What products does the CRA cover?

The Cyber Resilience Act covers all products with digital elements placed on the EU market — hardware and software that can connect to a device or network, including IoT devices, operating systems, mobile apps, and firmware.

What is an SBOM and is it required by the CRA?

A Software Bill of Materials (SBOM) documents a products software dependencies. The CRA requires manufacturers to provide an SBOM documenting at minimum the top-level dependencies (Article 13.5, Annex I.2).

How long must manufacturers provide security updates under the CRA?

Manufacturers must handle vulnerabilities and provide free security updates throughout the products expected lifetime, with a minimum of 5 years (Article 13.6).

CRA

Kyberturvallisuuslaki

Ohjelmistojen CE-merkintä – koska IoT-leivänpaahtimia ei pitäisi voida hakkeroida

Kyberturvallisuuslaissa (CRA) otetaan käyttöön pakolliset kyberturvallisuusvaatimukset tuotteille, joissa on digitaalisia osia – älykotilaitteista yritysohjelmistoihin. Ensimmäistä kertaa EU vaatii, että digitaaliset tuotteet suunnitellaan turvallisiksi, niitä ylläpidetään koko elinkaaren ajan ja niihin liitetään ohjelmistojen komponenttiluettelo (SBOM). Voidaan ajatella sitä ohjelmistojen CE-merkintänä: jos tuote muodostaa yhteyden verkkoon, sen on oltava turvallinen.

Soveltamisala

Kaikki EU:n markkinoille saatetut tuotteet, joissa on digitaalisia elementtejä – laitteistot ja ohjelmistot, jotka voidaan liittää laitteeseen tai verkkoon joko suoraan tai epäsuorasti. Tähän kuuluvat esineiden internetin (IoT) laitteet, käyttöjärjestelmät, mobiilisovellukset, laiteohjelmistot sekä jopa komponentit, kuten kirjastot ja sovelluskehityspaketit (SDK).

Maantieteellinen kattavuus

EU:n laajuinen asetus, jolla on suora vaikutus. Sovelletaan kaikkiin EU:n markkinoille saatettuihin tuotteisiin riippumatta siitä, missä valmistaja on sijoittautunut.

Voimassa vuodesta

10. joulukuuta 2024 (ilmoitusvelvollisuus syyskuusta 2026 alkaen, täysimääräinen soveltaminen joulukuusta 2027 alkaen)

Tarkoitus

Jotta digitaalisia elementtejä sisältävät tuotteet saatettaisiin EU:n markkinoille mahdollisimman vähäisin haavoittuvuuksin ja jotta valmistajat ottaisivat tietoturvan vakavasti huomioon tuotteen koko elinkaaren ajan. Sillä verkkoon kytkettävän laitteen toimittaminen oletussalasanalla ”admin” ei saisi olla liiketoimintamalli.

Siirry rooliisi:

Valmistaja

Kehität tai olet kehittänyt tuotteen, jossa on digitaalisia elementtejä, ja markkinoit sitä omalla nimelläsi tai tavaramerkilläsi. Olitpa kirjoittanut jokaisen koodirivin itse tai ulkoistanut kehitystyön, jos nimesi näkyy tuotteessa, olet sen valmistaja. Tämä koskee sekä laitteistovalmistajia (IoT-laitteet, reitittimet) että ohjelmistojen julkaisijoita.

Velvollisuutesi

Tuotteet on suunniteltava niin, että niissä on turvallisuus oletusarvoisesti – julkaisuhetkellä ei saa olla tunnettuja haavoittuvuuksia, joita voidaan hyödyntää (13 artikla)
Suorita kyberturvallisuusriskinarviointi ja dokumentoi se teknisessä dokumentaatiossa (13.2 artikla)
Toimittakaa ohjelmistojen komponenttiluettelo (SBOM), jossa on dokumentoitu vähintään ylätason riippuvuudet (13.5 artikla, liite I.2)
Käsitellään haavoittuvuuksia tehokkaasti tuotteen koko odotetun käyttöiän ajan (vähintään 5 vuotta) (13.6 artikla)
Ilmoita aktiivisesti hyödynnetyistä haavoittuvuuksista ENISA:lle 24 tunnin kuluessa (14 artikla)
Varmista, että tuotteella on vaatimustenmukaisuuden arviointi ja CE-merkintä ennen sen saattamista markkinoille (24–28 artikla)
Tarjota tuotteen tukiaikana tietoturvapäivityksiä – maksutta (liite I, osa II)
On annettava käyttäjille tietoa tuotteen turvallisuusominaisuuksista ja ohjeet sen turvalliseen käyttöön (liite I, osa II)

Keskeiset artikkelit

13 § — Valmistajan velvollisuudet14 § — Haavoittuvuuksien ilmoittaminen24 § — Vaatimustenmukaisuuden arviointiLiite I – PerusvaatimuksetLiite III – Kriittiset tuotteet

Ammattilaisen vinkki

Aloita SBOM-käytännön käyttöönotto jo nyt. Jopa tavallisilla työkaluilla (CycloneDX, SPDX) tehty perustason riippuvuusluettelo on parempi vaihtoehto kuin hätäinen toimiminen vuonna 2027. Ja kun olet jo asialla, tarkista myös oletusasetuksesi – ”oletusarvoisesti turvallinen” tarkoittaa, että käyttäjän ei pitäisi tarvita tohtorin tutkintoa voidakseen toimia turvallisesti.

