Säädöksen piiriin kuuluvilla tuotteilla on oltava CE-merkintä, jotta niitä voidaan saattaa markkinoille EU-alueella. Sääntely kohdistuu tuotteiden kyberturvallisuuteen, ja sen rikkomisesta voi seurata liikevaihtoperusteisia sakkoja sekä tuotteen poistaminen markkinoilta.

Kyse ei ole yksittäisestä teknisestä vaatimuksesta, vaan laajasta muutoksesta tavassa, jolla digitaalisia tuotteita rakennetaan ja ylläpidetään. Vaikka säädöksen täysimääräinen soveltaminen alkaa vasta joulukuussa 2027, sen vaikutukset näkyvät jo nyt.

Laaja soveltamisala haastaa valmistajat

Säädöstä sovelletaan tuotteisiin, jotka sisältävät digitaalisia elementtejä ja jotka voidaan liittää suoraan tai epäsuorasti verkkoon tai toisiin laitteisiin. Tämä kattaa laajan kirjon tuotteita kuluttajalaitteista teollisiin järjestelmiin.

Soveltamisalan ulkopuolelle jäävät tietyt sektorikohtaisen sääntelyn piirissä olevat tuotteet, kuten lääkinnälliset laitteet ja osa ajoneuvoista, sekä puolustukseen tarkoitetut ratkaisut. Myös pilvipalvelut jäävät soveltamisalan ulkopuolelle, elleivät ne ole tuotteeseen liittyviä datan etäkäsittelyratkaisuja.

Kyberkestävyyssäädöstä sovelletaan täysimääräisesti 11.12.2027 alkaen. Haavoittuvuuksien ja poikkeamien ilmoittamista koskevia velvoitteita sovelletaan jo 11.9.2026 alkaen.

Vaatimustenmukaisuuden osoittaminen

Vaatimustenmukaisuus osoitetaan CE-merkinnällä, joka edellyttää systemaattista suunnittelu- ja kehitysprosessia sekä vaatimustenmukaisuuden arviointia. Arviointimenettely riippuu tuoteluokasta (kriittinen, tärkeä luokka 1 ja 2 sekä oletusluokka). Oletusluokassa arviointi voidaan tehdä itsearviointina, kun taas muissa luokissa vaatimukset ovat tiukemmat.

Valmistajan on lisäksi laadittava ja ylläpidettävä keskeinen dokumentaatio, kuten kyberriskiarviointi, tekninen dokumentaatio ja käyttäjäohjeet.

Keskeiset vaatimusalueet

Kyberkestävyyssäädöksen vaatimukset kohdistuvat kolmeen pääalueeseen:

1. Kehitysprosessi ja tuotteen elinkaari
   Tuotteet on suunniteltava, kehitettävä ja tuotettava siten, että niiden kyberturvallisuus on oikeassa suhteessa riskeihin. Vaatimukset kattavat koko elinkaaren suunnittelusta käytöstä poistamiseen.

2. Tuotteiden kyberturvallisuus-ominaisuudet
   Valmistajien on kyberturvallisuusriskien arvioinnilla varmistettava, että tuote täyttää siihen soveltuvat olennaiset tietoturvallisuusvaatimukset. Näiden mukaan tuotteissa on oltava tietoturvalliset oletusasetukset, ja niiden on varmistettava tietojen luottamuksellisuus ja eheys sekä noudatettava datan minimointiperiaatetta. Haavoittuvuuksien korjaamisen on oltava mahdollista tietoturvapäivityksillä, eikä tuotteessa saa olla markkinoille asetettaessa tiedossa olevia hyödynnettävissä olevia haavoittuvuuksia.

3. Haavoittuvuuksien hallinta
   Valmistajien on hallittava haavoittuvuuksia järjestelmällisesti. Tämä sisältää muun muassa haavoittuvuuksien ja komponenttien tunnistamisen, haavoittuvuuksien viipymättömän korjaamisen tietoturvapäivityksillä sekä säännöllisen tietoturvatestauksen.

Yksityiskohdissa nojataan yhä valmisteilla oleviin harmonisoituihin standardeihin, joista ensimmäisiä odotetaan vielä vuoden 2026 aikana. Komission FAQ-materiaali ja erityisesti maaliskuussa 2026 julkaisema ohjeistusluonnos ovat tuoneet kaivattua tulkinta-apua, jota tulevat standardit vielä varmasti täydentävät.

Kyberkestävyyssäädöksen vaatimusten ja turvallisen sovelluskehityksen (Secure Development Lifecycle, SDL) viitekehysten yhteys on vahva. Tulevia standardeja ja komission tulkintaohjeistusta odotellessa turvallisen sovelluskehityksen eli SDL:n yleisesti tunnustettua viitekehystä, kuten esimerkiksi NIST SSDF, IEC 62443-4-1 tai OWASP SAMM, noudattavan tie kyberkestävyyssäädöksen vaatimusten täyttämisessä on todennäköisesti jo hyvällä, ellei kiitettävällä tasolla.

Käytännön esimerkki — kyberturvallisuuden vahvistaminen kilpailukyvyn tukena

Tietoturva on digitalisaation ja sääntelyn myötä noussut uudeksi markkinaehdoksi. Teollisuuden toimijoista esimerkiksi Sandvik Mining on nostanut kyberturvallisuuden osaksi strategiansa ydintä. Sandvikin tahtotilana oli vahvistaa Secure Development Lifecycle (SDL) -käytäntöjään ja yhdenmukaistaa ne tunnustettujen kyberturvastandardien kanssa. He tunnistivat haasteen ja tarttuivat määrätietoisesti siihen, että kyberturvallisuus integroidaan johdonmukaisesti osaksi tuotekehitystä ja IEC 62443-4-1 -standardin vaatimukset hallitaan kokonaisuutena.

Projektiin valittiin kumppaniksi Insta, jolla on vahva alan standardien asiantuntemus, näyttöjä vastaavista toteutuksista sekä valmis SDL-malli, joka toi projektille selkeät lähtökohdat.

Sandvikista tuli yksi toimialansa ensimmäisistä yrityksistä, joka saavutti IEC 62443-4-1 –sertifioinnin. Lisäksi yritys on jo laatinut tiekartan kohti ML-3 tasoa. Sertifioinnin avulla Sandvik osoittaa standardien mukaista kyberturvallisuuden tasoa sekä asiakkailleen että viranomaisille. Sandvikin tuotteiden tietoturva vahvistui useassa tuotelinjastossa ja vakiinnutti heidän asemaansa kyberturvallisen tuotekehityksen edelläkävijänä.