Asetus (EU) 2024/2847 – kyberresilienssisäädös (CRA)

Asetus (EU) 2024/2847 – kyberkestävyyssäädös (Cyber Resilience Act, CRA) on uusi EU-asetus, joka tuo horisontaaliset kyberturvallisuusvaatimukset ”digitaalisia elementtejä sisältäville tuotteille”. Se hyväksyttiin lokakuussa 2024, ja siirtymäaikojen jälkeen sitä aletaan soveltaa suoraan kaikissa EU-maissa vuoden 2027 lopusta alkaen. Teollisuusalan johtajana – vastasitpa sitten kunnossapidosta, hankinnoista tai vaatimustenmukaisuudesta – on hyvä ymmärtää jo nyt, mitä tuotteita asetus koskee, mitä uusia velvoitteita se tuo valmistajille, maahantuojille ja jakelijoille sekä miten yritys kannattaa valmistella tuleviin muutoksiin. Alla esittelemme keskeiset tiedot käytännönläheisesti, ilman juridista kapulakieltä mutta teknisellä tarkkuudella, jotta oikeiden valmistelutoimien käynnistäminen olisi helpompaa.

Soveltamisala: mitä tuotteita kyberkestävyyssäädös koskee?

Asetus (EU) 2024/2847 koskee kaikkia EU-markkinoilla saataville asetettavia ”digitaalisia elementtejä sisältäviä tuotteita”, joiden ennakoitu käyttö sisältää yhteyden toiseen laitteeseen tai verkkoon (suoraan tai epäsuorasti, fyysisesti tai loogisesti). Toisin sanoen suurin osa laitteista tai ohjelmistoista, jotka voivat viestiä muiden järjestelmien kanssa, kuuluu uusien vaatimusten piiriin. Käytännössä tällaisia ovat muun muassa IoT-laitteet ja kulutuselektroniikka (esim. älykellot, matkapuhelimet, älykkäät kodinkoneet ja viihde-elektroniikka, itkuhälyttimet), puettavat laitteet (esim. aktiivisuusrannekkeet), verkkotoiminnoilla varustetut teollisuuslaitteet (verkkoon liitetyt anturit ja teollisuuskoneet) sekä erilaiset ohjelmistot (käyttöjärjestelmät, mobiili- ja tietokonesovellukset, yritysohjelmistot jne.). Olennaista on, että myös erikseen myytävä ohjelmisto (tuotteena) kuuluu CRA:n soveltamisalaan, samoin kuin etäiset tietojenkäsittelypalvelut, jotka ovat olennainen osa tuotetta – esimerkiksi älykodin laitetta ohjaava pilvipalvelu katsotaan osaksi tuotetta, ja sen on täytettävä turvallisuusvaatimukset.

Asetuksen soveltamisala on hyvin laaja, mutta siinä on myös poikkeuksia tietyille tuoteryhmille, joita säännellään jo omalla alakohtaisella lainsäädännöllä. CRA ei koske muun muassa lääkinnällisiä laitteita (joita koskevat asetukset MDR 2017/745 ja 2017/746), ajoneuvoja ja niiden varusteita (joita koskee muun muassa asetus 2019/2144 ajoneuvojen tyyppihyväksynnän osalta), ilma-aluksia (asetus 2018/1139 ilmailusta) eikä merenkulkulaitteita (direktiivi 2014/90/EU). Näille tuotteille on omat sääntelynsä, jotka sisältävät usein jo kyseiselle toimialalle räätälöityjä vaatimuksia, joten ne on rajattu CRA:n ulkopuolelle. Lisäksi uudet säännökset eivät koske yksinomaan sotilaalliseen käyttöön tai kansalliseen turvallisuuteen tarkoitettuja laitteita ja ohjelmistoja (eivätkä salassa pidettävien tietojen käsittelyä). Soveltamisalan ulkopuolelle jäävät myös varaosat, jotka toimitetaan identtisten komponenttien korvaajiksi – jos alkuperäinen tuote on saatettu markkinoille laillisesti, identtisen osan ei tarvitse erikseen täyttää CRA:n vaatimuksia.

On myös syytä huomata, että niin sanottu vapaa ja avoimen lähdekoodin ohjelmisto (open source) ei kuulu CRA:n piiriin, jos sitä ei aseteta saataville kaupallisen toiminnan yhteydessä. Jos ohjelmistoa siis kehitetään ja julkaistaan maksutta markkinatoiminnan ulkopuolella, sen tekijöitä (esim. open source -yhteisöä) ei pidetä asetuksen tarkoittamina ”valmistajina”, eikä heille synny jäljempänä kuvattuja velvoitteita. Jos yritys sen sijaan käyttää avoimen lähdekoodin komponenttia omassa kaupallisessa tuotteessaan, vastuu turvallisuusvaatimusten täyttämisestä kuuluu lopputuotteen valmistajalle. Yhteenvetona voidaan todeta, että CRA kohdistuu ennen kaikkea ammattimaisesti valmistettuihin ja myytyihin digitaalisiin tuotteisiin, jotka päätyvät loppukäyttäjille EU:n sisämarkkinoilla.

Miksi CRA otettiin käyttöön? Uudet uhat, sääntelyaukko ja toimitusketju

Euroopan unioni on tunnistanut kiireellisen tarpeen vahvistaa digitaalisten tuotteiden kyberkestävyyttä kasvavien uhkien vuoksi. Viime vuosina internetiin liitettyjen laitteiden määrä ja kirjo on kasvanut räjähdysmäisesti – tehtaiden teollisista IoT-järjestelmistä älykkäisiin kodin laitteisiin. Valitettavasti näiden tuotteiden kyberturvallisuuden taso on usein heikko, mikä näkyy yleisinä haavoittuvuuksina sekä suojauspäivitysten puutteellisena ja epäyhtenäisenä toimittamisena. Monet valmistajat eivät ole tähän asti asettaneet turvallisuutta etusijalle tuotteen koko elinkaaren ajan, ja käyttäjiltä puuttuu usein tieto ja näkyvyys siihen, mitkä laitteet ovat turvallisia, kuinka pitkään niille tarjotaan päivitystukea ja miten niitä käytetään turvallisesti. Tämä tekijöiden yhdistelmä kasvattaa kyberhyökkäysten riskiä.

