Skip to main content
Ota yhteyttä

      Mikä on kyberkestävyyssäädös?

      Kyberkestävyyssäädös (Cyber Resilience Act, CRA) on Euroopan unionin asetus, jonka tavoitteena on parantaa digitaalisten tuotteiden ja ohjelmistojen kyberturvallisuutta. Sen päätarkoituksena on varmistaa, että digitaalisia elementtejä sisältävät laitteet ja ohjelmistot ovat turvallisia koko niiden elinkaarensa ajan – suunnittelusta ja kehityksestä aina markkinoille saattamisen jälkeiseen tukeen saakka.

      Kyberkestävyyssäädöksen käyttöönoton aikataulu

      CRA aikajana

      Ketä kyberkestävyyssäädös koskee?

      Kyberkestävyyssäädös koskee kaikkia digitaalisia elementtejä sisältäviä tuotteita, kuten laitteistoja, IoT-laitteita, älylaitteita ja ohjelmistoja – mukaan lukien käyttöjärjestelmät ja sovellukset – jotka on liitetty suoraan tai epäsuorasti muihin laitteisiin tai verkkoihin.

      Asetusta sovelletaan EU:n markkinoilla toimiviin digitaalisten tuotteiden valmistajiin, maahantuojiin ja jakelijoihin riippumatta tuotteiden alkuperästä.

      Sääntöjen rikkomisesta voi seurata merkittäviä seuraamuksia, kuten jopa 15 miljoonan euron sakko tai 2,5 prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta.

      Mikä säädöksellä tavoitellaan?

      • Yhdenmukaistetut kyberturvallisuusvaatimukset koko EU:ssa
      • Digitaalisten tuotteiden kyberturvallisuuden tason nosto sisämarkkinoilla
      • Kuluttajien luottamuksen vahvistaminen digitaalisiin tuotteisiin ja palveluihin

      Mitä vaatimuksia kyberkestävyyssäädös asettaa?

      Sisäänrakennettu ja oletusarvoinen turvallisuus

      Valmistajien on varmistettava, että kyberturvallisuus huomioidaan koko tuotteen elinkaaren ajan.

      Haavoittuvuuksien hallinta

      Yritysten on otettava käyttöön prosessit haavoittuvuuksien korjaamiseksi sekä jaettava niihin liittyvät tiedot käyttäjille ja viranomaisille.

      Jatkuva tuki

      Tietoturvapäivityksiä ja korjauksia on tarjottava ennalta määritellyn ajan tuotteen markkinoille tulon jälkeen.

      Pakollinen raportointi

      Valmistajien on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista ja vaaratilanteista EU:n kyberturvallisuusviranomaiselle (ENISA). 

      Miten voimme auttaa?

      • Kyberkestävyyssäädösarviointi

        Riippumattomat arvioinnit, joissa huomioidaan CRA:n asettamat kyberresilienssi- ja riskienhallintavaatimukset

      • Nykytilan arvionti ja käyttöönottokonsultointi

        Varmista tuotteiden ja palveluiden CRA-vaatimustenmukaisuus KPMG:n asiantuntijoiden tuella

      • Tekninen testaus

        Penetraatiotestaus, laitteisto- ja laiteohjelmistoanalyysi

      • Uhkamallinnus

        Järjestelmän ominaisuuksien ja prosessien rakenteellinen analyysi, mahdollisten uhkien tunnistaminen, lieventävien toimien suunnittelu ja mallin validointi

      • Oikeudellinen analyysi

        Vaatimusten soveltuvuuden ja yhdenmukaistamisen arviointi tuotteille ja palveluille

      Asiantuntijamme

      Karri Tomula

      Cyber Advisory

      KPMG in Finland

      Mika Iivari
      Mika Iivari

      Partner, Cyber Advisory

      KPMG in Finland

      Tietoturva

      KPMG auttaa organisaatioita vahvistamaan tietoturvaa, täyttämään NIS2‑vaatimukset ja hallitsemaan kyberriskejä.

      Read more
      blue swirl