Blogi

Kyberturvallisuusasetus (CRA) ja mitä se tarkoittaa IoT‑tuotekehitykselle

EU:n kyberturvallisuusasetus ja sen vaikutus IoT‑tuotekehitykseen eli kyberturvallisuusasetus IoT‑tuotekehitys on noussut nopeasti yhdeksi merkittävimmistä sääntelymuutoksista yrityksille, jotka kehittävät verkkoon kytkettyjä laitteita. Myös meille Sensoanilla tämä näkyy arjessa: suunnittelupalavereissa, asiakaskeskusteluissa, sisäisissä työpajoissa ja jopa spontaaneissa kahvipöytäkeskusteluissa.

Yksi kysymys nousee esiin yhä uudelleen: mitä kyberresilienssiasetus tarkoittaa IoT‑tuotekehityksen kannalta?

Usein sääntely koetaan asiaksi, joka tapahtuu “jossain muualla” kuin varsinaisessa tuotekehityksessä. CRA on kuitenkin toisenlainen. Se vaikuttaa suoraan siihen, miten laitteet suunnitellaan, kehitetään, ylläpidetään ja lopulta poistetaan käytöstä. Juuri tästä syystä emme ole lähestyneet CRA:ta pelkkänä pakollisena vaatimuksena, vaan mahdollisuutena rakentaa parempia tuotteita.

Miksi CRA on tärkeä

Verkkoon kytketyt laitteet elävät usein pitkään — joskus 5, 10 tai jopa 15 vuotta kentällä. Tänä aikana uhkakuvat kehittyvät, käyttöympäristöt muuttuvat ja järjestelmien on sopeuduttava.

CRA velvoittaa valmistajat ottamaan tämän todesta vaatimalla muun muassa:

  • Secure‑by‑design‑periaatteen mukaista kehitystä
  • Todennettavaa turvallisuutta koko elinkaaren ajan, ei vain julkaisuvaiheessa
  • Jatkuvaa haavoittuvuuksien hallintaa
  • Turvallisia käytöstäpoisto‑ ja elinkaaren lopetuskäytäntöjä
  • Läpinäkyvyyttä asiakkaille

Nämä teemat ovat aina olleet tärkeitä — CRA vain varmistaa, ettei niitä voi sivuuttaa.

Miten CRA on muuttanut tapaamme työskennellä

Meille merkittävin muutos on ollut ajattelutavassa: turvallisuutta ei enää lisätä jälkikäteen, vaan se on lähtökohtana jo ensimmäisistä suunnittelukeskusteluista alkaen.

1. Turvallisuus alusta alkaen

Ennen koodin kirjoittamista arvioimme arkkitehtuurivalintoja, komponentteja, radioteknologioita, päivitysmekanismeja ja mahdollisia hyökkäyspintoja CRA‑vaatimusten näkökulmasta.

2. Dokumentoidut ja toistettavat prosessit

CRA edellyttää todennettavia prosesseja. Tämä on ohjannut meitä kehittämään tapaa, jolla perustelemme päätöksiä, seuraamme muutoksia ja varmistamme jäljitettävyyden laitteen koko elinkaaren ajan. Samalla tämä tukee hyvin myös Sensoanin lupausta käytännönläheisestä ja luotettavasta IoT‑suunnittelusta.

3. Vastuu koko elinkaaren ajan

Tietoturva ei pääty siihen, kun laite toimitetaan asiakkaalle.

Kiinnitämme erityistä huomiota:

  • Pitkäaikaiseen päivitettävyyteen
  • Haavoittuvuuksien hallintaan
  • Turvalliseen käytöstäpoistoon
  • Asiakkaille tarkoitettuun dokumentaatioon

Näin voimme toimittaa ratkaisuja, jotka säilyvät turvallisina ja luotettavina vuosien ajan — asia, jota kriittisen infrastruktuurin asiakkaat arvostavat erityisen paljon.

Kyllä, se lisää työtä — mutta se on sen arvoista

Emme väitä, etteikö CRA toisi mukanaan lisää työtä. Kyllä, tuo.

Hyödyt ovat kuitenkin konkreettisia:

  • Vahvemmat ja luotettavammat tuotteet
  • Nopeampi perehdytys uusille tiimin jäsenille
  • Selkeämmät odotukset asiakasprojekteissa
  • Pienempi ylläpitokuorma pitkällä aikavälillä
  • Lisääntynyt luottamus ja läpinäkyvyys

Ja ennen kaikkea: parempi tietoturva loppukäyttäjille.

Olemme jo ottaneet nämä toimintamallit käyttöön käynnissä olevissa projekteissamme, ja vaikutukset näkyvät selvästi. CRA ei ainoastaan auttanut meitä täyttämään vaatimuksia — se auttoi meitä kehittämään parempia insinöörityön tapoja.

Mitä seuraavaksi?

Sääntely kehittyy edelleen, ja niin kehittyvät myös prosessimme. Yksi asia on kuitenkin varma: CRA on tullut jäädäkseen ja muokkaa seuraavaa verkkoon kytkettyjen laitteiden vuosikymmentä.

Emme enää kysy, mitä kyberturvallisuusasetus tarkoittaa IoT‑tuotekehitykselle. Käytännössä kyberturvallisuusasetus IoT‑tuotekehitys tarkoittaa meille todennettavia prosesseja, selkeää elinkaarisuunnittelua ja pitkäjänteistä vastuuta laitteista.

Aiomme jatkossakin jakaa oppejamme ja kokemuksiamme — sekä sitä, miten yritykset voivat valmistautua CRA:han ilman, että innovaatio hidastuu.

Haluatko keskustella CRA:sta omassa projektissasi?

Olitpa suunnittelemassa uutta laitetta tai arvioimassa, miten CRA vaikuttaa nykyisiin tuotteisiisi, autamme mielellämme.

Etkö tunne CRA:ta vielä? Lue lisää täältä:
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) | Kyberturvallisuuskeskus

Jaa tämä artikkeli