EU:n radiolaitedirektiivin tietoturvavaatimuksia aletaan soveltaa 1.8.2025. Tavoitteena on suojata viestintäverkkoja, parantaa yksityisyyttä ja estää verkon kautta tapahtuvia taloudellisia petoksia.
Radiolaitteita ovat langattomat laitteet, jotka käyttävät radiotaajuuksia. Radiolaite voi olla myös kodinkone, jolla on sisäänrakennettu radiokomponentti langatonta yhteyttä varten.
Tietoturvavaatimukset koskevat seuraavia radiolaitteita:
- internetiin liitettävät laitteet, kuten WLAN-tukiasemat ja älypuhelimet
- lelut
- lastenhoitolaitteet, kuten itkuhälyttimet
- päälle puettavat laitteet, kuten älykellot.
Valmistajan, maahantuojan ja myyjän vastuut
Valmistajan tehtävänä on varmistaa, että tuote täyttää kaikki sitä koskevat tietoturvavaatimukset.
Maahantuojien ja myyjien on puolestaan huolehdittava, että myynnissä on vain vaatimustenmukaisia laitteita.
Miten laitteiden vaatimustenmukaisuus varmistetaan?
EU:n radiolaitedirektiivin tietoturvavaatimukset on määritelty EN 18031:2024 -standardisarjassa. Komissio on julkaissut standardien soveltamisohjeen, joka tarjoaa lisäohjeita.
Laitteen vaatimustenmukaisuuden arviointi voidaan tehdä kahdella tavalla:
- Harmonisoidun standardin mukaisesti, jolloin valmistaja voi itse osoittaa vaatimusten täyttymisen.
- Ilmoitetun laitoksen avulla, jos harmonisoitua standardia ei käytetä tai jos kyseessä on erityistapaus, jossa ilmoitetun laitoksen arviointi on pakollista.
Ilmoitetun laitoksen pitää olla hyväksytty RED 2014/53/EU soveltamisalalla ja pätevä arvioimaan artiklan 3(3) kohtien d, e ja f tietoturvavaatimuksia. Pätevyys voidaan tarkistaa EU:n NANDO-tietokannasta.
Valvonta
Traficom valvoo uusien vaatimusten noudattamista. Tarvittaessa säädöksen vastaiset laitteet voidaan poistaa markkinoilta.
Vuosina 2026 ja 2027 tuotteiden vaatimukset ja velvoitteet täydentyvät
Tulevina vuosina tulee myös muita tietoturvaan ja raportointiin liittyviä vaatimuksia ja velvoitteita.
CRA:n olennaiset kyberturvallisuusvaatimukset
EU:n kyberkestävyyssäädöksen (Cyber Resilience Act eli CRA) soveltaminen alkaa 11.12.2027. Tämän jälkeen EU-markkinoille tulevien digitaalisten tuotteiden on täytettävä CRA:n kyberturvallisuusvaatimukset. Säädöksen tavoitteena on parantaa EU:n markkinoille tulevien tuotteiden tietoturvaa.
Olennaiset vaatimukset toteutetaan riskiperusteisesti. Tuotteisiin kohdistuvia vaatimuksia ovat muun muassa
- turvalliset oletusasetukset ja automaattiset turvallisuuspäivitykset
- luvattomalta pääsyltä estäminen
- datan luottamuksellinen säilyttäminen ja datan minimointi
- keskeisten toimintojen turvaaminen.
Haavoittuvuuksien raportointi
Haavoittuvuuksien raportointivelvoite astuu voimaan 11.9.2026. Tuotteiden valmistajien on ilmoitettava tuotteessa havaituista aktiivisesti hyödynnetyistä haavoittuvuuksista Traficomin Kyberturvallisuuskeskuksen CSIRT-yksikölle ja ENISA:lle.
Raportointivelvoite koskee sekä uusia että nykyisiä EU:n markkinoille tuotavia tuotteita. Valmistajalla on myös velvollisuus tiedottaa tuotteiden käyttäjiä mahdollisista haavoittuvuuksista ja niiden korjauksista.
Valmistajan on raportoitava:
a) tuotteessa havaituista aktiivisesti hyödynnetyistä haavoittuvuuksista
b) tuotteen tietoturvaan vaikuttavista vakavista poikkeamista.
Lisätietoa
Radiolaitteiden markkinavalvonta: radiolaitteet@traficom.fi
Tietoturvavaatimukset: kyberturvallisuuskeskus@traficom.fi
Radiolaitteiden vaatimustenmukaisuus (Ulkoinen linkki)
Komission tietoturvastandardien soveltamisohje (Ulkoinen linkki)
EU:n virallisessa lehdessä julkaistut radiolaitteiden harmonisoidut standardit (Ulkoinen linkki)
EU:n NANDO-tietokanta (Ulkoinen linkki)
Euroopan komission asetus tietoturvavaatimuksista (2022/30) (Ulkoinen linkki)
Euroopan komission asetus (2023/2444) soveltamismääräpäivän muutoksesta (Ulkoinen linkki)
Komission täytäntöönpanopäätös (EU) 2025/138 (Ulkoinen linkki)
Tietoturvastandardit (SFS) (Ulkoinen linkki)
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) (Ulkoinen linkki)