12.05.2025
Työpaja 13.8: Opiskelijoille ja opettajille suunnattu työpaja koneturvallisuusstandardeista
Lue lisää
20.05.2025
Kyberkestävyysasetus ja koneasetus
Yhtäläisyydet, erot ja kuinka molemman asetuksen vaatimukset täytetään tehokkaasti
Konevalmistajien on jo pitkään täytynyt liittää koneisiinsa CE-merkintä. Tähän asti CE-merkinnän saaminen on edellyttänyt koneiden täyttävän turvallisuusvaatimukset: niiden tulee suojella ihmisten terveyttä ja ympäristöä. Tämä perustuu Euroopan unionin konedirektiiviin (2006/42/EY).
Vuodesta 2027 alkaen CE-merkinnän piiriin tulee lisää vaatimuksia, erityisesti kyberturvallisuuden osalta. Koneiden tulee olla suojattuja myös kyberhyökkäyksiä vastaan. Tämä varmistetaan kahden uuden EU-asetuksen avulla, jotka tulevat voimaan vuonna 2027: Koneasetus (2023/1230), joka korvaa konedirektiivin, sekä Kyberkestävyysasetus (Cyber Resilience Act CRA, 2024/2847). Konevalmistajien on noudatettava molempia asetuksia – CRA:n johdanto-osan kappale 53 tekee tämän erittäin selväksi.
Mitkä ovat säädösten yhtäläisyydet ja erot sekä eritysesti se, miten näiden kyberturvallisuusvaatimukset voidaan yhdistää?
Oikeudelliset näkökohdat
Kyberkestävyyssäädöksen ja koneasetuksen vertailu – oikeudelliset näkökulmat
| CRA (2024/8247) | Koneasetus (2023/1230) | |
| EU-lainsäädännön tyyppi | Asetus – sovelletaan suoraan kaikissa EU-jäsenvaltioissa, ei tarvitse kansallista täytäntöönpanoa | |
| Yleinen oikeudellinen kehys | Uusi lainsäädäntökehys (EU:n yhdenmukaistamislainsäädäntö) | |
| Vaatimusten-mukaisuuden osoittaminen | CE-merkintä (viittaa sovellettaviin EU-asetuksiin ja mahdollisiin yhdenmukaistettuihin EU-standardeihin) | |
| Mahdolliset vaatimustenmukaisuuden arviointimenettelyt | Riippuen tuotetyypistä: – Moduuli A (sisäinen valvonta menettely) – Moduuli H (laadunvarmistus) – Moduuli B+C (tyyppihyväksyntä) – Kyberturvallisuussertifiointi Kyberturvallisuusasetuksen mukaisesti (Sertifiointijärjestelmiä kehitetään parhaillaan) Useimmille koneille moduuli A riittää | Riippuen tuotetyypistä: – Moduuli A (sisäinen valvonta menettely) – Moduuli H (laadunvarmistus) – Moduuli B+C (tyyppihyväksyntä) -Moduuli G (yksikkökohtainen tarkastus) |
| Yhdenmukaistetut standardit | Ei vielä julkaistu. Julkaistaan 2026. Mutta vain vain “kriittisille” / “tärkeille” tuotteille (Liitteet III ja IV) | Konedirektiiville (Koneasetuksen edeltäjä) Yli 800 julkaistua standardia tähän mennessä. Päivitetty julkaisu 20.1.2027 |
| Voimaan-tulopäivä | 11. joulukuuta.2027 Hyödynnettyjen haavoittuvuuksien raportointi alkaen 11. syyskuuta 2026 | 20. tammikuuta 2027 |
Yhteinen oikeudellinen viitekehys
Sekä kyberkestävyyssäädös että koneasetus ovat EU-asetuksia, mikä tarkoittaa, että ne ovat suoraan sovellettavia kaikissa EU:n jäsenvaltioissa. Toisin kuin EU-direktiiveissä, niitä ei tarvitse muuntaa kansalliseksi lainsäädännöksi. Tämä erottaa koneasetuksen sen edeltäjästä, konedirektiivistä.
