Uusi ehdotus EU asetukseksi älylaitteiden kyberturvallisuudesta tietää paljon uutta IOT-laitteiden valmistajille ja myyjille

15.9.2022 EU komissio julkaisi uuden ehdotuksen asetukseksi "älylaitteiden" tietoturvallisuudesta (https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act). Ehdotettujen EU-sääntöjen mukaan erilaisten "älylaitteiden" ja tuotteiden on täytettävä tiettyjä kyberturvastandardeja saadakseen hyväksyntämerkinnän, joka on edellytys myydä tuotteita EU:n alueella. Ehdotetut vaatimukset eivät koskisi avoimen lähdekoodin laitteiden, ellei näitä tarjota kaupallisesti.

Komission ehdotuksessa EU-maat tai EU:n kyberturvallisuusvirasto ENISA voisivat suorittaa vaatimustenvastaisuuden arviointia kaikista EU-alueella myytävistä älylaitteista. Esityksessä todetaan, että vaikka älylaitteet täyttäisivät kyberturvaan liittyvät EU-säännöt, niiden voidaan silti todeta "aiheuttaa merkittävän kyberturvallisuusriskin" ja sitä kautta vaarantavan ihmisten terveyden ja turvallisuuden tai laiminlyövän perusoikeuksia. Esityksessä ENISA tulee myös luomaan uuden haavoittuvuustietokannan rajat ylittävien hyökkäysten arvioimiseksi. Mikäli älylaite ei täytä uusia vaatimuksia, kansalliset sääntelyviranomaiset tai EU komissio voivat vetää tuotteen pois kansallisilta ja EU-markkinoilta.

Asetusehdotuksessa vakavista sääntöjen rikkomisesta määräytyvät sakot voivat nousta 15 miljoonaan euroon tai 2,5% yrityksen maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Vähemmän vakavista rikkomuksista sakot voivat nousta 10 miljoonaan euroon tai 2 % maailmanlaajuisesta liikevaihdosta. Jos yrityksen todetaan antavan "virheellisiä, puutteellisia tai harhaanjohtavia" tietoja, voidaan yritys tuomita maksamaan 5 miljoonan euron sakko tai enintään 1 % liikevaihdosta.

EU komission ehdotuksessa nimetään neljä asetettua erityistavoitetta:

1. varmistetaan, että laitevalmistajat parantavat digitaalisia elementtejä sisältävien tuotteidensa kyberturvallisuutta suunnittelu- ja kehitysvaiheista lähtien ja koko tuotteen elinkaaren ajan;
2. varmistetaan, että kyberturvallisuuskehys on johdonmukaista, jotta laitteiden ja niihin sisällettyjen ohjelmistojen vaatimustenmukaisuus voidaan helposti todentaa ja osoittaa
3. parannetaan digitaalisia elementtejä sisältävien tuotteiden turvaominaisuuksien läpinäkyvyyttä kuluttajille
4. yritysten ja kuluttajien mahdollisuus käyttää digitaalisia elementtejä sisältäviä tuotteita turvallisesti ja luottavaisesti

Uusi ehdotus ei ole tullut ihan täysin puskasta. Kaliforniassa tuli voimaan jo tammikuussa 2020 laki missä vaaditaan, että IOT-laitteiden tulee tarjota sovellutukseen nähden "riittävät" turvallisuusominaisuudet. Näitä ovat mm. oletussalasanojen kieltäminen ja loppukäyttäjän mahdollisuus yksilöidä älylaitteen turva-asetukset. Samanlainen laki on voimassa myös Oregonin osavaltiossa. Sen mukaan kuluttajalla tulee olla mahdollisuus määrittää omat tunnistusasetukset, joilla laitetta voidaan hallinnoida.

Komission ehdottama asetus olisi tulossa voimaan 24 kuukauden kuluttua asetuksen vahvistamisesta EU Parlamentissa ja asetuksen artikla 11 valmistajien raportointivelvollisuudesta tulisi ehdotuksen mukaan voimaan vuotta tätä ennen. Koska uudet vaatimukset koskisivat sekä laitevalmistajia, että laitteiden maahantuojia koko EU-alueella, on tärkeää, että yritykset valmistautuvat vaatimuksiin hyvissä ajoin. Miten valmistautumista voidaan tehdä jo nyt? Spearin asiantuntijoiden mukaan seuraavat neljä toimenpidettä ovat avainasemassa:

1. IOT-kyberturvastrategian laatiminen
2. Yrityksen tietoturvajärjestelmän käyttöönotto ja kehittäminen osana laatujärjestelmää, sekä älylaitteiden elinkaaren hallinnan lisääminen tietoturvan hallintajärjestelmän scope-alaan
3. Tuotettujen tai myytyjen älylaitteiden arvioiminen ja luokittelu kyberturvavaatimusten mukaan
4. Vaatimustenmukaisuusraportoinnin valmistelu

Itse laitteiden osalta seuraavat neljä keskeisintä asiaa on tärkeä arvioida mahdollisimman hyvissä ajoin, eli vaikka heti:

1. Onko laite yhteydessä internet verkkoon tai paikalliseen verkkoon esim. Bluetooth-yhteydellä?
2. Onko laitteessa yksilöintiin kelpaava tunniste, jota voi käyttää osana elinkaaren hallintaa?
3. Onko laiteasetuksissa mahdollisuus yksilöidä pääsynhallinta-asetukset?
4. Onko laite kykenevä suojattuun viestiyhteyteen etänä tai paikallisesti?

Olennaisinta IOT-laitteiden kyberturvallisuuden hallinnassa on, että laite voidaan turvallisesti yksilöidä (identifiointi), tunnistaa (autentikointi) ja suojata (salaaminen) käyttäen sitä kanavaa mitä laitehallinnalle on tarjolla. Totuus on se, että useimmat laitteet eivät kykene näihin ominaisuuksiin, joten työtä on runsaasti tiedossa tuhansille laitevalmistajille ja laitemyyjille seuraaviksi vuosiksi.

Spear Innovations Oy Ltd. tarjoaa ratkaisuja ja konsultointipalveluja laitteiden yksilöintiin, tunnistamiseen ja suojaamiseen. Ota yhteyttä meidän tiimiimme niin kerromme mielellämme mm. laitepasseista, laitteiden "syntymätodistuksista" sekä muista IOT-ratkaisuistamme, joiden avulla vastataan tehokkaasti uusiin vaatimuksiin.

EU komission ehdotus uudeksi asetukseksi on saatavilla täältäi: REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2022:0454:FIN)