Kyberturvallisuuden hallintasuunnitelman rakentaminen

EU:n koneasetuksessa, joka tammikuussa 2027 korvaa EU:n konedirektiivin 2006/42/EY, velvoitetaan huomioimaan kyberturvallisuus. Valmistajan on ilmoitettava kaikista digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista ja aktiivisesti hyödynnetyistä haavoittuvuuksista kansallisille viranomaisille. Kaikki kyberkestävyyssäädöksen (CRA, Cyber Resilience Act) vaatimukset tulevat voimaan 11. joulukuuta 2027 alkaen.

Uuden säädöksen myötä kaikki EU:n markkinoille saatetut tuotteet on suunniteltava, kehitettävä ja valmistettava EU:n kyberkestävyyssäädöksen olennaisten kyberturvallisuusvaatimusten mukaisesti. Valmistajan on täytettävä vaatimukset liittyen muun muassa manipuloinnin estämiseen, ohjelmistojen ja etäyhteyksien turvallisuuteen ja turvatoimintojen eheyteen.

Lainsäädäntö on velvoittava, ja puutteet kyberturvallisuusvaatimusten täyttämisessä voivat estää tuotteen markkinoille saattamisen. Myös jo käytössä olevien koneiden kohdalla on syytä huomioida haavoituksiin liittyvä raportointivelvollisuus.

Lähtökohdat ja tavoitteet:

  • Uuden koneasetuksen ja kyberkestävyyssäädöksen tuomat muutokset on huomioitava suunnittelussa, tuotekehityksessä ja valmistuksessa.
  • Kyberturvallisuusvaatimusten täyttyminen edellyttää muun muassa teknistä dokumentaatiota kyberturvallisuusratkaisuista, riskinarviointia ja sen tulosten jäljitettävyyttä ja vaatimustenmukaisuuden arviointia.
  • Selvitetään, millaisia vaatimuksia ja standardeja esimerkiksi koneisiin tai ajoneuvoihin kohdentuu.
  • Luodaan asiakkaan tarpeisiin soveltuva vaatimustenhallintaprosessi, johon sisällytetään uudet kyberturvallisuusvaatimukset ja -standardit ja varmistutaan myös mahdollisten muiden velvoittavien vaatimusten sisällyttämisestä vaatimustenhallintaprosessiin.

Tulokset ja hyödyt:

  • Asiakas saa ajantasaisen tilannekuvan uudesta koneasetuksesta, kyberkestävyyssäädöksestä ja standardeista.
  • Me laadimme asiakkaalle vaatimustenmukaisuuden hallintasuunnitelman, jota noudattamalla on mahdollista varmistua tuotteen vaatimustenmukaisuudesta.
  • Suunnitelmassa määritetään konkreettiset toimenpiteet ja tehtävät tunnistettujen vaatimusten täyttämiseksi sekä kartoitetaan tarvittavat työkalut ja menetelmät.
  • Järjestetään asiakkaan tarpeisiin räätälöityjä koulutustilaisuuksia.

Tällä hetkellä koneenrakentajilla on paljon kysymyksiä kyberturvallisuusaihepiiristä ja siihen liittyvistä uusista velvoitteista: keitä tämä koskee, koska kaikki pitää olla kunnossa, voiko vaatimuksilta välttyä, miten päästä asiassa eteenpäin. Asiantuntijamme auttavat tarpeittesi mukaisessa laajuudessa! – Business Manager, Safety and Compliance, Juha Hakanen, Comatec.