Maahantuoja

Tuot EU:n ulkopuolisten valmistajien tuotteita EU:n markkinoille. Sinä olet vastuussa vaatimustenmukaisuudesta – jos valmistaja ei ole täyttänyt CRA-vaatimuksia, tuotetta ei saisi tuoda rajan yli siten, että tuontiasiakirjoissa mainitaan sinun nimesi.

Velvollisuutesi

Tuotteita saa saattaa markkinoille vain, jos ne täyttävät kyberturvallisuuden olennaiset vaatimukset (15 artiklan 1 kohta)
Varmista, että valmistaja on suorittanut vaatimustenmukaisuuden arvioinnin (15 artiklan 2 kohta)
Varmista, että tuotteessa on CE-merkintä ja että sen mukana toimitetaan vaaditut asiakirjat (15 artiklan 3 kohta)
Varmista, että valmistajalla on käytössä haavoittuvuuksien käsittelymenettely (15.4 artikla)
Säilytä kopio EU:n vaatimustenmukaisuusvakuutuksesta 10 vuoden ajan (15 artiklan 7 kohta)
Ilmoitettava valmistajalle ja markkinavalvontaviranomaiselle kaikista vaatimustenmukaisuusongelmista (15 artiklan 5 kohta)

Keskeiset artikkelit

15 § — Tuojan velvollisuudet24 § — Vaatimustenmukaisuuden arviointi28 § — CE-merkintä

Ammattilaisen vinkki

Laadi toimittajien kelpoisuuskysely, joka kattaa CRA:n keskeiset vaatimukset: vaatimustenmukaisuuden arvioinnin tilan, SBOM-luettelon saatavuuden, haavoittuvuuksien käsittelyprosessin sekä suunnitellun tukijakson. On parempi hylätä vaatimustenvastainen tuote varhaisessa vaiheessa kuin joutua vetämään sitä myöhemmin pois markkinoilta.

Jakelija

Tarjoat markkinoilla tuotteita, joissa on digitaalisia elementtejä, ilman että olet niiden valmistaja tai maahantuoja. Olet osa toimitusketjua – jälleenmyyjä, verkkokauppapaikka tai vähittäiskauppakumppani. CRA edellyttää, että suoritat perustason huolellisuusvelvoitteen ennen tuotteen saattamista myyntiin (fyysisesti tai digitaalisesti).

Velvollisuutesi

Varmista, että tuotteessa on CE-merkintä ja että siihen liittyy vaadittu dokumentaatio (16 artiklan 1 kohta)
Älä tuo markkinoille tuotetta, jonka tiedät tai jonka sinun pitäisi tietää olevan vaatimustenvastainen (16 artiklan 2 kohta)
On varmistettava, että varastointi ja kuljetus eivät vaaranna tuotteen vaatimustenmukaisuutta (16 artiklan 3 kohta)
Ilmoitettava valmistajalle ja markkinavalvontaviranomaiselle kaikista vaatimustenmukaisuusongelmista (16 artiklan 4 kohta)
Toimitaan yhteistyössä markkinavalvontaviranomaisten kanssa, kun niitä pyydetään (16 artiklan 5 kohta)

Keskeiset artikkelit

16 § — Jakelijan velvollisuudet28 § — CE-merkintä

Ammattilaisen vinkki

Jos ylläpidät ohjelmistokauppaa, ota vaatimustenmukaisuuden tarkistukset osaksi tuotteiden lisäysprosessia. Yksinkertainen suodatin, kuten ”Onko tuotteella CRA-asiakirjat?”, säästää kaikkien aikaa.

Miten Euregas voi auttaa

Käytettävissä olevat työkalut

Tuoterekisteri — tuotteiden luettelointi digitaalisilla elementeillä, vaatimustenmukaisuuden seuranta
SBOM-hallinta – ohjelmistojen komponenttiluetteloiden lataaminen, jäsentäminen ja seuranta
Haavoittuvuuksien seuranta — tuotteittain raportoidun haavoittuvuuksien seuranta ja hallinta
Vaatimustenmukaisuuspisteytys — automatisoitu vaatimustenmukaisuusvalmiusarvio, joka perustuu CRA:n vaatimuksiin

Tekoälyllä tuetut ominaisuudet

Semanttinen haku CRA:n artikloista ja liitteistä
Tekoälyn avulla esitäytetyt käsittelyvaiheet CRA-säännösten noudattamiseen liittyvissä tapauksissa

Huomautus

CRA-moduuli on vielä kehitysvaiheessa. Tuoteluettelointiin ja SBOM-hallintaan on saatavilla keskeiset työkalut. Tekoälyn integrointi (esim. automatisoitu haavoittuvuusanalyysi, SBOM-riippuvuusriskien pisteytys) on suunniteltu tuleville versioille.

Kaikki esimerkit ovat kuvitteellisia ja tarkoitettu vain havainnollistamista varten.