EU:n uusi kyberresilienssiasetus (Cyber Resilience Act, CRA) on astunut voimaan, ja se asettaa uudenlaisia vaatimuksia kaikille digitaalisia elementtejä sisältäville tuotteille. Erityisesti operatiivisen teknologian (OT) ja teollisuuden laitevalmistajien on syytä olla hereillä. Monia käytännön asioita on vielä tarkentamatta ja tämä aiheuttaa melkoista päänvaivaa laitevalmistajalle, ja myös meille, laitevalmistajien ratkaisutoimittajan ominaisuudessa.

Vastuu tietoturvasta siirtyy entistä selvemmin valmistajalle.

Tässä on kolme valitsemaani kohtaa, jotka jokaisen OT-laitteita valmistavan tai hyödyntävän toimijan kannattaisi tietää CRA:sta:

1️⃣ Security by design

Laitteita ei voi enää toimittaa tunnetuilla haavoittuvuuksilla tai oletussalasanoilla kuten "admin/admin". Tietoturvan on oltava sisäänrakennettu osa tuotekehitystä alusta alkaen.

2️⃣ Elinkaarivastuu haavoittuvuuksien hallinnasta

Valmistajan vastuu ei pääty toimitukseen. Heidän on aktiivisesti hallittava haavoittuvuuksia ja tarjottava tietoturvapäivityksiä tuotteen koko elinkaaren ajan. Tämä pakottaa miettimään laitteiden ylläpitoa täysin uudella tavalla. Tämä kohta on vielä avoin eikä tiedetä mitä "koko elinkaari" tarkoittaa. Onko se 5 vuotta, 10 vuotta vai mitä?

3️⃣ Pakollinen 24 tunnin raportointivelvollisuus

Aktiivisesti hyväksikäytetyistä haavoittuvuuksista on raportoitava EU:n kyberturvallisuusvirasto ENISAlle 24 tunnin kuluessa. Nopea tiedonkulku on nyt lakisääteinen velvollisuus.

Heräsikö kysymyksiä? Lue lisää kyberturvasta automaatiossa täältä tai ota yhteyttä Juha-Pekkaan: