Government of Finland

06/17/2025 | Press release | Distributed by Public on 06/17/2025 06:24

Esitysluonnos kyberkestävyyssäädöksen toimeenpanosta lausunnoille

Esitysluonnos kyberkestävyyssäädöksen toimeenpanosta lausunnoille

liikenne- ja viestintäministeriö
Julkaisuajankohta 17.6.2025 15.02
Tyyppi:Tiedote
Nainen solmii kengännauhoja älykello ranteessa (Kuva: Mika Pakarinen, Keksi/LVM)

Liikenne- ja viestintäministeriö pyytää lausuntoja hallituksen esitysluonnoksesta koskien EU:n kyberkestävyyssäädöksen (Cyber Resilience Act, CRA) toimeenpanoa Suomessa. Lausuntoja voi antaa 12.8.2025 asti.

Esitysluonnoksessa ehdotetaan säädettäväksi uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista. Lisäksi tehtäisiin muutoksia sähköisen viestinnän palveluista annettuun lakiin ja kyberturvallisuuslakiin.

Luonnoksessa ehdotetaan, että kyberkestävyyssäädöksen markkinavalvontaa sekä ilmoitettujen laitosten nimeämistä ja valvontaa koskevat tehtävät keskitettäisiin Liikenne- ja viestintävirasto Traficomiin. Korkean riskin tekoälyjärjestelmille kyberkestävyyden valvojina toimisivat kuitenkin EU:n tekoälyasetusta valvovat viranomaiset. Laitteiden ja ohjelmistojen vaatimustenmukaisuutta arvioivat laitokset voisivat hakea Liikenne- ja viestintävirasto Traficomista ilmoittamista CRA:n mukaisiin arviointitehtäviin. Lisäksi Traficom valvoisi kyberkestävyyssäädöksen vaatimustenmukaisuutta.

Luonnoksessa ehdotetaan myös täydennettäväksi EU:n kyberturvallisuusasetusta säätämällä kansallisen kyberturvallisuussertifioinnin viranomaisen toimivaltuuksista nykyistä täsmällisemmin. Kansallisena kyberturvallisuussertifioinnin viranomaisena toimisi jatkossakin Liikenne- ja viestintävirasto Traficom.

Lisäksi luonnoksessa ehdotetaan uutta sääntelyä sähköisen viestinnän palveluista annettuun lakiin. Sääntely koskisi muita kuin .fi- tai .ax-verkkotunnuksia ja niiden välittämistä silloin, jos verkkotunnusvälittäjä tai aluetunnusrekisteri on sijoittautunut Suomeen. Sääntelyllä täydennettäisiin kyberturvallisuusdirektiivin (NIS 2 -direktiivi) mukaisten verkkotunnuksiin liittyvien tietojen keräämistä ja luovuttamista koskevien velvoitteiden soveltamista. Sääntely edistäisi verkkotunnusten rekisteröintitietojen saatavuutta, mikä parantaisi mahdollisuuksia puuttua verkossa tapahtuvaan laittomaan toimintaan.

Kyberkestävyyssäädös koskee internetiin tai toiseen laitteeseen yhdistettäviä laitteita ja ohjelmistoja

EU:n kyberkestävyyssäädös asettaa kyberturvallisuutta koskevat vähimmäisvaatimukset tuotteille ja ohjelmistoille, jotka ovat yhdistettävissä internetiin tai toiseen laitteeseen. Tällaisia ovat esimerkiksi internetiin yhdistettävät valvontakamerat, jääkaapit, älykellot, televisiot, tietokoneet, puhelimet, sovellukset ja lelut. Asetus koskee myös ohjelmistoja, kuten sovelluksia ja pelejä, sekä muuhun kuin kuluttajakäyttöön tarkoitettuja tuotteita, kuten laitteisiin ja koneisiin sisältyviä käyttöjärjestelmiä ja ohjelmistoja, etäluettavia sensoreita ja etähallintajärjestelmiä. Asetuksella velvoitetaan laitteiden ja ohjelmistojen valmistajat noudattamaan olennaisia kyberturvallisuusvaatimuksia sekä ilmoittamaan ja hallitsemaan tuotteiden haavoittuvuuksia.

Säädöksen arvioidaan parantavan yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita.

Mitä seuraavaksi?

Lausunnon hallituksen esitysluonnoksesta voi antaa osoitteessa Lausuntopalvelu.fi. Lausuntoaika suomeksi päättyy 12.8.2025. Hallituksen esityksen ruotsinnos lisätään lausuntopalveluun käännöksen valmistuttua ja lausuntoaika ruotsiksi ilmoitetaan erikseen lausuntopalvelussa. Lausuntokierrokselta saatu palaute otetaan huomioon, kun lain valmistelu liikenne- ja viestintäministeriössä jatkuu.

Asetuksen soveltaminen alkaa siirtymäajan jälkeen 11.12.2027. Aktiivisesti hyödynnettyjen haavoittuvuuksien ilmoittamista sovelletaan kuitenkin jo 11.9.2026 alkaen ja ilmoitettuja laitoksia koskevaa sääntelyä 11.6.2026 alkaen.

Lisätietoja:

erityisasiantuntija Marko Priiki, p. 0295 342 187, [email protected]

yksikön johtaja Timo Kievari, p. 0295 342 620, [email protected]

Lausuntopalvelu.fi: Lausuntopyyntö: luonnos hallituksen esitykseksi kyberkestävyyssäädöksen toimeenpanoa koskevaksi lainsäädännöksi
Valtioneuvoston hankeikkuna: Hallituksen esitys kyberkestävyyssäädöksen täytäntöönpanemiseksi
Tiedote 20.11.2024: Kyberkestävyyssäädös asettaa vähimmäisvaatimukset internetiin kytkettäville tuotteille - kansallinen toimeenpanohanke käynnissä
Liikenne- ja viestintävirasto: Kyberkestävyyssäädös (Cyber Resilience Act, CRA)
kyberturvallisuus lainsäädäntö tietoturva viestintä
Government of Finland published this content on June 17, 2025, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on June 17, 2025 at 12:24 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at support@pubt.io