Näiden kahden asetuksen välillä on kuitenkin toinenkin tärkeä yhtäläisyys: Molemmat ovat osa niin sanottua ”EU:n yhdenmukaistamislainsäädäntöä”. Nämä ovat EU:n laajuisesti tietyille tuotteille asetettuja sääntöjä, jotka varmistavat samat turvallisuusstandardit kaikissa jäsenvaltioissa. Kaikille näille säädöksille on yhteinen oikeudellinen viitekehys, joka tunnetaan nimellä ”uusi lainsäädäntökehys” (New Legislative Framework, NLF). Kyberkestävyyssäädös ja konedirektiivi pohjautuvat siis samaan perustaan.
Tämä selittää, miksi sekä kyberkestävyyssäädös että konedirektiivi vaativat CE-merkintää, ja miksi samat säännöt pätevät molempiin:
- Vaatimukset: Molempien säädösten ytimessä on joukko vaatimuksia säädöksen soveltamisalaan kuuluville tuotteille. Kyberkestävyyssäädöksessä nämä vaatimukset on esitetty liitteessä I, kun taas koneasetuksessa ne löytyvät liitteestä III. Lisätietoja sisällöllisistä näkökohdista on kohdassa ”Sisällölliset näkökohdat”.
- CE-merkintä: Molemmille säädöksille yhteistä on se, että vuodesta 2027 lähtien niiden soveltamisalaan kuuluvia tuotteita ei voida enää myydä (tarkemmin sanottuna: saattaa markkinoille) EU:ssa ilman CE-merkintää.
- EU-vaatimustenmukaisuusvakuutus: CE-merkinnän kiinnittämiseksi tuotteelle on laadittava EU-vaatimustenmukaisuusvakuutus. Vakuutuksessa on mainittava sovellettavat asetukset. Käytännössä vuoden 2027 lopussa myytävän koneen EU-vaatimustenmukaisuusvakuutuksessa on viitattava sekä koneasetukseen (2023/1230) että kyberkestävyyssäädökseen (2024/2847). Lisäksi vakuutuksessa on mainittava kaikki sovelletut yhdenmukaistetut standardit.
- Yhdenmukaistetut standardit (hEN): Yhdenmukaistetut eurooppalaiset standardit (hEN) tarjoavat ”vaatimustenmukaisuusolettaman” tietyn EU-säädöksen osalta. Tämä tarkoittaa, että jos yhdenmukaistettu standardi täyttää koneasetuksen vaatimukset, voidaan olettaa, että asetuksen vaatimukset täyttyvät. Yhdenmukaistetut standardit auttavat tulkitsemaan usein epämääräisesti muotoiltuja vaatimuksia ja tarjoavat oikeudellisen varmuuden.
Yhdenmukaistetut standardit koskevat monesti tiettyä tuotetta, jonka vuoksi standardeja on lukumääräisesti paljon. Konedirektiiviä (2006/42/EY) varten on laadittu jo yli 800 yhdenmukaistettua standardia. Kyberkestävyyssäädöksellä ei vielä ole yhtään yhdenmukaistettua standardia, sillä se on vasta astunut voimaan.
Konedirektiiviin liittyvät olemassa olevat yhdenmukaistetut standardit päivitetään tarvittaessa 20. tammikuuta 2027 mennessä. Lisäksi kehitteillä on uusi standardi, joka määrittelee vastikään käyttöönotetut kyberturvallisuusvaatimukset: EN 50742, koneiden turvallisuus. Suojaus manipuloinnilta.
Ensimmäiset kyberkestävyyssäädökseen liittyvät yhdenmukaistetut standardit julkaistaan myös vuoden 2026 aikana, mutta aluksi keskitytään säädöksen liitteiden III ja IV tärkeimpiin ja kriittisimpiin tuotteisiin. - Vaatimustenmukaisuuden arviointi: kyberkestävyyssäädöksen ja koneasetuksen vaatimustenmukaisuuden arviointimenettelyt ovat pääosin samankaltaisia. Ne voidaan jakaa karkeasti kahteen ryhmään: menettelyihin, joissa vaaditaan ulkopuolisen vaatimustenmukaisuuden arviointilaitoksen osallistumista (moduulit H, B, C, G), sekä ”sisäiseen tuotannon valvontaan” (moduuli A), jossa valmistaja suorittaa vaatimustenmukaisuuden arvioinnin itse (”itseilmoitus”).
