Virkkunen: Laitteiden kyberturvallisuudesta pakollista

Euroopan parlamentin teollisuusvaliokunta ITRE tukee uusia laitteita ja ohjelmistoja koskevia kyberturvallisuussääntöjä. Valiokunta äänesti EU-instituutioiden välisten kolmikantaneuvottelujen tuloksesta tänään.

Kyseessä on Euroopan ensimmäinen laitteiden ja ohjelmistojen kyberturvallisuutta koskeva lainsäädäntö CRA (Cyber Resilience Act). EPP-ryhmän neuvottelijana asetuksessa toiminut Henna Virkkunen (kok.) on tyytyväinen saavutettuun neuvottelutulokseen.

”Jatkossa kaikkien EU-markkinoilla myytävien laitteiden ja ohjelmistojen on täytettävä nyt määritetty kyberturvallisuuden taso. Valmistajien on myös tarjottava laitteisiin päivityksiä koko tuotteen elinkaaren ajan”, Virkkunen sanoo.

Hänen mukaansa säännöt parantavat sekä kuluttajien turvallisuutta että reilua kilpailua. ”Tällä hetkellä EU-markkinoilla myydään paljon kolmansista maista tulevia tuotteita, joiden kyberturvallisuudesta tai päivityksistä ei ole mitään takeita. Samaan aikaan kyberhyökkäykset kasvavat valtavaa vauhtia”, Virkkunen muistuttaa.

Kyberkestävyyssäädöksellä luodaan ensimmäistä kertaa yhdenmukaiset turvallisuusvaatimukset EU-markkinoilla myytävien laitteistojen ja ohjelmistojen valmistajille ja myyjille. Näitä tuotteita ovat esimerkiksi mobiililaitteet, kamerat, älykortit ja reitittimet. Säännöt edellyttävät tuotteilta turvallisuutta koko toimitusketjussa ja koko niiden elinkaaren ajan, kehittämisestä aina markkinoille saattamiseen saakka.

”Samalla on myös huolehdittava, etteivät uudet säännöt aiheuta yrityksille kohtuutonta hallinnollista taakkaa, tai liian raskaita raportointivelvoitteita. Erityisesti mikro- ja pienyrityksille jäsenmaiden on tarjottava tukea mm. tiedotukseen ja koulutukseen, sekä vaatimustenarviointiin”, Virkkunen toteaa.

Jatkossa EU:n kyberstandardit täyttävän internetiin kytkettävän tuotteen tunnistaa sähkölaitteista tutusta CE-merkinnästä. Uusien sääntöjen mukaan valmistajien tulee määrittää laitteen odotettu käyttöikä. Perusperiaatteena on, että laitteen tukikausi vastaa sen odotettua käyttöikää, mutta tukikauden tulisi olla vähintään viiden vuoden pituinen. Poikkeuksena tähän on tuotteet, joiden odotettu käyttöikä on lyhyempi.

Kyberkestävyyssäädös on osa EU:n kyberstrategiaa.

”Kyberturvallisuus on yhä tärkeämpi osa ihmisten arjen ja yhteiskuntien kokonaisturvallisuutta, mikä se koskettaa yhteiskunnan jokaista sektoria. Yhteisillä kybervaatimuksilla laitteisiin liittyviä haavoittuvuuksia ja riskejä voidaan vähentää merkittävästi”, Virkkunen sanoo.

Valiokunta hyväksyi asetuksen äänin 40-1. Seuraavaksi asetus etenee täysistunnon äänestettäväksi, minkä jälkeen se astuu voimaan.