Ota yhteyttä!
Asiantuntijoilta

Ohjelmistojen tiukentuva sääntely lisää panostuksia vaatimustenmukaisuuteen

23 / 09 / 2025

Digitaalisessa maailmassa luottamus on valuuttaa. Menestyäkseen yritysten on pystyttävä osoittamaan, että niiden palvelut ovat paitsi innovatiivisia, myös vankkumattoman turvallisia. Mutta miten luotettavuus varmistetaan, kun kyberuhat ja niiden johdosta sääntely kehittyvät alati? Tässä artikkelissa syvennymme vaatimustenmukaisuuden ytimeen ja paljastamme, mitä sinun on hyvä tietää tulevasta sääntelystä.

Security

Lyhyesti

Tekoälyavusteinen tiivistelmä

  • Sääntely kiristyyKasvaneiden kyberriskien vuoksi ohjelmistojen vaatimustenmukaisuus ei ole enää kilpailuetu, vaan toiminnan välttämättömyys. Yrityksiltä vaaditaan nyt lakisääteisesti enemmän vastuuta tuotteidensa turvallisuudesta.
  • EU:n kyberkestävyyssäädös (CRA) on pelin muuttajaSe asettaa sitovia vaatimuksia lähes kaikille internetiin yhdistyville digitaalisille tuotteille, koskien niin laitevalmistajia kuin ohjelmistotalojakin.
  • Elinkaaren aikainen vastuuCRA edellyttää yrityksiltä vastuuta tuotteen turvallisuudesta suunnittelusta alkaen, jatkuvaa haavoittuvuuksien hallintaa ja nopeaa (24h) poikkeamista raportointia viranomaisille.
  • Turvallisen ohjelmistokehityksen malli (SDL) on ratkaisuSe on systemaattinen tapa integroida tietoturva ja testaus kaikkiin kehitysvaiheisiin, mikä varmistaa vaatimustenmukaisuuden käytännössä.
  • Valmistautuminen on aloitettava nytVaikka CRA astuu täysimääräisenä voimaan vasta 2027 lopussa, yritysten on korkea aika kartoittaa omat tuotteensa ja prosessinsa sekä luoda suunnitelma vaatimusten täyttämiseksi.

Digitalisaatio on edennyt jo vuosikymmeniä kiihtyvällä vauhdilla. Yhteiskunnan digitalisoituminen on lisännyt huolestuttavasti myös kyberriskejä. Kehityskulku on johtanut siihen, että tarvitaan tiukempaa sääntelyä digitaalisen elementin sisältäville laitteille ja ohjelmistoille. Nyt on se hetki jolloin jokaisen kannattaa tarkistaa onko käytössä olevat ohjelmistot luotettavia ja tuotekehityksessä laadunvarmistus riittävällä tasolla.

Yrityksiltä odotetaan nyt entistä enemmän läpinäkyvyyttä, vastuullisuutta ja luotettavuutta – ei pelkästään asiakaskokemuksen, vaan myös lakien ja direktiivien johdosta. Näihin asioihin panostaminen ei tuo enää kilpailuetua, vaan on välttämättömyys toiminnalle. Ohjelmistojen tulee täyttää uudet sääntelyvaatimukset, jotta niitä voidaan käyttää turvallisesti osana verkottunutta yhteiskuntaa.

Mitä vaatimustenmukaisuus tarkoittaa?

Vaatimustenmukaisuus ei ole yksittäinen hankittava sertifikaatti, vaan se muodostuu useammasta palasesta, jotka muodostavat toimivan ja ennen kaikkea turvallisen perustan luotettavalle ohjelmistotuotteiden kehitykselle. Täytyy olla tietoinen olemassa olevista standardeista, jotka koskevat tuotetta ja sen kehitystä, joissain tapauksissa ulkopuolinen verifiointi voi olla tarpeen. Tuotekehityksen osana täytyy olla systemaattinen testaus. Erityisesti tietoturvallisuus täytyy huomioida suunnittelupöydältä lähtien jokaisessa vaiheessa.

”Oleellista on kyky tehdä nopeasti riittävän turvallisia sovelluksia. Nopea kehittämiskyky ketterällä laadunvarmistuksella on pitkää valmistelua tärkeämpää.”

