top of page

Tietoturvavaatimukset kasvavat





Teknologian kehitys ja digitalisaatio vaikuttavat laaja-alaisesti työtehtäviimme, vapaa-aikaan ja koko yhteiskuntaamme. Euroopan unioni on viime vuosina pyrkinyt vahvistamaan digitaalisen maailman kyberturvallisuutta. Vuona 2024 ja 2025 voimaan tuleva uusi Euroopan Unionin lainsäädäntö velvoittaa tiukemmat kyberturvallisuusvaatimukset kaikkeen elektroniikkaan kuluttajien IoT-laitteista kriittiseen infrastruktuuriin.


Hiljattain päivitettyä yhteiskunnan kriittisiä toimintoja suojaamaan säädettyä kyberturvallisuusdirektiiviä (NIS2-direktiivi) ja tietoturvallisuutta tuotteille vaativaa kyberkestävyyssäädöstä (CRA, Cyber Resilience Act) tulevat vaikuttamaan teknologiatuotteiden kehittämiseen. Käyttöön tuleva kyberturvallisuussääntely tulee edellyttämään ohjelmistotoimialalta haavoittuvuusseurantaa, poikkeamien raportointia ja turvallisuusaukkojen korjaamista ohjelmiston koko elinkaaren ajan. Vaatimukset koskevat sekä tietokoneisiin asennettavia sovellusohjelmia että älylaitteissa sisällä olevia sulautettuja ohjelmistoja.


NIS2 velvoittaa organisaatioita sisällyttämään kyberturvallisuusriskit osaksi organisaation riskienhallintaa. Euroopan unionin verkko- ja tietoturvadirektiivin eli NIS2-direktiivin kansallinen soveltaminen Suomessa alkaa 18.10.2024. NIS2 tavoitteena on vahvistaa kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta. Direktiivin mukaisesti vastuu kyberturvasta on yrityksen johdolla, ja johtohenkilöt voidaan saattaa henkilökohtaiseen vastuuseen laiminlyönneistä.


NIS2-direktiivi vaikuttaa erityisesti toimialoihin, jotka tarjoavat kriittisiä tai olennaisia palveluita yhteiskunnalle. Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla. Direktiivi koskee myös kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä koosta riippumatta.


Direktiivin mukaan yritysten on tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuvat organisaation toiminnoissa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Kyberturvallisuuden riskienhallinnalla tulee estää tai minimoida poikkeamien vaikutus toimintaan. Direktiivin myötä toimivan johdon vastuulla on luoda ja ylläpitää kyberturvallisuutta tukevaa yrityskulttuuria. Tämä tarkoittaa tarkoituksenmukaisia, määriteltyjä ja koulutettuja toimintamalleja ja ohjeita, sekä henkilöstön pyrkimyksiä niiden noudattamiseen. ISO/IEC 27001 -standardin ytimessä oleva tietoturvan johtamis- ja hallintajärjestelmä (ISMS) kattaa suurelta osin NIS2:n asettamat vaatimukset.


Toimintamallien lisäksi tarvitaan kontrolleja, joita ovat esimerkiksi palomuurit, tunkeutumisen havaitsemisjärjestelmät, käyttöjärjestelmien ja ohjelmien turvallisuuslokit sekä erilaiset päätelaitteiden suojaohjelmistot. Haittaohjelmien havaitsemisen tulee tapahtua useilla kerroksilla, myös verkon reunalla olevissa laitteissa sekä tulisi olla kyky keskitetysti analysoida turvallisuustapahtumia ja muodostaa hälytyksiä niistä. Sulautettujen järjestelmien osalta tämä tarkoittaa, että kriittisissä sovelluksissa käytettävien laitteiden tulisi tukea vahvaa käyttäjien tunnistamista, uhkien havainnointia sekä turvallisuustapahtumien tietojen välittämistä keskitettyyn valvontajärjestelmään.


