ka ühtlustatud standardite avaldamise protsessi – standardi rakendamine on lihtsaim tee vastavuse eelduse saavutamiseks. Hoolitsege selle eest, et eespool nimetatud tähtajad oleksid täidetud: september 2026 (valmisolek intsidentidest teatamiseks) ja detsember 2027 (kõigi uute toodete täielik vastavus). Kõige parem on määrata sisemised vahe-eesmärgid palju varem – näiteks esialgse riskianalüüsi lõpetamine 2025. aasta keskpaigaks, arendusprotsessi kohandamine 2025. aasta lõpuks, vastavustestid ja eelsertifitseerimised 2026. aastal jne, et siseneda 2027. aastasse peaaegu täielikult nõuetele vastavana. Viimase hetke üllatus võib kaasa tuua müügi peatamise, seega on ennetav lähenemine võtmetähtsusega.

Selle „kodutöö” varakult ära tegemine aitab vältida 2027. aastal närvilist kiirustamist ja sellega kaasnevaid riske. CRA-d ei tasu käsitleda ainult kohustusena, vaid ka võimalusena tõsta toodete üldist turvalisuse taset – see kaitseb kulukate intsidentide eest nii ettevõtet kui ka kliente.

CRA ja masinamäärus (EL) 2023/1230 – millele kumb kohaldub?

Paljud tööstussektori juhid küsivad, kuidas uued kübervastupidavuse nõuded suhestuvad juba tuttava masinamäärusega (EL) 2023/1230 (mis asendab masinadirektiivi). Kas nõuded kattuvad või täiendavad need õigusaktid teineteist? Oluline on mõista, milliseid toote aspekte iga õigusakt reguleerib.

Masinamäärus 2023/1230 käsitleb masinate ohutust selle tavapärases tähenduses – keskmes on masinate kasutajate tervise ja ohutuse kaitse. See sätestab nn olulised tervise- ja ohutusnõuded (EHSR), mis puudutavad muu hulgas mehaanilisi ja elektrilisi aspekte, ergonoomikat, müra, EMC-d jne. Uus masinamäärus on küll toonud sisse ka nõude arvestada internetiühenduse ja küberrünnetega seotud ohtudega kui võimaliku ohuteguriga. See tähendab, et masina tootja peab riskihindamise käigus läbi mõtlema stsenaariumid, kus näiteks kaugsekkumine masina juhtimissüsteemi võib põhjustada õnnetuse. Seetõttu tuleb kavandada meetmed selliste olukordade vältimiseks (nt võrgukaitse lahendused, mis takistavad volitamata isikul masina üle kontrolli haaramast). Samas reguleerib masinamäärus küberturvalisust ainult niivõrd, kuivõrd see mõjutab masinaid kasutavate inimeste füüsilist ohutust. See on üks masina vastavushindamise paljudest osadest, kuid ei käsitle detailselt IT-tüüpi nõudeid – sealt ei leia krüptograafiliste mehhanismide loetelu ega kohustust pärast müüki masina tarkvara ajakohastada. Lihtsustatult öeldes hoolitseb masinamäärus selle eest, et masin ei kujutaks ohtu elule ega tervisele (ka küberintsidendi tagajärjel), samas kui CRA keskendub toote üldisele küberturvalisusele (sealhulgas andmete konfidentsiaalsusele, teenuste toimepidevusele ja kogu elutsüklile).

Kübervastupidavuse määrus hõlmab märksa laiemat IT-küsimuste ringi kui masinamäärus. Ka tööstusmasinate puhul seab CRA näiteks nõuded haavatavustest teatamiseks, uuenduste tagamiseks X aastaks ning andmekao vältimiseks – ehk küsimused, mis ei ole otseselt seotud masina kasutaja ohutusega, vaid küberturvalisusega kui sellisega. Praktikas tähendab see, et masin, mis on digitaalsete elementidega toode, kuulub samaaegselt mõlema määruse kohaldamisalasse. Sellise masina tootja peab täitma mõlema õigusakti nõuded – nii need, mis puudutavad näiteks mehaanika seisukohalt ohutut konstruktsiooni (masinamäärus), kui ka need, mis käsitlevad tarkvara, võrgu ja andmete kaitset (CRA). Ühe määruse nõuete täitmine ei tähenda automaatselt vastavust teisele, sest hindamiskriteeriumid on erinevad.

Vastavushindamise menetluse seisukohast peab toode, millele kohaldub rohkem kui üks ELi määrus, enne CE-märgistuse kandmist vastama kõigile asjakohastele nõuetele. Näiteks tootja, kes laseb turule kaugseire funktsiooniga koostööroboti tööstuskasutuseks, peab veenduma, et robot vastab masinate olulistele ohutusnõuetele (määrus 2023/1230) ja küberturvalisuse olulistele nõuetele (määrus (EL) 2024/2847). ELi vastavusdeklaratsioonis tuleb sellise masina puhul viidata mõlemale õigusaktile. Samal ajal peab sellise seadme ostja, näiteks käidukorralduse juht, kontrollima nii „masinate CE-d” kui ka „küber-CE-d”. Praktikas on CE-märgis üks, kuid dokumentatsioon peab tõendama vastavust kõigile uue lähenemisviisi õigusaktidele, mis konkreetsele tootele kohalduvad.

