EU-markkinoille pääsy edellyttää pian muutakin kuin CE-merkintää. Tiedätkö mitä sinulta vaaditaan?
Mikä on CRA?
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) määrittää yhteiset kyberturvallisuuden vähimmäisvaatimukset ja standardit digitaalisia elementtejä sisältäville tuotteille, mukaan lukien laitteistot, ohjelmistot ja EU-markkinoilla saatavilla olevat datan etäkäsittelyratkaisut. Sen tavoitteena on parantaa tuotteiden digitaalista turvallisuutta ja vähentää tuotteiden haavoittuvuuksia, ja siten luoda luottamusta sekä lisäarvoa tuotteiden käyttäjille. CRA:ssa määriteltyjen vaatimusten täyttäminen parantaa kyberturvallisuuden tasoa monissa tuotteissa ja koko toimitusketjussa. Lisäksi säädöksessä edellytetään ajantasaisia tietoturvapäivityksiä tuotteille ja ohjelmistoille. Siinä säädetään myös valmistajia koskevasta huolellisuusvelvoitteesta ja poikkeamien raportointivelvoitteesta.
Kyberkestävyyden kolme keskeistä osa-aluetta ovat:
- riskien hallinta
- häiriöistä palautuminen ja reagointi
- liiketoiminnan jatkuvuus
CRA:sta tulee pakollinen osa CE-merkinnän vaatimuksia tuotteiden saattamiseksi Euroopan markkinoille.
Ketä CRA koskee?
Kyberkestävyyssäädös koskee monia yrityksiä, jotka toimittavat uusia tai päivitettyjä digitaalisia tuotteita Euroopan markkinoille, mm. valmistajia, ohjelmistokehittäjiä, jakelijoita ja maahantuojia. On tärkeää ymmärtää, että toisin kuin NIS2 tai DORA, jotka säätelevät kriittisten toimijoiden verkko- ja tietojärjestelmiä, CRA säätelee tuotteita.
Luotamme siihen, että yritys, joka varastoi arkaluonteisia tai erittäin haluttuja tuotteita, kuten pankki, on tarkasti säännelty. Tähän saakka samaa tietojen suojausta ei kuitenkaan ole osattu odottaa älykellolta tai vauvanvahtilaitteilta. Nyt käyttäjät haluavat olla varmoja, että IoT-tuotetta ei voi hakkeroida. CRA:n olennaisten vaatimusten noudattaminen luo lisäarvoa tuotteelle, sillä vaatimustenmukaisen laitteen käyttäjä voi olla varma sen turvallisuudesta ja tietoinen tuotteen käyttöön liittyvistä riskeistä.
Parantamalla digitaalisia elementtejä sisältävien tuotteiden turvallisuutta CRA vahvistaa kaikkien käyttäjien ja siten koko Euroopan ekosysteemin digitaalista resilienssiä.
Kyberkestävyyssäännös määrittää neljä kategoriaa säännellyille tuotteille:
- Oletuskategoria
- Luokan I tärkeät tuotteet
- Luokan II tärkeät tuotteet
- Kriittiset tuotteet
Luokittelu määrittää vaadittavan vaatimustenmukaisuuden arviointimenettelyn siihen kuuluvalle tuotteelle. Mitä kriittisempi tuote, sitä vaativampi vaatimustenmukaisuusarviointi. Riippumattoman kolmannen osapuolen arviointi ja hyväksyntä vaaditaan seuraaville tuotekategorioille:
Luokan II tärkeät tuotteet:
- Hypervisorit
- Palomuurit, tunkeutumisen havainnointi- ja estojärjestelmät
- Manipulointisuojatut mikroprosessorit
- Manipulointisuojatut mikrokontrollerit
Kriittiset tuotteet:
- Laitteet, joissa on turvapiirejä
- Älymittareiden yhdyskäytävä
- Älykortit tai vastaavat laitteet, mukaan lukien suojatut elementit
Nyt on aika valmistautua
Yrityksillä on vuoteen 2027 asti aikaa valmistautua pakolliseen tuotehyväksyntään.
10.12.2024
Kyberkestävyyssäädös astui voimaan.
11.9.2026
Poikkeamaraportointi tulee pakolliseksi, myös sertifioimattomalle tuotteelle.
11.12.2027
CRA on kokonaisuudessaan voimassa.
Miten SGS voi auttaa sinua täyttämään CRA:n vaatimukset
Mitä CRA tarkalleen tarkoittaa yrityksellesi? Miten tunnistat aukot tuotteesi tietoturvaratkaisuissa?
Tässä SGS astuu kuvaan: tarjoamme tietoa päätöksentekoon poikkeama-arvioinnin avulla ja arvioimme vaatimustenmukaisuuden riippumattomasti ja puolueettomasti tavalla, joka antaa lisäarvoa yrityksellesi ja luottamusta asiakkaillesi. CRA kattaa laajan valikoiman tuotteita. Kun kyse on luokan 2 tärkeistä tuotteista tai kriittisistä tuotteista, vaaditaan pakollinen kolmannen osapuolen sertifiointi.
Tarvitsetko lisätietoja? Olemme valmiina kartoittamaan suunnittelemiasi tietoturvaratkaisuja ja muodostamaan palveluratkaisun yhteisessä räätälöidyssä tapaamisessa, jotta voit varmistaa CRA-vaatimusten täyttymisen tuotteessasi.
Ota yhteyttä ja aloita omien tarpeidesi kartoitus kanssamme.
Lisälukemista
Euroopan parlamentin ja neuvoston 23. lokakuuta 2024 antama CRA-asetus (EU) 2024/2847 digitaalisia elementtejä sisältäville tuotteille sekä asetuksen (EU) 168/2013 ja (EU) 2019/1020 sekä direktiivin (EU) 2020/1828 (kyberresilienssilaki) muuttamisesta.
Uusi lainsäädäntökehys, joka selkeyttää CE-merkinnän käyttöä ja luodaan välineistö tuotelainsäädännössä käytettäviksi toimenpiteiksi.
Euroopan komission verkkosivusto tarjoaa taustatietoa EU:n kyberturvallisuusstrategiasta, lainsäädännöstä ja sertifioinnista sekä Cyber Resilience Actista.
EU:n virallinen lehti (The Blue Guide) tuotesääntöjen toimeenpanosta 2022.
Tietoa SGS:stä
SGS on maailman johtava testaus-, tarkastus- ja sertifiointialan yritys. Meillä on yli 2 500 laboratorion ja toimipisteen verkosto 115 maassa, ja tukenamme 99 500 omistautuneen ammattilaisen tiimi. Yhdistämme yli 145 vuoden kokemuksella palveluissamme täsmällisyyden ja tarkkuuden – ominaisuudet, jotka kuvaavat sveitsiläisiä yrityksiä hyvin. Niiden avulla autamme organisaatioita saavuttamaan korkeimmat laatu-, vaatimustenmukaisuus- ja kestävyysstandardit.
Brändilupauksemme– when you need to be sure – korostaa sitoutumistamme luottamukseen, rehellisyyteen ja luotettavuuteen, jotta yritykset voivat keskittyä menestymiseen. Tarjoamme ylpeänä asiantuntijapalveluitamme paitsi SGS:n myös rekisteröimiemme tuotemerkkien kautta, mukaan lukien Brightsight, Bluesign, Maine Pointe ja Nutrasource.
SGS on julkisen kaupankäynnin kohteena Sveitsin SIX-pörssissä kaupankäyntitunnuksella SGSN (ISIN CH1256740924, Reuters SGSN. S, Bloomberg SGSN:SW).