Kukin säädös määrittää, mitkä vaatimustenmukaisuuden arviointimenettelyt ovat sovellettavissa
Koneasetuksessa menettelyvaihtoehdot riippuvat koneen tyypistä.
Kyberkestävyyssäädöksessä itseilmoitus (moduuli A) on yleensä riittävä koneille, koska ne eivät kuulu ”tärkeisiin” tai ”kriittisiin” tuotteisiin (liite III tai IV).
Markkinoille saattamista, CE-merkintää, EU-vaatimustenmukaisuusvakuutusta ja vaatimustenmukaisuuden arviointimenettelyjä koskeviin erityiskysymyksiin vastataan EU:n ”Blue Guide” -oppaassa, joka koskee yhtä lailla sekä kyberkestävyyssäädöstä että koneasetusta.
Määräajat
Molemmat ovat ”kiinteitä määräaikoja” ilman siirtymäsäännöksiä:
- Jos kone saatetaan markkinoille 19. tammikuuta 2027, vanha konedirektiivi on yhä voimassa, mutta uusi koneasetus astuu voimaan 20. tammikuuta.
- Jos kone saatetaan markkinoille 10. joulukuuta 2027, sen ei vielä tarvitse täyttää kyberkestävyyssäädöksen vaatimuksia, mutta 11. joulukuuta 2027 lähtien sen on täytettävä ne.
- Tiettyihin kyberkestävyyssäädöksen vaatimuksiin sovelletaan kuitenkin aikaisempia määräaikoja: Hyödynnettyjen haavoittuvuuksien raportointion aloitettava jo 11. syyskuuta 2026.
Sisällölliset näkökohdat
Kyberkestävyyssäädöksen ja koneasetuksen vertailu – sisältöön liittyvät näkökohdat
| Kyberkestävyyssäädös (2024/8247) | Koneasetus (2023/1230) | |
| Soveltamisala | Digitaalisia elementtejä sisältävät tuotteet, joilla on (mahdollinen) datayhteys laitteeseen tai verkkoon. – Poikkeukset on nimetty erikseen. | Koneet, osittain valmiit koneet ja niihin liittyvät tuotteet. – Poikkeukset on nimetty erikseen. |
| Vaatimusten painopiste | Kyberturvallisuus – Tuotteiden, joissa on digitaalisia elementtejä, kyberturvallisuus koko tuotteen elinkaaren ajan. | Toiminnallinen turvallisuus – Henkilöiden ja ympäristön terveyden ja turvallisuuden suojeleminen. – Sisältää myös joitain vaatimuksia, jotka suojaavat kolmansien osapuolten haitallisilta toimilta, jotka voivat johtaa vaaratilanteisiin. |
| Turvallisuusvaatimukset | Ei ole | Asetuksen ydin (Liite III). |
| Tietoturvavaatimukset | CRA:n ydin (Liite I). | Turvallisuusvaatimusten lisäksi kolmansien osapuolten haitallisten toimien ei saa johtaa vaaratilanteisiin. Erityisvaatimukset: – Liite III, kohta 1.1.9 (suojaus manipulointia vastaan) – Liite III, kohta 1.2.1 (ohjausjärjestelmien turvallisuus ja luotettavuus) valvonta menettely) – Moduuli H (laadunvarmistus) – Moduuli B+C (tyyppihyväksyntä) -Moduuli G (yksikkökohtainen tarkastus) |
| Riskien arviointi | Kyberturvallisuusriskien arviointi on pakollinen (Art. 13 (2) ja (3), Liite I). – Keskittyy kyberhyökkäysten estämiseen ja niiden vaikutusten minimoimiseen, mukaan lukien, mutta ei rajoittuen – tuotteen käyttäjien turvallisuus ja terveys. | Turvallisuusriskien arviointi on pakollinen (Liite III, kohta 1). – Keskittyy koneesta mahdollisesti aiheutuviin vaaratekijöihin, jotka voivat johtaa vammoihin tai terveyshaittoihin. |
Soveltamisala
EU:n yhdenmukaistamislainsäädännön ydin on tuoteryhmän määritelmä ja vaatimusten asettaminen kyseiselle tuoteryhmälle.
