Radiolaitedirektiivi (RED) päivittyy – lue kaikki, mitä sinun tulee tietää

Kirjoittaja: Tarmo Kellomäki
Director, Digital Security & Functional Safety

EU:n radiolaitedirektiivi on ollut voimassa vuodesta 2016 ja ensi vuonna se päivittyy uusilla 3.3 d/e/f –kyberturvamäärityksillä. Kaikkien yksittäisten radiotuotteiden, jotka saatetaan EU:n markkinoille 1.8.2025 jälkeen, on täytettävä nämä uudet vaatimukset.  

Lue tästä blogista tiiviissä paketissa kaikki, mitä sinun tulee tietää päivittyvästä radiolaitedirektiivistä. Ota myös yhteyttä – asiantuntijamme Huldilla auttavat sinua täyttämään vaatimukset!  

Mikä on radiolaitedirektiivi? 

Radiolaitedirektiivi (RED) on asetus, joka säätelee radiolaitteiden suunnittelua, valmistusta ja markkinoille tuomista Euroopan unionin alueella. Direktiivi päivittyy uudella delegoidulla asetuksella 3.3 d/e/f, jonka tavoitteena on parantaa langattomien laitteiden tietoturvaa asettamalla niille yhtenäiset vaatimukset.   

Radiolaitteiksi luetaan langattomat sähkö- ja elektroniikkalaitteet, jotka lähettävät ja vastaanottavat radioaaltoja tai joihin on sisäänrakennettu radiokomponentti langatonta yhteyttä varten (esimerkiksi WiFi, Bluetooth, NB-IoT). Tietoturvavaatimukset koskevat kaikkia suoraan tai toisen laitteen kautta Internetiin liitettyjä langattomia laitteita.  

Direktiivin piirissä ovat esimerkiksi: 

  • IoT-laitteet, jotka siirtävät tietoa Internetin kautta, kuten langaton lämpömittari ja kosteusanturi 
  • Teollisuuden Internetiin kytketyt langattomat laitteet 
  • Älypuhelimet, tabletit, langattomat kamerat, kaiuttimet ja kuulokkeet 
  • Puettavat laitteet, kuten älykellot, urheilukellot ja aktiivisuusrannekkeet 
  • Kauko-ohjattavat lelut ja lastenhoitovälineet, kuten itkuhälyttimet 

Mihin radiolaitedirektiivi velvoittaa? 

Radiolaitteiden valmistajien ja maahantuojien on varmistettava, että heidän tuotteensa täyttävät direktiivin kriteerit. Lisäksi valmistajien ja maahantuojien on huolehdittava siitä, että tietoturvaongelmien ilmetessä ne voidaan korjata ja päivittää.  

Artikla 3.3 d/e/f -kyberturvamäärityksien keskeisimmät velvoitteet: 

  • Artikla 3.3 (d) – Radiolaitteet eivät vahingoita verkkoa tai sen toimintaa, eivätkä käytä väärin verkon resursseja, aiheuttaen siten palvelun huonontumista. 
  • Artikla 3.3 (e) – Radiolaitteet sisältävät turvatoimia käyttäjän henkilötietojen ja yksityisyyden suojaamiseksi. 
  • Artikla 3.3 (f) – Radiolaitteet tukevat tiettyjä ominaisuuksia, jotka suojaavat petoksia vastaan. 

CEN/CENELEC kehittämät yhdenmukaistetut standardit on julkaistu EU:n virallisessa lehdessä helmikuussa 2025.

  • EN 18031-1:2024: Määrittelee internetiin yhdistettyjen radiolaitteiden yleiset turvallisuusvaatimukset.
  • EN 18031-2:2024: Määrittelee tekniset vaatimukset henkilö-, liikenne- tai sijaintitietoja käsitteleville radiolaitteille. Tämä sisältää laitteita, kuten internetiin yhdistetyt radiolaitteet, lasten radiolaitteet, leikkiradiolaitteet ja puettavat radiolaitteet.
  • EN 18031-3:2024: Määrittelee kyberturvallisuusvaatimukset virtuaalirahaa tai rahallista arvoa käsitteleville ja internet-viestintään kykeneville radiolaitteille.

Näiden standardien nyt ollessa käytössä valmistajat voivat mukautua RED-direktiivin kyberturvallisuusvaatimuksiin, joista tulee pakollisia elokuussa 2025. Lisäksi näillä standardeilla luodaan perustaa uuden Kyberkestävyyssäädöksen yhdenmukaistettujen standardien kehittämiselle.

Laitteiden vaatimukset tulisivat kattamaan esimerkiksi: 

  • Asianmukaiset todennus- ja pääsynvalvontamekanismit 
  • Automatisoidut ja turvalliset mekanismit ohjelmistojen tai laiteohjelmistojen päivittämistä varten 
  • Mekanismeja palvelunestohyökkäysten lieventämiseen. 

Mitä tapahtuu, jos en noudata vaatimuksia? 

Kaikkien yksittäisten radiotuotteiden, jotka saatetaan EU:n markkinoille 1.8 2025 jälkeen, on täytettävä uudet kyberturvallisuusvaatimukset riippumatta siitä, milloin tuotteen suunnittelu tai tyyppihyväksyntä on tehty. Huomioithan, että ’saattaa markkinoille’ viittaa yksittäiseen tuotteeseen. Vaikka tuotemalli tai tyyppi olisi asetettu saataville ennen kuin uudet pakolliset vaatimukset sisältävä unionin yhdenmukaistamislainsäädäntö tuli voimaan, samaa mallia tai tyyppiä olevien yksittäisten yksiköiden, jotka saatetaan markkinoille uusien vaatimusten voimaantulon jälkeen, on oltava näiden uusien vaatimusten mukaisia.

Mikäli radiolaite ei täytä uusia tietoturvavaatimuksia, se ei saa CE-merkintää. CE-merkintä osoittaa, että laite noudattaa EU:n lainsäädännön vaatimuksia. Ilman merkintää laitetta ei voi tuoda EU:n markkinoille eikä käyttää EU:n alueella. Suomessa myytävien radiolaitteiden vaatimuksenmukaisuutta valvoo liikenne- ja viestintävirasto Traficom 

Asiantuntijamme ovat valmiina auttamaan!

Päivittyvä radiolaitedirektiivi vaikuttaa kaikkiin valmistajiin, jotka tuovat radiolaitteita myyntiin EU:n markkinoille. Vaikka yhdenmukaistettuja standardeja ei ole vielä julkaistu, valmistautuminen vaatimustenmukaisuuteen on syytä aloittaa jo nyt riippumatta nykyisestä tuotekehitysvaiheestasi. 

Kyberturvallisuuden asiantuntijamme auttavat sinua vastaamaan uuden säädöksen vaatimuksiin, jotta tuotteesi säilyvät EU-markkinoilla. Asiantuntijamme ovat erikoistuneet kyberturvallisuusstandardeihin, jotka ovat tulevien vaatimusten pohjalla. Näitä ovat esimerkiksi ETSI EN 303 645 ja ISA/IEC 62443-4-2 Industrial Control System Cybersecurity -standardi. 

Ota yhteyttä
Tarmo Kellomäki
Director, Digital Security & Functional Safety
+358 44 562 5222
 

  • CyberSafety
  • Kyberfyysinen turvallisuus
  • RED
  • Turvallisuus

Edellinen kirjoitus

Tekoälyn todellinen voima – paneelikeskustelu Teknologia 2023-messuilla 9.11.