CRA velvoittaa kaikkia yrityksiä, jotka valmistavat, maahantuovat tai myyvät digitaalisia elementtejä sisältäviä tuotteita EU:n markkinoilla. Se velvoittaa myös EU:n ulkopuolella toimivia yrityksiä, kun ne tuovat tuotteitaan EU:n alueelle.

Säädös koskee kaikkia digitaalisen elementin sisältäviä laitteita tai ohjelmistoja, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Sen ulkopuolelle jäävät esimerkiksi releet, kontaktorit ja merkkivalot, jos ne ovat sellaisia, joissa ei ole edellä mainittuja elementtejä. Säädös asettaa tuotteille yhteiset standardit ja vaatimukset koko niiden elinkaaren ajaksi.

Etuina parempi tietoturva, päivitettävyys ja vastuullisuus

CRA kannustaa valmistajia jatkossa kehittämään digitaalisia tuotteita, joissa on vähemmän haavoittuvuuksia. Parantunut tietoturva on vain yksi säädöksen tuomista eduista.

”Laitteiden loppukäyttäjä voi säädöksen ansiosta helpommin tehdä faktoihin perustuvia riskienhallintapäätöksiä. Lisäksi säädökseen kuuluva vaatimus laitteiden ja ohjelmistojen päivitettävyydestä on vastuullisuuden näkökulmasta merkittävä parannus”, sanoo Schneider Electricin tuoteryhmäpäällikkö Marko Latvasalo.

Säädös astuu lopullisesti voimaan joulukuussa 2027, mutta jo sitä ennen tulevat voimaan ilmoitettuja laitoksia koskevat säädökset kesäkuussa 2026 sekä haavoittuvuuksien raportointia koskevat vaatimukset syyskuussa 2026. Ilmoitettu laitos tarkoittaa jonkin EU:n jäsenvaltion nimeämää organisaatiota, joka arvioi tiettyjen tuotteiden vaatimustenmukaisuuden ennen kuin ne saatetaan markkinoille.

Varautuminen kannattaa aloittaa jo nyt

Säädös vaikuttaa eniten kone- ja laitevalmistajiin, joiden kannattaa hyvissä ajoin tarkistaa, mitä tuotteissa pitää modifioida. Kerrannaisvaikutusten vuoksi yhden komponentin vaihtaminen voi vaikuttaa koko koneen rakenteeseen. Lisäksi valmistajien tulee tarkistaa nykyisten tuotteiden elinkaari, sillä joidenkin tuotteiden elinkaari voi säädöksen vuoksi lyhentyä.

”Myös loppukäyttäjien on hyvä havahtua CRA:n voimaantuloon jo nyt ja ottaa selvää käytössään olevista tuotteista ja niiden elinkaaresta. Mikäli aikomuksena on lähiaikoina tilata uusia järjestelmiä, kannattaa muistaa, että jatkossa myös niiden pitää komponenttien osalta täyttää CRA:n vaatimukset. Lisäksi on hyvä pitää mielessä, että joulukuun 2027 jälkeen EU:n ulkopuolelta ei enää saa tuoda EU:n alueelle koneita tai laitteita, joilla ei ole CRA-sertifikaattia”, Latvasalo muistuttaa.

Ajankohtaisinta tietoa tuotteista ja niiden CRA-valmiudesta saa suoraan valmistajilta tai maahantuojilta. Lisäksi Euroopan unionin verkko- ja tietoturvavirasto Enisa pitää yllä tietokantaa, johon valmistajat voivat ilmoittaa CRA-valmiit laitteet ja järjestelmät.

”Myös me Schneiderilla voimme auttaa loppukäyttäjän toimintaympäristön CRA-valmiuden läpikäynnissä. Jokainen valmistaja vastaa vain omista tuotteistaan, mutta voimme antaa tarkempaa tietoa siitä, mitä CRA-vaatimukset tarkoittavat ja minkä asioiden suhteen pitää varautua”, Latvasalo lupaa.

Jatkossa vain CRA-valmiita tuotteita

Schneider on aloittanut matkansa kohti CRA:ta jo vuosia sitten. Pyrimme olemaan kyberturvassa säädöksiä edellä, ja tuotekehitysprosessissamme on ”secure-by-design” -periaate. Se on lupaus siitä, että emme vain vastaa jo olemassa oleviin säädöksiin ja niiden vaatimuksiin, vaan myös ennakoimme.

Lisäksi yhtiössä on tehty globaalisti päätös, että jos jokin nykyisistä tuotteista ei joulukuussa 2027 ole CRA-valmis, tuote poistetaan valikoimista EU:ssa. Kyberturvaominaisuuksien kehittämisessä hyödynnämme IEC 62443-4-1-standardia.

”Esimerkiksi HMI-tuotepuolella olemme kartoittaneet, missä tuotteistamme on valmius CRA-yhteensopivuuteen ja mitkä tuotteet tulevat jäämään pois valikoimista. Läpikäynti antoi selkeän käsityksen siitä, että vain harva nyt markkinoilla oleva laite tulee pysymään samana: on muutettava sekä rauta että softa”, Latvasalo muistuttaa.

Schneiderilla on tarjolla myös tuotteita, joissa on valmius CRA-yhteensopivuuteen, kuten hajautettu IP20 I/O -järjestelmä Modicon Edge I/O nykypäivän teollisuuden tarpeisiin ja huomisen haasteisiin.