Tuotteille ja ohjelmistoille CE-kybermerkki?
Euroopan komissio antoi 15.9.2022 ehdotuksen kyberkestävyyssäädökseksi. Cyber Resilience Actin (CRA) tavoitteena on saada markkinoille entistä turvallisempia tuotteita ja tehdä turvallisuudesta yhä läpinäkyvämpää. Samalla kasvatetaan EU:n kyberpuolustuskykyä.
Tarkoituksena on varmistaa, että laitteissa ja ohjelmistoissa on aiempaa vähemmän haavoittuvuuksia ja että valmistajat ottavat turvallisuusnäkökohdat vakavasti tuotteen koko elinkaaren ajan. Myös tällä tavalla halutaan suojella kuluttajia, muita käyttäjiä ja markkinaa kyberturvallisuusloukkauksilta.
Sääntelyn soveltamisala kattaisi tuotteet, joissa on digitaalinen elementti ja jotka ovat liitettävissä toiseen laitteeseen tai verkkoon joko suoraan tai epäsuorasti. Sääntely kattaisi myös ohjelmistot. Soveltamisalan ulkopuolelle jäisivät erikseen säädetyt kohteet, kuten siviili-ilmailu ja yksinomaan kansallisen turvallisuuden tai maanpuolustuksen käyttöön tehdyt laitteet ja ohjelmistot.
Markkinoille saisi jatkossa tuoda vain tuotteita ja ohjelmistoja, jotka täyttävät asetuksen vaatimukset. Vaatimusten täyttymisestä voisi poiketa joissain tapauksissa, muun muassa näyttely- ja demonstraatiotarkoituksissa tai keskeneräisen ohjelmiston rajoitetussa testauksessa, kunhan käy selvästi ilmi, että asetuksen vaatimukset eivät täyty. Vaatimuksenmukaisuus ilmaistaisiin CE-merkinnällä.
Ehdotus sisältää velvoitteet valmistajalle, maahantuojalle ja jakelijalle. Lisäksi siinä on säännökset vaatimustenmukaisuuden arvioinnista, arviointilaitoksista, markkinavalvonnasta ja täytäntöönpanosta sekä seuraamusmaksuista.
CRA:n tavoite on hyvä – valmistelussa oltava hereillä
Verkkoturvallisuuden parantaminen on kannatettava tavoite. Ehdotus lisää turvallisuutta alueilla, joihin tietoturvasääntely ei ole vielä kohdistunut.
CRA on tärkeä osa säädösketjua, jossa kriittisen infrastruktuurin direktiivi (CER Critical Entities Resilience Directive) turvaa huoltovarmuuskriittisten toimijoiden sekä palveluiden ja verkko- ja tietoturvadirektiivi (NIS 2) taas verkko- ja pilvipalvelutoimijoiden resilienssiä. On keskeistä, että sääntely on selkeää, eikä se saa olla muun sääntelyn kanssa päällekkäistä.
Erityistä huomiota on kiinnitettävä siihen, että CRA ei aiheuta ylimääräistä hallinnollista taakkaa sen kohteena oleville toimijoille. Esimerkiksi tietoturvaloukkauksiin liittyvän ilmoitusvelvollisuuden tulee määrittää selkeästi, että samasta tapahtumasta täytyy raportoida vain yhdelle viranomaiselle ilman rinnakkaisia velvollisuuksia ilmoittaa asiasta muille.
Vaatimuksenmukaisuusarviointia koskevien kriteerien ja arviointiprosessin on oltava läpinäkyviä ja ennustettavia ja perustua kansainvälisiin standardeihin, jotta asetusta sovelletaan yhdenmukaisesti koko EU-alueella. Vaatimustenmukaisuusarviointi ei saa hidastaa uuden teknologian käyttöönottoa ja heikentää EU-alueen kilpailukykyä. Esimerkiksi kansallisesti tärkeiden 5G- ja 6G-verkkojen rakentaminen ei saa viivästyä siksi, että verkkolaitteet eivät saa CRA:ssa edellytettyjä hyväksyntöjä, prosessi kestää liian pitkään tai arviointilaitoksissa on ruuhkaa.
Onkin tärkeää, että CRA:n vaatimukset ja arviointimenettely ovat riskiperusteisia. Ulkopuolista arviointia tulee edellyttää vain kaikkein kriittisimmiltä verkkolaitteilta, muiden tuotteiden osalta riittäisi lähtökohtaisesti valmistajan itsearviointi. Riskiperusteinen lähestymistapa velvoitteisiin on tärkeää, jotta ne ovat oikeassa suhteessa riskiin nähden. Liian raskaita velvoitteita ei saa asettaa silloin, kun niille ei ole perusteltua tarvetta.
Säädöksessä komissiolle ehdotetaan annettavaksi delegoitua lainsäädäntövaltaa. Tämän toimivallan on oltava selkeää, tarkkarajaista, oikeasuhtaista, tarkoituksenmukaista ja hyvin perusteltuja, jotta sääntelystä ja velvoitteiden laajuudesta ei muodostu ennustamatonta.
Mitä seuraavaksi?
Kansallisesti ollaan parhaillaan laatimassa U-kirjelmää, jossa alustavasti luodaan Suomen kanta jatkoneuvotteluihin. Neuvottelujen odotetaan käynnistyvän toden teolla Ruotsin puheenjohtajuuskaudella keväällä 2023.
Neuvottelujen tueksi liikenne- ja viestintäministeriö on koonnut laajan viranomais- ja sidosryhmäverkoston, joihin on pyritty kokoamaan keskeiset toimijat. On Suomen vahvuus, että pystymme yhdessä ja avoimesti samassa pöydässä keskustelemaan yhteisistä tavoitteista ja keinoista niiden saavuttamiseksi.