Euroopan Unioni on jo lähivuosina ottamassa käyttöön tiukentuvia kyberturvavaatimuksia. Uusia määräyksiä esitteli kattavasti Etteplanin myyntijohtaja Antti Tolvanen Embedded Conference Finland -tapahtumassa. Määräyksillä voi olla yllättäviä seurauksia, sillä esimerkiksi Kiinassa valmistettavia wifi-reitittimiä ei enää saa tuoda EU:n alueelle, jos ne eivät täytyy uusien määräysten vaatimuksia.

EU:ssa on sekä horisontaalisia eli kaikkia eri aloja koskevaa lainsäädäntöä - GDPR-säännöstö on tästä hyvä esimerkki - että vertikaalisia, tiettyjä tuotealueita koskevia määräyksiä. 2019 EU hyväksyi kyberturvalainsäädännön monine sertifiointiohjelmineen, joissa tarkoitus oli siirtyä jäsenvaltiokohtaisista sertifioinneista koko EU:n kattaviin sertifikaatteihin. Tämä hanke on pääosin epäonnistunut, sillä jäsenvaltioiden omat sertifiointiviranomaiset ovat pitäneet tiukasti kiinni omista valtuuksistaan.

- Nyt NIS2 (Network and Information System Directive 2) on käytännössä siirtänyt tämän lain historiaan yhdessä tuotteiden turvallisuutta koskevan uuden sääntelyn kanssa, Tolvanen kertoi.

NIS2-direktiivistä päästiin käytännössä sopuun kesällä. Parlamentti äänestää direktiivin sisällöstä lokakuun 22. päivä ja säännöstö julkistetaan todennäköisesti vuoden 2023 alussa. - Tämän jälkeen jäsenvaltiot sisällyttävät NIS2:n omaan lakiinsa 21 kuukauden kuluessa, Tolvanen selventää.

NIS2 määrää, että kaikkien toimijoiden - NIS2 puhuu olennaisista ja tärkeistä ”entiteeteistä” - täytyy vastata uusiin vaatimuksiin. Määräykset koskevat käytännössä kaikkia verkkoon liitettyjä laitteita, jotka käyttävät jonkinlaista ohjelmistoa käsittelemään digitaalista dataa. - Siis kaikkea, mitä sulautettujen laitteiden suunnittelijat suunnittelevat, Tolvanen tarkensi.

NIS2-direktiivin artikkeli 18 määrää esimerkiksi, että kaikkien toimijoiden täytyy vastata informaatiojärjestelmien turvallisuuden hallintamäärityksiin (ISMS), sekä tiukkoihin laitekehityksen ja ylläpidon vaatimuksiin. Tämä koskee paitsi laitevalmistajia, myös heidän alihankkijoitaan. Myös ohjelmistoalihankkijoita.

- Sulautettujen laitteiden näkökulmasta NIS2 tulee kattamaan käytännössä kaiken valmistuksen: lääketieteen laitteet, tietokoneet, sähkökomponentit, koneet ja laitteet, moottorit ja ajoneuvot sekä muut laitteet. Määräykset koskevat myös hallittujen tietoturvapalveluiden toimittajia. Eli jos ylläpitää asiakkaan ohjelmistoa, olet NIS2:n näkökulmasta olennainen toimija, Tolvanen kertoi.

Iso uudesta EU-lainsäädännöstä johtuva muutos on, että se tekee CE-merkinnöistä vanhentuneita.

- Esimerkiksi useimpia radiolaitteita koskevat määräykset hyväksyttiin tammikuussa 2022 ja niiden pitää tulla voidaan elokuun alussa 2024.  Ongelmana on, että standardi ei ole valmis, eikä laitevalmistajalla todennäköisesti ei ole riittävästi aikaa suunnitella laitteita uudestaan niin, että ne täyttävät uudet vaatimukset jo syksyllä 2024.