Koneasetus koskee koneita. Tarkemmin sanottuna: koneita, osittain valmiita koneita ja niihin liittyviä tuotteita (vaihdettavat laitteet, turvakomponentit, nostolaitteet, ketjut, köydet ja kudokset sekä irrotettavat mekaaniset voimansiirtolaitteet). Asetuksessa on erikseen nimettyjä poikkeuksia niille konetyypeille, joita säädellään jo muussa lainsäädännössä. Lisäksi asetuksessa tehdään ero eri konetyyppien välillä. Joissakin tapauksissa, koneen kriittisyydestä riippuen, vaatimustenmukaisuuden arviointi edellyttää ulkopuolisen vahvistetun laitoksen osallistumista.
Kyberkestävyyssäädös koskee digitaalisia elementtejä sisältäviä tuotteita, joilla on datayhteys. Tarkemmin sanottuna: tuotteita, joiden tarkoitettu tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai epäsuoran loogisen tai fyysisen datayhteyden laitteeseen tai verkkoon. Myös tässä asetuksessa on erikseen nimettyjä poikkeuksia tuotteille, joita säännellään jo muussa lainsäädännössä.
Koneet kuuluvat kyberkestävyyssäädöksen soveltamisalaan, jos ne sisältävät digitaalisia elementtejä ja datayhteyksiä – esimerkiksi ohjausjärjestelmiä. Tällöin koko kone kuuluu kyberkestävyyssäädöksen piiriin, mutta niin kuuluvat myös sen komponentit, jos ne ovat digitaalisia elementtejä sisältäviä tuotteita – kuten ohjain tai sen prosessori (CPU). Olennaista on, miten tuote saatetaan markkinoille.
Jos konevalmistaja myy koneen kokonaisuutena, sen on myös noudatettava kyberkestävyyssäädöstä koko koneen osalta. Jos valmistaja hankkii yksittäisiä komponentteja (esimerkiksi ohjainohjelmisto, sen on varmistettava, että nämä komponentit myös noudattavat kyberkestävyyssäädöstä. Vähintään valmistajan on tarkistettava, että ostetussa ohjainohjelmistossa on CE-merkintä, joka viittaa kyberkestävyyssäädökseen.
Kyberkestävyyssäädöksen liitteissä III ja IV määritellään tietyt tuotteet, jotka kriittisyytensä vuoksi on arvioitava vahvistetun laitoksen toimesta. Näihin kuuluvat yleensä käyttöjärjestelmät, verkkoinfrastruktuuri, hypervisorit tai tietoturvatuotteet (salasananhallintaohjelmat, palomuurit). Kokonaisia koneita ei kuitenkaan yleensä pidetä ”tärkeinä” tai ”kriittisinä” tuotteina. Vaikka kone sisältäisi ”tärkeitä” tai ”kriittisiä” tuotteita, tämä ei tee koko koneesta ”tärkeää” tai ”kriittistä”, kuten kyberkestävyyssäädöksen 7 artiklan (1) kohta selventää. Tästä syystä useimmille koneille riittää itseilmoitus (moduuli A) kyberkestävyyssäädöksen vaatimustenmukaisuuden arviointimenettelyssä.
Vaatimusten painopisteet
Kyberkestävyyssäädöksen ja koneasetuksen pääasiallinen ero on vaatimusten painopisteessä.
Koneasetus käsittelee turvallisuutta ja toiminnallista turvallisuutta: ihmisten, erityisesti kuluttajien ja ammattilaiskäyttäjien, terveyden ja turvallisuuden suojelemista, ja tarvittaessa myös kotieläinten, omaisuuden ja ympäristön suojelemista. Sen ytimessä ovat laajat turvallisuusvaatimukset (liite III).
Kyberkestävyyssäädös käsittelee digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta niiden koko elinkaaren ajan. Sen ytimessä ovat laajat turvallisuusvaatimukset (liite I).
