13.05.2026
Liekit kuriin liekinpysäyttimellä
Lue lisää
20.05.2026
Koneasetuksen (2023/1230) ja kyberkestävyyssäädöksen (2024/2847) yhtäaikainen soveltaminen
Tämä juttu on osa ”Lähtölaskenta koneasetuksen soveltamiseen” -juttusarjaa, jossa julkaisemme kuukausittain uuden koneasetuksen ja siihen liittyvän standardoinnin ajankohtaisia aiheita.
Vuosi 2027 on poikkeuksellinen, sillä silloin aletaan soveltaa sekä uutta koneasetusta (2023/1230) 20.1.2027 että kyberkestävyyssäädöstä (2024/2847) 11.12.2027. Tulevaisuudessa lähes kaikissa sisämarkkinoille tuotettavissa koneissa tuleekin olla mukana vaatimustenmukaisuusvakuutus sekä kyberkestävyyssäädöksen että koneasetuksen osalta.
Näiden kahden laajan säädöksen vaatimusten täyttäminen tuo varmasti mukanaan haasteita. Hyvä uutinen on kuitenkin se, että molempien säädösten vaatimuksia voidaan lähestyä suunnittelussa tutuilla riskinarvioinnin menetelmillä. Koska koneasetuksessa ja kyberkestävyyssäädöksessä on myös päällekkäisiä vaatimuksia, valmistajien kannattaa käsitellä niitä rinnakkain jo tuotteen riskinarvioinnin aikana.
Vaatimukset ja standardit
Kyberkestävyyssäädös (CRA) asettaa useita kyberturvallisuuteen liittyviä vaatimuksia sekä tuotteille ja niitä valmistaville organisaatioille. Ehkä tehokkain tapa vaatimusten täyttämiseen on hyödyntää IEC 62443 -sarjaa. Koska tätä standardisarjaa ei ole vielä harmonisoitu, sitä ei voi suoraan hyödyntää tuotteen CE-merkinnässä vaatimustenmukaisuuden osoittamisessa. Konevalmistajien osalta osa kyberturvallisuussäädöksen vaatimuksista vaativat myös muutoksia koko organisaation toiminnassa, eikä vain toimia yksittäisen tuotteen osalta.
Koneasetuksessa (MR) asetettujen kyberturvallisuusvaatimusten osalta (kuten EHSR 1.1.9, 1.2.1 (f)) valmistaja voi nojautua tulevaan standardiin EN 50742 Safety of machinery – Protection against corruption. Tavoitteena on saada tämä standardi julkaistua ennen kuin koneasetus tulee voimaan 20.1.2027. Tässäkin standardissa nojataan vahvasti IEC 62443-sarjassa esitettyihin turvallisuusvaatimuksiin, mutta se tarjoaa valmistajille toisenkin tavan lähestyä vaatimusten täyttämistä.
Säädösten risteämäkohdat
Todennäköisesti suurimmat risteämäkohdat CRAn ja MRn välillä tulevat esiin toiminnallisessa turvallisuudessa ja ohjausjärjestelmissä. Näiden kysymysten ratkaiseminen vaatii organisaatioilta monialaista lähestymistä, koska sama tekninen ratkaisu voi vaikuttaa yhtä aikaa kyberturvallisuuteen, koneen turvalliseen toimintaan, ohjelmistoihin, automaatiojärjestelmiin, vaatimustenmukaisuuden arviointiin ja elinkaaren aikaiseen ylläpitoon. Käytännössä tämä tarkoittaa yhteistyötä ainakin koneturvallisuuden, automaation ja ohjausjärjestelmien, ohjelmistokehityksen, kyberturvallisuuden, tuotekehityksen sekä vaatimustenmukaisuudesta ja teknisestä dokumentaatiosta vastaavien asiantuntijoiden välillä. Esimerkiksi onnistunut kyberhyökkäys koneen ohjaus- tai turvallisuusjärjestelmään voi aiheuttaa vahinkoa koneen käyttäjälle tai koneen ympäristössä toimivalle henkilölle. Näin ollen kyberturvallisuudesta tulee olennainen osa koneturvallisuutta. Vastaavasti koneiden etähuolto- ja diagnostiikkatoiminnot mahdollistavat hyökkäykset turvallisuuden kannalta kriittisiin järjestelmiin. Sekä CRA:ssa että MR:ssä vaaditaan näiden riskien hallintaa ja vaikka riskienhallinta on kehikkona sama ovat työkalut näiden riskien ratkaisuihin erilaisia.
Taulukko 1. CRAn ja MRn omat ja jaetut vaatimukset.
| Kyberkestävyyssäädöksen vaatimuksia | Jaetut vaatimukset | Koneasetuksen vaatimuksia |
| Haavoittuvuuksien hallinta | Riskiarviointi | Mekaaniset turvallisuusvaatimukset |
| Tapahtumaraportointi | Suunnitteludokumentaatio | Koneiden CE-merkintä |
| Ohjelmiston osaluettelo | Tekninen tiedosto | Konetyyppikohtaiset riskinarviot |
| Ohjelmiston tietoturvapäivitykset | Vaatimustenmukaisuusvakuutus | EHSR-vaatimukset |
| Kyberturvallisuusvaatimustenarvionti | Kyber-fyysisten riskien hallinta | |
| Riskien ja turvallisuuden arviointi koko tuotteen elinkaarelta |
Nyt on jo kiire!
Voidaankin sanoa, että kun molemmat säädökset ovat käytössä vuoden 2027 lopussa, niin kyberturvallisuudesta tulee kiinteä osa koneiden turvallisuutta. Hyvää tässä on, että tulevaisuudessa markkinoille tulevat tuotteet ovat todennäköisesti turvallisempia kuin ennen. Vastaavasti haasteena on, että monet konesektorin tuotteet ovat pitkän toimitusajan omaavia laajoja monikomponenttisia kokonaisuuksia. Tällaisissa tuotteissa lopullisen CE-merkittävän tuotteen valmistajan on varmistettava, että osakomponenttien tuottajat ovat ottaneet komponenttikohtaiset kyberturvallisuusriskit huomioon ja hallita sekä näiden osakomponenttien dokumentaatio että koneyhdistelmästä syntyvät riskit.
Vaikka kyberturvallisuussäädöksen soveltamisaika alkaa vasta vuoden 2027 lopussa, niin sen vaatimusten tulisi olla yritysten hallinnassa jo nyt. Nyt on jo kiire.
Lisätietoa
Suomessa kyberkestävyyssäädöksen valvovaviranomainen on Traficom. Traficom on luonut valmistajille hyödyllisen tietosivun. Myös Euroopan komissiolla on laaja säädöksen voimaantuloa ja vaatimuksia käsittelevä sivusto.
Standardien osalta tukea löytyy sekä mm. METSTAn koneturvallisuuden kansallisesta standardointiryhmästä 114 että SESKOn SK 65 Teollisuusprosessien ohjaus -ryhmästä, joka on vastinkomitea standardointikomitealle IEC/TC 65, jossa IEC 62443-sarja on laadittu.
