Hallitus esittää kyberkestävyysasetusta täydentäviä kansallisia säännöksiä

Hallitus antoi eduskunnalle Euroopan unionin uuden kyberkestävyysasetuksen (Cyber Resilience Act, CRA) kansallista toimeenpanoa koskevan lakiesityksen 27.11.2025.

Esityksellä ehdotetaan säädettäväksi uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista. Lisäksi sähköisen viestinnän palveluista annettuun lakiin ja kyberturvallisuuslakiin ehdotetaan muutoksia.

Kyberkestävyysasetuksen markkinavalvontaa sekä ilmoitettujen laitosten nimeämistä ja valvontaa koskevat viranomaistehtävät ehdotetaan järjestettäväksi keskitetysti Liikenne- ja viestintävirasto Traficomiin. Suuririskisille tekoälyjärjestelmille markkinavalvonnasta vastaisivat kuitenkin samat viranomaiset, jotka valvovat tekoälyasetuksen vaatimuksia (Turvallisuus- ja kemikaalivirasto, Tulli, Liikenne- ja viestintävirasto, Lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus, Energiavirasto, tietosuojavaltuutettu tai Finanssivalvonta).

Tuotteiden vaatimuksenmukaisuutta arvioivat laitokset voisivat hakea Traficomista ilmoittamista kyberkestävyysasetuksen mukaisiin arviointitehtäviin. Lisäksi Traficom valvoisi kyberkestävyyssäädöksen vaatimuksenmukaisuutta.

Esityksessä ehdotetaan myös täydennettäväksi EU:n kyberturvallisuusasetusta säätämällä kansallisen kyberturvallisuussertifioinnin viranomaisen toimivaltuuksista nykyistä täsmällisemmin. Kansallisena kyberturvallisuussertifioinnin viranomaisena toimisi jatkossakin Traficom.

Lisäksi sähköisen viestinnän palveluista annettuun lakiin ehdotetaan uusia säännöksiä koskien verkkotunnusten rekisteröintitietojen keräämistä ja luovuttamista myös muiden kuin .fi- ja .ax-verkkotunnusten osalta, joita vastaavat säännökset nykyisin koskevat. Sääntelyllä täydennettäisiin kyberturvallisuusdirektiivin (NIS 2 -direktiivi) kansallista täytäntöönpanoa verkkotunnuksiin liittyvien tietojen keräämistä ja luovuttamista koskevien velvoitteiden soveltamisesta. Sääntely edistäisi samalla verkkotunnusten rekisteröintitietojen saatavuutta, mikä parantaisi mahdollisuuksia puuttua verkossa tapahtuvaan laittomaan toimintaan.

Kyberkestävyysasetus koskee internetiin tai toiseen laitteeseen yhdistettäviä laitteita ja ohjelmistoja

EU:n kyberkestävyysasetus on uusi tuoteasetus, joka asettaa kyberturvallisuutta koskevat vähimmäisvaatimukset tuotteille ja ohjelmistoille, jotka ovat yhdistettävissä internetiin tai toiseen laitteeseen. Niitä ovat esimerkiksi valvontakamerat, jääkaapit, älykellot, televisiot, tietokoneet, puhelimet ja lelut.

Asetus koskee myös ohjelmistoja, kuten sovelluksia ja pelejä. Lisäksi asetus koskee muuhun kuin kuluttajakäyttöön tarkoitettuja tuotteita, kuten laitteisiin tai koneisiin sisältyviä käyttöjärjestelmiä ja ohjelmistoja, etäluettavia sensoreita ja etähallintajärjestelmiä. Asetuksen velvoitteet soveltuvat tuotteisiin, jotka on asetettu saataville markkinoilla EU:ssa.

Asetuksen keskeiset velvoitteet koskevat laitteiden ja ohjelmistojen valmistajien velvollisuutta suunnitella ja varmistaa tuotteet olennaisten kyberturvallisuusvaatimusten mukaisesti. Lisäksi valmistajien on jatkossa raportoitava tuotteiden tietoturvaan vaikuttavista vakavista poikkeamista sekä aktiivisesti hyödynnetyistä haavoittuvuuksista. Asetus sisältää lisäksi vaatimuksia tuotteiden maahantuojille, jälleenmyyjille ja avoimen lähdekoodin ohjelmistovastaaville.

Kyberkestävyysasetuksen arvioidaan parantavan yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita ja ohjelmistoja.

Mitä seuraavaksi?

Lakiesityksen käsittely eduskunnassa alkaa lähetekeskustelulla, joka käydään täysistunnossa. Tämän jälkeen alkaa lakiesityksen valiokuntakäsittely. Valiokunnan mietinnön valmistuttua asian käsittely jatkuu täysistunnossa.

Kyberkestävyysasetuksen soveltaminen alkaa siirtymäajan jälkeen 11.12.2027. Aktiivisesti hyödynnettyjen haavoittuvuuksien ilmoittamista sovelletaan kuitenkin jo 11.9.2026 alkaen ja ilmoitettuja laitoksia koskevaa sääntelyä 11.6.2026 alkaen.

Lisätietoja:

hallitussihteeri Veikko Vauhkonen, p. 0295 342 168, [email protected] 

yksikön johtaja Timo Kievari, p. 0295 342 620, [email protected]