EU:n Kyberkestävyyssäädös (CRA) muuttaa ohjelmistoalaa vuodesta 2026 alkaen. Asetus asettaa raskaita tietoturva- ja ylläpitovaatimuksia perinteisille on-premise -ohjelmistoille, mikä tekee moderniin SaaS-pohjaiseen ERP-järjestelmään siirtymisestä juuri nyt ajankohtaisempaa kuin koskaan.
%202027_%20blogikuva%201920x960.png?width=1002&height=501&name=Kyberkest%C3%A4vyyss%C3%A4%C3%A4d%C3%B6s%20(CRA)%202027_%20blogikuva%201920x960.png)
Euroopan unionin uusi Kyberkestävyyssäädös (Cyber Resilience Act, CRA) astui voimaan joulukuussa 2024, ja sen siirtymäaika on alkanut. Täysimääräisesti säädöstä aletaan soveltaa 11. joulukuuta 2027, mutta jo syyskuussa 2026 voimaan astuvat ensimmäiset haavoittuvuuksien raportointivelvollisuudet.
Vaikka vuosi 2027 saattaa kuulostaa kaukaiselta, ohjelmistokehityksen elinkaaret huomioiden alan palveluntarjoajien on reagoitava muutokseen jo nyt. CRA on historiallinen muutos, sillä se siirtää vastuun digitaalisten tuotteiden tietoturvasta vahvemmin niiden valmistajille ja jakelijoille. Säädöksen ytimessä on tavoite varmistaa, että markkinoille tuotavat laitteet ja ohjelmistot ovat turvallisia koko elinkaarensa ajan. Käytännössä tämä tarkoittaa uutta ja huomattavasti tiukempaa CE-merkintää, joka edellyttää jatkossa myös olennaisten kyberturvallisuusvaatimusten täyttämistä.
Haluatko säästää aikaa? Siirry sinua kiinnostavaan kohtaan sisällysluettelon avulla:
Ketä säädös koskee ja keitä se ei koske?
On-premise -palveluntarjoajien kasvava taakka
Mitä tämä tarkoittaa asiakkaan ja markkinan kannalta?
Miksi juuri nyt on oikea aika siirtyä täysin selainpohjaiseen ERP-järjestelmään?
Kirjoituksessa mainitut termit saattavat olla vaikeita. Tässä ne tarkemmin avattuna.
Ketä säädös koskee ja keitä se ei koske?
Säädös koskee kaikkia digitaalisia elementtejä sisältäviä tuotteita – sekä laitteita että ohjelmistoja – jotka on mahdollista yhdistää verkkoon ja jotka saatetaan EU:n markkinoille.
Tässä piilee ohjelmistoalan kannalta erittäin merkittävä vedenjakaja. Säädöksen ulkopuolelle jäävät puhtaat pilvipalvelut eli SaaS-ratkaisut (Software as a Service), koska SaaS-palveluita ei jaella fyysisinä kopioina tai ladata asiakkaan omille palvelimille. SaaS-palveluita kuitenkin säädellään jo muiden kyberturvallisuusdirektiivien, kuten NIS2:n, kautta.
Sen sijaan palveluntarjoajat, joiden ohjelmistot toimitetaan asiakkaan omaan laiteympäristöön (on-premise) tai hybridimalliin, putoavat suoraan CRA:n vaatimusten piiriin.
On-premise -palveluntarjoajien kasvava taakka
Niille ohjelmistotoimittajille, joiden liiketoiminta nojaa perinteisiin, asiakkaan laitteille tai palvelimille asennettaviin ratkaisuihin, kyberkestävyyssäädös asettaa huomattavia uusia velvoitteita:
-
Ei tunnettuja haavoittuvuuksia julkaisuhetkellä:
Markkinoille saatettavissa tai niihin merkittäviä päivityksiä saavissa ohjelmistoissa ei saa tulevaisuudessa olla julkaisuhetkellä tiedossa olevia haavoittuvuuksia.
Mitä tämä tarkoittaa käytännössä: Ohjelmistoa ei saa enää julkaista "kyllä me tämän bugin ensi kuun päivityksessä korjaamme" -asenteella, jos kyseessä on tiedossa oleva tietoturva-aukko.