Radiolaitteita koskeva uusi RED-direktiivi on varsin tiukka. Se esimerkiksi määrää, ettei radiolaite saa haitata verkkoa eikä väärinkäyttää verkon resursseja niin, että yhteyden ja palvelun laatu kärsivät. - Tämän pitäisi tehdä laitteiden käyttämisestä esimerkiksi palvelunestohyökkäyksiin vaikeampaa. Lisäksi laitteiden pitää sisältää mekanismit, jotka suojaavat käyttäjän yksityistä dataa.

Tämä tulee muodostamaan ongelmia valmistajille. Ennen kuin harmonisoitu standardi on valmis, tuotteen tuominen EU:n markkinoille edellyttää hyväksyntää auktorisoidussa organisaatiossa. Mikäli radiolaitetta ei ole hyväksytty standardin mukaisesti, siitä tulee laiton elokuussa alussa 2024. Vaikka tuote olisi jo markkinoilla, sitä ei voi enää tämän jälkeen myydä, mikäli se ei täytä direktiivin vaatimuksia.

Tästä voi tulla yllättäviä käytännön seurauksia. - Useimmat EU:ssa myytävistä reitittimistä valmistetaan Kiinassa ja jossakin vaiheessa vi tulla ongelma saada langattomia reitittimiä Eurooppaan.

Tolvasen mukaan uusi EU-säännöstö ei tarkoita protektionismia. - Sillä halutaan varmistaa, että Euroopassa voidaan käyttää turvallisia laitteita infrastruktuurissa. Paremman turvallisuuden myötä tulee kalliimmaksi ryhtyä kyberhyökkäyksiin, hän päätti.

Antti Tolvasen ECF22-esityksen voi katsella ETNtv:ssä.

ETNtv

Watch ECF videos

Korteilla vauhtia IoT-kehitykseen

Sulautetun laitteen kehitys onnistuu useimmiten helpoiten valmiiden moduulien avulla. Nykyään niitä saa myös tehokkailla Apollo Lake -sarjan prosessoreilla varustettuna.

Lue lisää...

Suomen suurin valtti kybersodassa on luottamus

Teknologia19 – Aalto-yliopiston kyberturvallisuusprofessori Jarno Limnéll uskoo, että luotettavuudesta voi tulla suomalaisten yritysten suurin myyntivaltti tulevaisuudessa. – Tärkein kysymys on tulevaisuudessa, kehen ja mihin voimme luottaa. Luottamuksesta on tulossa hyvin arvokas aineeton pääoma yrityksille, Limnéll sanoi eilen messukeskuksessa.

Lue lisää...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

 SPONSORS

 

congatec is a rapidly growing technology company focusing on embedded and edge computing products and services. The high-performance computer modules are used in a wide range of applications and devices in industrial automation, medical technology, robotics, telecommunications and many other verticals.

CVG Convergens is an ICT services company specialized in embedded systems, smart connected products and ICT systems and processes for SME businesses. Our mission is to help our clients, our team, and the society to improve and thrive by providing reliable and sustainable solutions, services, and products by creative and efficient application of technology.

 

ADLINK Technology leads edge computing, the catalyst for a world powered by artificial intelligence. We manufacture edge hardware and develop edge software for embedded, distributed and intelligent computing - from powering medical PCs in the intensive care unit to building the world’s first high-speed autonomous race car - more than 1600 customers around the world trust ADLINK for mission-critical success.

 

 

Testhouse Nordic is the leading supplier of test and measurement products and solutions in the Nordic countries. We partner with world's most renowned suppliers. Through our expertise and strong relationships with our suppliers, we offer products and services that regularly exceed our customers’ expectations.

 

 

Mespek Oy is established 1989 and our focus is on industrial electronics and producing support services. The main product areas of Mespek are embedded modules, industrial computing, test&measurement modules and server management systems (KVM-switches).

 

BCC Solutions Oy is a Finnish company that, in addition to expert services, offers comprehensive equipment solutions for data transfer and telecommunication networks, as well as their analysis, testing and measurement. We broadly represent the industry's leading brands.

 

 

In cooperation with

 

 

 

and

 





ECF template