Uusi kyberkestävyyslaki astui voimaan tänään – halvan älylaitteen pitää vihdoin olla turvallinen jo kaupan hyllyllä
Vuosien ajan kymmenen euron verkkokamera on saanut tulla myyntiin täysin suojaamattomana. Tänään voimaan tullut laki alkaa kääntää vastuun valmistajalle – mutta sitovat vaatimukset napsahtavat paikoilleen vasta 2027.
Tiivistelma
EU:n kyberkestävyysasetusta täydentävä kansallinen laki tuli voimaan 1.6.2026. Se määrää jatkossa, että verkkoon kytkettävien laitteiden ja ohjelmistojen pitää täyttää tietoturvan perusvaatimukset jo ennen myyntiä. Ilmoitusvelvollisuudet alkavat syksyllä, mutta markkinoillepääsyn ehto astuu voimaan vasta joulukuussa 2027.
Halpa älylaite on pitkään ollut kuluttajalle arpapeli. Verkkokamera, älypistorasia tai lastenhuoneen itkuhälytin saattaa kytkeytyä nettiin oletussalasanalla, jota ei voi vaihtaa, eikä päivityksiä tule koskaan. Tästä päivästä alkaen lainsäätäjä yrittää siirtää vastuun pois ostajan harteilta.
Suomen kansallinen kyberkestävyyslaki astui voimaan tänään 1.6.2026. Se täydentää EU:n suoraan sovellettavaa kyberkestävyysasetusta (Cyber Resilience Act, CRA), joka koskee kaikkia digitaalisia elementtejä sisältäviä tuotteita. Käytännössä kyse on laitteista ja ohjelmistoista, jotka voi yhdistää internetiin tai toiseen laitteeseen.
Kyberkestävyyssäädös (Cyber Resilience Act, CRA)
EU-asetus, joka asettaa tietoturvan perusvaatimukset ohjelmistoille ja verkkoon kytkettäville laitteille. Vaatimusten täyttäminen on jatkossa ehto sille, että tuotetta saa ylipäätään myydä EU:ssa.
Asetuksen ydin on yksinkertainen. Valmistajan on rakennettava tietoturva sisään jo suunnitteluvaiheessa, ei laastaroitava sitä jälkikäteen. Oletussalasanat, päivittämättömät komponentit ja avoimet portit eivät enää kelpaa.
Miksi laki astuu voimaan pala kerrallaan
Tänään voimaan tullut kansallinen laki ei vielä sinänsä muuta sitä, mitä kaupan hyllyllä on. Se nimittää viranomaiset ja määrittää valvonnan, ilmoitettujen laitosten hyväksynnän ja hallinnolliset seuraamukset. Käytännön valvonnasta vastaa Traficomin Kyberturvallisuuskeskus, joka myös ohjeistaa valmistajia CRA-vaatimusten soveltamisessa. Itse tuotevaatimukset tulevat suoraan EU-asetuksesta, mikä selittää porrastetun aikataulun.
Aikataulu etenee näin. Tästä päivästä lähtien kansallinen täydentävä laki on voimassa. Kesäkuun 11. päivästä organisaatiot voivat hakea ilmoitetun laitoksen asemaa.
Syksystä alkaen kuvioon tulee oikeaa pakkoa. 11.9.2026 lähtien valmistajien on ilmoitettava aktiivisesti hyväksikäytetyistä haavoittuvuuksista. Sama velvollisuus koskee vakavia poikkeamia, ja ilmoitukset menevät Traficomin CSIRT-toiminnolle ja ENISAlle. Traficom täsmentää, että ilmoitus on tehtävä 24 tunnin kuluessa. Aikaa on siis vähän. Velvollisuus koskee sekä uusia että jo markkinoilla olevia tuotteita.
Sitovat hampaat tulevat vasta 11.12.2027. Siitä päivästä alkaen CRA-vaatimusten täyttäminen on pakollista ja toimii markkinoillepääsyn ehtona, vähän kuten CE-merkintä.
– Tavoitteena on parantaa älylaitteiden ja ohjelmistojen kyberturvallisuutta läpi tuotteen elinkaaren, Liikenne- ja viestintäministeriö kertoo.
Sääntelypaketti koskee myös sähköisen viestinnän lakia. NIS2-direktiivin myötä verkkotunnustietojen keräys- ja luovutusvelvollisuudet laajenevat .fi- ja .ax-päätteiden ulkopuolelle rekisterinpitäjille ja rekistereille, joiden päätoimipaikka on Suomessa. Tähän on kolmen kuukauden siirtymäaika.
Mitä älylaitteen ostaja voi tehdä jo nyt
Entä se kuluttaja, joka harkitsee verkkokameran ostamista tällä viikolla? Suoraa hyötyä tämänpäiväisestä laista on toistaiseksi oikeastaan aika vähän, koska sitova vaatimus astuu voimaan vasta puolentoista vuoden päästä.
Muutamaan asiaan kannattaa silti kiinnittää huomiota ostohetkellä. Tarkista, lupaako valmistaja tietoturvapäivityksiä, ja kuinka pitkäksi aikaa. Vältä laitteita, joiden salasanaa ei voi vaihtaa, ja epäile tuntematonta merkkiä, joka myy kameroita murto-osalla muiden hinnasta.
Hyvä nyrkkisääntö on miettiä, kuka laitetta päivittää kolmen vuoden päästä. Jos myyjällä ei ole nimeä eikä tukisivustoa, vastaus on yleensä ei kukaan. Sellainen kamera jää roikkumaan kotiverkkoon vanhoine haavoittuvuuksineen vielä pitkään senkin jälkeen, kun se on lakannut kiinnostamasta omistajaansa.
Kun CRA:n vaatimukset aikanaan purevat, halvimman pään suojaamattomat laitteet alkavat karsiutua hyllyiltä. Se kutistaa suomalaiskotien haavoittuvien IoT-laitteiden joukkoa vähitellen, ei kertarysäyksellä.
Traficom, Liikenne- ja viestintäministeriö ja Kyberala järjestävät asetuksesta infotilaisuuden 3.6.2026 klo 09:00–11:30. Tilaisuus on suunnattu ennen muuta valmistajille ja maahantuojille, jotka joutuvat ensimmäisinä sopeutumaan uusiin velvoitteisiin.
Tätä artikkelia kirjoitettaessa laki on ollut voimassa muutaman tunnin. Näkyykö muutos lopulta kuluttajan arjessa kuvatulla tavalla, jää nähtäväksi vasta 2027 puolella, kun markkinoillepääsyn ehto on aidosti pakottava.