Valtioneuvosto kannattaa komission ehdotusta kyberkestävyyssäädökseksi
Valtioneuvosto toimitti 10.11.2022 eduskunnalle U-kirjelmän komission ehdotuksesta kyberkestävyyssäädökseksi (Cyber Resilience Act, CRA). Valtioneuvosto kannattaa asetusehdotuksen tavoitetta saattaa markkinoille kyberympäristössä turvallisempia tuotteita.
Euroopan komissio julkaisi ehdotuksen parlamentin ja neuvoston asetukseksi horisontaalisista kyberturvallisuusvaatimuksista tuotteille, joissa on digitaalinen elementti, toisin sanoen kyberkestävyyssäädökseksi 15.9.2022. Ehdotuksen taustalla on kyberturvallisuuteen liittyvä kehitys, jossa laitteet ja ohjelmistot joutuvat enenevässä määrin kyberhyökkäysten kohteiksi, mikä aiheuttaa kuluttajille merkittäviä kustannuksia. Ehdotus on uusi, ja sillä säädettäisiin digitaalisen elementin sisältäviä tuotteita ja ohjelmistoja koskevista kyberturvallisuuden vähimmäisvaatimuksista sisämarkkinoilla.
Säädös täydentäisi nykyistä kyberturvallisuutta koskevaa lainsäädäntökehystä, johon sisältyvät verkko- ja tietoturvadirektiivi (NIS2-direktiivi) ja kyberturvallisuusasetus. Komission ehdotus on osa joulukuussa 2020 annettua EU:n uutta kyberstrategiaa ja sen tavoitteita.
Verkkoon kytkettyjen laitteiden turvallisuus merkittävä kehityskohde
Valtioneuvosto kannattaa asetusehdotuksen tavoitteita parantaa digitaalisten tuotteiden ja oheispalvelujen kyberturvallisuutta sekä lisätä turvallisuusominaisuuksien läpinäkyvyyttä ja tarjota kuluttajille enemmän tietoa ostopäätösten ja valintojen tueksi. Valtioneuvosto pitää verkkoon kytkettyjen laitteiden ja ohjelmistojen turvallisuuden parantamista merkittävänä kehityskohteena kyberturvallisuussektorilla.
Valtioneuvosto pitää myös kannatettavana, että vastuuta tuotteiden turvallisuudesta kyberympäristössä kohdistetaan nykyistä enemmän käyttäjältä valmistajalle. Verkkoon kytkettyjen laitteiden ja ohjelmistojen määrän kasvaessa ja niiden merkityksen korostuessa kasvaa myös tarve varmistua niiden turvallisuudesta ja mahdollisiin haavoittuvuuksiin reagoimisesta tuotteen elinkaaren aikana.
- Digitaaliset tuotteet ja palvelut luovat paljon mahdollisuuksia, mutta samalla ne aiheuttavat tietoturvallisuusriskejä. Säädös tuo kiitettävällä tavalla kyberturvallisuuden samalle viivalle kuin muunkin vaatimuksenmukaisuuden. Koko elinkaaren mittaisilla vaatimuksilla voimme suojata kuluttajia entistä paremmin ja auttaa turvallisiin hankintoihin, sanoo liikenne- ja viestintäministeri Timo Harakka.
Valtioneuvosto pitää tärkeänä, että digitaalisia tuotteita koskeva EU-sääntely muodostaa selkeän ja eheän kokonaisuuden siten, että toimijoille asetettavat vaatimukset ovat selkeitä ja oikeasuhtaisia. Tästä näkökulmasta kyberturvallisuusvaatimuksia koskevien EU-säädösten keskinäisten suhteiden on oltava yksiselitteisiä ja päällekkäistä sääntelyä tulee välttää. Valtioneuvosto pitää riskiperusteista lähestymistapaa vaatimuksien ja velvoitteiden asettamisessa lähtökohtaisesti kannatettavana.
Mitä seuraavaksi?
Hallitus antoi asiaa koskevan U-kirjelmän eduskunnalle 10.11.2022. Kirjelmä käsitellään suuressa valiokunnassa, jolle asianomaiset erikoisvaliokunnat antavat lausuntonsa.
EU-tasolla ehdotusta käsitellään Euroopan parlamentissa ja neuvostossa. Kun ehdotus on hyväksytty, talouden toimijoilla ja EU-mailla on kaksi vuotta aikaa sopeutua uusiin vaatimuksiin. Poikkeuksena tähän on valmistajien velvollisuus raportoida hyväksikäytetyistä haavoittuvuuksista ja poikkeamista, jota sovellettaisiin jo vuoden kuluttua voimaantulosta.
Lisätietoja:
erityisasiantuntija Outi Slant, p. 050 477 9298, [email protected]
erityisasiantuntija Veikko Vauhkonen, p. 050 340 0578, [email protected]
Valtioneuvoston yleisistunto 10.11.2022