Uusia velvoitteita tuotteiden kyberturvallisuudelle
Kyberkestävyysasetusta (Cyber Resilience Act) sovelletaan kaikkiin digitaalisia elementtejä sisältäviin ohjelmisto- että laitteistotuotteisiin, jotka sisältävät datayhteyden johonkin laitteeseen tai verkkoon. Velvoitteita asetetaan niin tuotteiden valmistajille, maahantuojille kuin jälleenmyyjillekin.
Kyberkestävyysasetuksen soveltamisesta lähtien digitaalisia elementtejä sisältäviä tuotteita ei saa asettaa markkinoille, jos ne eivät täytä kyberkestävyysasetuksen velvoitteita. Tuotteiden tulee täyttää velvoitteet koko elinkaarensa ajan. Jos jo markkinoille asetettu tuote ei enää täytä asetuksen vaatimuksia, on valmistajan välittömästi toteutettava tarvittavat korjaavat toimenpiteet.
Kyberkestävyysasetuksen odotetaan tulevan voimaan vuoden 2024 aikana ja velvoitteita on pääsääntöisesti sovellettava 36 kuukauden kuluttua asetuksen voimaantulosta. Insta on laaja valikoima kyberturvallisuuspalveluita kyberkestävyysasetuksen velvoitteisiin vastaamiseksi.
Keskeiset velvoitteet
Tuotteen kyberturvallisuusvaatimukset
Digitaalisia elementtejä sisältävät tuotteet tulee suunnitella, kehittää ja tuottaa siten, että niiden kyberturvallisuuden taso on oikeassa suhteessa riskeihin. Tuotteiden kehityksessä tulee muun muassa ottaa huomioon hyökkäyspintojen minimointi sekä niihin tallennetun datan eheyden ja luottamuksellisuuden turvaaminen. Lisäksi tuotteet on asettava markkinoille ilman tiedostettuja hyödynnettävissä olevia haavoittuvuuksia ja oletusarvioisesti tietoturvallisin asetuksin.
Haavoittuvuuksien hallinnan prosessit
Valmistajien käyttöönottamien haavoittuvuuksien hallintaan liittyvien prosessien tulee täyttää asetuksessa vahvistetut olennaiset vaatimukset. Valmistajien tulee muun muassa tunnistaa ja dokumentoida tuotteeseen liittyvät haavoittuvuudet ja komponentit, puuttua haavoittuvuuksiin ja korjata ne viipymättä, testata ja arvioida tuotteen tietoturvallisuutta säännöllisesti sekä jaettava tietoa korjatuista haavoittuvuuksista ja ohjeistaa tuotteen käyttäjiä niiden korjaamiseksi.
Vaatimustenmukaisuuden osoitus ja dokumentaatio
Valmistajien tulee ennen tuotteen markkinoille asettamista laatia tarvittavat dokumentaatiot sisältäen asetuksen mukaiset tekniset asiakirjat sekä käyttäjille annettavat tiedot ja ohjeet. Lisäksi valmistajien tulee osoittaa tuotteen vaatimustenmukaisuus asianmukaisella vaatimuksenmukaisuuden arviointimenettelyllä, vaatimustenmukaisuusvakuutuksella sekä liittää tuotteeseen CE-merkintä.
Kolmiportainen raportointivelvoite
Valmistajien tulee raportoida aktiivisesti hyödynnetyistä haavoittuvuuksista sekä tuotteen tietoturvaan vaikuttavista vakavista poikkeamista kolmiportaisesti viranomaiselle. Ensimmäinen ilmoitus tapahtumasta tulee antaa 24 tunnin sisällä siitä, kun valmistaja on tullut tietoiseksi kyseistä haavoittuvuudesta tai poikkeamasta.
Miten Insta voi auttaa?
Yhdistämällä juridiikan, tietoturvan ja teknisen osaamisen Insta auttaa asiakkaitaan vastaamaan kyberturvallisuuden uusiin säädöksiin. Digitaalisia elementtejä sisältävän tuotteen saattaminen kyberkestävyysasetuksen mukaiseksi voi vaatia merkittävän työpanoksen ja valmistautuminen siihen on syytä aloittaa hyvissä ajoin. Tutustu alta tarkemmin kyberturvallisuuden palveluihimme ja ota meihin yhteyttä yhteydenottolomakkeen kautta.
Kyberkonsultointi ja asiantuntijapalvelutTurvallinen sovelluskehitys (SDL)Uhkamallinnus
