Mikä on Traficomin ja NCSC-FI:n rooli CRA:ssa?

Traficom (Liikenne- ja viestintävirasto) toimii Suomen markkinavalvontaviranomaisena. NCSC-FI (Kyberturvallisuuskeskus) on nimetty CSIRT-viranomainen, jolle ilmoitetaan aktiivisesti hyödynnetyistä haavoittuvuuksista asetuksen 14 artiklan mukaisesti 24 tunnin kuluessa havaitsemisesta.

Mitä CE-merkintä tarkoittaa CRA:n yhteydessä?

CE-merkintä osoittaa, että tuote täyttää asetuksen (EU) 2024/2847 olennaiset kyberturvallisuusvaatimukset. Valmistajien on laadittava EU-vaatimustenmukaisuusvakuutus ja pidettävä tekninen dokumentaatio saatavilla 10 vuoden ajan.

Asetus (EU) 2024/2847 Traficom • NCSC-FI • Tukes

Cyber Resilience Act
suomalaisille yrityksille

Q: Koskeeko Cyber Resilience Act suomalaisia yrityksiä?

Kyllä. Asetus (EU) 2024/2847 koskee kaikkia valmistajia, maahantuojia ja jakelijoita, jotka saattavat digitaalisia tuotteita EU:n markkinoille. Suomalaiset yritykset ovat suoraan vaikutuksen alaisia. Täysimääräinen soveltaminen alkaa 11. joulukuuta 2027, ja haavoittuvuuksien ilmoitusvelvollisuudet tulevat voimaan 11. syyskuuta 2026.

Asetus (EU) 2024/2847 asettaa pakollisia kyberturvallisuusvaatimuksia valmistajille, maahantuojille ja jakelijoille, jotka saattavat digitaalisia tuotteita EU:n markkinoille. Suomalaiset yritykset ovat suoraan vaikutuksen alaisia.

Automatisoi CRA-vaatimustenmukaisuutesi →

Suomalaiset viranomaiset CRA:n osalta

Kolme toimijaa ovat keskeisessä roolissa CRA:n toimeenpanossa Suomessa.

🏗

Traficom — markkinavalvonta

Liikenne- ja viestintävirasto Traficom toimii Suomen markkinavalvontaviranomaisena CRA:n nojalla. Traficom valvoo, että EU:n markkinoille saatetut digitaaliset tuotteet täyttävät asetuksen vaatimukset.

🚨

NCSC-FI — CSIRT-koordinaattori

Kyberturvallisuuskeskus (NCSC-FI) on Suomen nimetty CSIRT-viranomainen. 11. syyskuuta 2026 alkaen valmistajat ilmoittavat aktiivisesti hyödynnetyistä haavoittuvuuksista ENISA:n yhteisen ilmoitusalustan kautta, joka välittää ilmoitukset automaattisesti NCSC-FI:lle.

📊

Tukes — ilmoittava viranomainen

Turvallisuus- ja kemikaalivirasto Tukes toimii ilmoittavana viranomaisena CRA:n yhteydessä. Tukes arvioi ja notifioi vaatimustenmukaisuuden arviointilaitokset EU-komissiolle.

Lähde: traficom.fi; kyberturvallisuuskeskus.fi

Tärkeät päivämäärät suomalaisille yrityksille

Virallinen aikataulu perustuu asetukseen (EU) 2024/2847, 71–72 artikla.

10. joulukuuta 2024

CRA astuu voimaan Valmis

Asetus (EU) 2024/2847 astui voimaan. Suomalaisten yritysten tulisi aloittaa vaatimustenmukaisuuden valmistelu.

11. kesäkuuta 2026

Vaatimustenmukaisuuden arviointilaitokset

Suomen on notifioitava vaatimustenmukaisuuden arviointilaitokset EU-komissiolle. Asetuksen IV luku tulee sovellettavaksi.

