STK oli maaliskuun alussa liikenne- ja viestintävaliokunnassa kuultavana kyberkestävyysasetuksen (CRA) toimeenpanoon liittyvästä lakiesityksestä. STK halusi kiinnittää lausunnossa huomionsa erityisesti tarpeisiin järjestää sekä markkinavalvonta että neuvonta, joita kumpaakin CRA edellyttää. Tässä muutama nosto lausunnostamme:
Toimialajärjestömme edustaa 116 valmistaja- ja maahantuojayritystä sekä sähköteknistä tukkukauppaa Suomessa. Ylläpitämämme alan tuotetietokannan Sähkönumerot.fi perusteella CRA:n soveltamisalaan kuuluvia tuotteita on yli 3 000 erilaista turva- ja lukituslaitteista valaistuksen ohjauksen ja talotekniikan automaatioratkaisuihin.
Kun tuotetietokannassa on kaikkiaan neljännesmiljoona sähköteknistä tuotetta, CRA:n piiriin kuuluvien määrä saattaa tuntua suppealta. Arvioinnissa on kuitenkin huomattava, että nämä tuotteet yleensä ohjaavat useampaa sähköteknistä laitteistoa ja niiden toimintaa asuin- ja toimipaikkakiinteistöissä ja verkoissa.
Markkinavalvonta
Toimiva markkinavalvonta on tärkeää, koska velvoitteensa hoitaville yrityksille syntyy niistä kustannuksia ja koska kyberturvan ”vapaamatkustus” koituu lopulta kaikkien haitaksi. Kustannuskilpailun myötä joillakin toimijoilla voi olla houkutus tuoda maahan tuotteita, joilla ei ole sertifiointia tai joilla se on väärennetty. Markkinavalvonta tarvitaan varmistamaan, että kaikki unionin alueelle maahantuotavat tuotteet täyttävät vaatimukset.
Kannatamme markkinavalvontatehtävän keskittämistä yhdelle viranomaiselle, jotta vältetään päällekkäisyydet viranomaistehtävissä. Sähköasennusten ja sähköturvallisuuden valvonta on Suomessa perinteisesti kuulunut Turvallisuus- ja kemikaalivirasto Tukesille. Sitä mukaa kun talotekniikan merkitys rakennusten energiatehokkuudelle korostuu, erinäiset säädökset, kuten Liikenne- ja viestintävirasto Traficomin määräys 65, GIA-asetus, uudistunut rakentamislaki sekä rakennusten energiatehokkuusdirektiivin (EPBD) toimeenpano, painottavat vastuuta näiden ratkaisujen toiminnasta jopa kuntien rakennusvalvonnalle.
Kyberturvan osaamista on ennestään Traficomissa. STK:n näkökulmasta luonteva CRA:n soveltamisalan markkinavalvoja voisi olla Traficom siinä missä Tukesin Fipointkin.
Neuvontatehtävät
Markkinavalvontaviranomaisen on oltava asiantunteva ja resursoitu niin, että se käytännössä kykenee myös antamaan yrityksille ohjausta ja neuvontaa kyberkestävyysasetuksen soveltamisesta. Kansainvälisesti toimivat alan suuryritykset kyllä pystyvät huomiomaan vaatimukset tuotekehityksessään, mutta pienet ja keskisuuretkin toimialan yritykset tulevat tarvitsemaan tietoa ja neuvontaa varmistaakseen kilpailukykynsä tuotteiden säädöstenmukaisuuden osalta.
STK suosittelee markkinavalvojalle neuvontaroolissaan tiivistä yhteistyötä sidosryhmien, kuten toimialajärjestöjen kanssa.
Koulutustarve
Kyberkestävyysasetuksen 10 artiklan nojalla jäsenvaltion on tarvittaessa edistettävä toimia, joilla varmistetaan pätevien ammattihenkilöiden saatavuus, jotta voidaan tukea markkinavalvonta-viranomaisten ja vaatimustenmukaisuuden arviointilaitosten toimintaa. Artiklan mukaan on myös lisättävä yksityisen sektorin, talouden toimijoiden, kuluttajien, koulutuksen tarjoajien sekä julkishallinnon välistä yhteistyötä, muun muassa tarjoamalla valmistajien työntekijöille uudelleen- tai täydennyskoulutusta.
Yrityksissä sovellettavissa olevalle kyberkestävyyden opetukselle on siis artiklassa velvoite ja Suomessa selkeä tarve. Esimerkiksi Aalto-yliopistolla opinto-ohjelmassa tällä hetkellä tarjolla oleva viiden opintopisteen cybersecurity-kurssi ei edes ole pakollinen sähkötekniikan opiskelijoille. Koulutustarjonnan lisäämisen tarve on ilmeinen, ja siihen on osoitettava myös määrärahat.
STK suosittelee mahdollisen täydennyskoulutuksen suunnittelussa ja järjestämisessä laajaa ja tiivistä yhteistyötä sidosryhmien, kuten sähköalan yrityksiä edustavien toimialajärjestöjen kanssa.
Tosiasiallinen kyberkestävyys
Kyberkestävyysasetus velvoittaa tuotteiden valmistajia ja markkinoille saattajia. Käytännössä erityisesti talotekniikan ohjausratkaisut edellyttävät myös tuotteiden asentajilta ja tuotteiden elinkaaren aikana käyttäjiltä ja huollolta oikeita toimenpiteitä, jotta kyberturvallisuus tosiasiallisesti toteutuisi. STK kantaa huolta tästä osaamistarpeesta Suomessa, vaikka nyt käsiteltävät säädökset eivät sitä koskekaan. Sähköala näkee tämän osaamisen osana huoltovarmuuttamme.