norppa.io
Oppaat

CRA-opas · 11 min

EU:n kyberkestävyyssäädös (CRA): mitä se vaatii, milloin sitä sovelletaan ja mitä se tarkoittaa toimitusketjullesi

Kyberkestävyyssäädös (Cyber Resilience Act) on EU:n ensimmäinen horisontaalinen tuotteiden kyberturvallisuuslaki. Kun NIS2 säätelee sitä, miten organisaatiot hoitavat tietoturvansa, CRA säätelee EU:n markkinoille saatettujen laitteiden ja ohjelmistojen turvallisuutta (verkkoon kytketyistä laitteista erillisiin ohjelmistoihin. Se on jo voimassa, ensimmäiset ilmoitusvelvollisuudet alkavat syyskuussa 2026, ja joulukuusta 2027 alkaen tuotetta, joka ei täytä sen vaatimuksia, ei saa laillisesti myydä EU:ssa. Tämä opas selittää soveltamisalan, aikataulun ja velvollisuudet) ja niille tiimeille, jotka ostavat näitä tuotteita ja ovat niistä riippuvaisia, sen mitä toimittajilta kannattaa vaatia ja miten se osoitetaan.

Keskeiset huomiot

  • CRA säätelee digitaalisia elementtejä sisältäviä tuotteita (laitteet ja ohjelmistot), joita myydään EU:ssa; se kohdistuu ensisijaisesti valmistajiin, mutta myös maahantuojilla ja jakelijoilla on velvollisuuksia.
  • Vaiheittaiset päivämäärät: voimassa joulukuusta 2024, haavoittuvuus- ja poikkeamailmoitukset 11.9.2026 alkaen, kaikki keskeiset velvollisuudet 11.12.2027 alkaen.
  • Pelkkä SaaS jää yleensä CRA:n ulkopuolelle, mutta jos hankit tuotteita tai komponentteja, NIS2:n toimitusketjuvelvoite ja CRA osoittavat nyt samaan suuntaan: vaadi näyttöä sisäänrakennetusta turvallisuudesta ja haavoittuvuuksien hallinnasta.

Mikä CRA on

Kyberkestävyyssäädös (asetus (EU) 2024/2847) asettaa pakolliset kyberturvallisuusvaatimukset “digitaalisia elementtejä sisältäville tuotteille”: mille tahansa ohjelmisto- tai laitetuotteelle ja sen etädatankäsittelyratkaisuille, jotka voidaan kytkeä laitteeseen tai verkkoon ja jotka saatetaan EU:n markkinoille. Se on asetus, joten sitä sovelletaan suoraan kaikissa 27 jäsenvaltiossa ilman kansallista täytäntöönpanoa.

Suurin osa velvollisuuksista kohdistuu valmistajaan, jonka on suunniteltava, rakennettava ja ylläpidettävä tuote turvallisesti sekä osoitettava vaatimustenmukaisuus (CE-merkintä). Maahantuojilla ja jakelijoilla on omat velvollisuutensa: he saavat saattaa markkinoille vain vaatimustenmukaisia tuotteita ja heidän on toimittava, kun he saavat tietää, ettei tuote ole vaatimustenmukainen. Säädös määrittää myös kaksi korkeamman riskin luokkaa, “tärkeät” ja “kriittiset” tuotteet (esimerkiksi salasanojen hallintaohjelmat, verkonhallintajärjestelmät tai laitepohjaiset turvamoduulit), joita koskevat tiukemmat vaatimustenmukaisuusmenettelyt.

Soveltamisalassa

EU:n markkinoille saatetut laite- ja ohjelmistotuotteet, jotka voidaan kytkeä laitteeseen tai verkkoon: verkkoon kytketyt laitteet, käyttöjärjestelmät, sovellukset, kirjastot ja niihin olennaisesti liittyvät etädatankäsittelyratkaisut.

