Huld

Bold Ideas with a Human Touch

Etusivu » Näkemyksiä » Älylaitteiden tietoturvasääntely – lue Elisan ja Huldin vastaukset kysytyimpiin kysymyksiin 

Älylaitteiden tietoturvasääntely – lue Elisan ja Huldin vastaukset kysytyimpiin kysymyksiin 

Älylaitteet Digitaalinen turvallisuus Digitaaliset palvelut ja ohjelmistot

Written by Taavi Mattila, Elisa

Written by Mika Flinck, Elisa

Written by Iikka Taanila

Hyppää osioon
Älylaitteet Digitaalinen turvallisuus Digitaaliset palvelut ja ohjelmistot

Uudet säädökset, kuten RED- ja CRA-direktiivit ravistelevat älylaitemarkkinoita. Miten nämä muutokset näkyvät käytännössä? Mitä vaaditaan, jotta älylaite on alusta asti sekä teknisesti ajan tasalla että sääntelyn mukainen? 

Blogisarjan edellisessä osassa tehtiin tiivis katsaus verkkoteknologioiden tulevaisuuteen. Seuraavaksi Mika Flinck ja Taavi Mattila Elisalta sekä Iikka Taanila Huldilta vastaavat polttavimpiin kysymyksiin tietoturvasääntelyistä.  

Lue alta asiantuntijoiden näkemyksiä siitä, kuinka voit varautua tulevaan – oli kyseessä sitten täysin uusi innovaatio tai vanhan tuotteen uudistaminen. 

1. Mitä mieltä olet teknologioiden sääntelystä, kuten radiolaitedirektiivi (RED) tai kyberkestävyyssäädös (CRA)?  

Mika & Taavi: Hyvin toteutettuna sääntely on tarpeellinen. Se parantaa tietoturvaa, estää huonolaatuiset tuotteet ja suojaa kuluttajia.  

Liiallinen tai jäykkä sääntely voi kuitenkin pahimmillaan haitata innovaatioita ja aiheuttaa tarpeettomia kustannuksia, erityisesti pienille yrityksille. 

Paras ratkaisu olisi sääntely, joka on joustavaa ja kehittyy teknologian mukana, mutta samalla varmistaa turvalliset laitteet sekä tasapuolisen kilpailun. 

Iikka: Sääntely on erinomaisen tärkeää. Vaatimustenvastaiset ja vaaralliset tuotteet voivat aiheuttaa jopa hengenvaarallisia uhkia käyttäjille. Lisäksi ne voivat vääristää kilpailua vaatimustenmukaisia tuotteita myyvien yritysten kanssa.  

Tietoturvasääntelyt, kuten RED ja CRA, lisäävät tuotteiden ja palveluiden turvallisuutta. Toivottavasti ne myös kykenevät enenevissä määrin ehkäisemään esimerkiksi edellisessä osassa mainittuja DDoS-hyökkäyksiä. 

2. Onko vaatimustenmukaisuuden saavuttaminen työlästä tai kallista yrityksille? 

Mika & Taavi: RED- ja CRA-sääntely tekevät tuotteista turvallisempia ja parantavat käyttäjien tietoturvaa. Niiden avulla tietoturva tuodaan ensimmäistä kertaa osaksi laitteiden suunnittelua jo alusta alkaen. Tavoitteena on, että markkinoilla on vain turvallisia ja sääntelyn mukaisia laitteita, joka varmistetaan esimerkiksi mobiiliverkkojen laitehallinnan ja etäpäivitysten avulla.  

Yritysten on tärkeää panostaa tietoturvaan jo tuotekehitysvaiheessa ja huolehtia sen ylläpidosta koko tuotteen elinkaaren ajan. Pitkällä aikavälillä sääntely voi tuoda myös kilpailuetua, sillä tietoturvasta on tulossa yhä keskeisempi osa asiakkaiden ostopäätöksiä. Siksi yritysten kannattaa valmistautua vaatimuksiin ajoissa ja kehittää tietoturvakäytäntöjään ennakoivasti. 

Iikka: Jos yrityksesi on jo noudattanut ”secure by design” -periaatetta, niin selviät luultavasti pienillä muutoksilla. Jos taas tietoturva ei ole ollut prioriteetti, työtä ja kustannuksia on luvassa.  

Uudet RED- ja CRA-sääntelyt edellyttävät muun muassa laitekohtaisia riskiarvioita, tietoturvallista ohjelmistokehitystä, säännöllistä tietoturvatestausta, haavoittuvuuksien seurantaa ja raportointia. Jos koko prosessia ja siihen liittyviä asioita lähdetään rakentamaan alusta alkaen, työhön saattaa mennä jopa vuosi. Tämä on pitkä aika, kun ottaa huomioon sen, että CRA:n ensimmäiset vaatimukset tulevat pakollisiksi jo 11.9.2026. Tietoturva tulisikin huomioida olennaisena osana tuotekehitysbudjetteja. 