Kyberkestävyyssäädöksen tarkoituksena on paikata sääntelyaukko – tähän asti EU-tasolla on puuttunut yhtenäinen ja pakollinen vaatimuskokonaisuus digitaalisten tuotteiden turvallisuudelle. Vaikka käytössä on ollut aloitteita, kuten ICT-turvallisuuden sertifioinnit (kyberturvallisuussäädöksen 2019/881 nojalla) tai NIS2-direktiivin vaatimukset kriittisille sektoreille, mikään säädös ei ole suoraan asettanut velvoitetta ”kyberturvallisuus suunnittelusta lähtien” kaikille markkinoille saatettaville laitteille ja ohjelmistoille. CRA luo juuri tällaisen yleisen kehyksen – se edellyttää, että laitteistot ja ohjelmistot suunnitellaan, valmistetaan ja ylläpidetään siten, että vahvat suojaustoimet otetaan huomioon koko elinkaaren ajan. Tavoitteena on, että markkinoille päätyy tuotteita, joissa on vähemmän haavoittuvuuksia, ja että valmistajat poistavat uudet uhat nopeasti (esim. tietoturvapäivityksillä) sen sijaan, että käyttäjät jätettäisiin turvattomien laitteiden varaan.

Kyberkestävyydessä on myös toimitusketjuun ja rajat ylittävään toimintaan liittyvä ulottuvuus. Aikana, jolloin kaikki on yhteydessä kaikkeen, yhdessä näennäisesti vähäpätöisessä laitteessa tapahtuva poikkeama voi muodostua hyökkäysvektoriksi koko organisaatiota tai liikekumppaneita vastaan. Yksi tuotantohallissa saastunut IoT-anturi voi avata pääsyn tehtaan verkkoon; yleisesti käytetyn sovelluksen haavoittuvuutta voidaan hyödyntää maailmanlaajuisesti muutamassa minuutissa. Kuten asetuksen perusteluissa korostetaan, yhteen tuotteeseen liittyvä kyberpoikkeama voi levitä toimitusketjussa yhden valtion rajojen ulkopuolelle muutamassa minuutissa. Tällaisten hyökkäysten kustannuksia eivät kanna vain valmistajat ja käyttäjät, vaan koko yhteiskunta – kriittisen infrastruktuurin häiriöt, taloudelliset tappiot, yleiseen turvallisuuteen kohdistuvat vaarat. Yhteisten, pakollisten sääntöjen tarkoituksena koko EU:ssa on nostaa yleistä suojaustasoa ja estää tilanne, jossa heikoin lenkki (kyberkestämätön tuote) vaarantaa kaikki.

Lisämotiivina on digitaalisiin tuotteisiin kohdistuvan luottamuksen vahvistaminen ja tasapuolisten kilpailuedellytysten luominen. Tällä hetkellä valmistajat, jotka investoivat turvallisuuteen jo suunnitteluvaiheessa, häviävät hinnassa usein niille, jotka sivuuttavat nämä kysymykset. CRA:n on tarkoitus tehdä niin, että kyberturvallisuudesta tulee laatuvaatimus – kaikkien on täytettävä vähimmäisvaatimukset, mikä tasaa kilpailuasetelmaa ja pienentää hyökkäysten yhteiskunnallisia kustannuksia (jotka nykyisin siirtyvät uhrien kannettaviksi). Tämän seurauksena tavoitteena on vahvistaa koko EU-markkinan kestävyyttä sekä asiakkaiden luottamusta nykyaikaisiin digitaalisiin elementteihin perustuviin laitteisiin. Säädös on myös osa EU:n laajempaa strategiaa (yhdessä GDPR:n, NIS2:n, DORA:n jne. kanssa), jonka tavoitteena on vahvistaa palvelujen ja tuotteiden kyberturvallisuutta digitaalisen talouden perustana.

Asetus (EU) 2024/2847: valmistajien, maahantuojien ja jakelijoiden keskeiset velvollisuudet

Uusi asetus tuo mukanaan joukon konkreettisia velvollisuuksia talouden toimijoille, jotka osallistuvat digitaalisiin elementteihin perustuvien tuotteiden toimitusketjuun. Vastuun laajuus riippuu toimijan roolista – eniten vaatimuksia kohdistuu valmistajiin, mutta myös maahantuojilla ja jakelijoilla on merkittäviä tehtäviä. Alla kokoamme yhteen keskeiset velvollisuudet sen johtajan näkökulmasta, joka huolehtii yrityksen tuotteiden säädöstenmukaisuudesta.

Valmistajien velvollisuudet

Valmistaja (samoin kuin toimija, joka saattaa tuotteen markkinoille omalla tuotemerkillään tai muokkaa sitä – myös häntä pidetään valmistajana) vastaa ensisijaisesti CRA:n vaatimusten täyttämisestä. Sen tärkeimpiin tehtäviin kuuluvat:

