EU:n kyberturvallisuus ei ole enää yksittäinen ominaisuus vaan koko tuotteen käyttövarmuuden perusta. Tätä linjaa vahvistaa Cyber Resilience Act, jonka tavoitteena on nostaa kaikkien digitaalisten tuotteiden tietoturvan perustaso. Saksalaisen moduulivalmistaja congatecin analyysin mukaan suurin riski ei kuitenkaan ole itse sääntely, vaan se, miten yritykset tulkitsevat sitä väärin.

CRA tuli voimaan jo joulukuussa 2024 ja sitä aletaan soveltaa täysimääräisesti vuoden 2027 lopussa . Aikaa valmistautua on, mutta väärä lähtöoletus voi johtaa siihen, että koko tuoteportfolio joudutaan arvioimaan uudelleen liian myöhään.

Ensimmäinen ja yleisin virhe on ajatus siitä, että CRA koskee vain internetiin kytkettyjä laitteita. Congatecin mukaan tämä on täysin väärä tulkinta. Sääntely ei puhu internetistä, vaan kaikista tuotteista, joilla on jonkinlainen looginen tai fyysinen yhteys toiseen laitteeseen tai verkkoon. Tämä tarkoittaa käytännössä sitä, että myös teollisuuden järjestelmät, joita ei koskaan kytketä julkiseen verkkoon, kuuluvat lain piiriin, jos niissä on esimerkiksi huoltoliitäntä, Ethernet-portti tai yhteys paikalliseen verkkoon. Kysymys ei siis ole siitä, onko laite online, vaan siitä, voiko se olla yhteydessä johonkin.

Toinen virhe liittyy tuotteiden elinkaareen. Moni valmistaja ajattelee, että vanhaa tuotetta voi myydä niin kauan kuin sitä ei muuteta teknisesti. CRA ei kuitenkaan toimi näin. Keskeinen käsite on “markkinoille saattaminen”, joka tapahtuu jokaiselle yksittäiselle laitteelle vain kerran. Jos tietty laite on toimitettu ennen vuoden 2027 määräaikaa, se voi hyötyä siirtymäsäännöksistä. Mutta jos samaa tuotetta valmistetaan ja toimitetaan tämän jälkeen, se kuuluu täysin CRA:n vaatimusten piiriin, vaikka se olisi teknisesti identtinen aiemman version kanssa. Tämä murtaa perinteisen ajattelun tuoteperheistä, koska sääntely kohdistuu yksittäisiin yksiköihin, ei mallinimeen tai tuotesarjaan.

Advantech ilmoitti, että sen Arm-pohjainen RSB-3810-yksikorttitietokone on saanut IEC 62443-4-2 -kyberturvasertifioinnin. Kyseessä on standardi, joka määrittelee vaatimukset suoraan teollisten järjestelmien komponenteille, kuten laitteille ja niiden ohjelmistoille.

https://etn.fi/index.php/13-news/18849-uusi-tiukempi-kyberturva-tulee-nyt-korteille

EU:n uusi Cyber Resilience Act (CRA) pakottaa sulautettujen järjestelmien kehittäjät miettimään tuotteitaan uudella tavalla. Kyse ei ole enää pelkästä toiminnallisuudesta tai turvallisuudesta perinteisessä mielessä, vaan koko elinkaaren kattavasta kyberturvasta.

Uudet vaatimukset ulottuvat syvälle suunnitteluprosessiin. Järjestelmien pitää olla alusta lähtien rakennettu “security by design” -periaatteella, riskit on arvioitava systemaattisesti ja haavoittuvuuksia on kyettävä hallitsemaan koko tuotteen eliniän ajan – usein vuosikymmeniä.

Tämä tarkoittaa käytännössä lisää työtä lähes kaikille kehitysvaiheille. Pelkkä ohjelmiston julkaisu ei enää riitä, vaan valmistajan on kyettävä tarjoamaan pitkäaikainen päivitys- ja ylläpitomalli sekä dokumentoimaan tietoturvatapahtumat ja -korjaukset läpinäkyvästi.

Erityisen iso muutos koskee toimitusketjua. Kolmannen osapuolen komponenttien käyttö ei enää ole “black box”, vaan valmistajien on pystyttävä seuraamaan ja dokumentoimaan kaikki riippuvuudet. Software Bill of Materials (SBOM) nousee keskeiseksi työkaluksi, kun komponenttien alkuperä ja riskit pitää pystyä todentamaan.

Teknisellä tasolla tämä näkyy arkkitehtuurivalinnoissa. Eristysmekanismit, kuten hypervisor-pohjainen erottelu kriittisten ja ei-kriittisten toimintojen välillä, sekä secure boot ja kryptografiset päivitykset ovat nousemassa oletusvaatimuksiksi monissa sovelluksissa.

Esimerkiksi SYSGO tarjoaa ratkaisuja, joissa reaaliaikakäyttöjärjestelmä ja sulautettu Linux yhdistetään eristettyyn arkkitehtuuriin, mutta vastaavia lähestymistapoja nähdään nyt laajasti koko toimialalla.

Suurin vaikutus kohdistuu turvallisuuskriittisiin aloihin, kuten teollisuusautomaatioon, ajoneuvoihin, lääketieteeseen ja puolustukseen, joissa järjestelmien käyttöikä on pitkä ja vaatimukset muutenkin tiukkoja. CRA tuo näihin ympäristöihin lisää byrokratiaa, mutta samalla myös yhtenäisemmän viitekehyksen.