Soveltamisalan ulkopuolella (erityisesti SaaS)

Pelkkä software-as-a-service ei yleensä ole CRA:n tarkoittama “tuote”, vaan siihen sovelletaan NIS2:ta: ellei etädatankäsittelyratkaisu ole olennainen tuotteen toiminnalle ja saman tuotteen valmistajan rakentama. Myös sektorikohtaisen sääntelyn piiriin jo kuuluvat tuotteet (esim. lääkinnälliset laitteet, moottoriajoneuvot, tietyt ilmailutuotteet) on rajattu ulkopuolelle.

Aikataulu, jolla on merkitystä

CRA:ta sovelletaan vaiheittain. Kaksi päivämäärää ohjaa suurinta osaa suunnittelusta:

10.12.2024

Tuli voimaan. Vaatimustenmukaisuuden kello käynnistyi; varsinaisia velvollisuuksia ei vielä sovelleta.

11.9.2026

Ilmoitusvelvollisuudet alkavat. Valmistajien on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista (24 tunnin ennakkovaroitus, 72 tunnin ilmoitus ja loppuraportti 14 päivän kuluessa) kansalliselle CSIRT-toimijalleen ja ENISAlle yhden ilmoitusalustan kautta.

11.12.2027

Täysi soveltaminen. Kaikkia olennaisia vaatimuksia sovelletaan; vaatimustenvastaisia digitaalisia elementtejä sisältäviä tuotteita ei enää saa saattaa EU:n markkinoille.

Mitä valmistajien on tehtävä

Olennaiset vaatimukset ulottuvat koko tuotteen elinkaareen. Tiivistäen vaatimustenmukaisen valmistajan on:

  • Suunniteltava turvallisesti (sisäänrakennettu ja oletusarvoinen turvallisuus): toimitettava turvallisella kokoonpanolla, minimoitava hyökkäyspinta-ala sekä suojattava luottamuksellisuus ja eheys.
  • Hallittava haavoittuvuuksia koko tukijakson ajan: tunnistettava, dokumentoitava ja korjattava ne sekä tarjottava tietoturvapäivitykset maksutta tukijakson ajan, joka heijastaa tuotteen odotettua käyttöikää (komissio viittaa monien tuotteiden osalta vähintään viiteen vuoteen).
  • Tarjottava ohjelmiston materiaaliluettelo (SBOM): ylläpidettävä koneluettavaa luetteloa komponenteista, jotta riippuvuudessa ilmenevän uuden haavoittuvuuden vaikuttamat tuotteet löytyvät nopeasti.
  • Ylläpidettävä koordinoitua haavoittuvuuksien julkistamiskäytäntöä: julkaistava yhteyspiste ja prosessi haavoittuvuuksien ilmoittamiseen (rooli, jota security.txt käytännössä toteuttaa).
  • Ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista: 24 t / 72 t / 14 vrk -aikataululla, 11.9.2026 alkaen.
  • Osoitettava vaatimustenmukaisuus ja kiinnitettävä CE-merkintä: useimmille tuotteille itsearvioinnilla, “tärkeille” ja “kriittisille” luokille kolmannen osapuolen arvioinnilla, teknisellä dokumentaatiolla tuettuna.

Miten CRA suhtautuu NIS2:een

NIS2 ja CRA täydentävät toisiaan, eivät kilpaile. NIS2 koskee toimijoita (sitä, miten keskeinen tai tärkeä organisaatio hallinnoi ja hoitaa omaa tietoturvaansa, mukaan lukien toimittajiensa kyberriski (Art. 21(2)(d)). CRA koskee tuotteita) sitä, ovatko markkinoille saatetut tuotteet turvallisia suunnittelultaan ja asianmukaisesti ylläpidettyjä. Toinen säätelee toimijaa, toinen sitä, mitä toimija ostaa ja käyttää.

Juuri siinä ne kohtaavat. NIS2-toimijan toimitusketjuvelvoite sisältää yhä useammin kysymyksen “ovatko hankkimamme tuotteet ja komponentit CRA-valmiita?”: hallitseeko toimittaja haavoittuvuuksia, toimittaako se päivityksiä, julkaiseeko se julkistamiskanavan ja tarjoaako se SBOM:n? Joulukuusta 2027 alkaen CE-merkintä vastaa osaan tästä; siihen asti ja jatkuvasti sen jälkeenkin ostajat tarvitsevat oman varmistuksensa siitä, että toimittajan tietoturva kestää käytännössä.