• Tuotteen vaatimustenmukaisuuden varmistaminen asetuksen liitteessä I määriteltyjen kyberturvallisuuden olennaisten vaatimusten kanssa. Käytännössä tämä tarkoittaa, että tuotteessa on jo suunnittelu- ja kehitysvaiheessa oltava ominaisuudet, jotka takaavat riittävän, kyseiseen tuotteeseen liittyvään riskiin suhteutetun turvallisuustason. Asetuksessa luetellaan useita konkreettisia teknisiä vaatimuksia, kuten tunnettujen haavoittuvuuksien puuttuminen markkinoille saattamisen hetkellä, turvallisten oletusasetusten käyttö (esim. oletussalasanojen välttäminen), salaus silloin kun se on tarkoituksenmukaista, suojaus luvattomalta käytöltä, käyttäjän henkilötietojen suojaaminen, hyökkäysten sietokyky tuotteen toimintoja häiritseviä hyökkäyksiä vastaan (esim. DoS-hyökkäykset) sekä mahdollisuus palauttaa tehdasasetukset. Tuote on suunniteltava siten, että sen ”hyökkäyspinta” on mahdollisimman pieni – esimerkiksi siinä ei saa olla tarpeettomia avoimia portteja tai palveluja, jotka lisäävät altistumista kyberuhille. Nämä olennaiset vaatimukset (CRA:n liitteen I osa I) muodostavat tarkistuslistan turvallisuusominaisuuksista, jotka jokaisen digitaalisen tuotteen on täytettävä.
• Haavoittuvuuksien ja tietoturvapoikkeamien käsittelyprosessin luominen – valmistajan on huolehdittava aktiivisesti tuotteen turvallisuudesta myös myynnin jälkeen koko ilmoitetun tukijakson ajan. Liitteen I osassa II määritellään vaatimukset haavoittuvuuksien käsittelyprosessille (vulnerability handling): säännöllinen testaus ja seuranta uusien aukkojen havaitsemiseksi, haavoittuvuusilmoitusten vastaanottaminen (esim. tutkijoilta tai käyttäjiltä) sekä havaittujen haavoittuvuuksien nopea korjaaminen/paikkaaminen toimittamalla tietoturvapäivityksiä. Valmistajalla on oltava koordinoidun haavoittuvuuksien julkistamisen toimintamalli (coordinated disclosure), eli nimetty yhteyspiste, johon ongelmista voi ilmoittaa, sekä menettelytavat näiden ilmoitusten käsittelyyn. On tärkeää, että päivitykset poistavat haavoittuvuudet viipymättä ja että ne jaellaan turvallisesti (esim. digitaalisesti allekirjoitettuina). Olennaista on myös se, että valmistajan on tarjottava tukea ja tietoturvapäivityksiä tuotteen ennakoidun elinkaaren ajan, kuitenkin vähintään 5 vuotta (ellei tuotteen luonne perustele lyhyempää aikaa). Toisin sanoen, jos laitteen odotetaan tyypillisesti olevan asiakkaiden käytössä noin 5+ vuotta, korjauspäivitysten julkaisemista ei voi lopettaa vuoden tai kahden jälkeen – käyttäjää ei saa jättää käyttöön laitetta, jossa on paikkaamattomia aukkoja.
• Kyberturvallisuusriskien arvioinnin tekeminen – ennen kuin digitaalisia elementtejä sisältävä tuote saatetaan markkinoille, valmistajan on tehtävä järjestelmällinen riskianalyysi tuotteeseen liittyvistä kyberuhista. Riskinarvioinnin tulee olla osa suunnitteluprosessia (security by design), ja siinä on otettava huomioon muun muassa tuotteen aiottu käyttötarkoitus, mahdollinen ennakoitavissa oleva virheellinen käyttö sekä käyttöolosuhteet (IT-ympäristö, verkko, laitteen käsittelemien tietojen tyyppi). Tämän analyysin perusteella on suunniteltava asianmukaiset suojaustoimenpiteet ja sisällytettävä ne rakenteeseen. Kyberriskien arviointia koskevasta dokumentaatiosta tulee osa tuotteen teknistä dokumentaatiota, ja sitä on päivitettävä, jos uusia uhkia ilmenee. Valmistajan on säilytettävä dokumentaatio vähintään 10 vuotta tuotteen markkinoille saattamisesta (ja jos ilmoitettu tukijakso on pidempi kuin 10 vuotta, vastaavasti pidempään). Riskinarviointi ei ole kertaluonteinen tehtävä – sitä on tarkistettava ja päivitettävä tarpeen mukaan, erityisesti silloin, kun havaitaan uusia haavoittuvuuksia tai tuotteen käyttöympäristö muuttuu.
• Ulkoisten komponenttien hallinta – valmistajan on noudatettava asianmukaista huolellisuutta käyttäessään kolmansien osapuolten komponentteja, mukaan lukien avoimen lähdekoodin kirjastot. On varmistettava, etteivät ulkoiset komponentit (ohjelmisto- ja laitteistokomponentit) vaaranna koko tuotteen kyberturvallisuutta. Käytännössä tämä tarkoittaa käytettyjen kirjastojen versioiden ja päivitysten hallintaa, näihin komponentteihin liittyvien tunnettujen haavoittuvuuksien seurantaa (esim. CVE-julkaisuissa) sekä niiden päivittämistä tai korvaamista, kun aukkoja havaitaan. Jos tuotteessa käytetään avointa lähdekoodia ja siinä havaitaan haavoittuvuus, valmistajan on ilmoitettava ongelmasta kyseisen avoimen lähdekoodin ylläpidosta vastaavalle taholle (esim. open source -projektille), ja jos valmistaja korjaa haavoittuvuuden itse, sen on toimitettava yhteisölle tiedot tehdystä korjauksesta. Tavoitteena on kytkeä valmistajat mukaan haavoittuvuuksien koordinoituun paikkaamiseen myös avoimen lähdekoodin komponenteissa.
• Muodollinen vaatimustenmukaisuuden arviointi ja asiakirjat – ennen kuin tuote tulee markkinoille, valmistajan on toteutettava CRA-vaatimusten mukainen vaatimustenmukaisuuden arviointimenettely ja laadittava vaatimusten täyttymisen osoittava dokumentaatio. Useimpien ”tavanomaisten” tuotteiden osalta (eli niiden, joita ei ole luokiteltu korkeamman riskin kategoriaan) riittää sisäinen tarkastus (sisäinen arviointi) ja teknisen dokumentaation laatiminen; sen tulee sisältää muun muassa tuotteen kuvaus, riskianalyysin tulokset, käytettyjen suojaustoimenpiteiden luettelo sekä testaus- ja päivitysmenettelyt. Tämän jälkeen valmistaja laatii EU-vaatimustenmukaisuusvakuutuksen, jossa se ilmoittaa tuotteen täyttävän kaikki sovellettavat CRA-vaatimukset, ja kiinnittää tuotteeseen CE-merkinnän. Huomio: jos tuote on luokiteltu kyberturvallisuuden näkökulmasta ”tärkeäksi” tai ”kriittiseksi” (CRA:n liitteet III ja IV), siihen voidaan soveltaa tiukempia vaatimustenmukaisuuden arvioinnin menettelyjä. Tärkeiden tuotteiden luokassa II sekä kriittisten tuotteiden osalta vaaditaan kolmannen osapuolen sertifiointi, eli ilmoitetun laitoksen (esim. akkreditoidun laboratorion) suorittama arviointi ja myöntämä sertifikaatti. Tärkeiden luokan I tuotteiden osalta itsearviointi on sallittu vain, jos käytettävissä on asianmukaiset yhdenmukaistetut standardit, joita valmistaja soveltaa – muussa tapauksessa tarvitaan myös kolmannen osapuolen osallistuminen. Siksi johdon on määritettävä, mihin kategoriaan yrityksen tuote kuuluu ja onko ulkoinen sertifiointi tarpeen suunnitella etukäteen (mikä voi vaikuttaa tuotteen markkinoille saattamisen aikatauluun).
• Turvallisuuden seuranta markkinoille saattamisen jälkeen ja raportointi – CRA:n tuoma uusi velvoite on vakavista tietoturvaongelmista ilmoittaminen toimivaltaisille viranomaisille. Valmistajan on ilmoitettava kansalliselle koordinoivaksi nimetylle CSIRT:lle (reaktioryhmälle) sekä ENISA:lle jokaisesta tuotteeseensa kohdistuvasta aktiivisesti hyväksikäytetystä haavoittuvuudesta ja jokaisesta vakavasta poikkeamasta, joka vaikuttaa tuotteen turvallisuuteen. Ilmoitusaika on erittäin lyhyt – 24 tuntia havaitsemisesta haavoittuvuuden tai tapahtuman osalta (samankaltaisesti kuin GDPR:n tai NIS2:n tiukoissa määräajoissa). Ilmoitukset tehdään ENISA:n ylläpitämän yhtenäisen eurooppalaisen alustan kautta. Raportointivelvollisuus tulee voimaan ennen muita vaatimuksia (syyskuu 2026 – ks. määräajat jäljempänä) ja koskee siitä lähtien kaikkia markkinoilla olevia tuotteita. Siksi valmistajalla on oltava sisäiset menettelyt, joilla poikkeama tai haavoittuvuus voidaan havaita ja asetuksen edellyttämät tiedot toimittaa vuorokauden kuluessa. Tavoitteena on antaa valvontaviranomaisille kokonaiskuva esiin nousevista uhista ja mahdollistaa koordinoitu reagointi (esim. muiden käyttäjien varoittaminen, jos tuotteessa on kriittinen haavoittuvuus).

