Uusi laki täydentää Euroopan unionin kyberkestävyyssäädöstä (Cyber Resilience Act), joka asettaa ensimmäistä kertaa EU:n laajuiset kyberturvallisuusvaatimukset digitaalisille tuotteille. Sääntely koskee laajasti sekä ohjelmistoja että laitteita, jotka on liitetty verkkoon tai muihin laitteisiin.

Tiedotteen mukaan keskeinen muutos on velvollisuus ilmoittaa tuotteiden hyödynnetyistä haavoittuvuuksista viranomaisille. Suomessa ilmoitukset on tehtävä Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskukselle. Ilmoitusvelvollisuuden on määrä astua voimaan syksyllä 2024, vaikka osa muista säännöksistä astuu voimaan myöhemmin.

Lainsäädännöllä pyritään parantamaan kuluttajien ja yritysten käyttämien laitteiden turvallisuutta koko niiden elinkaaren ajan. Valmistajilla on jatkossa velvollisuus huolehtia tietoturvapäivityksistä ja korjata havaitut puutteet määräajassa. Traficom valvoo säännösten noudattamista Suomessa ja voi asettaa seuraamuksia velvoitteiden laiminlyönnistä.

Uudistus vaikuttaa myös verkkotunnuspalveluihin, sillä laki sisältää muutoksia verkkotunnusten hallinnointia koskevaan sääntelyyn. Tavoitteena on yhdenmukaistaa toimintatapoja ja varmistaa, että digitaalisten palveluiden turvallisuustaso vastaa nykyisiä uhkakuvia. Toimijoiden on varauduttava uusiin vaatimuksiin siirtymäaikojen kuluessa.