CRA:n mukaisille ilmoitetuille laitoksille liiketoimintamahdollisuuksia

Ilmoitetuille laitoksille on tarjolla merkittäviä liiketoimintamahdollisuuksia, koska arviointia vaativia tuotteita on Euroopan laajuisesti mahdollisesti paljon. Riittämättömät arviointilaitosresurssit ovat riski tuotteiden markkinoillepääsyssä. 

Ilmoitettuja laitoksia koskevia säännöksiä aletaan soveltaa 18 kuukauden kuluttua asetuksen voimaantulosta eli 11.6.2026. 

Tällä sivulla kuvataan, kuinka vaatimuksenmukaisuuden arviointilaitos voi hakea hyväksyntää Euroopan unionin kyberkestävyyssäädöksen (EU) 2024/2847 (jäljempänä CRA) mukaiseksi ilmoitetuksi laitokseksi. Täydennämme sivuille tarkempaa ohjeistusta vaatimusten täsmentyessä.

Näin haet CRA:n mukaiseksi ilmoitetuksi laitokseksi

Ilmoitetun laitoksen hyväksyntä edellyttää, että laitos täyttää kaikki sovellettavat EU-lainsäädännön ja standardien vaatimukset. Vaatimusten täyttäminen osoitetaan kaksivaiheisella menettelyllä eli 

1. akkreditoinnilla eli pätevyyden toteamisella ja 
2. ilmoittavan viranomaisen selvityksellä.

Akkreditointi tarkoittaa kansallisen akkreditointielimen myöntämää todistusta siitä, että vaatimustenmukaisuuden arviointilaitos täyttää sovellettavat, yhdenmukaistetuilla standardeilla vahvistetut vaatimukset. Akkreditoinnista säädetään Euroopan parlamentin ja neuvoston asetuksessa N:o 765/2008 (jäljempänä NLF-asetus). Akkreditointi on NLF-asetuksen mukaan ensisijainen tapa osoittaa ilmoitetun laitoksen pätevyys. Suomessa kansallisena akkreditointielimenä toimii FINAS.

Ilmoittavan viranomaisen selvityksellä tarkoitetaan laitoksen hakemuksessa toimittamia tietoja ja asiakirjoja, joiden perusteella viranomainen voi tehdä päätöksen. Hakemus ilmoitetuksi laitokseksi tehdään siis ilmoittavalle viranomaiselle. Ilmoittava viranomainen hyödyntää päätöstä tehdessään FINAS akkreditointipalvelun tekemää akkreditointia laitokselle. 

Ilmoittava viranomainen vastaa ilmoitettujen laitosten tietojen viemisestä Euroopan komission ylläpitämään NANDO tietokantaan. CRA 43 artiklassa tarkennetaan ilmoittamismenettelyä. Ilmoittava viranomainen valvoo ilmoitettujen laitosten toimintaa.

CRA:n kansallinen toimeenpano on käynnissä. Kansallisessa toimeenpanossa säädetään muun muassa CRA:n viranomaistehtävistä, kuten ilmoittavan viranomaisen tehtävästä. Toimeenpanoa voi seurata hankeikkunasta.

Ilmoitetun laitoksen vaatimukset

Ilmoitetulla laitoksella on 

1. Pätevyysvaatimusten eli akkreditointiin liittyvien vaatimusten lisäksi 
2. CRA:ssa asetettuja velvollisuuksia. Näistä velvollisuuksista säädetään CRA:n 39, 49 ja 51 artiklassa sekä liitteessä VIII. 
3. Lisäksi ilmoitettujen laitosten tehtävä katsotaan Suomessa julkiseksi hallintotehtäväksi, jolloin ilmoitetun laitoksen tulee noudattaa hallinnon yleislakeja. 

Ilmoitetun laitoksen henkilöstöltä edellytetään asianmukaista tietoa ja ymmärrystä CRA:n liitteessä I vahvistetuista olennaisista kyberturvallisuusvaatimuksista, sovellettavista yhdenmukaistetuista standardeista ja yhteisistä eritelmistä sekä asiaa koskevista unionin yhdenmukaistamislainsäädännön ja täytäntöönpanosäädösten säännöksistä.

CEN-CENELEC ja ETSI ovat aloittaneet CRA:n harmonisoitujen standardien valmistelun. Yrityksillä on mahdollisuus osallistua standardointityöhön ja se on hyvä tapa vaikuttaa vaatimuksiin ja valmistautua ilmoitetun laitoksen toimintaan. 

Suomessa standardointia koordinoivat Suomen Standardit SFS, Sesko ja Traficom. Standardointityön mahdollinen maksullisuus on hyvä huomioida.