Janne Yli-Korhonen
1. kesäkuuta, 2026 18:57
Suomessa on astunut tänään 1. kesäkuuta voimaan uusi kansallinen kyberkestävyyslaki. Kyseessä on merkittävästä lainsäädäntöpaketista, joka täydentää Euroopan unionin kyberkestävyyssäädöstä (Cyber Resilience Act, CRA) ja tuo EU-markkinoille pakolliset, tuotetason kyberturvallisuusvaatimukset ohjelmistoille ja laitteille.
Laki tuo mukanaan tiukan raportointivelvollisuuden digitaalisten tuotteiden valmistajille.
11. syyskuuta 2026 alkaen valmistajien on ilmoitettava tuotteissaan havaituista, aktiivisesti hyödynnetyistä haavoittuvuuksista sekä vakavista tietoturvapoikkeamista Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle.
Ilmoitus on tehtävä lyhyellä varoitusajalla, sillä määräajaksi on asetettu 24 tuntia siitä, kun valmistaja on tullut tietoiseksi haavoittuvuudesta tai poikkeamasta. Myöhemmin näistä tietoturva-aukoista on ilmoitettava myös suoraan kuluttajille.
Säädöksen soveltamisala on laaja, sillä se koskee käytännössä kaikkia tuotteita ja ohjelmistoja, jotka ovat suoraan tai epäsuorasti yhdistettävissä internetiin tai toiseen laitteeseen.
Kuluttajaelektroniikan puolella tämä tarkoittaa esimerkiksi älypuhelimia, älykelloja, itkuhälyttimiä, valvontakameroita, reitittimiä, älytelevisioita ja älyjääkaappeja sekä leluja.
Se kattaa myös ohjelmistot, kuten sovellukset ja pelit.
Kuluttajatuotteiden lisäksi sääntely koskee ammattikäyttöön tarkoitettuja järjestelmiä, kuten laitteiden etähallintaratkaisuja, pilvipohjaisia komponentteja, etäluettavia sensoreita ja teollisia ohjausjärjestelmiä.
Sääntelyn ulkopuolelle on rajattu vain sellaiset sektorit, joilla on jo ennestään omat tiukat tietoturvavaatimuksensa, kuten lääkinnälliset laitteet, ilmailu, ajoneuvot sekä maanpuolustuskäyttöön tarkoitetut välineet.
Vaikka kansallinen laki astuu voimaan nyt, velvoitteet ja viranomaistehtävät tulevat käyttöön vaiheittain vuosien 2026 ja 2027 aikana. Traficomin Kyberturvallisuuskeskus ottaa keskitetysti vastuun markkinavalvonnasta, haavoittuvuusilmoituksista sekä hallinnollisista seuraamuksista.
Poikkeuksena toimivat suuririskiset tekoälyjärjestelmät, joiden valvonnasta vastaavat toimialakohtaiset viranomaiset, kuten Turvallisuus- ja kemikaalivirasto, Energiavirasto, tietosuojavaltuutettu ja Finanssivalvonta. Tuotteiden vaatimustenmukaisuutta arvioivat laitokset voivat hakea Suomessa virallista nimeämistä tehtäviinsä 11. kesäkuuta alkaen, minkä jälkeen suomalainen ilmoitettu laitos voi suorittaa arviointeja kaikissa EU-maissa.
Kaikkien EU-markkinoille tuotavien digitaalisten tuotteiden on täytettävä kyberkestävyyssäädöksen vaatimukset täysimääräisesti 11. joulukuuta 2027 alkaen.
Tästä päivämäärästä lähtien laitteissa ja ohjelmistoissa on oltava muun muassa turvalliset oletusasetukset, automaattiset tietoturvapäivitykset, estot luvattomalta pääsyltä sekä luottamuksellinen datan säilytys.
Laajojen laitevaatimusten lisäksi uusi laki täydentää verkkotunnuksia koskevaa kansallista sääntelyä NIS2-direktiivin mukaisesti tekemällä täsmennyksiä sähköisen viestinnän palveluista annettuun lakiin.
Uudet velvoitteet laajentavat verkkotunnusten rekisteröintitietojen keräämistä ja luovuttamista koskevat säännöt koskemaan myös muita kuin .fi- ja .ax-verkkotunnuksia silloin, kun verkkotunnusvälittäjä tai aluetunnusrekisteri sijaitsee Suomessa.
Tavoitteena on parantaa tietojen saatavuutta sekä viranomaisten mahdollisuuksia puuttua verkossa tapahtuvaan laittomaan toimintaan. Verkkotunnustietoja koskevia uusia velvoitteita aletaan soveltaa kolmen kuukauden siirtymäajan jälkeen.