Uusi Kyberkestävyyslaki voimaan 1.6. - haavoittuvuuksista ilmoitettava Traficomille syksystä alkaen | Traficom
Siirry pääsisältöön
Liikenne- ja viestintävirasto

Uusi Kyberkestävyyslaki voimaan 1.6. - haavoittuvuuksista ilmoitettava Traficomille syksystä alkaen

29. toukokuuta 2026 klo 13.42

Kyberkestävyyssäädös tuo ensimmäistä kertaa EU:n markkinoille tuotetason kyberturvallisuusvaatimukset ohjelmistoille ja laitteille. 1.6.2026 voimaan tuleva laki täydentää EU:n säädöstä ja määrittelee toimintatavat Suomessa. Lisäksi laki täydentää verkkotunnuksia koskevaa sääntelyä.

Tuoreen kyberkestävyyslain ja EU:n kyberkestävyyssäädöksen (Cyber Resilience Act, CRA) tavoitteena on parantaa markkinoilla olevien tuotteiden kyberturvallisuutta. Lain mukaan valmistajien tulee ilmoittaa haavoittuvuuksista Traficomin Kyberturvallisuuskeskukselle 11.9.2026 alkaen ja kaikkien markkinoille tuotavien tuotteiden tulee noudattaa kyberkestävyyssäädöstä 11.12.2027 alkaen. 

EU:n kyberkestävyyssäädöksessä säädetään pakolliset kyberturvallisuusvaatimukset ohjelmistoille ja laitteille. Kyberkestävyyssäädöstä täydentävät kansalliset lait tulevat voimaan 1.6.2026.

Kyberkestävyyssäädös koskee internetiin tai toiseen laitteeseen yhdistettäviä laitteita ja ohjelmistoja

Kyberkestävyyssäädös määrittää EU:ssa vähimmäisvaatimukset tuotteiden ja ohjelmistojen kyberturvallisuudelle. Valmistajien on suunniteltava ja tehtävä tuotteet kyberturvallisiksi sekä ilmoitettava haavoittuvuuksista ja vakavista tietoturvapoikkeamista. Vaatimuksia on myös maahantuojille, jälleenmyyjille ja avoimen lähdekoodin ohjelmistovastaaville. Kyberkestävyyssäädöksen arvioidaan parantavan yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita ja ohjelmistoja.

Kyberkestävyyssäädöksen viranomaistehtävät Traficomissa

Kyberkestävyyssäädöksen viranomaistehtävät järjestetään keskitetysti Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa. Uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista sisältää säädöksiä muun muassa markkinavalvonnasta, haavoittuvuuksista ilmoittamisesta, vaatimustenmukaisuuden arviointilaitosten ilmoittamisesta sekä hallinnollisista seuraamuksista. 

Lisäksi laki täydentää kansallisia säännöksiä EU:n kyberturvallisuussertifioinneista. Tuotteiden vaatimukset perustuvat edelleen EU-sääntelyyn.

Haavoittuvuuksista ilmoittaminen

Valmistajien on ilmoitettava Traficomin Kyberturvallisuuskeskukselle tuotteissaan havaituista aktiivisesti hyödynnetyistä haavoittuvuuksista ja tuotteen tietoturvaan vaikuttavista vakavista poikkeamista 11.9.2026 alkaen. Ilmoitukset on toimitettava 24 tunnin kuluessa siitä, kun valmistaja on tullut tietoiseksi haavoittuvuudesta tai poikkeamasta.

Markkinavalvonta

Kyberkestävyyssäädöksen markkinavalvontaa sekä ilmoitettujen laitosten nimeämistä ja valvontaa koskevat viranomaistehtävät järjestetään keskitetysti Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa. Suuririskisiä tekoälyjärjestelmiä valvovat kuitenkin samat viranomaiset, jotka valvovat tekoälyasetuksen vaatimuksia toimialan mukaan. Näitä ovat esimerkiksi Turvallisuus- ja kemikaalivirasto, Traficom, Lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus, Energiavirasto, tietosuojavaltuutettu ja Finanssivalvonta. Kansallisena kyberturvallisuussertifioinnin viranomaisena toimii jatkossakin Traficomin Kyberturvallisuuskeskus.

Vaatimustenmukaisuuden arviointilaitokset

Tuotteiden vaatimuksenmukaisuutta arvioivat laitokset voivat lain voimaantulon myötä hakea Suomessa ilmoittamista kyberkestävyyssäädöksen mukaisiin arviointitehtäviin 11.6.2026 alkaen. Ilmoittamista haetaan Traficomin Kyberturvallisuuskeskukselta. Suomen ilmoittama laitos voi tehdä kyberkestävyyssäädöksen vaatimustenmukaisuuden arviointia kaikissa EU-jäsenvaltioissa pätevyysalueen mukaisesti.

Verkkotunnuksia koskeva sääntely täydentyy

Sähköisen viestinnän palveluista annettuun lakiin on tehty täsmennyksiä ja lisätty uusi luku. Muutoksilla täydennetään verkkotunnuksia koskevaa sääntelyä NIS2-direktiivin mukaisesti. Uudet velvoitteet koskevat jatkossa myös muun muassa verkkotunnusten jälleenmyyjiä sekä muita kuin .fi- ja .ax-verkkotunnuksia, jos esimerkiksi toimijan päätoimipaikka tai nimetty edustaja sijaitsee Suomessa. Muutoksella parannetaan tietojen saatavuutta ja viranomaisten mahdollisuuksia puuttua laittomaan toimintaan verkossa. Uusia velvoitteita sovelletaan kolmen kuukauden siirtymäajan jälkeen.

Radiolaitteiden tietoturvavaatimukset kumotaan

Komissio on lisäksi julkaissut delegoidun asetuksen, jolla peruutetaan radiolaitteiden kyberturvallisuusvaatimuksia koskeva delegoitu asetus (EU) 2022/30. Peruuttaminen tulee voimaan 11.12.2027 alkaen, jolloin EU:n kyberkestävyyssäädöstä aletaan soveltaa täysimääräisesti. Siihen asti nykyisiä RED-direktiivin mukaisia kyberturvallisuusvaatimuksia sovelletaan edelleen normaalisti. Käytännössä muutos koskee siis vain 11.12.2027 lähtien EU-markkinoille saatettavia radiolaitteita. Muutoksen tavoitteena on välttää päällekkäistä sääntelyä.

EU:n kyberkestävyyssäädös (CRA) tulee voimaan – infotilaisuus 3.6.2026

Traficom, liikenne- ja viestintäministeriö ja Kyberala ry järjestävät EU:n kyberkestävyyssäädöstä (CRA) koskevan infotilaisuuden 3. kesäkuuta klo 9-11.30.