Esimerkki on-premise -maailmasta: Kilpailija on julkaisemassa uuden "Vuosiversio 2027" -paketin, joka toimitetaan asiakkaiden omille palvelimille asennettavaksi. Juuri ennen julkaisua maailmalla paljastuu yleinen tietoturvahaavoittuvuus koodikirjastossa, jota ohjelmisto käyttää. Ennen CRA:ta ohjelmisto olisi voitu julkaista aikataulussa ja tarjota asiakkaille korjaustiedosto myöhemmin. CRA:n myötä julkaisu on pysäytettävä, koodattava korjaus, testattava koko ohjelmisto uudelleen ja vasta sitten toimitettava se asiakkaille. Tämä viivästyttää projekteja ja syö katteita.
Vertailu SaaS-malliin (Fikuro): Kun pilvipalvelusta löytyy haavoittuvuus, tuotekehitystiimi korjaa sen keskitetysti yhdessä paikassa, ja päivitys on välittömästi voimassa kaikilla asiakkailla ilman, että ohjelmiston toimitusketju häiriintyy. -
Jatkuva tuki ja päivitykset:
Valmistajan on taattava tuotteelle tietoturvapäivitykset ohjelmiston määritellyn tukijakson ajan (tyypillisesti useita vuosia). On-premise -maailmassa, jossa asiakkailla on käytössään lukuisia eri versioita ohjelmistosta, tämä tarkoittaa valtavaa ylläpitotaakkaa. Päivitysten on myös oltava lähtökohtaisesti automaattisia.
Mitä tämä tarkoittaa käytännössä: Toimittajan on kyettävä pitämään kaikki asiakkaiden koneille asennetut eri ohjelmistoversiot turvallisina vuosien ajan, ja päivitysten tulee mennä perille automaattisesti.
Esimerkki on-premise -maailmasta: Kilpailijalla on 500 asiakasta. Osa käyttää yhä jotain ohjelman vanhoista versioista ja osa uusinta versiota. Kun kriittinen tietoturva-aukko löytyy, koodareiden täytyy rakentaa korjauspäivitys jokaiseen näistä vanhoista versioista erikseen. Tämän jälkeen heidän on varmistettava, että asiakkaiden omat IT-tuet tai palvelinkumppanit todella asentavat nämä päivitykset. CRA vaatii jatkossa automaattisia päivityksiä, mikä on perinteisissä on-prem-järjestelmissä teknisesti äärimmäisen vaikeaa ja riskialtista, sillä automaattinen päivitys voi rikkoa asiakkaan omat integraatiot. -
Dokumentaatio ja riskiarviot:
Pelkkä tekninen turvallisuus ei riitä. Toimittajien on laadittava laajat kyberriskiarvioinnit ja ylläpidettävä yksityiskohtaista teknistä dokumentaatiota, joka osoittaa vaatimustenmukaisuuden läpi ohjelmiston toimitusketjun (mm. avoimen lähdekoodin komponenttien hallinta, SBOM).
Mitä tämä tarkoittaa käytännössä: Ohjelmiston pitää olla täysin läpinäkyvä. Valmistajan on pystyttävä todistamaan viranomaisille tarkalleen, mistä "raaka-aineista" ohjelmisto on rakennettu.
Esimerkki on-premise -maailmasta: Nykyaikainen ERP-järjestelmä on harvoin koodattu täysin alusta asti itse. Se saattaa sisältää kymmeniä avoimen lähdekoodin komponentteja (esim. työkaluja PDF-laskujen luontiin tai tietokantayhteyksiin). CRA vaatii ohjelmistolta jatkuvasti päivittyvää "tuoteselostetta" eli SBOMia (Software Bill of Materials). On jatkossa pystyttävä ylläpitämään massiivista dokumentaatiota siitä, mitä versioita mistäkin koodikirjastosta mikin heidän asiakkaillaan pyörivä ohjelmistoversio tarkalleen sisältää.
Jos kyberriskiarviota ei toimiteta viranomaisille pyydettäessä voi seurauksena olla tuotteen vetäminen markkinoilta ja tuntuvat sakot. Sama rangaistus saattaa seurata jos SBOM-dokumentaatiota ei tarjota tuotteen käyttäjille kiinteänä osana tuotetta. -
Raportointivelvollisuus 24 tunnin sisällä:
Jos ohjelmistossa havaitaan aktiivisesti hyödynnetty haavoittuvuus tai vakava tietoturvapoikkeama, siitä on ilmoitettava viranomaisille ja käyttäjille vuorokauden sisällä.
