JavaScript is currently disabled.Please enable it for a better experience of Jumi.

Euroopan Unioni on jo lähivuosina ottamassa käyttöön tiukentuvia kyberturvavaatimuksia. Uusia määräyksiä esitteli kattavasti Etteplanin myyntijohtaja Antti Tolvanen Embedded Conference Finland -tapahtumassa. Määräyksillä voi olla yllättäviä seurauksia, sillä esimerkiksi Kiinassa valmistettavia wifi-reitittimiä ei enää saa tuoda EU:n alueelle, jos ne eivät täytyy uusien määräysten vaatimuksia.

EU:ssa on sekä horisontaalisia eli kaikkia eri aloja koskevaa lainsäädäntöä - GDPR-säännöstö on tästä hyvä esimerkki - että vertikaalisia, tiettyjä tuotealueita koskevia määräyksiä. 2019 EU hyväksyi kyberturvalainsäädännön monine sertifiointiohjelmineen, joissa tarkoitus oli siirtyä jäsenvaltiokohtaisista sertifioinneista koko EU:n kattaviin sertifikaatteihin. Tämä hanke on pääosin epäonnistunut, sillä jäsenvaltioiden omat sertifiointiviranomaiset ovat pitäneet tiukasti kiinni omista valtuuksistaan.

- Nyt NIS2 (Network and Information System Directive 2) on käytännössä siirtänyt tämän lain historiaan yhdessä tuotteiden turvallisuutta koskevan uuden sääntelyn kanssa, Tolvanen kertoi.

NIS2-direktiivistä päästiin käytännössä sopuun kesällä. Parlamentti äänestää direktiivin sisällöstä lokakuun 22. päivä ja säännöstö julkistetaan todennäköisesti vuoden 2023 alussa. - Tämän jälkeen jäsenvaltiot sisällyttävät NIS2:n omaan lakiinsa 21 kuukauden kuluessa, Tolvanen selventää.

NIS2 määrää, että kaikkien toimijoiden - NIS2 puhuu olennaisista ja tärkeistä ”entiteeteistä” - täytyy vastata uusiin vaatimuksiin. Määräykset koskevat käytännössä kaikkia verkkoon liitettyjä laitteita, jotka käyttävät jonkinlaista ohjelmistoa käsittelemään digitaalista dataa. - Siis kaikkea, mitä sulautettujen laitteiden suunnittelijat suunnittelevat, Tolvanen tarkensi.

NIS2-direktiivin artikkeli 18 määrää esimerkiksi, että kaikkien toimijoiden täytyy vastata informaatiojärjestelmien turvallisuuden hallintamäärityksiin (ISMS), sekä tiukkoihin laitekehityksen ja ylläpidon vaatimuksiin. Tämä koskee paitsi laitevalmistajia, myös heidän alihankkijoitaan. Myös ohjelmistoalihankkijoita.

- Sulautettujen laitteiden näkökulmasta NIS2 tulee kattamaan käytännössä kaiken valmistuksen: lääketieteen laitteet, tietokoneet, sähkökomponentit, koneet ja laitteet, moottorit ja ajoneuvot sekä muut laitteet. Määräykset koskevat myös hallittujen tietoturvapalveluiden toimittajia. Eli jos ylläpitää asiakkaan ohjelmistoa, olet NIS2:n näkökulmasta olennainen toimija, Tolvanen kertoi.

Iso uudesta EU-lainsäädännöstä johtuva muutos on, että se tekee CE-merkinnöistä vanhentuneita.

- Esimerkiksi useimpia radiolaitteita koskevat määräykset hyväksyttiin tammikuussa 2022 ja niiden pitää tulla voidaan elokuun alussa 2024.  Ongelmana on, että standardi ei ole valmis, eikä laitevalmistajalla todennäköisesti ei ole riittävästi aikaa suunnitella laitteita uudestaan niin, että ne täyttävät uudet vaatimukset jo syksyllä 2024.

Radiolaitteita koskeva uusi RED-direktiivi on varsin tiukka. Se esimerkiksi määrää, ettei radiolaite saa haitata verkkoa eikä väärinkäyttää verkon resursseja niin, että yhteyden ja palvelun laatu kärsivät. - Tämän pitäisi tehdä laitteiden käyttämisestä esimerkiksi palvelunestohyökkäyksiin vaikeampaa. Lisäksi laitteiden pitää sisältää mekanismit, jotka suojaavat käyttäjän yksityistä dataa.

Tämä tulee muodostamaan ongelmia valmistajille. Ennen kuin harmonisoitu standardi on valmis, tuotteen tuominen EU:n markkinoille edellyttää hyväksyntää auktorisoidussa organisaatiossa. Mikäli radiolaitetta ei ole hyväksytty standardin mukaisesti, siitä tulee laiton elokuussa alussa 2024. Vaikka tuote olisi jo markkinoilla, sitä ei voi enää tämän jälkeen myydä, mikäli se ei täytä direktiivin vaatimuksia.

Tästä voi tulla yllättäviä käytännön seurauksia. - Useimmat EU:ssa myytävistä reitittimistä valmistetaan Kiinassa ja jossakin vaiheessa vi tulla ongelma saada langattomia reitittimiä Eurooppaan.

Tolvasen mukaan uusi EU-säännöstö ei tarkoita protektionismia. - Sillä halutaan varmistaa, että Euroopassa voidaan käyttää turvallisia laitteita infrastruktuurissa. Paremman turvallisuuden myötä tulee kalliimmaksi ryhtyä kyberhyökkäyksiin, hän päätti.

Antti Tolvasen ECF22-esityksen voi katsella ETNtv:ssä.

ETNtv

Watch ECF videos

Korteilla vauhtia IoT-kehitykseen

Sulautetun laitteen kehitys onnistuu useimmiten helpoiten valmiiden moduulien avulla. Nykyään niitä saa myös tehokkailla Apollo Lake -sarjan prosessoreilla varustettuna.

Lue lisää...

Suomen suurin valtti kybersodassa on luottamus

Teknologia19 – Aalto-yliopiston kyberturvallisuusprofessori Jarno Limnéll uskoo, että luotettavuudesta voi tulla suomalaisten yritysten suurin myyntivaltti tulevaisuudessa. – Tärkein kysymys on tulevaisuudessa, kehen ja mihin voimme luottaa. Luottamuksesta on tulossa hyvin arvokas aineeton pääoma yrityksille, Limnéll sanoi eilen messukeskuksessa.

Lue lisää...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

ETN_fi Cyber warfare starts years before the physical combat. See more here: https://t.co/dL2PW24xEe #cyber #cybersecurityhttps://t.co/8hcSoQgqpe
ETN_fi https://t.co/ugg6A0r6JX EU will tighten cyber security on IoT devices with new NIS2 legislation. See the ECF22 keyn… https://t.co/UBiEt4PRPM
ETN_fi Onko koko internet vaarassa? ECF-ohjelma valmis, vielä ehdit mukaan https://t.co/zY31Av5iuy #ecf22 #embedded #Security
ETN_fi ECF22 is getting near - Sign in here for free! https://t.co/Jb2a93VuJ9 #ecf22 #embedded #security
Sponsors


Gold Sponsors


Silver Sponsors
Bronze





ECF template