EU ja kyberturvallisuus

Teollisuuden sensorit, älylaitteet, lääkinnälliset laitteet, maksupäätteet, puettavat ratkaisut, gatewayt, lelut tai kaupunkien infrastruktuuri ovat kaikki Cyber Resilience Act (CRA) ja Radio Equipment Directive (RED) säädösten piirissä. Ne tuovat uusia velvoitteita, jotka muokkaavat tuotekehitystä vielä pitkään. Näiden säädösten mukaan valmistajien on varmistettava, että laitteet ovat turvallisia jo suunnitteluvaiheesta lähtien, suojaavat käyttäjätietoja ja säilyvät kestävinä koko elinkaarensa ajan.

Tämä opas kertoo, mitä RED ja CRA tarkoittavat käytännössä — ja miten niihin voi valmistautua.

Radio Equipment Directive (RED) on yksi EU:n keskeisistä säädöksistä, joka määrittelee radiolaitteiden vaatimukset EU-markkinoille tuotaessa. Sen tavoitteena on varmistaa, että radiota hyödyntävät laitteet — kuten Wi-Fi-, Bluetooth-, mobiiliverkko- ja RFID-laitteet — ovat turvallisia, eivät aiheuta häiriöitä muille laitteille ja täyttävät EU:n olennaiset vaatimukset.

Alun perin RED keskittyi pääasiassa radiolähetysten turvallisuuteen ja sähkömagneettiseen yhteensopivuuteen. Direktiiviä laajennettiin kyberturvallisuutta koskevalla delegoidulla säädöksellä, joka toi vaatimuksia myös radiolaitteita ohjaaville tai niiden kanssa toimiville ohjelmistoille. Säädös tuli voimaan jo vuonna 2022, mutta sen kyberturvallisuusvaatimuksia alettiinn soveltaa 1. elokuuta 2025, jolloin siirtymäaika päättyi ja vaatimukset muuttuivat velvoittaviksi.

Päivitys toi mukanaan kolme keskeistä artiklaa:

• Artikla 3.3(d): Suojaus verkolle
  Laitteen on toimittava niin, ettei se vahingoita verkkoa, heikennä sen toimintaa tai käytä verkon resursseja tavalla, joka aiheuttaa palvelun laadun heikkenemistä.
• Artikla 3.3(e): Henkilötietojen ja yksityisyyden suoja
  Laitteessa on oltava mekanismeja, jotka suojaavat käyttäjän ja tilaajan henkilötiedot ja yksityisyyden.
• Artikla 3.3(f): Suojaus petoksia vastaan
  Laitteen on tuettava ominaisuuksia, jotka estävät kyberturvallisuuteen liittyviä petoksia.

Vaatimustenmukaisuuden tueksi EU on julkaissut kolme harmonisoitua standardia — käytännössä tekniset “tarkistuslistat”, joita valmistajat voivat noudattaa. Standardit muuntavat artiklojen lakitekstin teknisiksi vaatimuksiksi. Kun tuote täyttää harmonisoidun standardin vaatimukset, sen katsotaan täyttävän myös direktiivin olennaiset vaatimukset.

Kukin standardi vastaa yhtä artikloista:

• EN 18031-1: Internet-yhdistettyjen radiolaitteiden turvallisuusvaatimukset (Artikla 3.3(d))
• EN 18031-2: Henkilö- tai sijaintitietoja käsittelevien laitteiden turvallisuusvaatimukset (Artikla 3.3(e))
• EN 18031-3: Maksamiseen tai virtuaalivaluuttaan liittyvien laitteiden turvallisuusvaatimukset (Artikla 3.3(f))

Laitteen toiminnallisuudesta ja käyttötarkoituksesta riippuen valmistajan on varmistettava yhden tai useamman näistä standardeista täyttyminen, jotta tuotetta voidaan laillisesti myydä EU-markkinoilla.

Cyber Resilience Act (CRA) on toinen keskeinen EU-säädös, jonka tavoitteena on vahvistaa digitaalisten tuotteiden kyberturvallisuutta. Asetus tuli voimaan 10. joulukuuta 2024, ja se tuo mukanaan pakollisia kyberturvallisuusvaatimuksia, jotka näkyvät jatkossa myös tuotteiden CE-merkinnässä.

Valmistajien on huolehdittava tuotteidensa kyberturvallisuudesta koko niiden elinkaaren ajan. Yrityksillä on 36 kuukauden siirtymäaika — aina 11. joulukuuta 2027 saakka — päivittää suunnittelu-, kehitys- ja tuotantoprosessinsa CRA:n vaatimusten mukaisiksi. Ilmoitetuille laitoksille siirtymäaika on lyhyempi, vain 18 kuukautta.