Ohjelmistojen luotettavuuteen liittyviä keskeisiä viitekehyksiä on useita, mutta erityisesti EU:n kyberkestävyyssäädös (CRA eli Cyber Resilience Act) tulee mullistamaan pelikentän. Se ei koske vain laitevalmistajia, vaan kaikkia, jotka tuottavat internetiin yhdistyviä digitaalisia tuotteita – siis myös ohjelmisto- ja teknologiatoimittajia. Jos ohjelmisto on osa kriittistä infrastruktuuria tai tarjoaa tietoturvapalveluja, vaatimukset ovat vielä tiukemmat. CRA:n tavoite on varmistaa, että markkinoille tuotavissa tuotteissa on on huomioitu kyberturvallisuusvaatimukset ja että niiden tietoturvasta huolehditaan koko niiden elinkaaren ajan. Asetus määrittelee myös selkeät toimintavaatimukset haavoittuvuuksien hallinnalle ja niiden raportoinnille. Vaikka tulevan kyberkestävyyssäädöksen velvoitteet astuvat täysimääräisinä voimaan vasta vuoden 2027 lopussa, valmistautuminen kannattaa aloittaa jo nyt.

Kyberkestävyyssäädöksen keskeiset velvoitteet ovat:

  • Tuotteen täytyy huomioida kyberkestävyysvaatimukset

Digitaalisia tuotteita ei voi tehdä vastuuttomasti – ne suunnitellaan ja rakennetaan niin, että kyberturvallisuus on linjassa todellisten riskien kanssa. Kehityksessä minimoidaan hyökkäyspinnat, varmistetaan datan eheys ja luottamuksellisuus sekä tuote toimitetaan markkinoille ilman tunnettuja haavoittuvuuksia. Oletusasetukset ovat aina turvalliset. Näin markkinoille pääsee vain luotettavia ohjelmistoja ja verkottuneita ratkaisuja.

  • Haavoittuvuuksien hallinta ja säännölliset päivitykset

Digituotteet rakennetaan niin, että tietoturva kestää oikeat kyberiskut. Tekninen arkkitehtuuri suunnitellaan niin, että hyökkäyspinnat ajetaan minimiin ja data säilötään luottamuksellisesti. Turvallisuuspäivitykset hoidetaan automaattisesti.

  • Poikkeamista raportointi viranomaisille

Tuotteiden valmistajien on ilmoitettava tuotteeseen sisältyvistä aktiivisesti hyödynnetyistä haavoittuvuuksista CSIRT-yksikölle ja ENISA:lle 11.9.2026 lähtien. Kun haavoittuvuus tai isompi tietoturvapoikkeama osuu kohdalle, siitä ei saa vaieta. Ilmoituskäytännöissä noudatetaan samaa periaatetta kuin NIS2 -direktiivissäkin. Ensimmäinen ilmoitus tehdään 24 tunnin kuluessa kyseisen haavoittuvuuden havaitsemisesta ja jatkoilmoitus tehdään 72 tunnin kuluessa. Näin varmistetaan, että keskeiset toiminnot ovat turvattu ja käyttäjät voivat luottaa siihen, että luvattomilta pääsy on estetty luotettavasti. Myös tuotteen tietoturvaan vaikuttavista poikkeamista sekä läheltä piti -tilanteista voidaan raportoida.

  • Vaatimustenmukaisuus ja dokumentaatio

Valmistajan on huolehdittava tuotteen vaatimustenmukaisuudesta ennen kuin se saatetaan markkinoille. Ennen kuin tuote laitetaan maailmalle, pitää kaikki vaadittavat paperit olla kunnossa, kuten tekniset dokumentaatiot ja käyttöohjeet. Sen lisäksi valmistajan on näytettävä toteen, että tuote täyttää sille asetetut vaatimukset. Joissain tilanteissa vaatimustenmukaisuuteen edellytetään ilmoitetun laitoksen tekemää arviointia tai kyberturvallisuussertifikaattia. Vasta sitten voi sanoa, että ohjelmisto on valmiina rokkaamaan!

