Koskeeko CRA-lainsäädäntö SaaS-tuotettasi?
Koskeeko Cyber Resilience Act SaaS-tuotteita?
Cyber Resilience Act (CRA) voi koskea SaaS-palvelua, jos se on olennainen osa verkkoon liitettävää digitaalista tuotetta tai sen toimintaa. Tämä voi koskea esimerkiksi pilvipalveluita, jotka ohjaavat IoT-laitteita, teollisia järjestelmiä tai muita verkkoon kytkeytyviä laitteita.
CRA voi koskea SaaS-ratkaisua erityisesti silloin, kun:
SaaS on välttämätön osa laitteen toimintaa
palvelu ohjaa tai hallinnoi verkkoon liitettäviä laitteita
SaaS sisältää ohjelmistokomponentteja, jotka toimitetaan osana tuotetta
Jos SaaS on keskeinen osa digitaalista tuotetta, yrityksen tulee huomioida CRA:n vaatimukset, kuten secure-by-design-kehitys, haavoittuvuuksien hallinta ja ohjelmistokomponenttien dokumentointi.
Miksi Cyber Resilience Act on ajankohtainen nyt
EU:n Cyber Resilience Act (CRA) asettaa kyberturvallisuuden vähimmäisvaatimuksia laitteille ja ohjelmistoille, jotka ovat liitettävissä toiseen laitteeseen tai verkkoon. CRA:n tavoitteena on parantaa EU-markkinoille tuotavien digitaalisten tuotteiden tietoturvaa ja vähentää haavoittuvuuksia jo suunnitteluvaiheessa.
CRA tuli voimaan joulukuussa 2024, ja osa velvoitteista alkaa koskea yrityksiä jo tänä syksynä: syyskuussa 2026. Täysi vaatimustenmukaisuus tulee voimaan joulukuussa 2027. CRA:n vaatimuksiin tutustuminen tulee siis aloittaa viimeistään nyt, jotta voit varmistaa, koskeeko lainsäädäntö myös sinun yritystäsi.
Mitä CRA edellyttää?
CRA:n keskeiset edellytykset pohjautuvat “security by design” -periaatteeseen: tietoturva pitää huomioida tuotteen koko elinkaaren ajan, suunnittelusta ylläpitoon.
Cyber Resilience Act edellyttää esimerkiksi:
riskiperusteista tuotesuunnittelua
turvallisia oletusasetuksia
datan luottamuksellista käsittelyä
haavoittuvuuksien hallintaa ja raportointia
Sääntelyn tavoitteena on parantaa digitaalisten tuotteiden turvallisuutta jo ennen kuin ne päätyvät markkinoille.
CRA ja SaaS-yritykset
Vaatimuksiin tutustuttaessa mieleesi saattaa herätä kysymys: koskeeko CRA myös SaaS-yrityksiä?
Vastaus ei ole täysin yksiselitteinen. Vaikka CRA keskittyy erityisesti digitaalisiin tuotteisiin ja laitteisiin, myös SaaS-ratkaisut voivat kuulua sääntelyn piiriin, jos ne ovat olennainen osa verkkoon liitettävää tuotetta tai sen toimintaa.
Milloin CRA koskee SaaS-palveluita?
CRA voi koskea SaaS-ratkaisua esimerkiksi silloin, kun:
1. SaaS on olennainen osa fyysisen laitteen toimintaa
Jos pilvipalvelu on keskeinen osa tuotteen toimintaa, sitä voidaan pitää osana digitaalista tuotetta.
Esimerkiksi:
teollisuusrobotin ohjaus SaaS-palvelun kautta
älylaitteen pilvihallinta
IoT-laitteen analytiikkapalvelu
Jos laite ei käytännössä toimi ilman SaaS-palvelua, palvelu voi kuulua CRA-vaatimusten piiriin.
2. SaaS-tuote ohjaa tai hallinnoi verkkoon liitettäviä laitteita
CRA:n näkökulmasta olennaista on laitteiden ja ohjelmistojen välinen yhteys.
Esimerkiksi:
rakennusautomaatiojärjestelmä
teollinen IoT-alusta
etähallintajärjestelmä laitteille
Tällaisissa tapauksissa SaaS ei ole pelkkä käyttöliittymä, vaan osa laitteiston toiminnallista kokonaisuutta.
3. SaaS sisältää ohjelmistokomponentteja, jotka toimitetaan tuotteen mukana
Jos SaaS-palvelu sisältää komponentteja, jotka toimitetaan asiakkaalle osana tuotetta (esim. agentti, SDK tai integraatiokomponentti), ne voivat kuulua CRA:n soveltamisalaan.
CRA korostaa erityisesti ohjelmistokomponenttien läpinäkyvyyttä. Tämä näkyy esimerkiksi SBOM-vaatimuksissa (Software Bill of Materials), joiden avulla yritysten tulee dokumentoida ohjelmiston käyttämät komponentit.
Mitä SaaS-yritysten kannattaa tehdä nyt?
Ensimmäiseksi kannattaa selvittää, kuuluuko yrityksesi tarjoama SaaS-palvelu CRA-säätelyn piiriin. Mieti esimerkiksi näitä kysymyksiä:
Onko SaaS-palvelusi osa digitaalista tuotetta?
Ohjaako se verkkoon liitettyjä laitteita?
Toimitetaanko ohjelmistokomponentteja asiakkaalle?
Seuraavaksi voit keskittyä CRA-gap-analyysin tekemiseen. Arvioi SaaS-palveluasi ja täyttääkö se CRA:n vaatimukset esimerkiski tietoturvapäivitysten, haavoittuvuuksien hallinnan ja dokumentoinnin suhteen.
Lopuksi voit aloittaa prosessiesi päivittämisen. Rakenna haavoittuvuuksien hallintaprosessi, joka määrittää miten haavoittuvuudet havaitaan ja niiden vaikutukset arvioidaan, miten korjaukset hoidetaan ja miten viranomaisraportointi suoritetaan sitä tarvittaessa.
CRA on myös ohjelmistoyritysten asia
Vaikka CRA ei koskekaan suoraan kaikkia SaaS-palveluita, voivat sen vaatimukset olla hyödyllisiä ohjenuoria tietoturvan huomioimiseen kaikille ohjelmistoyrityksille. Varhainen valmistautuminen ei ole pelkästään sääntelyn noudattamista. Se auttaa myös kehittämään tuotteita, joissa tietoturva, päivitettävyys ja haavoittuvuuksien hallinta on rakennettu osaksi tuotekehitystä.
Monille yrityksille CRA toimii hyvänä viitekehyksenä siihen, miltä moderni ja turvallinen ohjelmistotuote EU-markkinoilla näyttää.
Jäikö mieleesi vielä kysymyksiä CRA:han liittyen?
Kasasimme CRA:n perustietoja tiiviiseen infopakettiin, jonka saat käyttöösi täysin veloituksetta. CRA-oppaastamme löydät myös kyberturvallisuusasiantuntijan vinkkejä sekä case-esimerkin, jota voit hyödyntää omassa CRA-valmistautumisessasi. Lisäksi tarjoamme sinulle tiekartan CRA-valmistautumiseen.
