Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Hae CRA:n mukaiseksi ilmoitetuksi laitokseksi

Voit hakea hyväksyntää kyberkestävyyssäädöksen (CRA) mukaiseksi ilmoitetuksi laitokseksi, jos organisaatiosi täyttää sille asetetut vaatimukset.

Tällä sivulla

Ilmoitetuille laitoksille voi syntyä merkittäviä liiketoimintamahdollisuuksia, koska arviointia vaativia tuotteita voi olla Euroopan laajuisesti paljon.  

Ilmoitettuja laitoksia koskevia CRA:n säännöksiä sovelletaan 11.6.2026 alkaen. 

Milloin voit hakea CRA:n mukaiseksi ilmoitetuksi laitokseksi?

Voit hakea hyväksyntää, jos organisaatiosi on vaatimustenmukaisuuden arviointilaitos ja täyttää sovellettavat Euroopan unionin lainsäädännön ja standardien vaatimukset.

Vaatimusten täyttäminen osoitetaan kahdessa vaiheessa:

  • akkreditoinnilla eli pätevyyden toteamisella  
  • ilmoittavan viranomaisen selvityksellä.  

Näin haet CRA:n mukaiseksi ilmoitetuksi laitokseksi

  1. Vaihe 1

    Hae akkreditointia

    Hae akkreditointia Suomen kansalliselta akkreditointielimeltä FINASilta.

  2. Vaihe 2

    Odota FINASin akkreditointipäätöstä

    FINAS käsittelee hakemuksen, arvioi vaatimustenmukaisuuden arviointilaitoksen pätevyyden ja tekee akkreditointipäätöksen. 

  3. Vaihe 3

    Tee hakemus ilmoittavalle viranomaiselle

    Tee ilmoittamista koskeva hakemus ilmoittavalle viranomaiselle Liikenne- ja viestintävirasto Traficomille. Hakemuksessa ilmoitettujen tietojen ja sen mukana toimitettujen asiakirjojen perusteella ilmoittava viranomainen arvioi, täyttyykö ilmoitetuksi laitokseksi nimeämisen edellytykset.

    Liitä hakemukseen FINASin antama akkreditointitodistus, akkreditointiarvioinnin selosteet sekä tiedot mahdollisen alihankinnan käytöstä. 
     

  4. Vaihe 4

    Odota ilmoittavan viranomaisen päätöstä

    Traficom hyödyntää asian käsittelyssä FINASin tekemää akkreditointia ja arvioi lainsäädännössä annettujen vaatimusten täyttymisen, sekä tekee asiassa päätöksen. 

  5. Vaihe 5

    Odota tietojen julkaisua

    Ilmoittava viranomainen ilmoittaa hyväksytyn laitoksen tiedot Euroopan komissiolle ja muille Euroopan unionin jäsenvaltioille. 

    Komissiolla ja muilla jäsenvaltioilla on vielä tässä yhteydessä mahdollista esittää vastalauseita määräajan kuluessa, ennen kuin laitos voi toimia ilmoitettuna laitoksena. 

    Ajantasaiset tiedot ilmoitetuista laitoksista julkaistaan Euroopan komission ylläpitämässä NANDO-järjestelmässä. 

Lisäämme tälle sivulle pian linkin sähköiseen asiointiin.

Tarvitset Suomi.fi-valtuuden asiointiin

Palveluun kirjaudutaan Suomi.fi-tunnuksilla käyttämällä valtuutta "Kyberturvallisuuden sääntelyn arviointilaitoksiin liittyvien hakemusten tekeminen". Lisätietoja valtuuksista ja organisaation puolesta asioinnista saat Suomi.fi-verkkosivuilta.

Mitä tapahtuu hyväksynnän ja ilmoittamisen jälkeen? 

CRA:n mukaisena ilmoitettuna laitoksena arviointilaitos voi tehdä CRA:n mukaisia vaatimustenmukaisuuden arviointeja.

Ilmoittava viranomainen valvoo, että ilmoitettu laitos toimii vaatimusten mukaisesti ja täyttää sille asetetut edellytykset myös ilmoittamisen jälkeen. Jos vaatimukset eivät jatkossa enää täyty, ilmoitusta voidaan joutua muuttamaan tai se voidaan peruuttaa.

Ilmoitetun laitoksen vaatimukset

Ilmoitetulla laitoksella on pätevyysvaatimusten eli akkreditointiin liittyvien vaatimusten lisäksi myös muita vaatimuksia ja velvollisuuksia. Näistä velvollisuuksista säädetään muun muassa CRA:n 39, 49 ja 51 artiklassa sekä liitteessä VIII.

Ilmoitetun laitoksen tehtävä katsotaan Suomessa julkiseksi hallintotehtäväksi. Siksi ilmoitetun laitoksen tulee noudattaa hallinnon yleislakeja.

Ilmoitetun laitoksen henkilöstöltä edellytetään asianmukaista tietoa ja ymmärrystä

  • CRA:n liitteessä I vahvistetuista olennaisista kyberturvallisuusvaatimuksista  
  • sovellettavista yhdenmukaistetuista standardeista  
  • yhteisistä eritelmistä  
  • unionin yhdenmukaistamislainsäädännön ja täytäntöönpanosäädösten säännöksistä.

European Accreditation suosittelee moduuliin B+C akkreditointistandardia EN ISO/IEC 17065 ja moduuliin H akkreditointistandardia EN ISO/IEC 17021-1.

Standardointityö voi tukea valmistautumista ilmoitetun laitoksen tehtäviin

CRA:n harmonisoitujen standardien valmistelu on käynnissä. Standardointityöhön osallistuminen voi auttaa arviointilaitosta seuraamaan vaatimusten kehittymistä ja valmistautumaan ilmoitetun laitoksen toimintaan.

Suomessa standardointia koordinoivat Suomen Standardit SFS, SESKO ja Traficom. Huomioi, että standardointityöhön osallistuminen voi olla maksullista.

Lisätietoa CRA:n vaatimuksista

Kyberkestävyyssäädös eli CRA on edellyttänyt täydentävää kansallista sääntelyä. Laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista (439/2026) tuli voimaan 1.6.2026.

Ilmoittamista koskevasta hakemuksesta ja ilmoitusmenettelystä säädetään tarkemmin lain 3 luvussa.

Sivu on viimeksi päivitetty