11. syyskuuta 2026

Haavoittuvuuksien ilmoitusvelvollisuus

14 artikla tulee sovellettavaksi. Valmistajat ilmoittavat aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista tietoturvaloukkauksista ENISA:n yhteisen ilmoitusalustan kautta. Määräajat: 24h varhainen varoitus, 72h ilmoitus, 14 päivää loppuraportti.

11. joulukuuta 2027

CRA:n täysimääräinen soveltaminen

Kaikki vaatimukset tulevat sovellettaviksi: olennaiset kyberturvallisuusvaatimukset (liite I), CE-merkintä, EU-vaatimustenmukaisuusvakuutus, tekninen dokumentaatio (liite VII). Sakot enintään 15 000 000 EUR tai 2,5 % maailmanlaajuisesta vuotuisesta liikevaihdosta (64 artikla).

Usein kysytyt kysymykset

Vastaukset perustuvat asetuksen (EU) 2024/2847 viralliseen tekstiin.

Koskeeko CRA myös ohjelmistoja?

Kyllä. CRA koskee kaikkia digitaalisia tuotteita, mukaan lukien itsenäiset ohjelmistot, jotka saatetaan EU:n markkinoille kaupallisen toiminnan yhteydessä. Mobiilisovellukset, työpöytäohjelmat, laiteohjelmistot ja erikseen julkaistut ohjelmistokomponentit kuuluvat soveltamisalaan. Poikkeus: avoin lähdekoodi, joka ei ole kaupallista toimintaa, voi olla vapautettu.

Lähde: Asetus (EU) 2024/2847, 2 artikla — EUR-Lex

Mitkä ovat seuraamukset vaatimustenvastaisuudesta?

Asetuksen (EU) 2024/2847 64 artikla määrittelee enimmäissakot: olennaisten kyberturvallisuusvaatimusten rikkomisesta enintään 15 000 000 EUR tai 2,5 % maailmanlaajuisesta vuotuisesta liikevaihdosta; muista rikkomuksista enintään 10 000 000 EUR tai 2 % liikevaihdosta; väärien tietojen antamisesta viranomaisille enintään 5 000 000 EUR tai 1 % liikevaihdosta.

Lähde: Asetus (EU) 2024/2847, 64 artikla — EUR-Lex

Mitä on SBOM ja onko se pakollinen?

Software Bill of Materials (SBOM) on jäsennelty luettelo kaikista tuotteen ohjelmistokomponenteista, mukaan lukien versiot ja tunnetut haavoittuvuudet. Asetuksen (EU) 2024/2847 liitteen I osa II velvoittaa valmistajat laatimaan ja ylläpitämään SBOM:n osana haavoittuvuuksien hallintaprosessia. SBOM:a ei tarvitse julkaista aktiivisesti, mutta sen on oltava markkinavalvontaviranomaisten saatavilla.

Lähde: Asetus (EU) 2024/2847, liite I osa II — EUR-Lex

Automatisoi CRA-vaatimustenmukaisuutesi

CRA Ready on B2B SaaS -alusta eurooppalaisille valmistajille. Tekninen dokumentaatio, CE-merkintä, haavoittuvuuksien hallinta ja SBOM — kaikki yhdessä paikassa.

Avaa alusta →

Oikeudellinen vastuuvapauslauseke: Tämä sivu on tietolähde. Kaikki CRA:ta koskeva sisältö viittaa asetuksen (EU) 2024/2847 viralliseen tekstiin, joka on julkaistu EU:n virallisessa lehdessä (EUR-Lex). Suomalaisia viranomaisia koskevat tiedot on poimittu Traficomin ja Kyberturvallisuuskeskuksen virallisista lähteistä. Tämä sivu ei ole oikeudellinen neuvonta.

Cyber Resilience Actsuomalaisille yrityksille

Suomalaiset viranomaiset CRA:n osalta

Tärkeät päivämäärät suomalaisille yrityksille

Usein kysytyt kysymykset

Automatisoi CRA-vaatimustenmukaisuutesi

Cyber Resilience Act
suomalaisille yrityksille