Kyberkestävyyssäädös (Cyber Resilience Act) edustaa uraauurtavaa kehitystä kyberturvallisuuden alalla. Siinä asetetaan digitaalisten tuotteiden valmistajille selkeät velvoitteet, jotka koskevat erityisesti sisäänrakennetun turvallisuuden (Security by Design) toteuttamista. Turvallisuutta koskevia vähimmäisvaatimuksia sovelletaan tuleviin tuotteisiin, jotta haluttu CE-merkintä saavutetaan. Kyberkestävyyssäädöksessä käsitellään olennaisia näkökohtia, kuten pääsyn suojausta, luottamuksellisuutta, eheyttä ja saatavuutta koko kehitysprosessin ajan. Tässä artikkelissa tarkastellaan haasteita ja mahdollisuuksia, joita kyberkestävyyssäädös tuo mukanaan valmistajille, ja pohditaan kansainvälisen IEC 62443 -standardin mahdollista roolia keskeisenä tekijänä tässä yhteydessä.
Tutustu digitaalisten tuotteiden kyberturvallisuuden tulevaisuuteen kyberkestävyyssäädöksessä (CRA) – selkeät suuntaviivat, korkeammat standardit ja uraauurtava strategia turvallisempaa digitaalista aikakautta varten.
Kyberkestävyyssäädöksessä asetetaan selkeät suuntaviivat digitaalisten tuotteiden valmistajille, jotka ovat nyt velvollisia noudattamaan sisäänrakennettua turvallisuusstrategiaa. Saadakseen halutun CE-merkinnän kyberkestävyyssäädöksen piiriin kuuluvien tuotteiden on vastaisuudessa täytettävä turvallisuutta koskevat vähimmäisvaatimukset. Lakitekstissä korostetaan voimakkaasti sellaisia näkökohtia kuin pääsyn suojaaminen, luottamuksellisuus, eheys ja saatavuus, jotka on sisällytettävä koko kehitysprosessiin. Lisäksi kyberkestävyyssäädös sääntelee haavoittuvuuksien hallintaa ja ajanjaksoa, jonka kuluessa valmistajien on toimitettava tietoturvapäivitykset.
Kyberkestävyyssäädöksen tavoitteena on vahvistaa luottamusta Euroopan unionin digitaaliseen infrastruktuuriin ja parantaa eurooppalaisten yritysten kilpailukykyä maailmanlaajuisesti. Koska kyseessä on EU:n säädös, se ei edellytä kansallista täytäntöönpanoa, ja se tuli voimaan koko EU:ssa 10. joulukuuta 2024.
IEC 62443 on kansainvälisenä standardina avainasemassa, sillä se kattaa sekä vaaditun turvallisen kehitysprosessin että tuotteiden ja järjestelmien tekniset vaatimukset. Tämän yhdenmukaisen kattavuuden vuoksi IEC 62443 -standardi voisi toimia lupaavana perustana kyberkestävyyssäädöksen yhdenmukaistetulle standardille. Kaikille tuotteille tarvitaan standardoitu ohjelmistosisältöluettelo (Software Bill of Material, SBOM), jotta haavoittuvuuden hallintaa koskevat vaatimukset voidaan täyttää. Tämä kattava yleiskatsaus kaikista ohjelmistokomponenteista on olennaisen tärkeä. Lisäksi tunnetut haavoittuvuudet on tallennettava digitaalisessa muodossa, esimerkiksi CVSS-järjestelmän (Common Vulnerability Scoring System) avulla.
Kyberkestävyyssäädös (CRA) on EU:n laki, joka vaikuttaa kaikkiin tuotteisiin, joissa on digitaalisia elementtejä ja viestintäominaisuuksia. Kyberkestävyyssäädös kattaa sekä laitteistot että ohjelmistot, ja se perustuu uuteen lainsäädäntökehykseen (NLF). Laissa asetetaan sitovia vaatimuksia, joita on noudatettava, kun tuotteita saatetaan markkinoille. Näiden sääntöjen mukaisilla tuotteilla on CE-merkintä.
Toisaalta tämä tarkoittaa sitä, että vaatimustenvastaisia tuotteita ei saa enää saattaa markkinoille. Palveluntarjoajan on myös lopetettava olemassa olevien tuotteiden myynti, jos kyberturvallisuusvaatimukset eivät täyty.
Kyberkestävyyssäädös asettaa tuotteille selkeät turvallisuusvaatimukset, joihin kuuluvat pääsyn suojaus, luottamuksellisuuden suojaus, eheys, saatavuus ja turvallinen toimitustila. Turvallisen kehitysprosessin varmistamiseksi nämä on otettava huomioon ennen kaikkea suunnittelussa, kehityksessä ja tuotannossa.
