Suomi kiristää otettaan älylaitteista – EU:n kyberturvasäännöt iskevät niin leluihin kuin älykelloihinkin
Epävarmat älylaitteet ovat jättäneet miljoonat suomalaiset alttiiksi kyberhyökkäyksille. Nyt hallitus kiristää otettaan. Eduskunnalle 27. marraskuuta jätetty lakiesitys asettaa kaikille nettiin kytkettäville laitteille pakolliset turvallisuusvaatimukset. Valmistajilla on kolme vuotta aikaa toimia.
Text by Martti Asikainen, 1.12.2025 | Photo Adobe Stock Photos
Pian jokaisen Suomessa myytävän nettiin kytketyn laitteen täytyy täyttää pakolliset kyberturvallisuusvaatimukset. Kaikki kuuluvat uusien sääntöjen piiriin aina lasten leluista kodin valvontakameroihin ja älytelevisioon. Hallitus antoi 27. marraskuuta eduskunnalle lakiesityksen, joka panee täytäntöön EU:n kyberkestavyysasetuksen.
Valmistajilla on kolme vuotta aikaa saattaa tuotteensa vaatimusten mukaisiksi. Mikäli kyberturva ei ole edellytysten mukainen, niin tuotteet potkitaan pois EU:n sisämarkkinoilta.
Lainsäädäntö tähtää kyberturva-aukkoon, joka on jättänyt miljoonat kuluttajat alttiiksi hyökkäyksille. Älyjääkaapit, vauvakamerat, kuntorannekkeet ja jopa nettiin kytketyt koirapannat joutuvat uusien sääntöjen piiriin. Tavoitteena on estää epävarmat laitteet toimimasta porttina hakkereille.
Traficom ajaa siirtymää ja johtaa valvontaa
Liikenne- ja viestintävirasto Traficomista tulee Suomen kyberturvallisuuden virallinen valvoja. Virastolla on valta vetää sellaiset tuotteet pois hyllyiltä, jotka eivät täytä vaatimuksia. Samalla se voi sakottaa valmistajia jopa 15 miljoonalla eurolla tai 2,5 prosentilla maailmanlaajuisesta liikevaihdosta.
Traficom on myös vastuussa riippumattomien tarkastajien hyväksymisestä, jotka voivat testata, täyttävätkö tuotteet turvallisuusvaatimukset ennen kuin ne saavat CE-merkinnän. Valtioneuvoston tiedotteen mukaan kyseinen merkintä avaa tuotteelle ovet koko EU:n markkinoille.
Traficom ei kuitenkaan valvo kaikkea. Korkean riskin tekoälyjärjestelmät pysyvät niiden erikoisviranomaisten silmän alla, jotka jo valvovat tekoälylainsäädännön noudattamista EU:n alueella.
Mitä valmistajien on pakko tehdä
Uudet säännöt työntävät vastuun suoraan valmistajien harteille. Yritysten on rakennettava turvallisuus tuotteisiin alusta asti, eikä paikkaamalla puutteita jälkeenpäin.
Käytännössä tämä tarkoittaa riskiarviointeja ennen tuotteen lanseerausta, kaikkien tunnettujen haavoittuvuuksien korjaamista ja ilmaisten tietoturvapäivitysten tarjoamista vähintään viideksi vuodeksi.
Mutta vaatimukset menevät vielä kovemmaksi. Syyskuusta 2026 lähtien, eli yli vuosi ennen kuin täysi noudattaminen alkaa, valmistajien on ilmoitettava aktiivisesti käytössä olevista haavoittuvuuksista 24 tunnin sisällä. Myös vakavista turvapoikkeamista pitää kertoa, ja jatkotiedot toimittaa 72 tunnissa.
Laki laajentaa myös verkkotunnusten rekisteröintivaatimukset .fi- ja .ax-tunnusten ulkopuolelle. Tämä helpottaa viranomaisten työtä jäljittää rikollisia, jotka pyörittävät laittomia nettisivuja.
Mitä valmistajien on pakko tehdä
Uudet säännöt työntävät vastuun suoraan valmistajien harteille. Yritysten on rakennettava turvallisuus tuotteisiin alusta asti, eikä paikkaamalla puutteita jälkeenpäin.
Käytännössä tämä tarkoittaa riskiarviointeja ennen tuotteen lanseerausta, kaikkien tunnettujen haavoittuvuuksien korjaamista ja ilmaisten tietoturvapäivitysten tarjoamista vähintään viideksi vuodeksi.
Mutta vaatimukset menevät vielä kovemmaksi. Syyskuusta 2026 lähtien, eli yli vuosi ennen kuin täysi noudattaminen alkaa, valmistajien on ilmoitettava aktiivisesti käytössä olevista haavoittuvuuksista 24 tunnin sisällä. Myös vakavista turvapoikkeamista pitää kertoa, ja jatkotiedot toimittaa 72 tunnissa.
Laki laajentaa myös verkkotunnusten rekisteröintivaatimukset .fi- ja .ax-tunnusten ulkopuolelle. Tämä helpottaa viranomaisten työtä jäljittää rikollisia, jotka pyörittävät laittomia nettisivuja.
Ajoitus ei ole sattumaa. Kyberhyökkäykset maksavat maailmantaloudelle arviolta 5,5 biljoonaa euroa vuodessa. Epävarmoja kuluttajalaitteita käytetään yhä enemmän kriittisen infrastruktuurin iskuissa.
Haavoittuvainen älykamera tai reititin kotona voi päätyä osaksi bottiverkkoa, joka iskee sairaaloihin tai sähköverkkoihin.
Kuluttaja voittaa, vai voittaako?
Kuluttajille muutos tarkoittaa turvallisempia tuotteita ja selkeämpää tietoa turvaominaisuuksista jo ennen ostopäätöstä. Toisaalta samaan aikaan tämä voi vaikuttaa myös tuotteiden hintoihin. Yrityksille muutos tarkoittaa isoa rumbaa vaatimusten täyttämiseksi.
Tuotteet, jotka ovat jo myynnissä ennen joulukuuta 2027, voivat jäädä hyllyille, mutta kaikkien sen jälkeen lanseerattujen tuotteiden on täytettävä uudet standardit.
Eduskunta väittelee esityksestä ennen kuin se lähtee valiokuntaan tarkempaan syyniin. Jos esitys hyväksytään, niin päävelvoitteet astuvat voimaan 11. joulukuuta 2027. Haavoittuvuuksien ilmoituspakko alkaa kuitenkin jo 15 kuukautta aiemmin.
Kyberkestavyusasetus on EU:n rohkein yritys tähän mennessä turvata esineiden internet. Se täydentää nykyisiä kyberturvasääntöjä, kuten NIS2-direktiiviä, jonka Suomi pani täytäntöön aiemmin tänä vuonna.
Kun kytkettyjä laitteita syntyy kuin sieniä sateella – älyovikelloista teollisuusantureihiin – säätäjät kiiruhtavat tukkimaan turva-aukkoja ennen kuin niitä ehditään ryöstää massoittain.
Finnish AI Region
2022-2025.
Media contacts