Kyberkestävyysasetusta täydentävät säännökset voimaan: Tavoitteena parantaa älylaitteiden ja ohjelmistojen kyberturvallisuutta

Hallitus esitti Euroopan unionin kyberkestävyysasetusta (Cyber Resilience Act, CRA) täydentävän kansallisen sääntelyn vahvistamista 28.5.2026. Lait tulevat voimaan 1.6.2026 ja asetuksen siirtymäaikoja vastaavasti vuosien 2026–2027 aikana. Kyberkestävyysasetuksen tavoitteena on lisätä tuotteiden kyberturvallisuutta.

Asetusta täydentää uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista. Laissa säädetään tuotteita koskevien velvoitteiden valvonnasta, asetusta varten ilmoitettavien vaatimustenmukaisuuden arviointilaitosten ilmoittamisesta sekä hallinnollisista seuraamuksista. Tuotteita koskevat vaatimukset perustuvat edelleen soveltuvan EU-sääntelyn nojalla. Lisäksi lailla täydennetään kansallista sääntelyä EU:n kyberturvallisuussertifioinneista.

Kyberkestävyysasetuksen markkinavalvontaa sekä ilmoitettujen laitosten nimeämistä ja valvontaa koskevat viranomaistehtävät järjestetään keskitetysti Liikenne- ja viestintävirasto Traficomissa. Suuririskisten tekoälyjärjestelmien markkinavalvonnasta vastaavat kuitenkin samat viranomaiset, jotka valvovat tekoälyasetuksen vaatimuksia. Niitä ovat toimialan mukaan Turvallisuus- ja kemikaalivirasto, Traficom, Lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus, Energiavirasto, tietosuojavaltuutettu tai Finanssivalvonta. Kansallisena kyberturvallisuussertifioinnin viranomaisena toimii jatkossakin Traficom.

Tuotteiden vaatimuksenmukaisuutta arvioivat laitokset voivat lain voimaantulon myötä hakea Suomessa ilmoittamista kyberkestävyysasetuksen mukaisiin arviointitehtäviin 11.6.2026 alkaen. Ilmoittamista haetaan Traficomilta. Suomen ilmoittama laitos voi tehdä kyberkestävyysasetuksen vaatimuksenmukaisuuden arviointia kaikissa EU-jäsenvaltioissa pätevyysalueen mukaisesti.

Lisäksi sähköisen viestinnän palveluista annettuun lakiin lisätään uusi luku. Se koskee verkkotunnusten rekisteröintitietojen keräämistä ja luovuttamista EU:n kyberturvallisuusdirektiivin (NIS 2 -direktiivi) edellyttämällä tavalla. Verkkotunnusten rekisteröintitietojen keräämistä ja luovuttamista koskevat velvoitteet laajenevat myös muita kuin .fi ja .ax -verkkotunnuksia koskeviksi silloin, kun verkkotunnusvälittäjä tai aluetunnusrekisteri (TLD) sijaitsee Suomessa.

Sääntelyllä täydennetään direktiivin kansallista täytäntöönpanoa edistäen samalla verkkotunnusten rekisteröintitietojen saatavuutta, mikä parantaa mahdollisuuksia puuttua verkossa tapahtuvaan laittomaan toimintaan. Verkkotunnustietoja koskevia uusia velvoitteita sovelletaan kolmen kuukauden siirtymäajan kuluttua.

Kyberkestävyysasetus koskee internetiin tai toiseen laitteeseen yhdistettäviä laitteita ja ohjelmistoja

Kyberkestävyysasetus asettaa EU:n sisämarkkinoilla kyberturvallisuutta koskevat vähimmäisvaatimukset tuotteille ja ohjelmistoille, jotka ovat yhdistettävissä internetiin tai toiseen laitteeseen. Niitä ovat esimerkiksi valvontakamerat, jääkaapit, älykellot, televisiot, tietokoneet, puhelimet ja lelut. Asetus koskee myös ohjelmistoja, kuten sovelluksia ja pelejä.

Lisäksi asetus koskee muuhun kuin kuluttajakäyttöön tarkoitettuja tuotteita, kuten laitteisiin tai koneisiin sisältyviä käyttöjärjestelmiä ja ohjelmistoja, etäluettavia sensoreita ja etähallintajärjestelmiä. Asetus koskee tuotteita, jotka ovat saatavilla markkinoilla EU:ssa.

Asetus velvoittaa laitteiden ja ohjelmistojen valmistajia suunnittelemaan ja valmistamaan tuotteensa olennaisten kyberturvallisuusvaatimusten mukaisesti. Lisäksi valmistajien on jatkossa raportoitava tuotteiden tietoturvaan vaikuttavista vakavista poikkeamista ja aktiivisesti hyödynnetyistä haavoittuvuuksista. Asetus sisältää lisäksi vaatimuksia tuotteiden maahantuojille, jälleenmyyjille ja avoimen lähdekoodin ohjelmistovastaaville.

Kyberkestävyysasetuksen arvioidaan parantavan yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita ja ohjelmistoja.

Mitä seuraavaksi?

Tasavallan presidentin on tarkoitus vahvistaa lait 29.5.2026. Lait tulevat voimaan 1.6.2026 ja kyberkestävyysasetuksen soveltamisen alkamista vastaavien siirtymäaikojen mukaisesti. Asetuksen soveltaminen alkaa vaiheittain vuosien 2026–2027 aikana.

Lisätietoja:

hallitussihteeri Veikko Vauhkonen, p. 0295 342 168, [email protected]