Euroopan Unioni on jo lähivuosina ottamassa käyttöön tiukentuvia kyberturvavaatimuksia. Uusia määräyksiä esitteli kattavasti Etteplanin myyntijohtaja Antti Tolvanen Embedded Conference Finland -tapahtumassa. Määräyksillä voi olla yllättäviä seurauksia, sillä esimerkiksi Kiinassa valmistettavia wifi-reitittimiä ei enää saa tuoda EU:n alueelle, jos ne eivät täytyy uusien määräysten vaatimuksia.
EU:ssa on sekä horisontaalisia eli kaikkia eri aloja koskevaa lainsäädäntöä - GDPR-säännöstö on tästä hyvä esimerkki - että vertikaalisia, tiettyjä tuotealueita koskevia määräyksiä. 2019 EU hyväksyi kyberturvalainsäädännön monine sertifiointiohjelmineen, joissa tarkoitus oli siirtyä jäsenvaltiokohtaisista sertifioinneista koko EU:n kattaviin sertifikaatteihin. Tämä hanke on pääosin epäonnistunut, sillä jäsenvaltioiden omat sertifiointiviranomaiset ovat pitäneet tiukasti kiinni omista valtuuksistaan.
- Nyt NIS2 (Network and Information System Directive 2) on käytännössä siirtänyt tämän lain historiaan yhdessä tuotteiden turvallisuutta koskevan uuden sääntelyn kanssa, Tolvanen kertoi.
NIS2-direktiivistä päästiin käytännössä sopuun kesällä. Parlamentti äänestää direktiivin sisällöstä lokakuun 22. päivä ja säännöstö julkistetaan todennäköisesti vuoden 2023 alussa. - Tämän jälkeen jäsenvaltiot sisällyttävät NIS2:n omaan lakiinsa 21 kuukauden kuluessa, Tolvanen selventää.
NIS2 määrää, että kaikkien toimijoiden - NIS2 puhuu olennaisista ja tärkeistä ”entiteeteistä” - täytyy vastata uusiin vaatimuksiin. Määräykset koskevat käytännössä kaikkia verkkoon liitettyjä laitteita, jotka käyttävät jonkinlaista ohjelmistoa käsittelemään digitaalista dataa. - Siis kaikkea, mitä sulautettujen laitteiden suunnittelijat suunnittelevat, Tolvanen tarkensi.
NIS2-direktiivin artikkeli 18 määrää esimerkiksi, että kaikkien toimijoiden täytyy vastata informaatiojärjestelmien turvallisuuden hallintamäärityksiin (ISMS), sekä tiukkoihin laitekehityksen ja ylläpidon vaatimuksiin. Tämä koskee paitsi laitevalmistajia, myös heidän alihankkijoitaan. Myös ohjelmistoalihankkijoita.
- Sulautettujen laitteiden näkökulmasta NIS2 tulee kattamaan käytännössä kaiken valmistuksen: lääketieteen laitteet, tietokoneet, sähkökomponentit, koneet ja laitteet, moottorit ja ajoneuvot sekä muut laitteet. Määräykset koskevat myös hallittujen tietoturvapalveluiden toimittajia. Eli jos ylläpitää asiakkaan ohjelmistoa, olet NIS2:n näkökulmasta olennainen toimija, Tolvanen kertoi.
Iso uudesta EU-lainsäädännöstä johtuva muutos on, että se tekee CE-merkinnöistä vanhentuneita.
- Esimerkiksi useimpia radiolaitteita koskevat määräykset hyväksyttiin tammikuussa 2022 ja niiden pitää tulla voidaan elokuun alussa 2024. Ongelmana on, että standardi ei ole valmis, eikä laitevalmistajalla todennäköisesti ei ole riittävästi aikaa suunnitella laitteita uudestaan niin, että ne täyttävät uudet vaatimukset jo syksyllä 2024.
Radiolaitteita koskeva uusi RED-direktiivi on varsin tiukka. Se esimerkiksi määrää, ettei radiolaite saa haitata verkkoa eikä väärinkäyttää verkon resursseja niin, että yhteyden ja palvelun laatu kärsivät. - Tämän pitäisi tehdä laitteiden käyttämisestä esimerkiksi palvelunestohyökkäyksiin vaikeampaa. Lisäksi laitteiden pitää sisältää mekanismit, jotka suojaavat käyttäjän yksityistä dataa.
Tämä tulee muodostamaan ongelmia valmistajille. Ennen kuin harmonisoitu standardi on valmis, tuotteen tuominen EU:n markkinoille edellyttää hyväksyntää auktorisoidussa organisaatiossa. Mikäli radiolaitetta ei ole hyväksytty standardin mukaisesti, siitä tulee laiton elokuussa alussa 2024. Vaikka tuote olisi jo markkinoilla, sitä ei voi enää tämän jälkeen myydä, mikäli se ei täytä direktiivin vaatimuksia.
Tästä voi tulla yllättäviä käytännön seurauksia. - Useimmat EU:ssa myytävistä reitittimistä valmistetaan Kiinassa ja jossakin vaiheessa vi tulla ongelma saada langattomia reitittimiä Eurooppaan.
Tolvasen mukaan uusi EU-säännöstö ei tarkoita protektionismia. - Sillä halutaan varmistaa, että Euroopassa voidaan käyttää turvallisia laitteita infrastruktuurissa. Paremman turvallisuuden myötä tulee kalliimmaksi ryhtyä kyberhyökkäyksiin, hän päätti.
Antti Tolvasen ECF22-esityksen voi katsella ETNtv:ssä.