EU:n kyberkestävyyssäädös (Cyber Resilience Act, CRA) astuu voimaan todennäköisesti jo ensi syksynä. Siirtymäaikaa on kolme vuotta, mutta valmistautuminen kannattaa aloittaa heti.
Mikä on CRA:n tarkoitus?
CRA standardoi laitteisto- ja ohjelmistotuotteiden kyberturvallisuussäännöt EU:n alueella, koska laitteisto- ja ohjelmistotuotteisiin kohdistuu onnistuneita kyberhyökkäyksiä yhä useammin ja kyberrikollisuuden yhteenlasketut kustannukset ovat nousseet globaalisti jo 5,5 miljardiin euroon.
Mitä laitteita CRA koskee?
CRA:ta sovelletaan uusiin, siirtymäajan jälkeen julkaistaviin tuotteisiin. Sen piiriin eivät kuulu Saas- ja avoimen lähdekoodin ohjelmistot, autot ja lääkinnälliset laitteet.
Mitä kriittisyystasot tarkoittavat?
CRA jakaa laitteisto- ja ohjelmistotuotteet kolmeen kriittisyystasoon.
1) Yleisille tuotteille, esimerkiksi älykodin laitteille, riittää valmistajan oma arviointi.
2) Kriittiset tuotteet, kuten virustorjuntaohjelmat, käyttöjärjestelmät, mikrokontrollerit ja prosessorit, tarvitsevat kolmannen osapuolen validoinnin.
3) Erittäin kriittiset tuotteet, esimerkiksi älykortit, älykkäiden mittareiden yhdyskäytävät ja tietoturvakotelolliset laitteistot, pitää sertifioida valtuutetulla auditoijalla.
Mitä vaatimuksia laitevalmistajille tulee?
1) Laitteisto- ja ohjelmistotuotteet pitää suunnitella, kehittää ja tuottaa riskiperusteisesti siten, että ne saavuttavat kriittisyystason edellyttämät kyberturvallisuusvaatimukset.
2) Ohjelmistoista pitää laatia materiaaliluettelot (SBOM), joissa määritellään ohjelmistotoimittajat sekä se, kuka on vastuussa mistäkin ohjelmistomoduulista ja ohjelmiston elinkaaren vaiheista.
3) On määriteltävä tuotteiden käyttötarkoitus sekä varmistettava laitteiden turvalliset ohjelmistopäivitykset. Lisäksi on tarjottava tietoturvapäivityksiä koko niiden elinkaaren ajan.
4) Tuotteen tunnetuista haavoittuvuuksista on ilmoitettava.
Mitä kannattaisi tehdä heti huomenna?
Tutki: Lue CRA:n artikla 24 ja sen liitteet 1, 3, 4 ja 6. Niistä saat lisätietoja kriittisyysluokista ja arviointivaatimuksista valmistajille.
Kartoita ja dokumentoi: ennakoi sertifiointeja ja auditointeja dokumentoimalla tuotteesi toiminnallisuudet. Sisäinen arviointi on hidas, mutta tärkein osa valmistautumista.
Arvioi tuotteen odotettu käyttöikä ja –tarkoitus, koska CRA edellyttää niiden kertomista. Käy läpi myös käyttäjille antamasi tiedot ja salliiko tuote automaattisesti asennettavat päivitykset. Jos ne voi kytkeä päälle, miten ja milloin ne pitäisi kytkeä pois.
SBOM: Käy läpi kolmannen osapuolen ohjelmistopaketit ja dokumentoi, kuka tukee niitä uusilla päivityksillä. Määrittele eri ohjelmistomoduulien vastuut eri tuotekehitysvaiheissa.
Käytä nykyaikaisia ohjelmistokehitysperiaatteita ja -työkaluja. Ylläpidä koodivarastoja, jotka auttavat pitämään tuotteen teknisen dokumentaation ajan tasalla.
Tietoturvapäivitykset: Tarkastele riskejä, joilta laitteesi on suojattava. Näin saat arvioitua, millaisia turvatoimia on tiedossa. Suunnittele, miten toimitat tietoturvapäivitykset. Samalla selviää, mitä tekniikkaa tarvitset laitteidesi suojaamiseen.
Testaa: Etsi mahdollisuuksia testata tuotetta CRA:n osalta. EU aikoo tarjota rahoitusta ja testausympäristöjä erityisesti pk-yrityksille.
Entä jos omat resurssit eivät riitä?
30 vuoden kokemuksella – Räätälöimme turvalliset ohjelmistoratkaisut aina tarpeidesi mukaan, olipa kyse CRA:sta tai muusta kehitystyöstä.
Olemme toteuttaneet esimerkiksi turvallisia laiteohjelmistojen päivitysratkaisuja, joilla saavutetaan erinomainen laitteiston ohjelmistoturvataso.
Miten voimme auttaa?
Kerro haasteesi Mikalle +358 44 055 7333 tai [email protected]. Voit myös lukea lisätietoja verkkosivuiltamme.