Here’s what tends to come up repeatedly with industrial manufacturers:

Legacy platforms not designed for security – documentation that’s patchy at best.
Cybersecurity compliance requirements and feature discussions that turn into internal debates between R&D, IT, product, and management.
Suppliers and partners say their bits are “covered,” but gaps multiply when you try to connect the dots.
There’s plenty of technically excellent cybersecurity advice out there; but credible proof of what works for industrial devices under real-world conditions is much harder to find.

A number of manufacturers have already started their CRA gap analyses, certified their operations for ISO 27001, and have a working knowledge of IEC 62443. The challenge is to understand what really works for their product in a business context, because this is where decisions become complicated:

Architectural questions sit at the integration and firmware level, especially when your product is part platform, part client customization, and you still carry the core responsibility.
Multiple generations of products create risk. New builds can fit with modern cybersecurity compliance requirements by design; years-old platforms force you to weigh what’s necessary and what’s practical to change.
Flagship products that are settled in the field and generating good business cannot be tied up for major rework. At the same time, you cannot afford to ignore potential vulnerabilities, lose track of who owns which fixes, or fall behind competitors that require official compliance with an IEC 62443 standard or EU CRA requirements.

• 10. joulukuuta 2024: EU:n Cyber Resilience Act astuu voimaan.
• 11. syyskuuta 2026: Valmistajien on aloitettava aktiivisesti hyödynnettyjen haavoittuvuuksien ja vakavien kyberturvallisuuspoikkeamien raportointi.
• 11. joulukuuta 2027: CRA:n täysimääräiset vaatimukset koskevat kaikkia EU:ssa myytäviä digitaalisia ominaisuuksia sisältäviä tuotteita.

EU:n CRA-vaatimuksiin valmistautuminen: missä teollisuusvalmistajat yleensä kohtaavat haasteita?
https://www.businessopas.fi/teollisuus/eun-cra-vaatimuksiin-valmistautuminen-missa-teollisuusvalmistajat-yleensa-kohtaavat-haasteita/?fbclid=IwdGRjcARGxw1leHRuA2FlbQEwAGFkaWQAAC_I7vu0v3NydGMGYXBwX2lkDDM1MDY4NTUzMTcyOAABHmySWDgqMyhj5mtsDkHcV8jBcmjvDmWsljcTRMV8SJFLn9wnKKtabggAI8Lf_aem_7rjZMcqk4PBZgPLmoxCQxw&utm_medium=paid&utm_source=fb&utm_id=52540049200487&utm_content=52540049234887&utm_term=52540049203487&utm_campaign=52540049200487

EU:n kyberturvallisuusasetus Cyber Resilience Act (CRA) tuo uusia velvoitteita EU:ssa myytäville digitaalisia ominaisuuksia sisältäville tuotteille.

Kun raportointivaatimukset alkavat vuonna 2026 ja täysi soveltaminen tulee voimaan vuonna 2027, monet teollisuuslaitteiden valmistajat arvioivat parhaillaan, mitä CRA-valmius tarkoittaa heidän tuotteilleen ja tuotekehitysprosesseilleen. Käytännössä suurimmat haasteet eivät kuitenkaan yleensä liity itse sääntelyyn.

Työskennellessäni teollisuusvalmistajien kanssa kyberturvallisuuden ja vaatimustenmukaisuuden parissa näen usein, että projektit alkavat hyvillä aikomuksilla, mutta kohtaavat nopeasti tuttuja ongelmia. Esimerkiksi Legacy-alustoja ei ole välttämättä suunniteltu nykyisiä tietoturvavaatimuksia varten, dokumentaatio voi olla puutteellista, vastuut epäselviä tiimien välillä tai toimittajakomponentit voivat jättää aukkoja integraatiossa.

Legacy-tuotteet ovat usein kaikkein haastavimpia. Uudet järjestelmät voidaan suunnitella alusta alkaen nykyisten kyberturvallisuusvaatimusten mukaisesti, mutta kentällä jo käytössä olevia pitkäikäisiä lippulaivatuotteita ei voida yksinkertaisesti pysäyttää laajoja arkkitehtuurimuutoksia varten – vaikka sääntelyvaatimukset kehittyvät.

Toinen yleinen haaste on organisaation sisäinen linjaus. Tuotekehitys, IT ja tuotejohto voivat tulkita kyberturvallisuusvaatimuksia eri tavoin. Ilman selkeää vastuunjakoa ja priorisointia keskustelu vaatimustenmukaisuudesta voi helposti jäädä teoreettiseksi.

Lopulta kyse ei ole niinkään tarkistuslistoista vaan jäljitettävyydestä: siitä, että vaatimusten, suunnitteluratkaisujen, toteutuksen ja testauksen välillä on selkeä yhteys. Standardit, kuten IEC 62443, tarjoavat hyödyllisiä suuntaviivoja teollisuusjärjestelmille, mutta varsinainen työ on niiden soveltamisessa olemassa oleviin tuotteisiin ja kehitysprosesseihin.

Kun CRA- ja IEC 62443 -vaatimuksia lähestytään käytännönläheisesti ne eivät ainoastaan varmista vaatimustenmukaisuutta, vaan voivat samalla vahvistaa tuotteiden kyberturvallisuutta ja parantaa tuotekehitysprosesseja.