3. Radiolaitedirektiivin ns. kyberlaajennos (RED/RED-DA) tuli voimaan 1.8.2025 – mikä muuttui markkinoilla? 

Mika & Taavi: Heti tämä ei tietenkään näy, koska koko ketju, mukaan lukien tukut ja jälleenmyyjät, haluavat myydä vanhat laitteet pois. Laitevalmistajat ovat joutuneet pohtimaan tätä jo jonkin aikaa, jotta laitteiden uudelleensuunnittelun ja hyväksynnän yhteydessä saavutetaan myös CRA-yhteensopivuus. Näin laitesuunnittelua ei tarvitse aloittaa alusta kahden vuoden päästä, kun CRA tulee pakolliseksi. 

Kaikkia IoT-laitteita ja verkkoteknologioita ei ole suunniteltu tukemaan CRA:n edellyttämiä etäpäivityksiä. Tämä on tärkeää ottaa huomioon niin loppuasiakkaiden kuin palveluntuottajienkin, jotta tehdyt valinnat olisivat aidosti tulevaisuudenkestäviä. 

Laskutuksessa käytössä olevat IoT-laitteet, kuten sähkö-, kaukolämpö- ja vesimittarit, ovat vielä erikseen MID-hyväksytettävä, jos niihin tehdään muutoksia, sillä niiden perusteella toteutetaan kulutuspohjaista laskutusta. 

Tämä saattaa heikentää joidenkin laitteiden saatavuutta, mutta samalla korjataan merkittäviä haasteita.  

Iikka: Yritykset ovat reagoineet muutokseen kiitettävästi tuotekehityksessään. Regulaatioiden ja standardien tulkinta on kuitenkin haastavaa. Tällä hetkellä on vielä epäselvyyttä siitä, mitä laitteita uudet tietoturvavaatimukset tarkalleen koskevat ja miten ne saadaan täyttämään vaatimukset.  

Monelle yritykselle tuli myös yllätyksenä, että uudet tietoturvavaatimukset on täytettävä riippumatta siitä, milloin tuotteen suunnittelu tai tyyppihyväksyntä on tehty. Suurin osa yrityksistä on kuitenkin jo päivittäneet laitteidensa ohjelmistot vaatimusten mukaisiksi, vaikkakin joillain työ on vielä kesken.  

Kauppojen hyllyillä muutos näkyy niin sanottuna ”kahden tuotetyypin tilanteena” – tarjolla on sekä ennen 1.8.2025 valmistettuja ”vanhan mallisia” tuotteita että 1.8.2025 jälkeen valmistettuja vaatimustenmukaisia tuotteita. Kuluttajan näkökulmasta tilanne voikin olla aluksi hieman hankala, mutta se tulee selkiytymään lähikuukausina. Tämän jälkeen myynnissä on pääasiassa vain vaatimusten mukaisia tuotteita. 

4. Mistä yritykset voivat saada apua muutoksiin valmistautumisessa? 

Mika & Taavi: Elisa tarjoaa tietoturvakonsultointia, asiantuntijatukea ja koulutusta. Niiden avulla voidaan varmistaa, että yritykset ymmärtävät sääntelyn ja osaavat suojautua tehokkaasti. Lisäksi tarjoamme automatisoituja tietoturvaratkaisuja, kuten IoT- ja ohjelmistopäivityksiä ilman manuaalista työtä.  

Iikka: Kyberturvallisuuden asiantuntijamme auttavat turvaamaan yrityksesi toimintaa kokonaisvaltaisesti. Heillä on vankka kokemus turvallisuusjohtamisesta, riskienhallinnasta ja arviointimenetelmistä eri toimialoilta. Tarjoamme muun muassa vaatimustenmukaisuuden arviointia, turvallisen ohjelmisto- ja tuotekehityksen prosesseja sekä haavoittuvuuksien tunnistamista ja testausta.  

Molemmat: Traficomin Kyberturvallisuuskeskus kannattaa myös ottaa seurantaan, sieltä löytyy uutisia sekä ajankohtaista tilannekuvaa turvallisuustilanteesta. 

Lue lisää 

Elisan Tietoturva-palvelut 
Huldin turvallisuuspalvelut 

Huldin ja Elisan asiantuntijat löydät myös 

Alihankinta, 30.9 – 2.10.2025, Tampereen Messu- ja Urheilukeskus 
Teknologia 25, 4.11 – 6.11.2025, Helsingin Messukeskus 

Ota yhteyttä