Mitä tämä tarkoittaa käytännössä: Viranomaisille ja asiakkaille on ilmoitettava vakavista ongelmista käytännössä välittömästi, mikä vaatii ympärivuorokautista kykyä reagoida poikkeamiin.
Esimerkki on-premise -maailmasta: Hakkeri pääsee sisään erään metallikonepajan omalla palvelimella pyörivään ERP-järjestelmään hyödyntämällä ohjelmistosta löytynyttä aukkoa. ERP-toimittaja saa tietää tästä perjantaina klo 16.00. CRA:n sääntöjen mukaan toimittajan on ilmoitettava aktiivisesti hyödynnetystä haavoittuvuudesta viranomaiselle ja ohjelmiston muille käyttäjille 24 tunnin kuluessa – eli lauantaihin iltapäivään mennessä. Tämä vaatii on-premise -toimittajilta täysin uudenlaista päivystysvalmiutta, prosessien viilausta ja kriisiviestintäsuunnitelmia, joita monella pienemmällä toimijalla ei tällä hetkellä ole.
Mitä tämä tarkoittaa asiakkaan ja markkinan kannalta?
Ohjelmistoa valitsevan yrityksen näkökulmasta lainsäädäntö on tervetullut: se siivoaa markkinoilta tietoturvattomat ratkaisut ja pakottaa toimittajat kantamaan vastuunsa. Samalla se kuitenkin tarkoittaa sitä, että on-premise -ohjelmistojen kehitys- ja ylläpitokustannukset tulevat nousemaan merkittävästi. Nämä kustannukset valuvat väistämättä lisenssien ja ylläpitosopimusten hintoihin.
Pahimmassa tapauksessa toimittaja voi joutua vetämään tuotteensa kokonaan pois markkinoilta, mikäli se ei kykene täyttämään vaatimuksia määräaikaan mennessä.
Tämä sääntely-ympäristön muutos nopeuttaa entisestään siirtymää kohti puhtaita pilvipalveluita. Aidot, selaimeen pohjautuvat SaaS-ratkaisut eivät ole ainoastaan joustavampia ja nopeampia ottaa käyttöön, vaan ne tarjoavat tulevaisuudessa entistäkin selkeämmän edun myös compliance-vaatimusten ja teknologisen ylläpidon näkökulmasta.
Kun ohjelmiston ylläpito on keskitetty yhteen pilviympäristöön, tietoturvan hallinta, valvonta ja päivittäminen on aina ratkaisutoimittajan osaavissa käsissä – ilman asiakkaan tai toimittajan on-premise-ympäristöihin liittyvää päivitysrumbaa.
Miksi juuri nyt on oikea aika siirtyä täysin selainpohjaiseen ERP-järjestelmään?
Vaikka vanha, omille palvelimille asennettu toiminnanohjausjärjestelmä tuntuisi vielä juuri ja juuri ajavan asiansa, maailma sen ympärillä muuttuu nyt vauhdilla. Tässä kolme syytä, miksi siirtymä Fikuron kaltaiseen moderniin SaaS-ratkaisuun kannattaa tehdä juuri nyt:
-
Sääntelyn aikataulu painaa päälle:
Eletään vuotta 2026, ja Kyberkestävyyssäädöksen (CRA) ensimmäiset vaiheet – kuten tiukat haavoittuvuuksien raportointivelvollisuudet – astuvat voimaan jo tänä syksynä. Täysimääräisesti säädös on arkipäivää joulukuussa 2027.
On-premise-järjestelmien toimittajilla on valtava paine sopeutua uusiin tietoturvavaatimuksiin, mikä tulee väistämättä näkymään asiakkaille nousevina lisenssi- ja ylläpitohintoina – tai pahimmillaan joidenkin tuotteiden elinkaaren yllättävänä päättymisenä.
-
Eroon piilokuluista ja IT-taakasta:
Fikuron kaltaisessa 100 % selainpohjaisessa palvelussa tietoturva, varmuuskopiointi ja lainsäädännön vaatimat päivitykset hoidetaan automaattisesti taustalla. Maksat vain selkeää, ennakoitavaa kuukausihintaa.
