Digitaalisia elementtejä sisältävien tuotteiden horisontaaliset kyberturvallisuusvaatimukset (kyberkestävyyssäädös)

TÄRKEIMMÄT KOHDAT

Kyberkestävyyssäädöksellä on useita keskeisiä tavoitteita.

• Parannetaan kyberturvallisuutta kaikkialla EU:ssa asettamalla pakolliset kyberturvallisuusvaatimukset digitaalisia elementtejä sisältäville tuotteille.
• Edistetään turvakäytäntöjä kannustamalla valmistajia sisällyttämään kyberturvallisuus tuotteiden suunnittelu- ja kehitysvaiheisiin.
• Varmistetaan avoimuus ja vastuuvelvollisuus vaatimalla valmistajia antamaan selkeitä tietoja tuotteidensa kyberturvallisuusominaisuuksista ja ottamaan vastuu haavoittuvuuksien korjaamisesta.
• Edistetään kyberturvallisuuden sisämarkkinoita yhdenmukaistamalla sääntöjä kaikissa EU:n jäsenvaltioissa pirstoutumisen välttämiseksi ja tasapuolisten toimintaedellytysten varmistamiseksi.

Soveltamisala

Tätä asetusta sovelletaan monenlaisiin tuotteisiin, jotka sisältävät EU:n markkinoille saatettuja digitaalisia elementtejä riippumatta siitä, mihin valmistaja on sijoittautunut, ja jotka voivat olla suoraan tai epäsuorasti liitettyjä muihin laitteisiin tai verkkoihin, kuten

• laitteistotuotteet (esim. esineiden internetin (IoT) laitteet, älykkäät kodinkoneet, teollisuuden ohjausjärjestelmät, mikrosirut)
• ohjelmistotuotteet (esim. videopelit, sovellukset, tietokoneohjelmat).

Tietyt tuotteet jätetään soveltamisalan ulkopuolelle, kuten:

• lääkinnälliset laitteet, jotka kuuluvat jo EU:n erillisten asetusten soveltamisalaan
• ilmailu- ja autoteollisuuden tuotteet, joita säännellään alakohtaisella lainsäädännöllä
• laivavarusteet.

Valmistajiin sovellettavat keskeiset vaatimukset

Sisäänrakennetusti turvallinen

Valmistajien on sisällytettävä kyberturvallisuus tuotesuunnitteluun ja -kehitykseen. Tähän sisältyvät muun muassa oletusarvoisesti tietoturvalliset asetukset, asianmukaiset salaustasot ja pääsynvalvontamekanismit.

Riskien arviointi ja lieventäminen

• Valmistajien on tehtävä riskinarviointi ja pidettävä se ajan tasalla sekä toteutettava toimenpiteitä tunnistettujen haavoittuvuuksien korjaamiseksi tuotteen elinkaaren aikana.
• Jos valmistajat ovat kolmannen osapuolen komponenttien tai palvelujen varassa, niiden on noudatettava asianmukaista huolellisuutta integroidessaan ne tuotteisiinsa.

Avoimuus ja dokumentointi

Valmistajien on toimitettava selkeä ja kattava dokumentaatio, mukaan lukien:

• kuvaus tuotteen kyberturvallisuusominaisuuksista
• ohjeet turvallisesta asennuksesta, konfiguroinnista ja käytöstä
• tiedot haavoittuvuuksien ilmoittamisesta
• vaatimustenmukaisuusvakuutus asetuksen noudattamisen varmistamiseksi.

Poikkeamista ilmoittaminen

Valmistajien on

• ilmoitettava vakavista kyberturvallisuuspoikkeamista ja aktiivisesti hyödynnetyistä haavoittuvuuksista asiaankuuluville kansallisille viranomaisille ja Euroopan unionin turvallisuusvirastolle (ENISA) ilman aiheetonta viivytystä
• ilmoitettava käyttäjille mahdollisista riskeistä ja annettava ohjeita niiden lieventämiseksi.

Ohjelmistopäivitykset ja -tuki

• Valmistajien on toimitettava tietoturvapäivityksiä tuotteen tukijakson aikana, jonka on vastattava sitä aikaa, jonka tuotteen oletetaan olevan käytössä.
• Päivityksillä on korjattava haavoittuvuuksia ja varmistettava tuotteen jatkuva turvallisuus.

Maahantuojien ja jakelijoiden velvollisuudet

Lisäksi asetuksella velvoitetaan maahantuojat ja jakelijat varmistamaan, että tuotteet ovat kyberturvallisuusvaatimusten mukaisia.

• Maahantuojien on varmistettava, että valmistajat ovat noudattaneet asetusta, ja varmistettava, että tuotteet on merkitty ja dokumentoitu oikein.
• Jakelijoiden on varmistettava, että tuotteissa on CE-merkintä ja että tiedot ja ohjeet on toimitettu käyttäjälle ennen niiden asettamista saataville markkinoilla.
• Tuotteiden CE-merkintä osoittaa, että ne täyttävät kyberkestävyyssäädöksen vaatimukset.
• EU:n ulkopuolisten valmistajien on noudatettava EU:n markkinoille pääsyä koskevaa asetusta, mikä saattaa vaikuttaa maailmanlaajuisiin kyberturvallisuusstandardeihin.

Täytäntöönpano

Vaatimusten noudattamisen varmistamiseksi asetuksella luodaan vankka täytäntöönpanokehys.

• Kansalliset markkinavalvontaviranomaiset valvovat vaatimusten noudattamista ja tekevät tarkastuksia.
• Noudattamatta jättäminen voi johtaa merkittäviin seuraamuksiin, joita voivat olla esimerkiksi
  • sakot, jotka ovat enintään 2,5 prosenttia valmistajan vuotuisesta kokonaisliikevaihdosta
  • tuotteen saatavuuden kieltäminen tai rajoittaminen
  • tuotteen määrääminen vedettäväksi pois markkinoilta tai palautettavaksi.
• Jäsenvaltion viranomaiset jakavat tietoja ja koordinoivat täytäntöönpanotoimenpiteitä.