Ky­ber­tur­val­li­suu­des­ta yleinen vaatimus digitaalisille tuotteille

19.09.2022 09:27

Euroopan komissio julkaisi 15.9.2022 ehdotuksen parlamentin ja neuvoston asetukseksi digitaalisia tuotteita ja oheispalveluja koskevista kyberturvallisuusvaatimuksista eli kyberkestävyyssäädöksestä (Cyber Resilience Act, CRA). Ehdotuksen tarkoituksena on suojella erityisesti kuluttajia tietoturvariskeiltä, joita yhä kasvava määrä erilaisia verkkoon kytkettäviä laitteita voi aiheuttaa.

Säädöksellä luotaisiin yhdenmukaiset kyberturvallisuusvaatimukset aineellisten ja aineettomien digitaalisten tuotteiden eli laitteistojen ja ohjelmistojen, sekä oheispalvelujen valmistajille ja myyjille. Vaatimukset kattaisivat suuren määrän digitaalisia tuotteita ja oheispalveluja niiden koko elinkaaren ajan. Säänneltäviä tuotteita olisivat esimerkiksi erilaiset verkkoon kytkettävät kuluttajatuotteet ja päätelaitteet kuten kamerat, älykortit ja mobiililaitteet sekä verkkolaitteet kuten reitittimet.

Tavoitteena vastata markkinoiden tarpeisiin ja suojella kuluttajia

Kyberkestävyyssäädöksen tavoitteena on parantaa digitaalisten tuotteiden ja oheispalvelujen kyberturvallisuutta sekä lisätä turvallisuusominaisuuksien läpinäkyvyyttä ja tarjota kuluttajille enemmän tietoa ostopäätösten ja valintojen tueksi. Lisäksi säädöksellä pyritään parantamaan sisämarkkinoiden toimintaa yhdenmukaistamalla digitaalisten tuotteiden ja oheispalvelujen myyjien toimintaedellytyksiä ja asettamalla turvallisuusvaatimuksia sisämarkkinoille pääsemiseksi.

- Digitaaliset tuotteet ja palvelut luovat paljon mahdollisuuksia, mutta samalla ne aiheuttavat tietoturvallisuusriskejä. Säädös tuo kiitettävällä tavalla kyberturvallisuuden samalle viivalle kuin muunkin vaatimuksenmukaisuuden. Koko elinkaaren mittaisilla vaatimuksilla voimme suojata kuluttajia entistä paremmin ja auttaa turvallisiin hankintoihin, sanoo liikenne- ja viestintäministeri Timo Harakka.

Säädös täydentäisi nykyistä kyberturvallisuutta koskevaa lainsäädäntökehystä, johon sisältyvät verkko- ja tietoturvadirektiivi (NIS2-direktiivi) ja kyberturvallisuusasetus. Komission ehdotus on osa joulukuussa 2020 annettua EU:n uutta kyberstrategiaa ja sen tavoitteita.

Mitä seuraavaksi?

Ehdotus etenee nyt Euroopan parlamentin ja neuvoston käsittelyyn. Kun ehdotus on hyväksytty, talouden toimijoilla ja EU-mailla on kaksi vuotta aikaa sopeutua uusiin vaatimuksiin. Poikkeuksena tähän on valmistajien velvollisuus raportoida hyväksikäytetyistä haavoittuvuuksista ja poikkeamista, jota sovellettaisiin jo vuoden kuluttua voimaantulosta.

Liikenne- ja viestintäministeriö järjestää kyberkestävyyssäädöksestä kuulemistilaisuuden sidosryhmille perjantaina 23.9.2022. Tilaisuudessa esitellään komission ehdotusta ja käydään läpi sidosryhmien näkemyksiä.

Lähde: liikenne- ja viestintäministeriön tiedote.

Kirjoittaja Juridiikan ja talouden uutiskirjeen toimitus

Aiheeseen liittyvää