EU:ssa on saatu valmiiksi merkittävä kyberturvallisuuslakien uudistus. Uudet vaatimukset, jotka koskevat yrityksiä ja tuotteita, alkavat vaikuttaa vaiheittain vuosien 2024–2027 aikana. 

Haastattelimme Etteplanin ohjelmistojen ja sulautettujen ratkaisujen myyntijohtaja Antti Tolvasta, joka on vuodesta 2019 lähtien seurannut tarkasti EU:n kyberturvallisuuslainsäädäntöjen kehittymistä ja auttaa yrityksiä mukautumaan uusiin vaatimuksiin.

Tolvanen isännöi 29.4.2025 kello 14 Cyber Security Regulations Update 2025 – webinaaria, jossa hän tulee avaamaan mm. Kyberkestävyyssäädöksen vaikutuksia digitaalisille tuotteille ja palveluille sekä niiden toimitusketjuille.

EU:n Kyberturvallisuuslainsäädännön myötä edessä on laaja markkinamurros 

Antti Tolvanen haluaa herätellä suomalaisia yrityksiä havahtumaan EU:n Kyberturvallisuuslainsäädännön aiheuttaman markkinamurroksen kokoluokkaan.

”Tässä on laaja lainsäädännöstä johtuva markkinamurros alkamassa. Suurin murroksen aiheuttaja on Kyberkestävyyssäädös joka kieltää 11.12.2027 alkaen esimerkiksi monien nykyisten datarajapintoja sisältävien elektroniikka- ja ohjelmistokomponenttien, laitteiden, sekä palveluina myytävien ohjelmistojen markkinoille saattamisen, jotka eivät täytä uusia vaatimuksia. Keskeinen ongelma on, että monissa yrityksissä ei ymmärretä mitä esimerkiksi käsite ‘markkinoille saattaminen’ ylipäätänsä tarkoittaa”, Tolvanen kertoo.

Radiolaitedirektiivin kyberturvallisuusvaatimukset eli delegoidut säädökset 3(3)def alkavat vaikuttaa jo 1.8.2025 alkaen. Ne vaikuttavat internetiin suoraan tai toisten laitteiden kautta epäsuoraan liittyviin radiolaitteiden vaatimustenmukaisuuteen, mukaanlukien IoT-laitteissa käytettävät radiomoduulit.

”Radiolaitteiden valmistajilla on nyt alle neljä kuukautta aikaa reagoida, ja esimerkiksi autovalmistajat kohtasivat kybervaatimusten tiukentumisen heinäkuussa 2024, jolloin joidenkin automallien tuotanto EU:markkinaa varten jouduttiin lopettamaan. Esimerkiksi Porsche joutui lopettamaan useamman automallinsa valmistuksen.”

Motor1.com muisti Porchen Euroopassa lopetettuja automalleja 718 Boxsteria and Caymania ”Rest in peace” -tekstin kera. Kuva: Motor1.com.

 

Tolvasen mukaan uusi sääntely on erittäin laajaa ja vaikuttaa merkittävästi yritysten toimintaan: ”Kyberturvallisuuslaki, eli NIS2 direktiivin kansallinen täytäntöönpanolaki alkoi vaikuttaa 8.4.2025. Yritykset joita NIS2 koskee tuntevat hyvin sen vaatimukset koskien operatiivisten järjestelmien tietoturvan johtamista. Monelle softatuote- ja palvelutalolle voi kuitenkin tulla melkoisena yllätyksenä että NIS2 toimeenpanoasetuksen noin sata tarkempaa tietoturvan johtamisjärjestelmävaatimusta koskevat heitä jo tänään.”

Kyberturvallisuuden sääntelyn tiukentumisen taustalla vaikuttaa vahvasti mm. Venäjän hyökkäys Ukrainaan, jonka seurauksena EU:ssa on Tolvasen sanoin ajettu läpi Kyberkestävyyssäädös, joka on ”tosi tuju” lainsäädäntö. Samalla osassa yrityksiä tunnetaan huonosti uusia kyberturvallisuuslakeja ja niiden vaikutusta liiketoimintaan.

”Monissa yrityksissä tunnetaan todella huonosti EU/ETA-maiden tuoteturvallisuutta koskeva harmonisointilainsäädäntö ja näiden uudet kyberturvallisuusvaatimukset jotka pitää ottaa huomioon tuotekehityksessä, valmistuksessa ja ylläpidossa. Väittäisin, että erityisesti ohjelmistoyritysten on hankala ymmärtää kyberturvallisuusvaatimusten lopullista vaikutusta heidän liiketoimintaansa koska softatuotteet eivät perinteisesti ole olleet EU:n tuoteturvallisuuslainsäädännön piirissä”, Tolvanen toteaa.

Yksi keskeisistä haasteista on asiantuntijoiden puute. Yrityksissä compliance-osaajat ymmärtävät erinomaisesti tuoteturvallisuuslakien terminologian, mutta laitteistoyrityksissä heillä on usein tausta elektroniikassa tai koneturvallisuudessa, kun taas tuotteiden kyberturvallisuus liittyy laajalti ohjelmistoihin. 

”Nyt ollaan jo implementointivaiheessa, sillä uudet lait alkavat vaikuttaa tämän ja kahden seuraavan vuoden aikana”

”Missioni vuodesta 2019 on ollut seurata ja kertoa näiden uusien lakien liiketoimintaan vaikuttavista muutoksista. Nyt ollaan jo implementointivaiheessa, sillä uudet lait alkavat vaikuttaa tämän ja kahden seuraavan vuoden aikana”, Tolvanen sanoo. 

Uudet vaatimukset pakottavat yritykset uudistamaan tuotteitaan, prosessejaan vastaamaan myös muita uusia CE-merkintää ja datan jakamista koskevia säädöksiä, kuten, Machinery Regulation, Artificial Intelligence Act, ja Data Act.

Useimmat yritykset ovat jo käynnistäneet kyberturvallisuuden muutosohjelmia, mutta osa yrityksistä ei vielä tiedosta uusia vaatimuksia. 

Tolvanen korostaa, että valmistautumattomuus voi olla pahimmillaan liiketoiminnalle kohtalokasta:

”Näissä uusissa regulaatioissa on melko pitkälti GDPR:n kaltaiset isot, liikevaihtoon sidotut hallinnolliset sakot, jos tuotteita ja prosesseja koskevia vaatimuksia ei noudateta. Sama koskee puutteellisen tiedon toimittamista viranomaisille. Lisäksi viranomaisilla on myös muita pakkokeinoja käytössä, kuten määrätä tuotteiden takaisinvedot ja yrityksen johdon siirtäminen syrjään tehtävistään.” 

Tolvanen kannustaa yrityksiä toimimaan ajoissa jo järkisyistäkin, sillä suuri osa tietomurroista johtuu korjaamattomista, julkisesti tiedossa olevista haavoittuvuuksista.

”Näistä johtuvat yhteiskunnalliset kustannukset voivat olla miljoonia euroja per poikkeama”, Tolvanen muistuttaa.

Tietoturvaa ei voi Tolvasen mukaan liimata päälle jälkikäteen:

”Tuote edellyttää usein melko perustavanlaatuista uudelleensuunnittelua, jos tietoturvapuutteita ilmenee.”

Yritysten onkin valittava, tekevätkö ne laadukkaita tuotteita vai yrittävätkö selvitä minimivaatimuksilla tai ottaa vaatimustenvastaisuusriskiä. Tolvasen mukaan paras valinta on ennakoida ja tehdä tuotteista tietoturvallisia jo suunnitteluvaiheessa.