Keskeisiä CRA-vaatimuksia ovat:

• Tuotteissa ei saa olla tunnettuja hyödynnettävissä olevia haavoittuvuuksia.
• Tuotteiden on tarjottava oletusarvoisesti turvalliset asetukset sekä mahdollisuus palauttaa ne tarvittaessa.
• Haavoittuvuudet on voitava korjata ajantasaisilla ja turvallisilla päivityksillä, mielellään automaattisesti.
• Luvaton käyttö on estettävä vahvan tunnistautumisen ja pääsynhallinnan avulla.
• Datankäsittelyn luottamuksellisuus ja eheys on suojattava nykyaikaisilla salaus- ja varmistusmenetelmillä.
• Vain välttämätöntä dataa saa käsitellä (data minimization).
• Tuotteen olennaisten toimintojen on säilyttävä käytettävissä myös häiriötilanteissa, ja sen on kestettävä palvelunestohyökkäyksiä.
• Hyökkäyspinta-alaa on pienennettävä turvallisen suunnittelun ja kehityksen avulla.
• Turvallisuuteen liittyvää toimintaa on seurattava ja lokitettava, ja käyttäjille on tarjottava mahdollisuus kieltäytyä.
• Käyttäjien on voitava poistaa kaikki tiedot ja asetukset pysyvästi ja turvallisesti.

CRA tuo mukanaan myös tuotteiden luokittelun kyberturvallisuusriskin perusteella. Esimerkiksi yksinkertainen salasanojen hallintaohjelma tai internet-yhteydellä varustettu sosiaalinen lelu kuuluvat luokkaan I (important product). Sen sijaan manipuloinnilta suojattu mikroprosessori luokitellaan luokkaan II (important product). Asetuksessa on lisäksi oma luokkansa kriittisille tuotteille, kuten älykorteille ja niihin verrattaville turvallisuuselementeille.

CRA ei koske kaikkia IT-ratkaisuja. Soveltamisalan ulkopuolelle jäävät muun muassa puhtaasti pilvipohjaiset SaaS-palvelut, joilla ei ole asennettavia komponentteja, ei-kaupallinen avoin lähdekoodi sekä tuotteet, joita säädellään jo muissa erityislakien alaisissa sektoreissa (esimerkiksi lääketiede, autoala ja ilmailu). Myös kansallisen turvallisuuden ja puolustuksen järjestelmät ovat rajattu asetuksen ulkopuolelle, samoin identtiset varaosat sekä digitaalisia elementtejä sisältämättömät palvelut. Lisäksi siirtymäajan päättymistä ennen markkinoille saatetut niin sanotut legacy-tuotteet eivät kuulu CRA:n piiriin, ellei niitä muuteta merkittävästi.

Käytännöllinen aloituspaketti:

1. Selvitä, kuuluuko tuotteesi REDin, CRA:n vai molempien soveltamisalaan
2. Määritä tuotteellesi oikea CRA-luokitus
3. Tee kyberturvallisuuden ja prosessien gap-analyysi
4. Hanki valmiudet uhkamallinnukseen ja toteuta tuotteille kyberturvallisuuden riskinarvioinnit
5. Määritä organisaation roolit ja vastuuhenkilöt, jotka vastaavat vaatimusten toteuttamisesta tuotteessa ja sen prosesseissa
6. Suunnittele, miten elinkaaren aikainen turvallisuus toteutetaan (päivitykset, haavoittuvuuksien hallinta, datankäsittely)
7. Dokumentoi kaikki — CRA korostaa prosessien todentamista

Tuotteesi luokituksen ymmärtäminen on keskeistä oikeiden vaatimusten ja vaatimustenmukaisuuden polun määrittämisessä.
Jos tarvitset tukea luokituksen selkeyttämiseen, me voimme auttaa.

Sekä vahvana ohjelmistotalona että kokeneena laitesuunnittelukumppanina Wapice on poikkeuksellisen hyvin asemassa auttamaan yrityksiä vastaamaan Cyber Resilience Act (CRA) -asetuksen ja Radio Equipment Directive (RED) -direktiivin muuttuviin vaatimuksiin. Nämä EU-säädökset muovaavat koko verkottuneiden laitteiden kenttää ja edellyttävät entistä vahvempia kyberturvallisuuskäytäntöjä sekä selkeää vastuunottoa tuotteiden koko elinkaaresta.

