Kansainvälinen kehitys

Tietoturvamerkin perusta nojaa vahvasti eurooppalaiseen kehityspolkuun ja yhdenmukaisuuteen tulevien velvoitteiden kanssa. Olemme tunnistaneet kuluttajien älylaitteiden kyberturvaominaisuuksien sääntelyä, jotka huomioimme myös Tietoturvamerkin vaatimuksissa.

Tietoturvamerkki tunnustetaan Singaporessa

Suomen ja Singaporen kyberturvallisuusviranomaiset tunnustavat vastavuoroisesti toistensa tietoturvamerkit. Molemmat merkit perustuvat samaan ETSI EN 303 645 standardiin. Yritykset voivat saada käyttöoikeuden sekä Tietoturvamerkkiin että Singaporen kyberturvallisuusviranomaisen myöntämään IoT Cybersecurity Label -merkkiin samalla kertaa, yhdellä hakumenettelyllä ja testauksella. Tietoturvamerkki vastaa vaatimuksiltaan Singaporen tason 3 merkkiä (4. taso on ylin taso).

Tutustu Singaporen tietoturvamerkkiin (Ulkoinen linkki)

Eurooppalainen kehitys

Radiolaitedirektiivi

EU:n radiolaitedirektiivin (RED) helmikuussa 2022 voimaan tulleita tietoturvavaatimuksia sovelletaan internetiin suoraan tai toisen laitteen kautta liitettäviin radiolaitteisiin. Tietoturvavaatimukset parantavat käyttäjien yksityisyyttä ja suojaavat viestintäverkkoja. Lisäksi ne estävät taloudelliseen hyötyyn tähtääviä petoksia, joissa hyödynnetään verkkoon liitettyjä laitteita.  Erityisesti puettaville laitteille, lastenhoitoon liittyville laitteille ja leluille asetetaan myös henkilötietojen ja yksityisyyden suojaamista koskevia vaatimuksia. Asetuksessa määritetään laitevalmistajille 30 kuukauden siirtymäaika, jonka jälkeen 1.8.2024 lähtien EU-markkinoille saatettavien laitteiden tulee täyttää uudet vaatimukset.

Lisää tietoa radiolaitteiden vaatimustenmukaisuudesta (Ulkoinen linkki)

Kyberturvallisuusasetus

EU:n kyberturvallisuusasetus (CSA) tuli voimaan kesäkuussa 2019. Asetus määrittelee eurooppalainen kyberturvallisuuden sertifiointikehyksen, jossa tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja voitaisiin sertifioida todisteeksi tuotteen tietoturvasta. Sertifikaatti on osoitus siitä, että tuote täyttää tietyt tietojen, toimintojen ja palvelun saavutettavuuteen, aitouteen, eheyteen ja luottamuksellisuuteen liittyvät vaatimukset koko elinkaarensa ajan. Sertifikaatti tunnustetaan koko EU:ssa, eikä valmistajien tai palveluntarjoajien tarvitse hankkia tuotteilleen useita kansallisia sertifikaatteja. Sertifiointikehyksessä on tarkoitus tuottaa sertifiointiohjelma myös IoT-tuotteille, mutta työ ei ole vielä käynnistynyt.

Kyberresilienssiasetus

Tuotteiden ja palveluiden kyberturvallisuusvaatimukset ja -tavoitteet täsmennetään yksityiskohtaisemmin komission hyväksymien yksittäisten sertifiointijärjestelmien tasolla, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, jos asianmukaisia standardeja ei ole saatavilla. Kyberresilienssiasetuksen (CRA) tavoitteena on vahvistaa yhteiset kyberturvallisuusstandardit tuotteille. Asetuksen arvioitu julkaisuaika on vuoden 2022 kolmas neljännes.