Kyberkestävyyssäädös käytännön ohjelmistokehityksessä

Abstract

Kyberkestävyyssäädös (CRA) on Euroopan komission vuonna 2022 esittämä lisäys Euroopan unionin kyberturvallisuuslainsäädäntöön. Kyberkestävyyssäädöksen tarkoitus on kattaa tuotteet, joilla on digitaalisia osia ja tämän avulla tehdä unionin kyberturvallisuuslainsäädännöstä selkeämpi ja yhtenäisempi. Digitaalisten tuotteiden kyberturvallisuutta on syytä lisätä, sillä kyberuhkat jatkuvasti lisääntyvät ja hienostuvat. Aihetta lähdetään tutkimaan järjestelmällisenä kirjallisuuskatsauksena. Kyberkestävyyssäädökseen liittyen aineistoa haettiin kolmesta akateemisen kirjallisuuden tietokannasta: IEEE Xploresta, ACM Digital Librarystä ja Springer Linkistä. Tämän lisäksi muuta aineistoa haettiin useasta eri lähteestä koko kirjoitusprosessin aikana. Tutkielmassa pyritään selvittämään minkälaisia konkreettisia muutoksia kyberkestävyyssäädös tuo käytännön ohjelmistokehitykseen ja miten se toimii yhdessä muiden säädösten kanssa. Kyberkestävyyssäädöksen vaikutuksia tarkastellaan myös Vastaamon ja Tea-sovelluksen tietomurtojen kautta. Kyberkestävyyssäädös esittää seitsemän uutta vaatimusta ohjelmistoille, joiden tarkoitus on tehdä niistä turvallisempia. Suurin osa näistä vaatimuksista kuuluu jo entuudestaan hyviksi todettuihin menetelmiin ohjelmistokehityksessä ja eivät sen takia tule erityisesti vaikuttamaan siihen, miten ohjelmistoja luodaan. Uusista vaatimuksista ohjelmistojen materiaaliluettelon (SBOM) laatiminen on selkeä uusi asia. Kyberkestävyyssäädöksessä vaaditaan muutenkin enemmän dokumentaatiota ohjelmistojen suhteen. Euroopan unionin lainsäädännön näkökulmasta kyberkestävyyssäädös on hyvä lisäys ja se toimii hyvin yhdessä muiden säädösten ja lakien kanssa.