Wapicella yhdistyvät syvä osaaminen sulautetuissa järjestelmissä, turvallisessa ohjelmistokehityksessä ja räätälöidyssä elektroniikkasuunnittelussa. Monialaiset tiimimme hallitsevat koko teknologiakentän — sirutasolta pilveen — ja auttavat varmistamaan, että tuotteesi täyttävät sekä CRA:n että REDin tekniset ja sääntelyyn liittyvät vaatimukset.

Tarjoamme:

• Security Architecture & Assessment Services
  Kyberturva-asiantuntijamme tekevät kattavia arviointeja järjestelmistäsi, tunnistavat haavoittuvuudet ja vaatimustenmukaisuuden puutteet. Olipa kyse web-sovelluksesta, sulautetusta laitteesta tai pilvi-infrastruktuurista, autamme linjaamaan ratkaisut harmonisoituihin standardeihin, kuten EN 18031 ja IEC 62443.
• Secure Development Lifecycle (SDLC) -valmennus
  Ohjaamme tiimejäsi turvallisen kehityksen käytäntöihin, jotta CRA:n edellyttämät asiat — kuten secure-by-default -asetukset, haavoittuvuuksien hallinta ja tietosuoja — toteutuvat luonnollisesti koko tuote-elinkaaren ajan.
• Tuki turvalliseen kehitykseen
  Kyberturva-asiantuntija osallistuu aktiivisesti kehitystyöhön ja tukee kaikkia turvallisuuden kannalta olennaisia vaiheita. Asiantuntija voi esimerkiksi osallistua user storyjen määrittelyyn, fasilitoida uhkamallinnuspajoja tai tukea turvallisuustestauksen automaatiota.
• Laitesuunnittelu vaatimustenmukaisuus huomioiden
  Radiotekniikkaa tai sulautettuja prosessoreita sisältävissä tuotteissa elektroniikkasuunnittelutiimimme varmistaa REDin kyberturvavaatimusten täyttymisen. Erityisosaamistamme ovat mm. EMC-testaus ja RF-sertifioinnin tuki sekä ympäristötestaukset ATEX- ja SIL-vaatimuksineen.
• Elinkaaren hallinta & päivitysmekanismit
  CRA edellyttää pitkäjänteistä turvallisuuden ylläpitoa. Wapice auttaa toteuttamaan turvalliset päivityskanavat, tapahtumienhallinnan toimintamallit ja tietojen turvallisen poiston — sääntelyn vaatimusten mukaisesti.
• Konsultointi & luokitustuki
  Etkö ole varma, onko tuotteesi CRA:n mukaan Class I, Class II vai critical? Autamme tulkitsemaan säädöstä, arvioimaan tuotteesi luokituksen ja määrittämään juuri liiketoimintaasi sopivan vaatimustenmukaisuuden polun.

Olitpa kehittämässä älyvaatetta, teollisuusanturia tai verkottunutta ohjausjärjestelmää, Wapice varmistaa, että tuotteesi on turvallinen, vaatimustenmukainen ja tulevaisuuskestävä. Laaja kokemuksemme eri toimialoilta — energiasta ja automaatiosta terveydenhuoltoon ja liikkumiseen — auttaa meitä ymmärtämään juuri sinun alueesi erityispiirteet ja räätälöimään tuen niiden mukaan.

Turvallisuus ja vaatimustenmukaisuus eivät ole kertaluonteisia tehtäviä — ne ovat jatkuvia sitoumuksia. Wapice päivittää jatkuvasti omia tuotteitaan ja palveluitaan vastaamaan uusimpia standardeja ja uhkakenttää. Proaktiivisen toimintatapamme ansiosta voit luottaa siihen, että ratkaisusi pysyvät sekä vaatimustenmukaisina että kilpailukykyisinä EU-markkinoilla.

Etkö usko vielä? Lue seuraava luku ja katso, miten toteutamme RED- ja CRA-vaatimuksia omassa IoT-TICKET® Edge -tuotteessamme!

Wapicella olemme ennakoivasti linjanneet IoT-TICKET® Edge -ohjelmiston EN 18031-1 -standardin mukaiseksi. Tämä kattava IoT-edge-ohjelmistoratkaisu mahdollistaa etävalvonnan, -ohjauksen ja -hallinnan, ja se on suunniteltu integroitumaan saumattomasti pilvipohjaiseen IoT-TICKET®-alustaamme. Ohjelmisto tukee laajaa kirjoa järjestelmäintegraatioita — vanhoista protokollista moderneihin standardeihin — ja toimii tuetuilla gateway-laitteilla, kuten Wapicen WRM247LTE ja Compulabin IOT-GATE-iMX8.

