Cyber Resilience Act – mitä siitä pitäisi tietää?
Cyber Resilience Act (CRA) on Euroopan Unionin ehdotus asetukseksi, jonka tavoitteena on parantaa digitaalisia elementtejä sisältävien tuotteiden, kuten internetiin yhdistettyjen laitteiden ja ohjelmistojen kyberturvallisuutta. Sen tarkoitus on asettaa yhteiset standardit ja vaatimukset tällaisten tuotteiden valmistajille, kehittäjille ja toimittajille koko niiden elinkaaren ajaksi. Valmistajien tulee myös korjata tuotteet noudattamaan CRA:n vaatimuksia vähintään viiden vuoden ajan, mikäli puutteita löytyy.
Mitä Cyber Resilience Act:n on tarkoitus saada aikaan?
- Varmistaa, että valmistajat parantavat suojattujen tuotteiden kyberturvallisuutta koko elinkaaren ajan
- Luoda yhtenäinen, johdonmukainen kehys kyberturvallisuuden noudattamiselle EU:ssa
- Lisätä kyberturvallisuuskäytäntöjen ja tuotteiden ja niiden valmistajien ja ominaisuuksien läpinäkyvyyttä
- Tarjota kuluttajille ja yrityksille turvallisia käyttövalmiita tuotteita
Millaisia tuotteita Cyber Resilience Act koskee?
Cyber Resilience Act -asetus koskee "kaikkia ohjelmistoja tai laitteistoja ja niiden etäkäsittelyratkaisuja, mukaan lukien ohjelmisto- tai laitteistokomponentit, jotka saatetaan markkinoille erikseen". Sitä sovelletaan näihin tuotteisiin luomisesta niiden käyttöiän loppuun asti.
Tämä tarkoittaa, että CRA-asetus koskee kaikkia tuotteita, joissa on digitaalinen komponentti ja joiden suunniteltu ja ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran datayhteyden internetiin tai toiseen internetiin yhdistettyyn laitteeseen. Ohjelmistoyritysten, jotka myyvät tai tarjoavat tämänkaltaisia tuotteita EU:n markkinoilla, on noudatettava tämän ehdotetun asetuksen sääntöjä. CRA ei koske Software-as-a-Service (SaaS) -tuotteita yleisesti, elleivät ne ole osa digitaalisia elementtejä sisältävän tuotteen integroituja etätietojenkäsittelyratkaisuja. Tämä tarkoittaa, että erilliset SaaS-tuotteet, jotka eivät ole vuorovaikutuksessa minkään laitteiston kanssa, eivät ole CRA:n kyberturvallisuusvaatimusten ja -velvoitteiden alaisia.
Asetus ei koske myöskään laitteita, joilla on jo alakohtaista lainsäädäntöä, kuten tietyt lääkinnälliset tuotteet (asetus (EU) 2017/745), in vitro -diagnostiikkaan tarkoitetut lääkinnälliset laitteet (asetus (EU) 2017/746), ajoneuvojen yleistä turvallisuutta koskevan asetuksen määrittelemät tuotteet (asetus (EU) 2019/2144) ja siviili-ilmailuasetuksen yhteisillä säännöillä (asetus (EU) 2018/1139) säännellyt tuotteet.
Kaupallisen toiminnan aikana kehitetyt tai toimitetut ilmaiset avoimen lähdekoodin ohjelmistot kuuluvat edelleen ehdotuksen piiriin, mikäli ne täyttävät muut asetuksen määritelmät. Näille ohjelmistoille ovat voimassa samat vaatimukset kuin muille CRA:n piiriin kuuluville tuotteille.
Tuleeko asetuksen koskemien tuotteiden täyttää tiettyjä sertifikaatteja?
Asetuksen ehdottama sertifiointijärjestelmä on vapaaehtoinen useimmille digitaalisia elementtejä sisältäville tuotteille, lukuun ottamatta sellaisia tuotteita, jotka aiheuttavat suuren riskin turvallisuudelle tai yleiselle edulle, eli asetuksen luokkaan I tai II kuuluville tuotteille. Tällaiset tuotteet ovat pakollisen sertifioinnin ja/tai kolmannen osapuolen auditoinnin alaisia. EU:n alaiset Conformity Assessment Bodies (CAB) -viranomaiset päättävät myöhemmin tarkat sertifikaatit ja tahot tuotteiden kyberturvallisuuden todistamista varten.