Edellä kuvatut velvoitteet edellyttävät usein merkittäviä organisatorisia muutoksia – aina Secure SDLC:n käyttöönotosta T&K-osastolla uusiin tuotteiden ylläpito- ja tukikäytäntöihin sekä lisädokumentaatioon ja henkilöstön koulutukseen. Vastineeksi yritys saa paremman varmuuden siitä, ettei sen tuotteesta tule vakavan kyberhäiriön lähdettä, ja samalla se varmistaa tulevan sääntelyn mukaisuuden, mikä mahdollistaa myynnin jatkumisen EU-markkinoilla.

Asetus (EU) 2024/2847: maahantuojien ja jakelijoiden velvollisuudet

Toimijoiden, jotka tuovat digitaalisia elementtejä sisältäviä tuotteita EU:n ulkopuolelta (maahantuojat) tai myyvät niitä edelleen EU-markkinoilla (jakelijat), on myös huolehdittava siitä, että nämä tuotteet ovat CRA:n mukaisia. Niiden rooli on ennen kaikkea tarkastaa vaatimustenmukaisuus ja reagoida mahdollisiin poikkeamiin.

Maahantuojan on ennen tuotteen saattamista EU-markkinoille varmistettava, että valmistaja on täyttänyt velvollisuutensa – toisin sanoen, että tuotteessa on vaadittu CE-merkintä ja EU-vaatimustenmukaisuusvakuutus, että mukana toimitetaan ohjeet ja turvallisuustiedot sekä että valmistaja on laatinut vaaditun teknisen dokumentaation. Maahantuojan ei tarvitse itse testata tuotteen kyberturvallisuutta, mutta jos sillä on perusteltuja epäilyjä siitä, että tuote ei täytä vaatimuksia (esim. CE-merkintä puuttuu, tukijaksosta ei ole tietoa jne.), tuotetta ei pidä asettaa saataville markkinoilla ennen kuin on varmistettu, että puutteet on korjattu. Jos käy ilmi, että tuote ei täytä CRA:n vaatimuksia, maahantuojan on ilmoitettava asiasta valvontaviranomaisille ja ryhdyttävä korjaaviin toimenpiteisiin – huolehdittava tuotteen saattamisesta vaatimusten mukaiseksi tai, jos se ei ole mahdollista, poistettava se jakelusta tai markkinoilta. Maahantuojien on valmistajien tavoin säilytettävä kopio vaatimustenmukaisuusvakuutuksesta ja huolehdittava siitä, että tekninen dokumentaatio on pyynnöstä viranomaisten saatavilla. Niiden on myös merkittävä tuotteeseen (tai pakkaukseen) omat yhteystietonsa ja varmistettava, että tuote on asianmukaisesti merkitty. Käytännössä maahantuojan rooli on toimia turvaporttina – sen tehtävänä on estää sellaisten tuotteiden jakelu EU:ssa, joilta puuttuvat CRA-vaatimusten täyttymisen osoittavat ”paperit”.

Jakelijat (kotimaiset tukkuliikkeet, vähittäismyyjät jne.) ovat samankaltaisessa asemassa kuin maahantuojat, sillä erolla, että ne tarkastavat vaatimusten täyttymisen sekä valmistajan että tarvittaessa maahantuojan osalta, jos tuote on peräisin EU:n ulkopuolelta. Jakelijan on siis ennen jälleenmyyntiä tarkistettava, että tuotteessa on CE-merkintä, että mukana ovat lain edellyttämät vakuutukset tai ohjeet ja ettei julkisuudessa ole annettu ilmoituksia siitä, että kyseinen malli ei täytä turvallisuusvaatimuksia. Epäselvissä tilanteissa myös jakelijan on keskeytettävä myynti, kunnes asia on selvitetty. Jos se katsoo (tai saa tiedon), että tuote aiheuttaa vakavan riskin tai ei täytä CRA:n vaatimuksia, sen on ilmoitettava asiasta valmistajalle tai maahantuojalle sekä valvontaviranomaisille ja tehtävä yhteistyötä korjaavissa toimissa (esim. markkinoilta poistamiseen liittyvissä toimissa).

Hankintapäällikön näkökulmasta nämä säännökset merkitsevät tarvetta entistä suurempaan huolellisuuteen laite- ja ohjelmistotoimittajia valittaessa. On varmistettava, että EU:n ulkopuoliset sopimuskumppanit toimittavat tuotteita, jotka ovat jo CRA:n mukaisia, sillä muuten oma yritys (maahantuojana) vastaa puutteista. Jakelijan kannalta (esim. automaatiotuotteita myyvän yrityksen) mukaan tulee lisäksi velvollisuus seurata, että sen valikoimassa olevilla eri merkkien tuotteilla on ajantasaiset vaatimustenmukaisuusvakuutukset ja että ne täyttävät vaatimukset – käytännössä tämä edellyttää tiivistä yhteistyötä valmistajien kanssa ja nopeaa reagointia kaikkiin myytäviä laitteita koskeviin turvallisuushälytyksiin.

On syytä huomata: jos maahantuoja tai jakelija saattaa tuotteen markkinoille omalla logollaan tai tuotemerkillään taikka muuttaa tuotetta (esim. muuttaa sen toiminnallisuutta, ohjelmistoa tai kokoonpanoa tavalla, jolla on olennainen merkitys kyberturvallisuuden kannalta), siitä tulee asetuksen mukaan kyseisen tuotteen valmistaja. Tällöin sen on otettava hoitaakseen kaikki valmistajan velvollisuudet (tehtävä vaatimustenmukaisuuden arviointi, annettava oma vakuutus jne.). Tämä koskee esimerkiksi järjestelmäintegraattoreita, jotka myyvät OEM-laitteita omalla brändillään – niiden on oltava erityisen tarkkoja, koska ne vastaavat muodollisesti vaatimustenmukaisuudesta samalla tavoin kuin alkuperäinen valmistaja.

