CRA eli Cyber Resilience Act on Euroopan unionin kyberkestävyyssäädös, jonka tavoitteena on parantaa digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta. Säädöksen tarkoitus on asettaa tällaisille tuotteille yhteiset standardit ja vaatimukset koko niiden elinkaaren ajaksi.
Säädös velvoittaa kaikkia yrityksiä, jotka valmistavat, maahantuovat tai myyvät digitaalisia osatekijöitä sisältäviä tuotteita EU:n markkinoilla. Säädöksen vaatimukset koskevat myös EU:n ulkopuolella toimivia yrityksiä, kun ne tuovat tuotteitaan EU:n alueelle.
CRA astuu lopullisesti voimaan joulukuussa 2027, mutta jo sitä ennen tulevat voimaan ilmoitettuja laitoksia koskevat säädökset kesäkuussa 2026 sekä haavoittuvuuksien raportointia koskevat vaatimukset syyskuussa 2026. Ilmoitettu laitos tarkoittaa jonkin EU:n jäsenvaltion nimeämää organisaatiota, joka arvioi tiettyjen tuotteiden vaatimustenmukaisuuden ennen kuin ne saatetaan markkinoille.
Vaikka CRA:n vaatimusten täyttäminen voi olla iso ponnistus, tuo säädös myös kiistattomia etuja. Se kannustaa kehittämään digitaalisia tuotteita, joissa on vähemmän haavoittuvuuksia. Säädöksen ansiosta loppukäyttäjä saa näkyvyyden turvallisuustietoihin, joiden pohjalta on helpompaa tehdä faktoihin perustuvia riskienhallintapäätöksiä. Lisäksi säädökseen kuuluva vaatimus laitteiden ja ohjelmistojen päivitettävyydestä on vastuullisuuden näkökulmasta merkittävä parannus.
Mitä CRA tarkoittaa valmistajan tai loppukäyttäjän näkökulmasta?
CRA koskee siis kaikkia digitaalisen elementin sisältäviä laitteita tai ohjelmistoja, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Säädöksen ulkopuolelle jäävät esimerkiksi releet, kontaktorit ja merkkivalot, jos ne ovat sellaisia, joissa ei ole edellä mainittuja elementtejä.
Säädös vaikuttaa yrityksistä luonnollisesti eniten kone- ja laitevalmistajiin, joiden kannattaa hyvissä ajoin tarkistaa, mitä tuotteissa pitää modifioida. Kerrannaisvaikutusten vuoksi yhden komponentin vaihtaminen voi vaikuttaa koko koneen rakenteeseen. Lisäksi valmistajien tulee tarkistaa nykyisten tuotteiden elinkaari. Aikaisemmin esimerkiksi Schneider Electricin teollisuustuotteiden osalta olemme informoineet asiakkaita kaksi vuotta aiemmin, jos tuote tulee poistumaan, ja kertoneet, mikä tulee olemaan korvaava tuote. Nyt joidenkin tuotteiden elinkaari voi säädöksen vuoksi lyhentyä.
Myös loppukäyttäjien on hyvä havahtua CRA:n voimaantuloon jo nyt ja ottaa selvää käytössään olevista tuotteista ja niiden elinkaaresta. Mikäli aikomuksena on lähiaikoina tilata uusia järjestelmiä, kannattaa muistaa, että jatkossa myös niiden pitää komponenttien osalta täyttää CRA:n vaatimukset. Lisäksi on hyvä pitää mielessä, että joulukuun 2027 jälkeen EU:n ulkopuolelta ei enää saa tuoda EU:n alueelle koneita tai laitteita, joilla ei ole CRA-sertifikaattia.
Tuotteista on luonnollisesti paras kysyä suoraan valmistajilta tai maahantuojilta. Lisäksi Euroopan unionin verkko- ja tietoturvavirasto Enisa pitää yllä tietokantaa, johon valmistajat voivat ilmoittaa CRA-valmiit laitteet ja järjestelmät.
Myös me Schneiderilla voimme auttaa toimintaympäristösi CRA-valmiuden läpikäynnissä. Jokainen valmistaja toki vastaa vain omista tuotteistaan, mutta voimme antaa tarkempaa tietoa siitä, mitä CRA-vaatimukset tarkoittavat ja minkä asioiden suhteen pitää varautua.
Schneiderilla kyberturva uusien tuotteiden suunnittelun ytimessä
Schneider on aloittanut matkansa kohti CRA:ta jo vuosia sitten. Pyrimme olemaan kyberturvassa säädöksiä edellä, ja tuotekehitysprosessissamme on ”secure-by-design” -periaate. Se on lupaus siitä, että emme vain vastaa jo olemassa oleviin säädöksiin ja niiden vaatimuksiin, vaan myös ennakoimme.
Lisäksi yhtiössä on tehty globaalisti päätös, että jos jokin nykyisistä tuotteista ei joulukuussa 2027 ole CRA-valmis, tuote poistetaan valikoimista EU:ssa. Kyberturvaominaisuuksien kehittämisessä hyödynnämme IEC 62443-4-1-standardia.
Esimerkiksi HMI-tuotepuolella on kartoitettu, missä tuotteistamme on valmius CRA-yhteensopivuuteen ja mitkä tuotteet tulevat jäämään pois valikoimista. Läpikäynti antoi selkeän käsityksen siitä, että vain harva nyt markkinoilla oleva laite tulee pysymään samana: on muutettava sekä rauta että softa.
Jo nyt on tarjolla tuotteita, joissa on valmius CRA-yhteensopivuuteen, kuten Schneiderin Modicon Edge I/O, hajautettu IP20 I/O -järjestelmä nykypäivän teollisuuden tarpeisiin ja huomisen haasteisiin.
Schneider Electricillä CRA:han liittyvistä asioista vastaa globaalisti teollisuuden kyberturvatiimi. Käytännöistä ja periaatteista voi lukea Schneider Electric’s approach to digital policy implementation -julkaisusta.
Tietoa kirjoittajasta
Lisää kommentti