Osana turvallista kehitysprosessia valmistajien on aktiivisesti tarkistettava tuotteensa haavoittuvuuksien varalta ja korjattava ne välittömästi. Tämä turvallisuuspäivitys toimitetaan maksutta, ja sen voimassaoloaika on viisi vuotta. Kyberkestävyyssäädös tuo myös uusia raportointivelvoitteita: valmistajien on ilmoitettava Euroopan unionin verkko- ja tietoturvavirastolle (ENISA) välittömästi, jos ne saavat tietoonsa tuotteisiinsa kohdistuvia aktiivisesti hyödynnettyjä haavoittuvuuksia tai hyökkäyksiä, jotka voivat vaarantaa turvallisuuden, esimerkiksi manipuloimalla ladattavien tiedostojen alueita.
Valmistajan on ennen markkinoille tuloa varmistettava, että hänen tuotteensa on säädettyjen standardien mukainen. Arviointi perustuu tuotteen luokitteluun sen kriittisyyden perusteella. Tämä edellyttää eurooppalaisten standardien noudattamista tai valtuutetun laitoksen suorittamaa testausta. Erityistä huomiota kiinnitetään teollisuuden kriittisiin infrastruktuureihin. Tässä yhteydessä on sovellettava yhdenmukaistettuja standardeja ja/tai tehtävä yhteistyötä hyväksytyn laitoksen kanssa.
Kyberkestävyyssäädöksen ansiosta käyttäjät voivat hyötyä tuotteista, jotka täyttävät korkeammat kyberturvallisuusstandardit ja joihin liittyy vähemmän hakkereiden, tietoturva-aukkojen tai muiden vaarojen aiheuttamia riskejä. Tällaiset tuotteet on varustettava CE-merkinnällä, joka osoittaa, että ne ovat uusien vaatimusten mukaisia.
Valmistajilla on myös velvollisuus ylläpitää tuotteita koko niiden elinkaaren ajan ja tarjota automaattisia turvallisuuspäivityksiä. Käyttäjät voivat siis luottaa CE-merkittyjen tuotteiden kyberturvallisuustakuisiin.
Valmistajien haasteena on varmistaa turvallinen kehitysprosessi ja toteuttaa kattavat turvatoimet ennen markkinoille saattamista. Tähän liittyy lisäkustannuksia, jotka voivat vaikuttaa resursseihin ja tuotantoaikoihin. Uusi lainsäädäntö lupaa loppukäyttäjille huomattavia etuja, sillä se nostaa tietoturvan tasoa ja minimoi merkittävästi kyberturvallisuuteen liittyviä riskejä. Valmistajilla on kuitenkin edessään useita haasteita, jotka aiheuttavat lisäkustannuksia. Näihin haasteisiin kannattaa kuitenkin tarttua, sillä rikkomukset voivat johtaa siihen, että viranomaiset vaativat tuoteparannuksia tai takaisinkutsuja ja määräävät sakkoja, jotka voivat olla jopa 15 miljoonaa euroa tai 2,5 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta.
Toivoa on kuitenkin olemassa, sillä kyberkestävyyssäädöksen määrittelemät perusvaatimukset sisältyvät IEC 62443-4-1 -standardin mukaiseen turvalliseen kehitysprosessiin ja IEC 62443-4-2 -standardin mukaisiin toiminnallisiin määräyksiin. Siten standardin IEC 62443 toimeenpano on suositeltavaa.
Lähtömerkki on annettu. Nyt on aika ryhtyä toimenpiteisiin ja valmistautua yhdessä. Kyberkestävyyssäädös julkaistiin virallisesti 10. joulukuuta 2024. Kaikissa tuotteissa on oltava vaatimustenmukainen haavoittuvuuksien hallintajärjestelmä 11. syyskuuta 2026 mennessä. Joulukuun 11. päivästä 2027 alkaen säädös on pantava täytäntöön täysimääräisesti, ja kaikkien asianomaisten tuotteiden on täytettävä vaatimukset saadakseen CE-merkinnän.
Nyt on aika toimia, jotta voidaan täyttää uudet turvallisuusstandardit ja varmistaa kilpailukyky.
Täydellinen 360°-turvallisuuskonseptimme
Phoenix Contact luottaa kattavaan 360°-turvatoimintatapaan, jossa turvalliset tuotteet ovat keskeinen osa. Turvallisia tuotteita kehitetään IEC 62443-4-1 -standardien mukaisesti, ja turvatoimintoja koskevat vaatimukset täytetään IEC 62443-4-2 -standardin mukaisesti. PSIRT-ryhmä (Product Security Incident Response Team) vastaa haavoittuvuuksien tehokkaasta käsittelystä.
Tämän strategian ansiosta Phoenix Contactilla on hyvät edellytykset täyttää uudet lakisääteiset vaatimukset. Tarjoamme asiakkaillemme myös turvallisia sovellusratkaisuja ja palveluja. TÜV SÜDin riippumaton sertifiointi vahvistaa, että IEC 62443 -standardin mukaisia kyberturvallisuusprosesseja on noudatettu.