Voimaantulo ja siirtymäajat

Asetus (EU) 2024/2847 julkaistiin Euroopan unionin virallisessa lehdessä 20. marraskuuta 2024. Se tuli voimaan 10. joulukuuta 2024 (20 päivää julkaisemisesta), mutta keskeisiä velvoitteita aletaan soveltaa vasta 36 kuukauden kuluttua tästä päivästä. Lainsäätäjä on siis säätänyt pitkän siirtymäajan, jotta toimialalle jää aikaa sopeutua. Keskeiset päivämäärät ovat seuraavat:

• 11. syyskuuta 2026 – tästä päivästä alkaen tulevat voimaan haavoittuvuuksien ja tietoturvapoikkeamien raportointivelvoitteet. Jokaisen EU-markkinoilla olevan digitaalisia elementtejä sisältävän tuotteen valmistajan on ilmoitettava toimivaltaisille viranomaisille kaikista aktiivisesti hyväksikäytetyistä haavoittuvuuksista sekä vakavista tuotetta koskevista tietoturvapoikkeamista. Tämä ajankohta on 21 kuukautta CRA:n voimaantulon jälkeen, ja se tarkoittaa, että yrityksillä on oltava jo vuonna 2026 käytössään menettelyt turvallisuuden seurantaan ja ongelmien ilmoittamiseen. Tämä ei riipu siitä, milloin tuote on saatettu markkinoille – velvoite koskee myös ennen vuotta 2026 myytyjä tuotteita, jotka ovat edelleen käytössä. Toisin sanoen vaikka laite olisi saatettu markkinoille esimerkiksi vuonna 2025 (ennen asetuksen soveltamista), ja siinä paljastuisi syyskuussa 2026 kriittinen haavoittuvuus, valmistajalla on velvollisuus ilmoittaa siitä ja korjata se.
• 11. kesäkuuta 2026 – tästä päivästä alkaen on tarkoitus soveltaa säännöksiä, jotka koskevat ilmoitettuja laitoksia ja vaatimustenmukaisuuden arviointielimiä. Jäsenvaltiot valmistelevat vuoden 2026 puoliväliin mennessä järjestelmän sellaisten laitosten nimeämiseksi ja ilmoittamiseksi, joilla on oikeus sertifioida tuotteita (tärkeitä ja kriittisiä) CRA:n vaatimusten täyttymisen osalta. Valmistajien kannalta on olennaista, että vuoden 2026 jälkipuoliskolla on jo käytettävissä vaadittujen testien ja sertifioinnin toteuttamiseen tarvittava infrastruktuuri.
• 11. joulukuuta 2027 – CRA-asetuksen täysimääräinen soveltaminen. Tästä päivästä alkaen yhtäkään digitaalisia elementtejä sisältävää tuotetta, joka ei täytä CRA:n vaatimuksia, ei saa laillisesti saattaa EU:n markkinoille. Tämä määräaika (3 vuotta voimaantulosta) on viimeinen hetki saattaa tuotteet ja prosessit vaatimusten mukaisiksi. 11.12.2027 jälkeen kaikkien EU:ssa myytävien uusien laitteiden ja ohjelmistojen on oltava suunniteltu, valmistettu ja ylläpidetty CRA:n mukaisesti – muuten yritys altistuu vakaville seuraamuksille. On syytä korostaa, että säännökset sisältävät tietyn helpotuksen tuotteille, jotka ovat jo markkinoilla: jos tietty tuote (yksittäinen kappale) on jo asetettu saataville markkinoilla ennen 11. joulukuuta 2027, sitä voidaan edelleen pitää markkinoilla ilman CRA:n noudattamista. Tämä koskee kuitenkin vain yksittäisiä kappaleita – ennen CRA:ta suunniteltu tuotteen tyyppi ei saa automaattisesti poikkeusta. Jokaisen uuden erän ja jokaisen uuden kappaleen, joka saatetaan myyntiin tämän päivämäärän jälkeen, on oltava CRA:n mukainen, ellei se ollut fyysisesti jo markkinoilla aiemmin (mikä käytännössä tarkoittaa esimerkiksi jakelijan varastoa, jos tämä on ostanut tavaran ennen määräaikaa). Säännöksiä ei siis voi kiertää valmistamalla tuotteita ”varastoon” ja myymällä niitä vuoden 2027 jälkeen – jokaiseen tuotteeseen sovelletaan markkinoille saattamisen hetkellä voimassa olevia vaatimuksia. Poikkeuksena ovat vielä voimassa olevat ennen tätä päivää muiden säännösten perusteella myönnetyt EU-tyyppitarkastustodistukset – ne pysyvät voimassa kesäkuuhun 2028 asti, ellei niille ole asetettu lyhyempää voimassaoloaikaa.

Yritysten kannalta käytännön johtopäätös on, että todellinen määräaika on vuoden 2027 loppu. Vuodesta 2028 alkaen EU:ssa ei voi myydä laitteita, jotka eivät täytä CRA:n vaatimuksia. Jo vuonna 2026 on kuitenkin oltava valmius uusiin poikkeamien raportointivelvoitteisiin. Jäljellä oleva aika kannattaa käyttää tuotteiden analysointiin ja mukauttamiseen. Vaikka 3 vuotta vaikuttaa näennäisesti pitkältä ajalta, muutokset voivat osoittautua merkittäviksi – työ on parempi aloittaa hyvissä ajoin. Alla esittelemme tarkistuslistan toimenpiteistä, joita johtajan kannattaa harkita valmistellessaan organisaatiotaan kyberkestävyyssäädöksen vaatimusten täyttämiseen.