Kyberkestävyyssäädöksessä ei ole turvallisuusvaatimuksia, eikä konedirektiivissä (2006/42/EY) ollut aiemmin kyberturvallisuusvaatimuksia. Tämä on kuitenkin muuttunut uuden koneasetuksen (2023/1230) myötä.
Uuteen koneasetukseen on lisätty joitakin kyberturvallisuusvaatimuksia. Tämä johtuu siitä, että ihmisten terveyttä ja turvallisuutta uhkaavat vaarat eivät enää johdu vain teknisistä vioista tai väärinkäytöksistä (perinteinen turvallisuusnäkökulma), vaan myös kolmansien osapuolten pahantahtoisista yrityksistä (uusi turvallisuusnäkökulma).
Tiivistettynä: CE-merkinnän saamiseksi konevalmistajien on nyt myös huomioitava, mitä vahinkoa pahantahtoinen henkilö voisi aiheuttaa koneella ihmisille ja ympäristölle.
Kyberturvallisuusvaatimukset on esitetty kahdessa osassa:
Liite III, kohta 1.1.9 – Suojaus manipuloinnilta:
- Yhteys muihin järjestelmiin tai etäkäyttö ei saa johtaa vaaralliseen tilanteeseen.
- Turvallisuuteen liittyvät ohjelmistot, tiedot ja laitteistokomponentit, jotka välittävät signaaleja tai dataa, on tunnistettava ja suojattava manipuloinnilta.
- Toimenpiteet on dokumentoitava.
Liite III, kohta 1.2.1 – Ohjausjärjestelmien turvallisuus ja luotettavuus:
- Ohjausjärjestelmien on kestettävä kohtuudella ennakoitavissa olevat kolmansien osapuolten pahantahtoiset yritykset, jotka voisivat johtaa vaaralliseen tilanteeseen.
- Turvallisuusohjelmistoon kohdistuneista toimenpiteistä on pidettävä lokia viiden vuoden ajan.
Näiden vaatimusten määrittelyä varten kehitetään parhaillaan yhdenmukaistettua standardia (EN 50742).
Riskinarviointi
Eri vaatimusten painopisteet selittävät, miksi vaikka molempien säädösten osalta on tehtävä riskinarviointi, kyseessä on kaksi täysin erilaista prosessia, jotka edellyttävät erilaisia menetelmiä ja asiantuntemusta.
Koneasetuksen osalta on tehtävä turvallisuusriskiarviointi (liite III, kohta 1). Tässä arvioinnissa keskitytään koneesta ja sen käytöstä (tai väärinkäytöstä) aiheutuviin vaaroihin, jotka voivat johtaa loukkaantumisiin tai terveyshaittoihin. Lisättyä turvallisuusriskiarviointia ei erikseen edellytetä. Se voi kuitenkin olla hyödyllinen (tiivistetyssä muodossa) ”kohtuudella ennakoitavissa olevien kolmansien osapuolten pahantahtoisten yritysten” tunnistamiseksi ja läpikäymiseksi, jotka voisivat aiheuttaa vaarallisen tilanteen (ks. edellä).
Kyberkestävyyssäädöksen osalta on tehtävä turvallisuusriskinarviointi (13 artiklan kohdat 2 ja 3 sekä liite I). Tässä arvioinnissa keskitytään riskeihin, jotka voivat aiheutua digitaalisia elementtejä sisältävään tuotteeseen kohdistuvasta mahdollisesta pahantahtoisesta häirinnästä.
Miten voin tehokkaasti täyttää sekä kyberkestävyyssäädöksen että koneasetuksen kyberturvallisuusvaatimukset?
Jos haluat vertailla molempien säädösten kyberturvallisuusvaatimusten laajuutta, kyberkestävyyssäädös (CRA) on kuin valtamerialus ja koneasetus kuin soutuvene. Tästä syystä on järkevää suunnata kyberturvallisuusvaatimusten toteutus pääasiassa kyberkestävyyssäädöksen vaatimustenmukaisuuden varmistamiseen ja lisätä erityispiirteitä, jotka varmistavat vaatimustenmukaisuuden koneasetuksen turvallisuusosuudelle. Nämä erityispiirteet ovat seuraavat.
