EU haluaa turvata kansalaistensa datan ja yksityisyyden vahvalla reguloinnilla, joka koostuu useista eri lainsäädäntöhankkeista. Tuleva radiolaitedirektiivi tarkoittaa käytännössä, että kaikki EU:n alueella myyntiin elokuun 1. päivän jälkeen vuonna 2025 tulevat langattomat IoT-laitteet täytyy suunnitella ja hyväksyttää uudelleen.*
Etteplanin kyberturvareguloinnista vastaava asiantuntija Antti Tolvanen piti tänään webinaarin EU:n eri kyberturvan liittyvästä reguloinnista. Langattomia laitteita reguloi RED-direktiivi (Radio Equipment Directive), jonka piti alun perin tulla voimaan jo ensi vuonna. Koska standardit eivät olleet vielä valmiita, direktiivin voimaantuloa siirrettiin vuodella.
Nykytilanne muuttuu siis 1.8.2025. Sen jälkeen vanhaa, markkinoille aiemmin tuotua laitetta ei voi enää myydä. Kun laite tuodaan saataville EU:n markkinoilla, sen pitää vastata nyt draftivaiheessa olevan RED-direktiivin vaatimuksiin.
Vaatimukset määräävät, että radiolaite ei saa vahingoittaa verkkoa väärinkäyttämällä veron resursseja, mikä johtaisi verkon palvelutason alenemiseen. Radiolaitteessa pitää toteuttaa turvamekanismit, jotta laitteen käyttäjän henkilökohtainen data ja käyttäjän yksityisyys eivät vaarannu. Lisäksi laitteen pitää tukea ominaisuuksia, jotka estävät sen käytön petoksissa.
Mitä tämä tarkoittaa käytännössä? Laitteen pitää hallita ja monitoroida verkkoliikennettä, myös ulospäin lähtevää dataa. Laitteen pitää lisäksi pystyä vastaamaan palvelunestohyökkäysten vaikutuksiin. Laitteen pitää lisäksi autentikoida kaikki mekanismit, joilla laitteeseen päästään käsiksi.
Kun uusi radiolaite tuodaan EU-markkinoille, sen pitää olla puhdas kaikista hyödynnettävissä olevista, tiedetyistä ohjelmiston tai laitteiston haavoittuvuuksista. Ohjelmiston tai laiteohjelmiston päivityksen pitää tapahtua automatisoidusti ja turvallisesti. Henkilökohtainen tai taloudellinen data pitää suojata ja sen käytön pitää edellyttää autentikointia. Käyttäjää pitää lisäksi informoida kaikista muutoksista, jotka voivat avikuttaa henkilökohtaisen datan käsittelyyn. ja lopulta laitteeseen tallennettu henkilökohtainen data pitää olla helposti deletoitavissa.
Antti Tolvasen mukaan tämä tarkoittaa laitevalmistajien kannalta, että tarvitaan lisää rahaa toiminnalliseen testaukseen, jotta RED-direktiivin vaatimusten kaltaisia laitteita voidaan myydä. IoT-laitteen myyminen edellyttää myös laitteen turvallista elinkaaren hallintaa, eli valmistajan vastuu ei pääty laitteen myyntiin asiakkaalle.
EU:ssa on toki tulossa voimaan monia muitakin tärkeitä kyberturvaan liittyviä regulointeja. NIS2 tulee voimaan syksyllä 2024. Ensi vuonna tulee myös uusia tuotteita koskevia kyberturvamääräyksiä, esimerkiksi digitaaliseen lompakkoon liittyvät eIDAS2. Heinäkuusta 2024 lähtien autot pitää valmistaa kyberturvahallinnan sääntöjen mukaisesti. Myöhemmin tulossa ovat Data Act, jonka mukaan kaikesta käytetystä datasta tulee käyttäjän omaisuutta. Tekoälyä tullaan reguloimaan AI Actilla, joka näillä näkymin tullee voimaan vuonna 2026.
Kuva: AdobeStock
* Alkuperäisen uutisen otsikon pystyi myös tulkitsemaan niin, että kaikista IoT-laitteista olisi tullut laittomia 1.8.2025. Tämä ei tietenkään koske vanhoja, jo käytössä olevia laitteita.
Intel on ollut viime aikoina uudenlaisissa huhuissa, kun yhtiötä on välillä pilkottu, välillä myyty. Kolmannen neljänneksen tulokseen kirjattiin massiiviset 16,6 miljardin dollarin tappiot, mutta pääjohtaja Pat Gelsinger sanoo silti, että Inteliä tai sen osia ei olla myymässä minnekään.
Elektroniikka- ja kodinkonekaupan yhdistys ETKOn lukujen mukaan Suomessa myytiin heinä-syyskuussa reilut 636 tuhatta puhelinta, mikä on 4,4 prosenttia enemmän kuin vuotta aikaisemmin. Rahassa mitattuna myynnin arvo sen sijaan laski 1,6 prosenttia.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.