Ehdotus määrittää myös että CRA:n täyttävien tuotteiden pitää sisältää Conformité Europeénne, eli CE-merkintä, joka kertoo kuluttajille tuotteen täyttävän CRA:n ja siihen liittyvien direktiivien vaatimukset.
Miten asetus luokittelee erilaiset tuotteet ja miten eri luokkia säännellään?
CRA jakaa sen kattamat tuotteet kolmeen kriittisyysluokkaan (alimmasta korkeimpaan):
- Luokittelematon (oletus)
- Luokka I
- Luokka II
Oletusluokka koskee tuotteita, joiden ei katsota aiheuttavan suurta riskiä yleiselle edulle tai kyberturvallisuudelle. Näistä tuotteista vastaavien yritysten on itse arvioitava haavoittuvuutensa ja noudatettava asetuksen yleisiä sääntöjä. Komission mukaan tämä luokka kattaa 90% yleisistä digitaalisia elementtejä sisältävistä tuotteista, mukaan lukien kuvankäsittelyohjelmistot, älykaiuttimet, lelut, videopelit ja muut vastaavat päivittäiset ohjelmistot ja laitteet.
Luokan I on noudatettava soveltuvaa standardia tai suoritettava kolmannen osapuolen suorittama arviointi täyttääkseen asetuksen vaatimukset, kun taas luokan II on suoritettava pakollinen kolmannen osapuolen suorittama arviointi.
Luokan I tuotteet:
- Henkilöllisyydenhallintajärjestelmien ohjelmistot ja etuoikeutettujen käyttöoikeuksien hallintaohjelmistot
- Itsenäiset ja sulautetut selaimet
- Salasanojen hallinta
- Ohjelmisto, joka etsii, poistaa tai asettaa karanteeniin haittaohjelmia
- Tuotteet, joissa on digitaalisia elementtejä ja jotka toimivat virtuaalisena yksityisverkona (VPN)
- Verkonhallintajärjestelmät
- Verkkokokoonpanon hallintatyökalut
- Verkkoliikenteen valvontajärjestelmät
- Verkkoresurssien hallinta
- Tietoturvatieto- ja tapahtumahallintajärjestelmät (SIEM)
- Päivitysten/korjausten hallinta, mukaan lukien käynnistysohjaimet
- Sovelluskokoonpanon hallintajärjestelmät
- Etäkäyttö/jakamisohjelmisto
- Mobiililaitteiden hallintaohjelmistot
- Fyysiset verkkorajapinnat
- Käyttöjärjestelmät, palomuurit, tunkeutumisen havaitsemis- ja/tai estojärjestelmät, reitittimet, modeemit, jotka on tarkoitettu Internet-yhteyttä varten, kytkimet sekä mikroprosessorit, jotka eivät kuulu luokkaan II
- Mikro-ohjaimet
- Sovelluskohtaiset integroidut piirit (ASIC) ja kenttäohjelmoitavat porttiryhmät (FPGA), jotka on tarkoitettu direktiivin NIS2 liitteessä I tarkoitetun tyyppisten olennaisten yksiköiden käyttöön
- Teollisuuden automaatio- ja ohjausjärjestelmät (IACS), jotka eivät kuulu luokkaan II, kuten ohjelmoitavat logiikkaohjaimet (PLC), hajautetut ohjausjärjestelmät (DCS), tietokoneistetut numeeriset ohjaimet työstökoneita varten (CNC) ja valvonta- ja tiedonkeruujärjestelmät (SCADA)
- Teollinen esineiden internet, joka ei kuulu luokkaan II
Luokan II tuotteet:
- Palvelimien, pöytätietokoneiden ja mobiililaitteiden käyttöjärjestelmät
- Hypervisorit ja säiliöajonaikaiset järjestelmät, jotka tukevat käyttöjärjestelmien ja vastaavien ympäristöjen virtualisoitua suoritusta
- Julkisten avainten käyttöön luotu infrastruktuuri ja digitaalisten sertifikaattien myöntäjät