CRA on tuoteturvallisuustyyppinen säädös, ja jotkin rajanvedot (erityisesti SaaS:n ja etädatankäsittelyn raja sekä “tärkeiden” ja “kriittisten” luokkien määrittely) voivat olla vivahteikkaita. Varmista, miten se soveltuu tiettyyn tuotteeseen, asiantuntija-avulla ja virallisesta tekstistä.

Mitä se tarkoittaa sinulle

Velvollisuutesi riippuvat roolistasi ketjussa. Nopea suunnistus:

Digitaalisia elementtejä sisältävien tuotteiden valmistaja

CRA soveltuu suoraan. Rakenna sisäänrakennetun turvallisuuden, haavoittuvuuksien hallinnan, SBOM:n, julkistamisen ja ilmoittamisen valmiudet nyt: ilmoitusvelvollisuus on voimassa syyskuusta 2026 ja täysi vaatimustenmukaisuus vaaditaan joulukuuhun 2027 mennessä.

Maahantuoja tai jakelija

Saat saattaa EU:n markkinoille vain vaatimustenmukaisia, CE-merkittyjä tuotteita, sinun on tarkistettava että valmistaja täytti velvollisuutensa, ja sinun on toimittava (ja ilmoitettava viranomaisille) kun saat tietää, että tuotteeseen liittyy merkittävä kyberturvallisuusriski.

Ostaja tai toimija (erityisesti NIS2:n piirissä)

CRA ei säätele sinua suoraan ostajana, mutta se muokkaa sitä, miltä “hyvä” näyttää hankinnoissa. Vaadi näyttöä haavoittuvuuksien hallinnasta, SBOM, julkistamiskäytäntö ja tukijakso, ja seuraa, toimittavatko toimittajat todella lupaamansa.

Pelkkä SaaS-palveluntarjoaja

Yleensä CRA:n ulkopuolella (kuulut sen sijaan NIS2:n piiriin): ellei palvelusi ole säädellyn tuotteen toiminnalle olennainen etädatankäsittelyratkaisu. Joka tapauksessa asiakkaidesi due diligence kysyy silti samat tietoturvakysymykset.

Lähteet: Asetus (EU) 2024/2847 (kyberkestävyyssäädös) sekä Euroopan komission kyberkestävyyssäädöstä koskevat sivut. Päivämäärät ja soveltamisala perustuvat julkaistuun asetukseen; varmista tuotteitasi koskevat yksityiskohdat asiantuntija-avulla.

Miten norppa.io auttaa

norppa.io ei tee tuotteesta CRA-vaatimustenmukaista (se on valmistajan tehtävä) mutta se antaa ostajille ja toimijoille sen ulkoisen näytön, jota hankinta ja NIS2-due diligence nyt edellyttävät. Ne signaalit, joiden varaan CRA on rakennettu, ovat juuri niitä, joita seuraamme jatkuvasti: elinkaarensa päässä oleva ohjelmisto ja korjaamattomat haavoittuvuudet (heikko haavoittuvuuksien hallinta), puuttuva koordinoidun julkistamisen kanava sekä altistuneet tai väärin konfiguroidut palvelut.

Itsearviointikyselyt tallentavat ne osat, joita mikään ulkoinen skannaus ei näe (SBOM:n saatavuus, ilmoitettu tuki- ja päivitysjakso, vaatimustenmukaisuuden tila) ja jokainen vastaus asetetaan reaaliaikaisen teknisen profiilin rinnalle. Tuloksena on ajantasaista, vahvistettua näyttöä toimittajan tietoturvatasosta, valmiina toimittajatiedostoosi, ei kertaluonteinen väite.

Näyttöä siitä, että toimittajasi todella kestävät

Katso esimerkkiraportti toimittajasta (löydökset, näyttö ja artiklakartoitus) noin kahdessa minuutissa.

Katso esimerkkiraportti
Katso esimerkki-dashboard

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.