Käytännössä CRA-vaatimustenmukaisuuden selvittäminen tarkoittaa sitä, että yritys arvioi koko ohjelmiston elinkaaren ja siihen liittyvät prosessit lainsäädännön vaatimuksia vasten. Karkeasti ajatellen askelmerkit olisivat seuraavat:

  1. Selvitä kuuluuko tuotteesi CRA:n vaatimusten alaisuuteen
  2. Tee jonkinlainen nykytilan kartoitus ja riskianalyysi
  3. Arvioi tekniset ja prosessivaatimukset
  4. Varmista laadunvarmistus ja testaus
  5. Dokumentoi ja ylläpidä seurantaa
  6. Hanki tarvittaessa asiantuntijatukea

Miten saadaan ohjelmistokehitys huomioimaan vaatimustenmukaisuus

Yksi tunnetuimmista tavoista varmistaa ohjelmistojen turvallisuus ja luotettavuus on tietoturvallisen ohjelmistokehityksen elinkaarimalli. Security Development Lifecycle (SDL) -menetelmä integroi tietoturvan saumattomasti kaikkiin ohjelmiston kehitysvaiheisiin suunnittelusta tuotantoon ja ylläpitoon. Ohjelmistokehitysympäristöt ovat usein kompleksisia, joten mallin käyttöönotossa on syytä huomioida kunkin ympäristön yksilölliset tarpeet.

SDL-malleista on useita toteutuksia, mutta yleensä niiden ytimessä on tunnistettavissa viisi keskeistä vaihetta: Governance (hallinto ja vaatimukset), Design (arkkitehtuuri ja uhkamallinnus), Implementation (koodaus & turvalliset kehitystyökalut), Verification (koodin ja järjestelmän testaus sekä todentaminen), sekä Operations (poikkeamien hallinta & ympäristöt). 

“Kun tavoitteena on toimintavarmuus, ei voida käyttää kokeellisia teknologioita.”

Jonkinlaisen SDL-mallin käyttöönotto ohjelmistokehityksessä varmistaa vaatimustenmukaisuuden. Luotettava digitaalinen kehitys varmistaa, että ohjelmisto on toimintavarma, laadukas, turvallinen, resilientti ja luotettavan tuntuinen. SDL-mallin hyödyntäminen vahvistaa läpinäkyvyyttä ja varautumista kriisitilanteisiin. Luotettavuus on aina suunniteltua ennustettavuutta ja 99,999% asennetta.

Ohjelmistoturvallisuus on laitettava kuntoon

Yksi kansainvälisesti tunnustetuista tavoista arvioida ja parantaa ohjelmistojen turvallisuutta on OWASP Application Security Verification Standard (ASVS). ASVS on avoin standardi, jonka tarkoituksena on tarjota selkeät vaatimukset ohjelmistojen teknisille turvallisuuskontrolleille sekä kehittäjille että testaus-/varmennustiimeille.

ASVS:n avulla voidaan:

  • määrittää selkeät ja mitattavat turvavaatimukset sovellukselle ja sen ympäristölle

  • käyttää standardia mittarina, jolla arvioidaan, kuinka suuri luottamus voidaan ohjelmistolle antaa

  • rakentaa testitapauksia, jotka kattavat yleisimmät haavoittuvuudet kuten SQL-injektiot, XSS-hyökkäykset ja muut tunnistetut kyberuhat

ASVS tarjoaa eri varmennustasoja, jotka voidaan valita riippuen siitä, kuinka kriittinen sovellus on, kuinka paljon riskejä on mahdollista kestää ja kuinka suuri vaikutus mahdollisella tietoturvapoikkeamalla olisi. Tämä joustava rakenne tekee ASVS:stä hyvin soveltuvan myös yrityksille, jotka haluavat asteittain vahvistaa vaatimustenmukaisuuttaan.

Yhteenveto

Helppoa, hallittua ja luotettavaa

Wirokit on aina rakentunut ajatukselle, että luotettava ohjelmisto on kaiken digitalisaation perusta. Kun sääntely kiristyy, yrityksesi tarvitsee kumppanin, joka pystyy kääntämään vaatimukset käytännön tekemiseksi. Me autamme varmistamaan, että yrityksesi laadunvarmistus ja ohjelmistokehitys vastaavat tiukentuvaa sääntelyä. Meidän roolimme on tehdä monimutkaisesta helppoa ja kasvattaa asiakkaan kriittisiä kyvykkyyksiä. Olemme sitoutuneet edistämään ohjelmistojen luotettavuuden varmistamista ja tekemään osamme luotettavamman digitaalisen yhteiskunnan rakentamisessa.

Juho Kerttula
Turvallisen ohjelmistokehityksen asiantuntija
juho.kerttula@wirokit.com

Luotettavien ohjelmistojen asiantuntija ja turvallisten tietoverkkojen ammattilainen.

We Rock IT!

Jätä meille yhteydenottopyyntö

    Lähetä
    info@wirokit.com

    ...and

    Roll

    it!