Asetus (EU) 2024/2847: miten valmistautua vuosiin 2026/2027 – tarkistuslista johtajalle

• Tunnista CRA:n piiriin kuuluvat tuotteet – Laadi luettelo yrityksesi tuotteista, jotka ovat ”digitaalisia elementtejä sisältäviä tuotteita” (laitteita tai ohjelmistoja, jotka yhdistyvät verkkoon tai muihin laitteisiin). Määritä kunkin osalta, voidaanko se asetuksen merkityksessä katsoa tärkeäksi tai kriittiseksi (Annex III/IV) – esimerkiksi toteuttaako se olennaisia turvatoimintoja tai voiko sen vaarantuminen aiheuttaa laajaa haittaa. Tämä luokittelu vaikuttaa muun muassa siihen, mitä vaatimustenmukaisuuden arviointimenettelyä edellytetään (tarvitaanko esimerkiksi kolmannen osapuolen osallistumista).
• Perehdy vaatimuksiin ja standardeihin – Käy läpi CRA:n liitteessä I esitetyt olennaiset kyberturvallisuusvaatimukset ja suhteuta ne omiin tuotteisiisi. Tarkista, onko jo olemassa soveltuvia yhdenmukaistettuja standardeja tai toimialan standardeja, jotka voivat helpottaa vaatimusten täyttämistä (esimerkiksi IEC 62443 -sarjan standardit teollisuusautomaation järjestelmien suojaamisessa voivat olla hyödyllisiä koneiden suojausten suunnittelussa). Seuraa standardointityötä aktiivisesti – alallesi voi tulla ohjeita, jotka helpottavat CRA-vaatimusten käyttöönottoa.
• Tee puuteanalyysi (gap analysis) – Vertaa tuotteidesi ja prosessiesi nykytilaa uusiin vaatimuksiin. Arvioi, missä määrin nykyinen suojaustaso täyttää vaatimukset (esim. onko laitteissa tunnistautumis-, salaus- ja turvalliset päivitysmekanismit jne.). Tarkastele myös yrityksen ohjelmistokehitysprosessia – noudatetaanko turvallisen koodauksen periaatteita, tehdäänkö penetraatiotestejä ja kuinka nopeasti ilmoitettuihin haavoittuvuuksiin reagoidaan. Tunnista puutteet ja kehityskohteet sekä organisaation (menettelyt) että teknologian (turvatoiminnot) osalta.
• Mukauta tuotteiden suunnittelu ja kehitys – Jos puuteanalyysi osoittaa puutteita, suunnittele puuttuvien mekanismien ja käytäntöjen käyttöönotto. Tämä voi tarkoittaa muutoksia tuotteen arkkitehtuuriin (esim. salausmoduulin lisääminen, viestintärajapintojen suojaaminen), SDLC-prosessin (Software Development Life Cycle) täydentämistä threat modeling -menetelmillä, turvallisuusnäkökulmasta tehtävillä code review -tarkastuksilla, fuzzing-testeillä jne. sekä uusien tuoteturvallisuuspolitiikkojen määrittelyä. Varmista, että R&D-tiimi pitää kyberturvallisuutta suunnitteluvaatimuksena toiminnallisuuden rinnalla – asetus edellyttää ”security by design/default” -lähestymistapaa.
• Suunnittele päivitys- ja tukijärjestelmä – Arvioi, onko yrityksesi valmis tukemaan tuotteita riittävän pitkään. Saattaa olla tarpeen laatia aikataulu ja varata resurssit säännöllisten päivitysten julkaisemiseen firmware-ohjelmistolle useiden vuosien ajan myynnin jälkeen. Tarkista myös, onko tuotteissa tekninen mahdollisuus päivityksiin (etänä tai paikallisesti) – jos ei ole, kyse on vakavasta ongelmasta, koska CRA edellyttää mahdollisuutta poistaa haavoittuvuuksia myös myynnin jälkeen. Määritä realistinen tukijakso (vähintään 5 vuotta) ja viesti siitä käyttäjille. Valmistele lisäksi suunnitelma asiakkaiden turvallisuusilmoitusten teknistä käsittelyä varten.
• Valmistele vaadittu dokumentaatio – Varmista, että jokaisesta tuotteesta laaditaan kyberturvallisuuden näkökulmasta täydellinen tekninen dokumentaatio. Sen tulisi sisältää muun muassa riskinarviointiraportti, suojausarkkitehtuurin kuvaus, luettelo käytetyistä keinoista (esim. salaus, valtuutus), turvallisuustestien tulokset, päivitysmenettelyt, haavoittuvuuksien julkistamispolitiikka jne. Tämä dokumentaatio toimii perustana vaatimustenmukaisuuden osoittamiselle tarkastustilanteessa (ja tarvittaessa myös sertifiointielimelle toimitettavaksi). Järjestä myös sen arkistointi vaadituksi ajaksi (10 vuotta tai pidempään). Laadi lisäksi tuotteillesi valmiit EU-vaatimustenmukaisuusvakuutuksen mallit – muistaen, että niihin on sisällytettävä uusi muotoilu, joka vahvistaa kaikkien asetuksen vaatimusten täyttymisen. Lisätietoa vaatimustenmukaisuuden arvioinnista löytyy sivulta Koneiden CE-merkintä ja vaatimustenmukaisuuden arviointi.
• Huolehdi toimitusketjusta – Ota yhteyttä komponenttitoimittajiin (erityisesti ohjelmistojen, IoT-moduulien jne. osalta) ja käy heidän kanssaan läpi CRA-vaatimustenmukaisuuteen liittyvät kysymykset. Päivitä toimittajasopimukset lisäämällä niihin lausekkeet alikomponenttien vaaditusta kyberturvallisuustasosta ja velvollisuudesta ilmoittaa havaituista haavoittuvuuksista. Varmista, että sinulla on pääsy tietoihin komponenttien alkuperästä ja versioista (ylläpidä tuotteille SBOM – Software Bill of Materials, mikä helpottaa riippuvuuskirjastoihin liittyvien haavoittuvuuksien seurantaa). Jos käytät tuotteeseen liittyviä ulkoisia pilvipalveluja, tarkista niiden suojaus ja NIS2-yhteensopivuus (koska SaaS voi kuulua NIS2:n eikä CRA:n piiriin). Tuotteen kyberturvallisuus on myös kaikkien sen osien turvallisuutta – toimittajien on toimittava yhteisten tavoitteiden mukaisesti.
• Kouluta henkilöstö ja lisää asiakkaiden tietoisuutta – Uudet velvoitteet tarkoittavat, että yrityksen eri osastoilla on oltava perustiedot CRA:sta. Järjestä koulutusta suunnittelu-, laatu-, IT- ja huoltohenkilöstölle asetuksen vaatimuksista ja sisäisistä menettelyistä (esim. miten haavoittuvuusilmoitukseen reagoidaan ja miten muutokset dokumentoidaan vaatimustenmukaisuuden näkökulmasta). On myös hyvä tiedottaa hankinta- ja myyntiosastoa, jotta ne tuntevat uudet merkinnät ja vakuutukset (esim. tarpeen tarkistaa, onko EU:n ulkopuolinen toimittaja toimittanut vaatimustenmukaisuusvakuutuksen). Harkitse myös asiakkaille suunnatun tiedon laatimista tuotteidenne turvallisuuspolitiikasta – avoimuudesta voi tulla kilpailuetu (käyttäjät alkavat kiinnittää huomiota siihen, täyttääkö tuote kyberturvallisuusvaatimukset ja onko sille taattu päivitykset).
• Seuraa ohjeistuksia ja määräaikoja – Seuraa Euroopan komission ja kansallisten viranomaisten CRA:ta koskevia tiedotteita. Saatetaan antaa delegoituja säädöksiä tai täytäntöönpanosäädöksiä, jotka täsmentävät tiettyjä kysymyksiä (esim. toimialakohtaiset poikkeukset – komissio voi päättää jättää CRA:n ulkopuolelle tuotteita, joihin sovelletaan vastaavia toimialakohtaisia vaatimuksia). Seuraa myös yhdenmukaistettujen standardien julkaisemisprosessia – standardin soveltaminen on helpoin tapa saada vaatimustenmukaisuusoletus. Huolehdi siitä, että mainitut määräajat täyttyvät: syyskuu 2026 (valmius raportoida poikkeamista) ja joulukuu 2027 (kaikkien uusien tuotteiden täysi vaatimustenmukaisuus). Parasta on määrittää sisäiset välitavoitteet paljon aiemmin – esimerkiksi alustavan riskianalyysin valmistuminen vuoden 2025 puoliväliin mennessä, kehitysprosessin mukauttaminen vuoden 2025 loppuun mennessä sekä vaatimustenmukaisuustestit ja esisertifioinnit vuonna 2026, jotta vuoteen 2027 voidaan siirtyä lähes valmiilla vaatimusten täyttämisellä. Viime hetken yllätys voi johtaa myynnin keskeytymiseen, joten ennakoiva toimintatapa on ratkaisevan tärkeä. Käytännön valmistautumisesta lisää sivulla Cyber Resilience Act.