- Teolliseen käyttöön tarkoitetut palomuurit, tunkeutumisen havaitsemis- ja/tai estojärjestelmät
- Yleiskäyttöiset mikroprosessorit
- Mikroprosessorit, jotka on tarkoitettu integroitaviksi ohjelmoitaviin logiikkaohjaimiin ja suojattuihin elementteihin
- Teolliseen käyttöön tarkoitetut reitittimet, modeemit Internet-yhteyttä varten ja kytkimet
- Turvalliset elementit
- Hardware Security Module (HSM:t)
- Suojatut kryptoprosessorit
- Älykortit, älykortinlukijat ja tokenit
- Teollisuuden automaatio- ja ohjausjärjestelmät (IACS), jotka on tarkoitettu direktiivin NIS2 liitteessä I tarkoitetun tyyppisten olennaisten yksiköiden käyttöön, kuten ohjelmoitavat logiikkaohjaimet (PLC), hajautetut ohjausjärjestelmät ( DCS), tietokoneistetut numeeriset ohjaimet työstökoneisiin (CNC) ja valvonta- ja tiedonkeruujärjestelmät (SCADA)
- Teolliset esineiden Internet-laitteet, jotka on tarkoitettu direktiivin NIS2 liitteessä I tarkoitetun kaltaisten olennaisten yksiköiden käyttöön
- Robotin tunnistus- ja toimilaitteiden komponentit ja robottiohjaimet
- Älykkäät mittarit
Mitä vaatimuksia asetus määrittää kaikille sen alla oleville tuotteille?
Asetuksessa on määritelty myös joukko sääntöjä, joita sovelletaan kaikkiin digitaalisia elementtejä sisältäviin tuotteisiin (myös luokittelemattomiin tuotteisiin) koko niiden elinkaaren ajan. Nämä vaatimukset kattavat kahdeksan (8) näkökohtaa: suunnittelu, toimitus, tunnistaminen ja todennus, tietosuoja, järjestelmän eheys, saatavuus ja joustavuus, tapauksiin reagointi ja palautus sekä toimitusketjun turvallisuus.
-
Suunnittelu tarkoittaa että tuotteet suunnitellaan, kehitetään ja tuotetaan rajoittamaan hyökkäyspintoja, mukaan lukien ulkoiset rajapinnat sekä suunnitellaan, kehitetään ja tuotetaan vähentämään vaaratilanteen vaikutuksia käyttämällä asianmukaisia hyväksikäytön lieventämismekanismeja ja tekniikoita.
-
Toimitus tarkoittaa, että tuotteet pitää toimittaa ilman mitään tiedettyjä haavoittuvuuksia, ja että tuotteet toimitetaan suojatulla oletuskokoonpanolla, mukaan lukien mahdollisuus palauttaa tuote alkuperäiseen tilaan
-
Tunnistaminen ja todennus tarkoittaa, että digitaalisia elementtejä sisältävillä tuotteilla tulee olla mekanismeja niiden käyttäjien ja laitteiden henkilöllisyyden ja valtuutuksen tarkistamiseksi, jotka käyttävät niitä tai kommunikoivat niiden kanssa.
-
Tietosuoja tarkoittaa, että digitaalisia elementtejä sisältävien tuotteiden tulee suojata käsittelemiensä, tallentamiensa tai siirtämiensä tietojen luottamuksellisuutta, eheyttä ja saatavuutta sekä kunnioittaa rekisteröityjen yksityisyyttä koskevia oikeuksia. Tuotteet eivät myöskään saa tallentaa tietoja jotka eivät ole tarpeellisia niiden toimintaa varten.
-
Järjestelmän eheys tarkoittaa, että digitaalisia elementtejä sisältävien tuotteiden tulee estää ohjelmistojen tai laiteohjelmistokomponenttien luvaton muuttaminen tai manipulointi sekä havaita ja raportoida kaikki tällaiset tapahtumat.