WRM247LTE on Wapicen suunnittelema kestävä edge-laite etähallintaan ja tiedonkeruuseen. Se tukee useita liitettävyysteknologioita, kuten 4G-mobiiliverkkoa, WLANia, Ethernetiä, RS485:tä ja CAN-väylää, mikä tekee siitä ihanteellisen ratkaisun monenlaisiin teollisiin IoT-sovelluksiin. Lue lisää WRM247LTE-laitteesta:
https://wapice.com/products/wrm247

IoT-TICKET® Edge -ohjelmistoa on kehitetty kyberturvallisuus mielessä jo pitkään — erityisesti turvallisen viestinnän (MQTTS ja HTTPS), pääsynhallinnan, liikenteenhallinnan ja turvallisten etä-OTA-päivitysten osalta. Turvallisuutta on vahvistettu entisestään lisäämällä seuraavat menetelmät ja mekanismit, jotta EN 18031-1 -vaatimukset täyttyvät kokonaisuudessaan:

General Equipment Capabilities (GEC):

• Linux-käyttöjärjestelmän rakentaminen uusimpien saatavilla olevien Yocto LTS -julkaisujen pohjalta
• Uusimpien kolmansien osapuolien ohjelmistokomponenttien käyttö
• CVE-skannausten suorittaminen ohjelmistorakenteille ja haavoittuvuuksien korjaaminen ajantasaisesti OTA-päivityksillä
• Turhien rajapintojen, kuten JTAGin sulkeminen

Confidential Cryptographic Keys (CCK) & Cryptography (CRY):

• Salauksen ja tiivistealgoritmien käytännöt linjattu suositusten mukaisesti

Secure Storage Mechanism (SSM):

• Kaikkien mittaustietojen, luottamuksellisten tietueiden ja konfiguraatioiden tallentaminen laitteessa olevaan salattuun tallennustilaan
• Secure boot -toiminnon käyttöönotto bootloaderin ja kernelin eheyden ja aitouden varmistamiseksi
• dm-verityn käyttöönotto juuritiedostojärjestelmän sisällön eheyden ja aitouden varmentamiseksi

Access Control & Authentication (ACM & AUM):

• Uniikkien tehtaalla generoitu­jen oletussalasanojen käyttö, jotka täyttävät vahvuutta ja monimutkaisuutta koskevat parhaat käytännöt
• Mekanismi bruteforce-hyökkäysten estämiseksi rajapinnoissa, jotka edellyttävät tunnistautumista

Resilience Mechanism (RLM):

• Tuki mekanismille, joka tunnistaa ja estää DoS-hyökkäykset erottamalla ne normaalista verkkoliikenteestä

Network Monitoring Mechanism (NMM):

• Tuki liikennelokien keräämiselle tilanteissa, joissa kyse on verkon välisestä DoS-hyökkäyksestä

Nämä ominaisuudet ja parannukset julkaistaan vaiheittain OTA-päivityksinä vuosien 2025 ja 2026 aikana. Päivitysten avulla varmistetaan, että kentällä olevat laitteet pysyvät jatkossakin kestävinä kyberturvallisuusuhkia ja -hyökkäyksiä vastaan.

Vaikka EN 18031-1 keskittyy RED-vaatimusten täyttämiseen, Cyber Resilience Act (CRA) tuo mukanaan laajemmat velvoitteet kaikille digitaalisia elementtejä sisältäville tuotteille — aina secure-by-default -asetuksista elinkaaren aikaiseen haavoittuvuuksien hallintaan. Wapicen turvallisuus- ja vaatimustenmukaisuusmalli varmistaa, että ratkaisumme eivät ole pelkästään RED-valmiita, vaan myös CRA-vaatimuksiin valmistautuneita.

Investoimme jatkuvasti tuotteidemme kehittämiseen, jotta ne vastaavat kehittyviä kyberturvallisuusstandardeja ja lainsäädännön vaatimuksia. Kehitätpä uusia laitteita tai päivität olemassa olevia, Wapice voi auttaa toteuttamaan tarvittavat toimenpiteet, jotta ratkaisusi pysyvät turvallisina, vaatimustenmukaisina ja kilpailukykyisinä.

Tutustu koko turvallisuuspalveluidemme valikoimaan osoitteessa wapice.com/services/security.

Kirjoittajat: Lauri Välimaa & Matti Ylineva