Euroopan unionin uusi Cyber Resilience Act (CRA) muuttaa perusteellisesti tapaa, jolla digitaalisia tuotteita suunnitellaan, valmistetaan ja ylläpidetään. Digi Internationalin Joe Hill korosti ECF25-konferenssissa, että kyseessä ei ole vain uusi säädös, vaan paradigman muutos koko tuotevastuussa.
CRA integroi kyberturvallisuusvaatimukset osaksi CE-merkintää, joka on pakollinen kaikille EU-markkinoille tuleville digitaalisia elementtejä sisältäville tuotteille. Tämä tarkoittaa, että niin valmistajien kuin jälleenmyyjienkin on otettava huomioon tietoturva koko tuotteen elinkaaren ajan, ei ainoastaan markkinoille tulon hetkellä.
Taustalla on kaksi keskeistä ongelmaa: heikot kyberturvatasot tuotteissa ja puutteelliset päivitykset sekä käyttäjien vaikeus arvioida, kuinka turvallisia tuotteet ovat. CRA pyrkii ratkaisemaan nämä harmonisoiduilla säännöillä ja velvoittamalla toimijat toteuttamaan läpinäkyvää, jatkuvaa tietoturvaa.
Lain keskeisiin pilareihin kuuluvat muun muassa varhaiset haavoittuvuusilmoitukset (24 tunnin sisällä), riskiluokitus eri tuoteryhmille, valvonta- ja auditointikäytännöt sekä tiukat vaatimukset turvalliselle suunnittelulle, ohjelmistopäivityksille ja datan salaukselle. Käytännössä tämä voi tarkoittaa esimerkiksi salattua tiedon tallennusta, turvallisia OTA-päivityksiä ja suojausta oletussalasanojen kaltaisilta heikkouksilta.
Hill muistutti, että epäonnistuminen vaatimusten täyttämisessä voi johtaa tuotteen myyntikiellon lisäksi jopa tuotteiden takaisinvetoon ja sakkoihin, jotka voivat olla 2,5 % yrityksen maailmanlaajuisesta liikevaihdosta. - Kyse on siis huomattavasti vakavammasta asiasta kuin aiemmissa normeissa, hän totesi.
Digi esitteli myös omat työkalunsa CRA-vaatimusten tueksi. TrustFence-turvakehys tarjoaa laite- ja ohjelmistopohjaisia suojauksia, ConnectCore Security Services keskittyy haavoittuvuuksien hallintaan ja ConnectCore Cloud Services mahdollistaa laitteiden valvonnan ja päivitykset kentällä. Näiden avulla yritys pyrkii tukemaan asiakkaitaan tuotteiden koko elinkaaren ajan.
CRA:n aikataulu on tiukka. Lainsäädäntö julkaistiin EU:n virallisessa lehdessä marraskuussa 2024, ja ensimmäiset raportointivelvoitteet astuvat voimaan jo joulukuussa 2024. Itse säädös tulee voimaan kesäkuussa 2026, mutta täysimääräisesti se sovelletaan joulukuusta 2027 alkaen. Yrityksillä on siis vain pari vuotta aikaa varmistaa tuotteidensa vaatimustenmukaisuus.
Joe Hillin esityskalvot löytyvät täältä ja koko esitys ECF-tapahtuman Youtube-kanavalta.
Kun suurteholaskennan (HPC) työkuormat monimutkaistuvat, generatiivinen tekoäly sulautuu yhä tiiviimmin moderneihin järjestelmiin ja lisää kehittyneiden muistiratkaisujen tarvetta. Vastatakseen näihin muuttuviin vaatimuksiin ala kehittää uuden sukupolven muistiarkkitehtuureja, jotka maksimoivat kaistanleveyden, minimoivat latenssin ja parantavat energiatehokkuutta.
