EU:n digisääntelyn määrä on viime vuosina kasvanut vauhdilla. Ohjelmistoyritysten lisäksi myös perinteinen valmistava teollisuus joutuu yhä useammin arvioimaan omaa toimintaansa uusien digitaalisten velvoitteiden valossa. Keskeisiä säädöksiä teollisuudelle ovat etenkin datasäädös (Data Act), tekoälysäädös (AI Act), NIS2-direktiiviin perustuva kyberturvallisuuslaki sekä kyberturvallisuusasetus (Cyber Resilience Act, CRA).
Datasäädös – pääsy dataan ja sopimusvelvoitteet
Datasäädös asettaa pelisäännöt sille, kuka saa käyttää verkkoon liitettyjen tuotteiden (esim. IoT-laitteet) ja niihin liittyvien palvelujen tuottamaa ja keräämää dataa. Nyrkkisääntö on, että datan haltija, kuten tuotteen valmistaja, ei saa käyttää tuotteen keräämää tai tuottamaa dataa ilman sopimusta tuotteen käyttäjän kanssa. Lisäksi datan haltijan on luovutettava tällaisten tuotteiden keräämä tai tuottama raakadata ja siihen liittyvä metadata ilmaiseksi käyttäjälle tai käyttäjän pyynnöstä myös mille tahansa kolmannelle osapuolelle. Säädöstä alettiin soveltaa pääosin 12.9.2025 lukien.
Tekoälysäädös – tekoälyn pelisäännöt
Tekoälysäädös asettaa säännöt tekoälyjärjestelmien kehittämiseen, käyttöönottoon ja käyttöön liittyen. Säädös astui voimaan 1.8.2024 ja sen soveltaminen etenee vaiheittain. Säädöksen keskiössä on riskiperusteinen lähestymistapa, joka huomioi tekoälyjärjestelmiin liittyvät riskit ja pyrkii asettamaan velvoitteet tätä riskitasoa vastaavasti. Kyse on konedirektiiviin rinnastuvasta sääntelymallista, jonka tarkoitus on varmistaa, että markkinoille saatettavat tekoälyjärjestelmät ovat turvallisia käyttää.
NIS2 – organisaatioiden kyberturvallisuus
NIS2-direktiivi on päivitys jo pidempään voimassa olleeseen NIS1-direktiiviin. Direktiivi on Suomessa pantu täytäntöön huhtikuussa 2025 voimaantulleella kyberturvallisuuslailla. NIS2:n myötä sääntelyn piiriin on nyt tullut kokonaan uusia toimialoja, kuten esimerkiksi valmistava teollisuus, elintarvike- ja kemikaaliala, verkkoyhteisöalustat ja jätehuolto. Sääntelyn tavoitteena on vahvistaa yhteiskunnan kannalta kriittisten toimijoiden valmiutta kyberuhkia vastaan organisaatiotasolla.
Yrityksillä tulee olla riittävä kyberturvallisuuden hallintamalli: riskienhallintaprosessit ja -toimintamalli, tekniset ja organisatoriset suojatoimet, sekä selkeät menettelyt merkittävien poikkeamien ilmoittamiseksi. Soveltamisalaan kuuluvien yritysten tulee myös ilmoittautua viranomaisten ylläpitämään toimijaluetteloon.
CRA – tuotteiden kyberturvallisuus
EU:n kyberturvallisuuskestävyysasetus (CRA) asettaa kyberturvallisuusvelvoitteita organisaatioiden sijaan digitaalisia elementtejä sisältäville laite- ja ohjelmistotuotteille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Tällaisia ovat esimerkiksi televisiot, palomuurit, tekstinkäsittelyohjelmat ja käyttöjärjestelmät. Vaatimukset koskevat EU:n markkinoille saatettuja digitaalisia elementtejä sisältäviä tuotteita pääsääntöisesti 11.12.2027 lähtien.
Asetuksen myötä em. tuotteen valmistajan tulee suunnitella, kehittää ja tuottaa/valmistaa tuote asetuksen olennaisten kyberturvallisuusvaatimusten mukaisesti (esim. tietoturvapäivitykset haavoittuvuuksien varalta) tuotteen koko elinkaari huomioiden. CE-merkintä tulee jatkossa kuvaamaan myös kyberturvallisuusvaatimusten täyttämistä.
Lopuksi
Uusi digisääntelykokonaisuus edellyttää yrityksiltä aktiivista tutustumista lainsäädännön vaatimuksiin. Muutoksiin kannattaa mahdollisuuksien mukaan varautua hyvissä ajoin ja pyrkiä arvioimaan oman toimintansa vaatimustenmukaisuus. Sääntelyn valitettavan tulkinnanvaraisuuden ja puuttuvan viranomaisohjeistuksen takia tulee kuitenkin kestämään vielä pitkään ennen kuin moniin vielä avoimiin kysymyksiin saadaan täydentäviä vastauksia.
Tommi Härmä
asianajaja, osakas
Asianajotoimisto Merkurius Oy
Ida Koskinen
counsel, asianajaja
Asianajotoimisto Merkurius Oy