Pk-yrityksen ei tarvitse investoida omiin palvelimiin, miettiä versiopäivityksiä tai pelätä tietoturva-aukkoja, vaan energia voidaan ohjata tuotantoon ja liiketoiminnan kasvattamiseen.
-
Ennakointi on kilpailuetu:
ERP-järjestelmän vaihto kannattaa aina tehdä hallitusti omilla ehdoilla, ei pakon edessä. Kun vaihdon moderniin pilvipalveluun tekee nyt, yritys välttää tulevien vuosien "pakkomigraatiot" vanhentuvista järjestelmistä.
Samalla saat välittömästi hyödyt irti reaaliaikaisesta tiedosta, tuotannonseurannasta ja paikkariippumattomasta työskentelystä.
Siirtymällä Fikuron kaltaiseen täysin selainpohjaiseen ratkaisuun, yrityksesi ei ainoastaan varaudu tulevaan sääntelyyn, vaan tekee arjen työnteosta välittömästi sujuvampaa ja turvallisempaa.
Kirjoituksessa mainitut termit saattavat olla vaikeita. Tässä ne tarkemmin avattuna.
Kyberkestävyyssäädös (CRA, Cyber Resilience Act):
Euroopan unionin uusi asetus, joka astui voimaan joulukuussa 2024. Sen tavoitteena on varmistaa, että markkinoille tuotavat verkkoon yhdistettävät laitteet ja ohjelmistot ovat tietoturvallisia koko elinkaarensa ajan. Säädös siirtää vastuun tuotteiden tietoturvasta vahvemmin niiden valmistajille ja jakelijoille. Lisätietoa: Kyberturvallisuuskeskus >>
SaaS (Software as a Service):
Niin kutsuttu puhdas pilvipalvelu. SaaS-mallissa ohjelmistoa ei jaella fyysisinä kopioina tai asenneta asiakkaan omille palvelimille, vaan sitä käytetään suoraan verkossa. Palveluntarjoaja, kuten Fikuro, vastaa järjestelmän ylläpidosta, tietoturvasta ja päivityksistä keskitetysti.
CE-merkintä:
Tuotteeseen kiinnitettävä merkki, joka osoittaa sen täyttävän EU:n asettamat vaatimukset. Kyberkestävyyssäädöksen (CRA) myötä CE-merkintä muuttuu ohjelmistoissa huomattavasti tiukemmaksi, sillä se edellyttää jatkossa myös olennaisten kyberturvallisuusvaatimusten täyttämistä.
NIS2:
Euroopan unionin laajuinen kyberturvallisuusdirektiivi, jolla parannetaan yhteiskunnan kriittisten toimijoiden kyberturvallisuutta. Esimerkiksi puhtaita SaaS-pilvipalveluita säädellään jo NIS2-direktiivin kautta, jonka vuoksi ne jäävät pääsääntöisesti uuden CRA-säädöksen soveltamisalan ulkopuolelle.
On-premise:
Perinteinen ohjelmistojen toimitusmalli, jossa ohjelmisto toimitetaan ja asennetaan asiakkaan omaan laiteympäristöön tai omille palvelimille. Tämä malli putoaa suoraan uusien CRA-vaatimusten piiriin.
SBOM (Software Bill of Materials):
Ohjelmiston jatkuvasti päivittyvä "tuoteseloste". Nykyiset ohjelmistot rakennetaan useista eri palasista, ja SBOM on luettelo kaikista näistä komponenteista (kuten avoimen lähdekoodin osioista). Sen avulla valmistaja voi todistaa viranomaisille tarkalleen, mistä "raaka-aineista" ohjelmisto on rakennettu.
SBOM-dokumentaatio:
Yksityiskohtainen tekninen dokumentaatio, jota ohjelmistotoimittajan on ylläpidettävä osoittaakseen vaatimustenmukaisuuden läpi toimitusketjun. Käytännössä toimittajan on pystyttävä ylläpitämään massiivista dokumentaatiota siitä, mitä versioita mistäkin koodikirjastosta asiakkailla pyörivät eri ohjelmistoversiot sisältävät.
Haluatko nähdä tarkemmin miten täysin selainpohjainen Fikuro toimii?
Varaa ilmainen esittely asiantuntijoiltamme
