EU:n kyberturvallisuuslaki uudistaa teollisuuden etäkäyttöä

Euroopan unionin uusi kyberturvallisuuslaki (Cyber Resilience Act, CRA), joka tuli voimaan maaliskuussa 2024, asettaa uusia, tiukempia kyberturvallisuusvaatimuksia yhdistetyille teollisuustuotteille ja ratkaisuille. Laki pyrkii varmistamaan, että kaikki digitaaliset tuotteet ovat turvallisia suunnittelusta käyttöiän päättymiseen saakka ja että valmistajat kantavat vastuun standardien noudattamisesta.

CRA:n keskeisiä tavoitteita ovat turvallisuuden parantaminen, valmistajien vastuullisuuden lisääminen, nopean reagoinnin varmistaminen uusiin uhkiin, avoimuuden lisääminen tietoturvatiedon jakamisessa sekä EU:n digitaalisten tuotteiden kilpailukyvyn vahvistaminen selkeiden sääntöjen ja sertifikaattien avulla. Erityisesti teollisuussektorilla, joka perustuu vahvasti etäyhteyksiin toimintojen seurannassa ja hallinnassa, laki tuo merkittäviä muutoksia.

Lain odotetaan suojaavan kriittistä infrastruktuuria, kuten tehtaiden, energiaverkkojen ja vesilaitosten järjestelmiä, kyberhyökkäyksiltä ja varmistavan niiden toimintavarmuuden. Lisäksi laki edellyttää tietoturvapoikkeamista raportointia viranomaisille, mikä mahdollistaa tiedon jakamisen ja ennakoivan varautumisen samanlaisissa yrityksissä ja sektoreilla. Valmistajia velvoitetaan myös ylläpitämään säännöllisiä päivityksiä ja parantamaan tiedonvaihtoa tietoturvauhkista.

Teollisuusyritysten tulee nyt kiinnittää erityistä huomiota etäkäyttöjärjestelmiensä suojaamiseen. Tämä edellyttää vahvojen todennusmenetelmien ja käyttöoikeuksien hallinnan käyttöönottoa, kuten monivaiheisen tunnistautumisen hyödyntämistä. Salaamattomat etäyhteydet ja säännöllinen tietoturvakoulutus henkilöstölle ovat myös olennaisia riskejä minimoitaessa. CRA:n rikkomisesta seuraa sanktioita, mikä tekee lakisääteisten vaatimusten noudattamisesta välttämätöntä Euroopan markkinoilla toimiville yrityksille.