01Mikä CRA on
Kyberkestävyyssäädös on ensimmäinen EU:n laajuinen laki, joka asettaa pakolliset kyberturvallisuusvaatimukset seuraaville: digitaalisia elementtejä sisältävät tuotteet; laitteistot ja ohjelmistot; koko niiden elinkaaren ajan. Se siirtää vastuun tietoturvasta organisaatioille, jotka saattavat nämä tuotteet markkinoille, sen sijaan että vastuu jäisi käyttäjille. Art. 1
Käytännössä tuotteen saa asettaa saataville EU:n markkinoilla vain, jos se täyttää liitteessä I esitetyt olennaiset vaatimukset ja valmistaja on täyttänyt siihen liittyvät velvoitteet. Vaatimustenmukaisuudesta kertoo CE-merkintä.
Jos tuotteessasi on digitaalisia elementtejä ja se päätyy EU:n markkinoille, se on suunniteltava, rakennettava ja ylläpidettävä määritetyn kyberturvallisuustason mukaisesti; ja sinun on pystyttävä osoittamaan se.
02Ketä se koskee
Asetus koskee digitaalisia elementtejä sisältäviä tuotteita, joiden tarkoitettu tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran datayhteyden. Velvoitteet jakautuvat koko toimitusketjun varrelle: Art. 13–28
- Valmistajat; kantavat ensisijaiset velvoitteet: suunnittelu, dokumentointi, vaatimustenmukaisuuden arviointi ja haavoittuvuuksien käsittely.
- Maahantuojat; saavat saattaa markkinoille vain vaatimustenmukaisia tuotteita ja niiden on varmistettava, että valmistajan velvoitteet on täytetty.
- Jakelijat; on toimittava asianmukaisella huolellisuudella ja tarkistettava, että CE-merkintä ja asiakirjat ovat olemassa.
Tuotteet, jotka jo kuuluvat alakohtaisten sääntöjen piiriin, kuten lääkinnälliset laitteet, moottoriajoneuvot ja siviili-ilmailu, jäävät soveltamisalan ulkopuolelle, samoin kuin ei-kaupalliset avoimen lähdekoodin komponentit.
03Tuoteluokat
Vaadittu vaatimustenmukaisuusreitti riippuu siitä, kuinka kriittinen tuote on. Useimmat tuotteet tekevät itsearvioinnin; liitteissä lueteltuihin korkeamman riskin luokkiin sovelletaan tiukempia menettelyjä. Art. 6–7 · Annex III–IV
| Luokka | Esimerkkejä | Vaatimustenmukaisuusreitti |
|---|---|---|
| Oletus | Suurin osa digitaalisia elementtejä sisältävistä tuotteista | Itsearviointi |
| Tärkeä; I | Salasananhallintaohjelmat, verkonhallinta, VPN-yhteydet | Standardit tai kolmas osapuoli |
| Tärkeä; II | Käyttöjärjestelmät, palomuurit, mikroprosessorit | Kolmannen osapuolen arviointi |
| Kriittinen | Älymittarit, älykortit, suojatut elementit | Pakollinen sertifiointi |
04Keskeiset velvoitteet
Liitteen I olennaiset vaatimukset jakautuvat kahteen ryhmään; ominaisuuksiin, jotka tuotteella on oltava, ja prosesseihin, joita valmistajan on ylläpidettävä. liite I
- Sisäänrakennettu ja oletusarvoinen turvallisuus; toimitetaan turvallisella kokoonpanolla ja minimoidulla hyökkäyspinnalla.
- Ei tunnettuja hyväksikäytettävissä olevia haavoittuvuuksia; toimitetaan vailla tunnettuja hyväksikäytettävissä olevia puutteita.
- Haavoittuvuuksien käsittely; prosessi haavoittuvuuksien yksilöimiseksi, dokumentoimiseksi, korjaamiseksi ja julkistamiseksi.
- Tietoturvapäivitykset; maksuttomat, oikea-aikaiset päivitykset koko määritetyn tukikauden ajan.
- Ohjelmistoluettelo (SBOM); ylläpitävät tuotteen komponentit kattavaa SBOM-luetteloa.
- Raportointi; ilmoittavat aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja vakavista poikkeamista ENISAlle ja asianomaiselle CSIRT-yksikölle antaen ennakkovaroituksen 24 tunnin kuluessa.
05Aikataulu ja seuraamukset
Säädös on jo voimassa; sen velvoitteet tulevat voimaan vaiheittain seuraavien vuosien aikana. Art. 71
- Lokakuu 2024Hyväksytty ja vahvistettu laiksi.
- Joulukuu 2024Tuli voimaan.
- Syyskuu 2026Raportointivelvoitteita sovelletaan (21 kuukautta voimaantulon jälkeen).
- Joulukuu 2027Täysimääräinen soveltaminen; useimpia säännöksiä sovelletaan (36 kuukautta).
Olennaisten vaatimusten noudattamatta jättämisestä voidaan määrätä sakkoja, joiden enimmäismäärä on 15 miljoonaa euroa tai 2,5 % maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi.
06Mitä tehdä seuraavaksi
Aloita varmistamalla, koskeeko säädös tuotettasi, ja noudata sitten roolillesi kirjoitettua ohjeistusta.