Kun tämä ”kotitehtävä” tehdään ajoissa, voidaan välttää vuoden 2027 hermostunut kiire ja siihen liittyvät riskit. CRA:ta ei kannata nähdä pelkkänä velvoitteena, vaan myös mahdollisuutena parantaa tuotteiden yleistä turvallisuustasoa – mikä suojaa sekä yritystä että asiakkaita kalliilta häiriötilanteilta.

CRA ja konelainsäädäntöasetus (EU) 2023/1230 – kumpaa sovelletaan mihinkin?

Moni teollisuusalan johtaja pohtii, miten uudet kyberkestävyyttä koskevat säännökset suhteutuvat jo tuttuun konelainsäädäntöasetukseen (EU) 2023/1230 (joka korvaa konedirektiivin). Onko vaatimuksissa päällekkäisyyttä vai täydentävätkö nämä säädökset toisiaan? Olennaista on ymmärtää, mitä tuotteen osa-alueita kukin säädös sääntelee.

Konelainsäädäntöasetus 2023/1230 kattaa koneiden turvallisuuden perinteisessä merkityksessä – sen painopiste on koneiden käyttäjien terveyden ja turvallisuuden suojaamisessa. Siinä määritellään niin sanotut olennaiset terveys- ja turvallisuusvaatimukset (EHSR), jotka koskevat muun muassa mekaanisia ja sähköisiä näkökohtia, ergonomiaa, melua, EMC:tä jne. Uusi konelainsäädäntöasetus toi mukanaan myös vaatimuksen ottaa huomioon internetyhteyksiin liittyvät vaarat ja kyberhyökkäykset mahdollisena turvallisuusriskinä. Tämä tarkoittaa, että koneen valmistajan on riskinarvioinnissa tarkasteltava tilanteita, joissa esimerkiksi etäpuuttuminen koneen ohjausjärjestelmään voisi aiheuttaa onnettomuuden. Siksi valmistajan on suunniteltava toimenpiteet tällaisten tilanteiden estämiseksi (esim. verkkosuojaukset, jotka estävät asiattoman tahon pääsyn koneen hallintaan). Konelainsäädäntöasetus sääntelee kyberturvallisuutta kuitenkin vain siltä osin kuin se vaikuttaa koneita käyttävien ihmisten fyysiseen turvallisuuteen. Se on yksi koneen vaatimustenmukaisuuden arvioinnin osa-alueista, mutta siinä ei mennä yksityiskohtaisiin IT-vaatimuksiin – siitä ei löydy luetteloa kryptografisista mekanismeista eikä velvoitetta päivittää koneen ohjelmistoa myynnin jälkeen. Asia voidaan ilmaista niin, että konelainsäädäntöasetuksen tehtävänä on varmistaa, ettei kone aiheuta vaaraa hengelle tai terveydelle (myöskään kyberhäiriön seurauksena), kun taas CRA huolehtii tuotteen yleisestä kyberturvallisuudesta (mukaan lukien tietojen luottamuksellisuus, palvelujen häiriönsietokyky ja koko elinkaari).

Kyberkestävyyssäädös kattaa huomattavasti laajemman joukon IT-kysymyksiä kuin konelainsäädäntöasetus. Myös teollisuuskoneiden osalta CRA asettaa esimerkiksi vaatimuksia haavoittuvuuksien raportoinnista, päivitysten tarjoamisesta X vuoden ajan ja tietojen menetykseltä suojautumisesta – eli asioista, jotka eivät liity suoraan koneen käyttäjän turvallisuuteen vaan kyberturvallisuuteen sellaisenaan. Käytännössä tämä tarkoittaa, että koneeseen, joka on digitaalisiin elementteihin perustuva tuote, sovelletaan samanaikaisesti molempien asetusten vaatimuksia. Tällaisen koneen valmistajan on täytettävä kummankin säädöksen vaatimukset – sekä ne, jotka koskevat esimerkiksi mekaanisesti turvallista rakennetta (konelainsäädäntöasetus), että ne, jotka koskevat ohjelmiston, verkkojen ja tietojen suojaamista (CRA). Toisen asetuksen vaatimusten täyttäminen ei automaattisesti tarkoita vaatimustenmukaisuutta myös toisen osalta, koska arviointikriteerit ovat erilaiset.

