EU:n kyberturvallisuusasetus Cyber Resilience Act (CRA) tuo uusia velvoitteita EU:ssa myytäville digitaalisia ominaisuuksia sisältäville tuotteille.
Kun raportointivaatimukset alkavat vuonna 2026 ja täysi soveltaminen tulee voimaan vuonna 2027, monet teollisuuslaitteiden valmistajat arvioivat parhaillaan, mitä CRA-valmius tarkoittaa heidän tuotteilleen ja tuotekehitysprosesseilleen. Käytännössä suurimmat haasteet eivät kuitenkaan yleensä liity itse sääntelyyn.
Työskennellessäni teollisuusvalmistajien kanssa kyberturvallisuuden ja vaatimustenmukaisuuden parissa näen usein, että projektit alkavat hyvillä aikomuksilla, mutta kohtaavat nopeasti tuttuja ongelmia. Esimerkiksi Legacy-alustoja ei ole välttämättä suunniteltu nykyisiä tietoturvavaatimuksia varten, dokumentaatio voi olla puutteellista, vastuut epäselviä tiimien välillä tai toimittajakomponentit voivat jättää aukkoja integraatiossa.
Legacy-tuotteet ovat usein kaikkein haastavimpia. Uudet järjestelmät voidaan suunnitella alusta alkaen nykyisten kyberturvallisuusvaatimusten mukaisesti, mutta kentällä jo käytössä olevia pitkäikäisiä lippulaivatuotteita ei voida yksinkertaisesti pysäyttää laajoja arkkitehtuurimuutoksia varten – vaikka sääntelyvaatimukset kehittyvät.
Toinen yleinen haaste on organisaation sisäinen linjaus. Tuotekehitys, IT ja tuotejohto voivat tulkita kyberturvallisuusvaatimuksia eri tavoin. Ilman selkeää vastuunjakoa ja priorisointia keskustelu vaatimustenmukaisuudesta voi helposti jäädä teoreettiseksi.
Lopulta kyse ei ole niinkään tarkistuslistoista vaan jäljitettävyydestä: siitä, että vaatimusten, suunnitteluratkaisujen, toteutuksen ja testauksen välillä on selkeä yhteys. Standardit, kuten IEC 62443, tarjoavat hyödyllisiä suuntaviivoja teollisuusjärjestelmille, mutta varsinainen työ on niiden soveltamisessa olemassa oleviin tuotteisiin ja kehitysprosesseihin.
Kun CRA- ja IEC 62443 -vaatimuksia lähestytään käytännönläheisesti ne eivät ainoastaan varmista vaatimustenmukaisuutta, vaan voivat samalla vahvistaa tuotteiden kyberturvallisuutta ja parantaa tuotekehitysprosesseja.
EU:n Cyber Resilience Act – keskeinen aikataulu
• 10. joulukuuta 2024: EU:n Cyber Resilience Act astuu voimaan.
• 11. syyskuuta 2026: Valmistajien on aloitettava aktiivisesti hyödynnettyjen haavoittuvuuksien ja vakavien kyberturvallisuuspoikkeamien raportointi.
• 11. joulukuuta 2027: CRA:n täysimääräiset vaatimukset koskevat kaikkia EU:ssa myytäviä digitaalisia ominaisuuksia sisältäviä tuotteita.
Lue koko artikkeli EU CRA- ja IEC 62443 -vaatimuksista!
Read more on our website
