Hallitus esitti torstaina Euroopan unionin kyberkestävyysasetusta täydentävän kansallisen lainsäädännön vahvistamista. Uusi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista tulee voimaan 1. kesäkuuta 2026. Sääntelyllä toimeenpannaan EU:n laajuisia vaatimuksia, joilla pyritään parantamaan internetiin kytkettävien laitteiden ja ohjelmistojen tietoturvaa.

Kyberkestävyysasetus asettaa vähimmäisvaatimukset tuotteille, jotka ovat yhdistettävissä verkkoon tai muihin laitteisiin. Sääntelyn piiriin kuuluvat muun muassa älypuhelimet, tietokoneet, valvontakamerat, älykellot sekä kodinkoneet ja lelut. Asetus koskee myös ohjelmistoja, kuten pelejä ja sovelluksia, sekä teollisuuden etähallintajärjestelmiä.

Jatkossa valmistajien on suunniteltava tuotteet tietoturvavaatimusten mukaisesti ja raportoitava havaituista vakavista haavoittuvuuksista tai tietoturvapoikkeamista. Velvoitteet ulottuvat myös maahantuojiin ja jälleenmyyjiin. Liikenne- ja viestintäministeriön mukaan tavoitteena on varmistaa, että markkinoilla on aiempaa turvallisempia laitteita.

Markkinavalvonta ja sertifiointitehtävät keskitetään pääosin Liikenne- ja viestintävirasto Traficomiin. Poikkeuksena ovat suuririskiset tekoälyjärjestelmät, joiden valvonnasta vastaavat toimialasta riippuen useat eri viranomaiset, kuten Turvallisuus- ja kemikaalivirasto ja Finanssivalvonta. Vaatimustenmukaisuutta arvioivat laitokset voivat hakea valtuutusta tehtäviinsä kesäkuun puolivälistä alkaen.

Uudistus tuo muutoksia myös verkkotunnusten rekisteröintiin. Sähköisen viestinnän palveluista annettuun lakiin lisätään säännökset, jotka velvoittavat keräämään ja luovuttamaan rekisteröintitietoja EU:n kyberturvallisuusdirektiivin mukaisesti. Velvoitteet koskevat Suomessa sijaitsevia verkkotunnusvälittäjiä laajasti, eivätkä ne rajoitu vain .fi- tai .ax-päätteisiin tunnuksiin. Tuoreita velvoitteita sovelletaan kolmen kuukauden siirtymäajan jälkeen.