-
Saatavuus ja joustavuus tarkoittaa, että digitaalisilla elementeillä varustettujen tuotteiden tulee varmistaa jatkuva toimintansa, tietoturvansa ja suorituskykynsä normaaleissa ja epäsuotuisissa olosuhteissa sekä kestää kyberhyökkäyksiä vaarantamatta niiden keskeisiä toimintoja. Niiden pitää myös pitää huolta siitä että ne eivät häiritse muiden laitteiden tai verkkojen tarjoamien palvelujen saatavuutta
-
Hätätilanteisiin reagointi ja toipuminen tarkoittaa, että digitaalisia elementtejä sisältävillä tuotteilla tulee olla menettelyt kyberturvallisuushäiriöiden tunnistamiseksi, analysoimiseksi, hillitsemiseksi, poistamiseksi ja niistä toipumiseksi sekä niistä raportoimiseksi asianomaisille viranomaisille ja sidosryhmille. Tähän kuuluu myös asiaankuuluvien tietoturvapäivitysten saattaminen saataville nopeasti, helposti ja ilman erillistä maksua.
-
Toimitusketjun turvallisuus tarkoittaa, että digitaalisia elementtejä sisältävien tuotteiden tulee varmistaa, että niiden toimittajat noudattavat kyberturvallisuusvaatimuksia tuotteen koko elinkaaren ajan.
Mitä asetus sanoo kyberturvallisuushäiriöiden raportoinnista?
Cyber Resilience Act -ehdotus asettaa valmistajille raportointivelvollisuuden ilmoittaa Euroopan unionin kyberturvallisuusvirastolle (ENISA) 24 tunnin kuluessa siitä, kun he ovat saaneet tietoonsa "Minkä tahansa aktiivisesti hyväksikäytetyn haavoittuvuuden digitaalisia elementtejä sisältävässä tuotteessa" tai "kaikista tapauksista, jotka vaikuttavat digitaalisia elementtejä sisältävän tuotteen turvallisuuteen". Valmistajien on myös tiedotettava käyttäjilleen kaikista tällaisista tapauksista ja soveltuvin osin kaikista korjaavista toimenpiteistä, joita käyttäjät voivat käyttää tilanteen vaikutusten lieventämiseksi. Esimerkki tästä voisi olla asiaankuuluvien tietojen julkaiseminen verkkosivuillaan tai ottamalla yhteyttä suoraan käyttäjiin.
Samoin digitaalisia elementtejä sisältävien tuotteiden maahantuojien ja jakelijoiden on viipymättä ilmoitettava valmistajille kyberturvallisuuden haavoittuvuuksista. Jos kyberturvallisuusriski on merkittävä, maahantuojien ja jakelijoiden on ilmoitettava myös kansallisille markkinavalvontaviranomaisille poikkeamasta ja sen korjaavista toimenpiteistä.
Minkälaisia sanktioita ehdotus asettaa yrityksille, joiden tuotteet eivät täytä sen vaatimuksia?
CRA määrää vakavat seuraamukset sen noudattamatta jättämisestä. Yrityksille, jotka eivät noudata määräystä, voidaan määrätä sakkoja enintään 15 miljoonaa euroa tai 2,5% maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi. Se mahdollistaa myös tuotteiden takaisinvetämisen tai poistamisen markkinoilta erityistapauksissa.
Miten CRA:n voimaantuloon kannattaa käytännössä varautua?
Olemassaolevat standardit, kuten IEC 62443 ja IEC 27001 luovat hyvän pohjan kyberturvallisuudelle. Ennen kuin CAB-viranomaiset päättävät miten CRA tullaan käytännössä toteuttamaan, ei voida kuitenkaan sanoa ovatko nämä standardit riittävät täyttämään kaikki CRA:n vaatimukset. Todennäköisesti nämä standardit luovat silti hyvän pohjan tietoturvan kehittämiselle CRA:n voimaantuloa varten.
Standardien lisäksi esim. Secure Software Development Lifecycle ja NIST Cybersecurity viitekehykset painottavat ohjelmistojen kehityksessä samoja näkökulmia kuin CRA:n vaatimukset. Ohjelmistojen kehittäminen SSDLC ja NIST viitekehysten mukaisesti antaa todennäköisesti myös hyvän pohjan CRA:n vaatimusten täyttämiseksi.