Älylaitteiden ja ohjelmistojen kyberturvasääntely etenee kesäkuussa

EU:n kyberkestävyysasetusta täydentävä kansallinen lainsäädäntö tulee Suomessa voimaan 1. kesäkuuta 2026, kertoo valtioneuvosto. Laki täydentää asetusta muun muassa tuotekohtaisten velvoitteiden valvonnan, vaatimustenmukaisuuden arviointilaitosten ilmoittamisen ja hallinnollisten seuraamusten osalta.

Tämä ei tarkoita, että kaikki asetuksen tuotekohtaiset velvoitteet alkaisivat heti kesäkuun alussa. Tuotteita koskevat kyberturvallisuusvaatimukset perustuvat EU:n kyberkestävyysasetukseen, jonka soveltaminen alkaa vaiheittain vuosina 2026–2027. Asetusta sovelletaan pääosin 11. joulukuuta 2027 alkaen.

Valtioneuvoston yleisistunnon 28. toukokuuta 2026 päätösluettelossa asia on kirjattu liikenne- ja viestintäministeriön kohdalle eduskunnan vastauksena hallituksen esitykseen HE 179/2025 vp. Eduskunnan vastauksen tunniste on EV 55/2026 vp.

Liikenne- ja viestintävirasto Traficomille keskitetään kyberkestävyysasetuksen markkinavalvontaviranomaisen tehtävät sekä ilmoittavan viranomaisen tehtävät. Suomeen sijoittautuneet vaatimustenmukaisuuden arviointilaitokset voivat hakea ilmoitetuksi laitokseksi Traficomilta 11. kesäkuuta 2026 alkaen. Traficom jatkaa myös Suomen kansallisena kyberturvallisuussertifioinnin viranomaisena.

Kaikki valvontatehtävät eivät keskity Traficomille. Suuririskisten tekoälyjärjestelmien markkinavalvonnasta vastaavat kyberkestävyysasetuksen osalta tekoälyasetuksen valvontaa hoitavat toimivaltaiset viranomaiset. Valtioneuvoston tiedotteessa näiksi mainitaan toimialasta riippuen Tukes, Traficom, Lupa- ja valvontavirasto, Fimea, Energiavirasto, tietosuojavaltuutettu ja Finanssivalvonta.

Sähköisen viestinnän palveluista annettuun lakiin lisätään verkkotunnusten rekisteröintitietojen keräämistä ja luovuttamista koskeva uusi luku. Uudet keruu- ja luovutusvelvoitteet ulotetaan myös muihin kuin .fi- ja .ax-verkkotunnuksiin, jos verkkotunnusvälittäjä tai ylimmän tason verkkotunnusrekisterin ylläpitäjä sijaitsee Suomessa.

Verkkotunnusten rekisteröintitietoja koskevat uudet velvoitteet täydentävät NIS2-direktiivin kansallista täytäntöönpanoa. Valtioneuvoston mukaan niitä sovelletaan kolmen kuukauden siirtymäajan jälkeen.

EU:n kyberkestävyysasetuksen IV lukua ilmoitetuista laitoksista sovelletaan 11. kesäkuuta 2026 alkaen. Asetuksen 14 artiklan raportointivelvoitteita sovelletaan 11. syyskuuta 2026 alkaen. Asetusta sovelletaan pääosin 11. joulukuuta 2027 alkaen.

Kyberkestävyysasetus koskee EU:n sisämarkkinoilla tuotteita ja ohjelmistoja, jotka voidaan kytkeä internetiin tai toisiin laitteisiin. Valtioneuvoston tiedotteessa esimerkkeinä mainitaan valvontakamerat, jääkaapit, älykellot, televisiot, tietokoneet, puhelimet, lelut, sovellukset ja pelit.

Asetus tuo velvoitteita valmistajille sekä myös maahantuojille, jakelijoille ja avoimen lähdekoodin ohjelmistovastaaville.