EU:n kyberturvallisuus ei ole enää yksittäinen ominaisuus vaan koko tuotteen käyttövarmuuden perusta. Tätä linjaa vahvistaa Cyber Resilience Act, jonka tavoitteena on nostaa kaikkien digitaalisten tuotteiden tietoturvan perustaso. Saksalaisen moduulivalmistaja congatecin analyysin mukaan suurin riski ei kuitenkaan ole itse sääntely, vaan se, miten yritykset tulkitsevat sitä väärin.
CRA tuli voimaan jo joulukuussa 2024 ja sitä aletaan soveltaa täysimääräisesti vuoden 2027 lopussa . Aikaa valmistautua on, mutta väärä lähtöoletus voi johtaa siihen, että koko tuoteportfolio joudutaan arvioimaan uudelleen liian myöhään.
Ensimmäinen ja yleisin virhe on ajatus siitä, että CRA koskee vain internetiin kytkettyjä laitteita. Congatecin mukaan tämä on täysin väärä tulkinta. Sääntely ei puhu internetistä, vaan kaikista tuotteista, joilla on jonkinlainen looginen tai fyysinen yhteys toiseen laitteeseen tai verkkoon. Tämä tarkoittaa käytännössä sitä, että myös teollisuuden järjestelmät, joita ei koskaan kytketä julkiseen verkkoon, kuuluvat lain piiriin, jos niissä on esimerkiksi huoltoliitäntä, Ethernet-portti tai yhteys paikalliseen verkkoon. Kysymys ei siis ole siitä, onko laite online, vaan siitä, voiko se olla yhteydessä johonkin.
Toinen virhe liittyy tuotteiden elinkaareen. Moni valmistaja ajattelee, että vanhaa tuotetta voi myydä niin kauan kuin sitä ei muuteta teknisesti. CRA ei kuitenkaan toimi näin. Keskeinen käsite on “markkinoille saattaminen”, joka tapahtuu jokaiselle yksittäiselle laitteelle vain kerran. Jos tietty laite on toimitettu ennen vuoden 2027 määräaikaa, se voi hyötyä siirtymäsäännöksistä. Mutta jos samaa tuotetta valmistetaan ja toimitetaan tämän jälkeen, se kuuluu täysin CRA:n vaatimusten piiriin, vaikka se olisi teknisesti identtinen aiemman version kanssa. Tämä murtaa perinteisen ajattelun tuoteperheistä, koska sääntely kohdistuu yksittäisiin yksiköihin, ei mallinimeen tai tuotesarjaan.
Kolmas ja ehkä vaarallisin virhe liittyy tukeen. Yritykset ovat tottuneet siihen, että tuotteen ylläpito seuraa sen kaupallista elinkaarta. CRA katkaisee tämän logiikan. Valmistajan on huolehdittava haavoittuvuuksien hallinnasta ja tietoturvapäivityksistä vähintään viiden vuoden ajan tai koko tuotteen odotetun käyttöiän. Tämä velvoite alkaa siitä hetkestä, kun yksittäinen laite tuodaan markkinoille. Käytännössä tämä tarkoittaa, että eri aikaan toimitetuilla laitteilla on eri tukijaksot, ja viimeisten toimitusten tuki voi jatkua vuosia sen jälkeen, kun tuote on poistunut myynnistä.
Congatecin mukaan tämä johtaa väistämättä tilanteeseen, jossa perinteinen tuoteajattelu ei enää toimi. Kyse ei ole pelkästä compliance-vaatimuksesta, vaan rakenteellisesta muutoksesta, joka ulottuu tuotekehitykseen, arkkitehtuuriin ja koko liiketoimintamalliin. Erityisesti teollisuudessa, jossa järjestelmien elinkaaret voivat olla yli kymmenen vuotta, CRA pakottaa miettimään uudelleen, miten tuotteita päivitetään ja miten niiden tietoturva pidetään ajan tasalla.
CRA ei ole projekti, joka hoidetaan juuri ennen määräaikaa. Se on signaali siitä, että digitaalisten tuotteiden suunnittelu on muuttunut pysyvästi. Yritykset, jotka ymmärtävät tämän ajoissa, voivat vielä kääntää sääntelyn kilpailueduksi. Muut joutuvat sopeutumaan pakon edessä.
