Kyberkestävyyssäädös tuo turvavaatimukset älylaitteisiin – aikataulu tarkentuu

Kuinka kauan kotireititin saa tietoturvapäivityksiä? Tähän kysymykseen on tähän asti ollut vaikea löytää vastausta missään tuotepakkauksessa. Uusi EU-asetus muuttaa tilanteen. Kyberkestävyyssäädös velvoittaa valmistajat kertomaan ostajalle selkeästi, kuinka pitkään laite saa päivityksiä. Asia nousi esiin Kyberturvallisuuskeskuksen tuoreessa viikkokatsauksessa 20/2026.

Säädös koskee laajaa joukkoa arkisia tuotteita. Mukana ovat kotireitittimet, älytelevisiot, valvontakamerat, verkkoon kytketyt lelut ja vauvamonitorit. Sama koskee ohjelmistoja: pelejä, selaimia, käyttöjärjestelmiä ja salasanaohjelmia. Jos tuotteessa on digitaalisia osia ja se voi kytkeytyä internetiin tai toiseen laitteeseen, se kuuluu sääntelyn piiriin.

Mikä ostajalle muuttuu

Tärkein muutos kuluttajan kannalta on tukijakson ilmoittaminen. Valmistajan on jatkossa kerrottava, kuinka pitkään tuote saa tietoturvapäivityksiä. Tieto tulee näkyviin. Ostaja voi siis vertailla laitteita myös tällä mittarilla, ei vain hinnan ja ominaisuuksien.

Vastuu tuotteen turvallisuudesta seuraa valmistajaa koko elinkaaren ajan. Halpa verkkokamera, jonka päivitykset loppuvat puolessa vuodessa, erottuu jatkossa selvemmin laitteesta, jota tuetaan vuosia.

Toinen muutos koskee haavoittuvuuksia. Valmistajan on raportoitava aktiivisesti hyödynnetyt haavoittuvuudet ja vakavat tietoturvapoikkeamat nopeasti. Aikataulu on porrastettu. Ensin tulee 24 tunnin ennakkovaroitus, sitten 72 tunnin täysi ilmoitus ja lopuksi 14 vuorokauden loppuraportti. Ilmoitukset kulkevat Euroopan unionin kyberturvallisuusviraston ENISAn ylläpitämän raportointialustan kautta.

Aikataulu tarkentuu vaiheittain

Säädöksen vaatimukset astuvat voimaan kolmessa vaiheessa. Tätä artikkelia kirjoitettaessa ensimmäinenkään niistä ei ole vielä voimassa.

Ensimmäinen vaihe alkaa 11. kesäkuuta 2026. Silloin sovelletaan sääntöjä ilmoitetuista laitoksista eli tahoista, jotka arvioivat tuotteiden vaatimustenmukaisuutta. Toinen vaihe alkaa 11. syyskuuta 2026, jolloin haavoittuvuuksien ja poikkeamien raportointivelvollisuus tulee voimaan.

Kolmas ja laajin vaihe alkaa 11. joulukuuta 2027. Silloin tuotteiden olennaiset kyberturvallisuusvaatimukset koskevat täysimääräisesti kaikkia tämän päivämäärän jälkeen EU-markkinoille tuotavia tuotteita.

Suomessa valmistelu on jo käynnissä. Liikenne- ja viestintäministeriö jätti kansallista lainsäädäntöä täydentävän esityksensä 27. marraskuuta 2025. Esityksessä Traficom nimetään markkinavalvontaviranomaiseksi, kansalliseksi kyberturvallisuuden sertifiointiviranomaiseksi ja ilmoitettujen laitosten valvojaksi. Kansallisen lain voimaantulolle ei ole vielä varmistettua päivämäärää.

Kyberturvallisuuskeskus kertoo viikkokatsauksessaan, että Traficom, liikenne- ja viestintäministeriö ja Kyberala ry järjestävät säädöksestä infotilaisuuden kesäkuun alussa. Tilaisuus on suunnattu erityisesti yrityksille, joiden tuotteet kuuluvat sääntelyn piiriin.

– Vastuu tuotteen turvallisuudesta kuuluu valmistajalle, ja sen on jatkossa kerrottava, kuinka kauan tuote saa päivityksiä, tiivistää Kyberturvallisuuskeskus viikkokatsauksessaan.

Mitä ostaja voi tehdä jo nyt

Säädös ei vielä velvoita valmistajia, mutta ostaja voi toimia jo ennen sen voimaantuloa. Verkkoon kytkettävää laitetta hankkiessa kannattaa ihan vain kysyä myyjältä tai etsiä valmistajan sivuilta, kuinka pitkään laite saa tietoturvapäivityksiä.

Vanha reititin tai valvontakamera, jota ei enää päivitetä, on käytännössä avoin ovi kotiverkkoon. Päivitystuen kesto on siksi yhtä tärkeä ostokriteeri kuin hinta.

Yritysten kannattaa selvittää jo nyt, kuuluvatko niiden tuotteet sääntelyn piiriin. Kesäkuun infotilaisuus tarjoaa tähän hyvän lähtökohdan.

Säädös tuo kuluttajalle vihdoin työkalun, jolla älylaitteiden turvallisuutta voi vertailla. Jää nähtäväksi, kuinka näkyvästi valmistajat tukijakson lopulta ilmoittavat – ja kuinka rehellisesti.