Cyber Resilience Act (CRA) – mitä ohjelmistotoimittajan kannattaa tehdä nyt
CRA muuttaa ohjelmistotoimittajan arkea kahdella tavalla: (1) tietoturva pitää osoittaa järjestelmällisesti koko elinkaaren ajan ja (2) haavoittuvuuksien hallinta ei ole enää “valinnainen lisä”, vaan osa tuotteen vastuullista ylläpitoa.
Mitä tämä tarkoittaa käytännössä
- Turvallinen kehityselinkaari: vaatimukset, uhkamallinnus, testaus ja julkaisu muodostavat toistettavan prosessin.
- Haavoittuvuuksien hallinta: kanava ilmoituksille, triage, korjaukset ja julkaisurytmi – dokumentoituna ja mitattavana.
- Päivitykset ja elinkaari: miten päivitykset toimitetaan, kenelle, millä aikataululla ja miten vanhat versiot poistuvat hallitusti.
- SBOM ja riippuvuudet: näkyvyys komponentteihin sekä käytännöt päivityksille ja korjauksille.
- Dokumentointi: toteutetut kontrollit, perustelut ja audit trail – niin että tieto löytyy myös vuoden päästä.
Miksi tämä on myös mahdollisuus
Kun elinkaari ja dokumentointi ovat kunnossa, tuote kestää paremmin myös asiakasvaatimukset, auditoinnit ja integraatiot. Usein sama työ parantaa suoraan laatua ja ylläpidettävyyttä.