EU:n kyberkestävyyssäädös (Cyber Resilience Act, CRA) on Euroopan Unionin ehdotus asetukseksi, jonka tavoitteena on parantaa digitaalisia elementtejä sisältävien tuotteiden, kuten internetiin yhdistettyjen laitteiden ja ohjelmistojen kyberturvallisuutta. CRA-asetus koskee kaikkia tuotteita, joissa on digitaalinen komponentti ja joiden suunniteltu ja ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran datayhteyden internetiin tai toiseen internetiin yhdistettyyn laitteeseen. CRA asetuksen tuotetta voi koskea joko vapaaehtoinen tai pakollinen sertifointi riippuen tuotteen turvallisuusriskeistä. Lisäksi valmistajan pitää ilmoittaa tuotteista löytyneistä kyberturvaongelmista sekä korjata tuotteet noudattamaan CRA:n vaatimuksia vähintään viiden vuoden ajan. 


CRA asetuksen piti tulla alkuperäisten suunnitelmien mukaan voimaan vuoden 2024 alussa, mutta tämän hetken tietojen mukaan määräys tulee voimaan vuoden 2024 lopulla tai vuoden 2025 aikana.  Kun asetus tukee voimaan, tuotteissa pitää olla CE-merkintä, joka kertoo kuluttajille tuotteen täyttävän CRA:n ja siihen liittyvien direktiivien vaatimukset.


Radiolaitteiksi luetaan sähkö- ja elektroniikkalaitteet, jotka lähettävät ja vastaanottavat radioaaltoja tai joihin on sisäänrakennettu radiokomponentti langatonta yhteyttä varten. Tyypillisiä langattomia yhteyksien tekniikoita ovat WiFi, Bluetooth, NB-IoT ja LTE-M. Radiolaitedirektiivi (RED) on asetus, joka säätelee radiolaitteiden suunnittelua, valmistusta ja markkinoille tuomista Euroopan unionin alueella. Päivitetty radiolaitedirektiivi (RED 2) sisältää perinteisten radiotekniikkaan liittyvien vaatimusten lisäksi myös vaatimuksia laitteiden kyberturvallisuudesta. Riittävän kyberturvallisuuden tason osoittamiseen liittyvät standardit ETSI EN 303 645 ja IEC 62443.


Radiolaitteiden valmistajien ja maahantuojien on varmistettava, että heidän tuotteensa täyttävät direktiivin kriteerit sekä että laitteet voidaan tarvittaessa päivittää. Kaikkien yksittäisten radiotuotteiden, jotka saatetaan EU:n markkinoille 1.8.2025 jälkeen, on täytettävä nämä uudet kyberturvallisuusvaatimukset. Vanhoja laitteita, jotka on jo saatettu EU:n markkinoille ennen voimaantuloa, voidaan käyttää edelleen ilman erityisiä mukautuksia niiden elinkaaren loppuun asti.


Sääntely tulee jatkossa pakottamaan alan toimijoita kiinnittämään huomiota kyberturvallisuuteen.  Kyberturvallisuus asia, jota on jatkuvasti kehitettävä, jotta tärkeitä tehtäviä hoitavat digitaaliset laiteet sekä ohjelmistot toimivat luotettavasti. Kyberturvallisuuden hallinta vaatii laaja-alaista asiantuntemusta ja osaamista organisaation eri tasoilla, sekä oman toiminta- ja uhkaympäristön jatkuvaa seurantaa.


CVG Convergens on pitkäaikainen kumppani, joka tarjoaa palveluita elektroniikkaa sisältävien tuotteiden ja järjestelmien koko elinkaaren yli. Tarjoamme palveluita sulautettujen järjestelmien kehittämiseen liiketoimintatason analyysistä toteutettuun ja markkinoille saatettuun tuotteeseen. Meillä on vankka kokemus sekä ohjelmistoista että fyysisistä laiteratkaisuista. Tyypillisiä kehittämiämme tuotteita ovat korttitietokoneet, tietokone-  ja ohjausmoduulit, IoT-anturit ja toimilaitteet, tietoliikennelaitteet, käyttöliittymät, kannettavat laitteet ja niihin liittyvät ohjelmistot. Kehityksen lisäksi tarjoamme palveluita tuotteen elinkaaren yli, mukaan lukien suunnittelu, vaatimustenmukaisuus ja sertifioinnit, valmistus ja ylläpito. Me autamme yritystäsi suunnittelemaan ja kehittämään turvallisia sulautettuja ratkaisuja.

Comments


bottom of page