Vaatimustenmukaisuuden arvioinnin näkökulmasta tuotteen, johon sovelletaan useampaa kuin yhtä EU-asetusta, on täytettävä kaikki sovellettavat vaatimukset ennen CE-merkintää. Esimerkiksi valmistajan, joka saattaa markkinoille yhteistyörobotin etävalvontatoiminnolla, on varmistettava, että robotti täyttää koneiden olennaiset turvallisuusvaatimukset (asetus 2023/1230) sekä olennaiset kyberturvallisuusvaatimukset (asetus (EU) 2024/2847). Tällaisen koneen EU-vaatimustenmukaisuusvakuutuksessa on mainittava molemmat säädökset. Vastaavasti kunnossapidosta vastaavan johtajan, joka hankkii tällaisen laitteen, on tarkistettava sekä ”kone-CE” että ”kyber-CE”. Käytännössä CE-merkintä on yksi, mutta dokumentaation on osoitettava vaatimustenmukaisuus kaikkien kyseiseen tuotteeseen sovellettavien uuden lähestymistavan säädösten osalta.

On hyödyllistä osoittaa muutamalla esimerkillä, mikä kuuluu minkäkin asetuksen piiriin:

• Puhtaasti sähköiset IT-laitteet (ilman koneen toimintoja) – esimerkiksi reitittimet, älypuhelimet ja IP-kamerat – eivät kuulu konelainsäädännön soveltamisalaan (koska ne eivät ole koneita), mutta ne kuuluvat CRA:n piiriin, jos niissä on digitaalisia elementtejä ja ne viestivät verkon kautta. Näissä tapauksissa ratkaisevaa on ennen kaikkea kyberturvallisuus, eikä käyttäjän fyysiseen turvallisuuteen liittyvillä kysymyksillä ole merkitystä (yleisiä työturvallisuus-/EMC-säännöksiä lukuun ottamatta).
• Perinteiset koneet ilman digitaalista yhteyttä – esimerkiksi hydraulipuristin, jossa on täysin analoginen ohjaus – kuuluvat konelainsäädännön piiriin (rakennetta, suojuksia, turvapiirejä jne. koskevat vaatimukset on täytettävä), mutta ne eivät kuulu suoraan CRA:n soveltamisalaan, koska ne eivät sisällä ulospäin viestiviä digitaalisia elementtejä. Jos koneessa on ohjauselektroniikkaa, se voidaan toki sellaisenaan katsoa digitaaliseksi laitteeksi – mutta niin kauan kuin yhteyksiä ei ole (esim. ei verkkoliitäntöjä, ei etäkäyttöä), se ei täytä CRA:ssa tarkoitetun ”tuotteen, jossa on digitaalisia elementtejä” määritelmää.
• Nykyaikaiset koneet, joissa on digitaalisia toimintoja – esimerkiksi robotit, IoT:tä hyödyntävät tuotantolinjat ja hallintajärjestelmän kanssa viestivät AGV-ajoneuvot – kuuluvat molempien säädösten piiriin. Tällöin konelainsäädäntö edellyttää muun muassa perinteistä riskinarviointia (jotta kone ei aiheuta mekaanisia tai sähköisiä vaaroja) sekä sitä, ettei esimerkiksi robotin etäkäyttö voi johtaa vaaratilanteeseen (eli että turvallisuuteen vaikuttavat kyberuhat otetaan huomioon). CRA puolestaan asettaa lisäksi velvoitteen, että robotin ohjelmisto on yleisesti suojattu (esim. salattu tiedonsiirto, yksilölliset salasanat), että valmistaja toimittaa siihen päivityksiä ja että havaitut haavoittuvuudet paikataan ja ilmoitetaan viranomaisille. Tällaisen laitteen valmistajan on siis varmistettava kyberhyökkäysten kestävyys sekä ihmisten turvallisuuden että toiminnan jatkuvuuden, tietojen luottamuksellisuuden jne. näkökulmasta.

Yhteenvetona voidaan todeta, että konelainsäädäntö ja CRA eivät kilpaile keskenään, vaan täydentävät toisiaan. Ensimmäinen huolehtii koneiden toiminnallisesta turvallisuudesta (mukaan lukien vähimmäisvaatimukset kyberturvallisuudelle, jotta kone on turvallinen), toinen taas tuotteen laajemmasta kyberturvallisuudesta koko elinkaaren ajan. Johtajille tämä merkitsee tarvetta moniulotteiseen vaatimustenmukaisuuteen: älykkään tuotteen on oltava sekä rakenteellisesti turvallinen että kyberturvallinen. Siksi on seurattava molempien säädösten vaatimuksia. Onneksi niiden soveltamisen aikataulut ovat lähellä toisiaan – konelainsäädäntöäkin aletaan soveltaa käytännössä tammikuusta 2027 alkaen (direktiivin korvaten), ja CRA:ta vuoden 2027 lopusta. Siksi molempiin valmistautuminen voidaan yhdistää yhtenäiseksi compliance-ohjelmaksi. Esimerkiksi uutta konetta suunniteltaessa voidaan ottaa heti huomioon sekä koneturvallisuusvaatimukset että IT-suojaukset; prototyypin testauksessa voidaan tarkistaa paitsi normien, kuten ISO 13849, mukaisuus (safety), myös esimerkiksi ohjausjärjestelmän penetraatiotestit. Tällaisella lähestymistavalla yritys varmistaa kokonaisvaltaisen vaatimustenmukaisuuden ja välttää tilanteen, jossa yksi sääntely täytetään toisen kustannuksella.

Asetus (EU) 2024/2847 on epäilemättä haaste valmistajille ja toimittajille, mutta samalla välttämätön vastaus nykyisiin olosuhteisiin. Koneista ja laitteista tulee yhä älykkäämpiä ja verkottuneempia – sääntelyn on pysyttävä kehityksen mukana. Johtajat, jotka ryhtyvät valmistelutoimiin jo nyt, saavat etulyöntiaseman: heidän yrityksensä eivät ainoastaan siirry uusiin oikeudellisiin puitteisiin ilman suuria vaikeuksia, vaan myös lisäävät tuotteidensa kilpailukykyä ja uskottavuutta asiakkaiden silmissä, joille digitaalinen turvallisuus on yhä tärkeämpää hinnan ja toiminnallisuuden rinnalla. Kun tukena on kone- ja IT-turvallisuuden asiantuntijoita, CRA-vaatimusten käyttöönotto voidaan nähdä jatkuvan parantamisen osana eikä pelkkänä sääntelyvelvoitteena. Lopulta tästä hyötyvät sekä yritys, loppukäyttäjät että koko digitaalinen ekosysteemi. Turvallisemmat tuotteet tarkoittavat pienempää seisokkien, hyökkäysten ja tappioiden riskiä – ja juuri tähän tavoitteeseen pyrkivät sekä lainsäätäjä että vastuulliset markkinatoimijat.