Tasub tuua mõned näited selle kohta, mis kuulub millise määruse alla:

• Puhtalt elektroonilised IT-seadmed (ilma masinlike funktsioonideta) – näiteks ruuterid, nutitelefonid, IP-kaamerad – ei kuulu masinamääruse alla (sest need ei ole masinad), kuid kuuluvad CRA kohaldamisalasse, kui neil on digitaalsed elemendid ja need suhtlevad võrgu kaudu. Nende puhul on määrav eelkõige küberturvalisus ning kasutaja füüsilise ohutuse küsimused ei ole olulised (välja arvatud üldised tööohutuse/EMC nõuded).
• Traditsioonilised masinad ilma digitaalse ühenduseta – näiteks puhtalt analoogjuhtimisega hüdrauliline press – kuuluvad masinamääruse alla (täita tuleb nõuded konstruktsioonile, kaitsetele, ohutusahelatele jne), kuid ei kuulu otseselt CRA alla, sest need ei sisalda väljapoole suhtlevaid digitaalseid elemente. Muidugi, kui masinas on juhtimiselektroonika, võib seda iseenesest käsitada digitaalse seadmena – kuid seni, kuni puudub ühenduvus (nt puuduvad võrgupordid ja kaugjuurdepääs), ei vasta see CRA tähenduses „digitaalsete elementidega toote” määratlusele.
• Kaasaegsed masinad digitaalsete funktsioonidega – näiteks robotid, IoT-ga tootmisliinid, juhtimissüsteemiga suhtlevad AGV-d – kuuluvad mõlema õigusakti alla. Siin nõuab masinamäärus muu hulgas tavapärast riskihindamist (et masin ei tekitaks mehaanilisi/elektrilisi ohte) ning seda, et näiteks kaugjuurdepääs robotile ei saaks põhjustada ohtlikku olukorda (st küberohtude arvestamist ohutuse seisukohast). CRA omakorda paneb lisaks kohustuse, et selle roboti tarkvara oleks üldiselt kaitstud (nt krüpteeritud andmeedastus, unikaalsed paroolid), tootja tagaks uuendused ning haavatavuse avastamisel see parandataks ja sellest teavitataks pädevaid asutusi. Sellise seadme tootja peab seega tagama vastupidavuse küberrünnakutele nii inimeste ohutuse kui ka töö järjepidevuse, andmete konfidentsiaalsuse jms kontekstis.

Kokkuvõttes masinamäärus ja CRA ei konkureeri omavahel, vaid täiendavad teineteist. Esimene keskendub masinate funktsionaalsele ohutusele (sealhulgas minimaalsetele küberturbe nõuetele, et masin oleks ohutu), teine aga toote laiemale küberturvalisusele kogu selle elutsükli vältel. Juhtide jaoks tähendab see vajadust mitmetahulise vastavuse järele: nutikas toode peab olema nii konstruktsiooniliselt ohutu kui ka küberturvaline. Seetõttu tuleb jälgida mõlema regulatsiooni nõudeid. Õnneks on nende rakendumise tähtajad sarnased – ka masinamäärust hakatakse praktikas kohaldama alates 2027. aasta jaanuarist (asendades direktiivi) ning CRA-d alates 2027. aasta lõpust. Seega saab mõlema jaoks ettevalmistused ühendada ühtseks compliance-programmiks. Näiteks võib uue masina projekteerimisel kohe arvesse võtta nii masinate ohutusnõudeid kui ka IT-kaitsemeetmeid; prototüübi katsetamisel kontrollida mitte ainult vastavust sellistele standarditele nagu ISO 13849 (safety), vaid teha ka näiteks juhtimissüsteemi penetratsiooniteste. Sellise lähenemisega tagab ettevõte tervikliku vastavuse ja väldib olukorda, kus ühe õigusakti nõudeid täidetakse teise arvelt.

Määrus (EL) 2024/2847 on tootjatele ja tarnijatele kahtlemata väljakutse, kuid samal ajal ka vajalik vastus tänapäeva tegelikkusele. Masinad ja seadmed muutuvad üha nutikamaks ja ühendatumaks – õigusnormid peavad sellega sammu pidama. Juhid, kes alustavad ettevalmistustega juba praegu, saavutavad eelise: nende ettevõtted mitte ainult ei astu sujuvalt uude õigusraamistikku, vaid suurendavad ka oma toodete konkurentsivõimet ja usaldusväärsust klientide silmis, kelle jaoks digitaalne turvalisus muutub sama oluliseks kui hind või funktsionaalsus. Masinaohutuse ja IT valdkonna ekspertide asjakohase toe korral võib CRA nõuete rakendamist käsitleda pideva täiustamise osana, mitte üksnes regulatiivse kohustusena. Lõppkokkuvõttes võidavad sellest nii ettevõte, lõppkasutajad kui ka kogu digitaalne ökosüsteem. Turvalisemad tooted tähendavad väiksemat seisakute, rünnakute ja kahjude riski – ning see on eesmärk, millest lähtuvad nii seadusandja kui ka vastutustundlikud turuosalised.