Dokumentaatio
Kun dokumentoit konetta ja sen tarkoitettua käyttöä (joka on joka tapauksessa välttämätöntä kyberkestävyyssäädöksen vaatimustenmukaisuuden kannalta), turvallisuuteen liittyvät ohjelmistot, tiedot ja laitteistokomponentit voidaan merkitä koneasetuksen mukaisesti nimenomaisesti turvallisuuteen liittyviksi. Tämä on hyödyllistä myös myöhemmässä riskinarvioinnissa.
Jos kyberkestävyyssäädöksen-vaatimustenmukaisuuden vuoksi luodaan ohjelmistojen materiaaliluettelo (Software Bill of Materials, SBOM), turvallisuuteen liittyvät ohjelmistokomponentit voidaan merkitä myös siihen — tämä on hyödyllistä tietoa kyberkestävyyssäädöksen edellyttämää haavoittuvuuksien hallintaa varten.
Riskinarviointi
Kyberkestävyyssäädöksen osalta koneelle on suoritettava kyberturvallisuusriskinarviointi. Osana tätä arviointia voidaan nimenomaisesti huomioida koneasetuksen edellyttämät riskiskenaariot: hyökkäykset etäkäytön tai muiden ”yhdistettyjen järjestelmien” kautta, hyökkäykset ohjausjärjestelmiin vaarallisten tilanteiden aiheuttamiseksi ja yleisesti ottaen hyökkäykset, jotka vaikuttavat turvallisuuteen liittyvien komponenttien eheyteen.
Kaiken kaikkiaan on suositeltavaa, sekä kyberkestävyyssäädöksen että koneasetuksen osalta, kiinnittää erityistä huomiota riskinarvioinnissa skenaarioihin, jotka johtavat koneen käyttäjien terveys- ja turvallisuusriskeihin.
Prosessit
Kyberkestävyyssäädöksen osalta on joka tapauksessa määriteltävä prosessit turvallista tuotteen kehittämistä (ja haavoittuvuuksien hallintaa) varten. Näihin prosesseihin voidaan sisällyttää ohjausohjelmistoon ja etäkäyttöön liittyvien toimenpiteiden dokumentaatio, kuten koneasetus edellyttää.
Vaatimustenmukaisuuden arviointi
Teoriassa kyberkestävyyssäädöksen ja koneasetuksen vaatimustenmukaisuuden arvioinnin voi suorittaa sama arviointilaitos, jos se on ns. ilmoitettu laitos molempia säädöksiä varten.
On kuitenkin todennäköistä, että koneelle on suoritettava eri vaatimustenmukaisuuden arviointimenettelyt kyberkestävyyssäädöstä ja koneasetusta varten: kyberkestävyyssäädöksessä itseilmoitus (moduuli A) on useimmissa tapauksissa riittävä, kun taas koneasetuksessa sovellettava menettely riippuu koneen tyypistä.
Lisäksi kyberkestävyyssäädöksen ja koneasetuksen vaatimustenmukaisuuden arviointi vaativat perustavanlaatuisesti erilaisia taitoja. Koneasetuksessa painopiste on turvallisuudessa ja toiminnallisessa turvallisuudessa sekä muutamissa valituissa turvallisuusvaatimuksissa. Kyberkestävyyssäädöksen painopiste on yksinomaan turvallisuusvaatimuksissa.
Käytännössä on siksi realistisempaa, että koneelle suoritetaan erilliset vaatimustenmukaisuuden arviointimenettelyt kyberkestävyyssäädöksen ja koneasetuksen osalta.
Alkuperäisen artikkelin kirjoitti Sarah Fluchs ja löydät sen täältä . Artikkelin käänsivät Robert Valkama (Fortum), Jarkko Holappa (Sandvik), Jukka-Pekka Rapinoja ja Päivi Brunou (METSTA).
Tämä juttu on osa ”Lähtölaskenta koneasetuksen soveltamiseen” -juttusarjaa, jossa julkaisemme kuukausittain uuden koneasetuksen ja siihen liittyvän standardoinnin ajankohtaisia aiheita.
