EU Cybersecurity Regulation - Cyber Resilience Act

Abstract

The number of Internet-connected devices has risen rapidly, and cybercrimes follow the same curve. European Union has battled against cybercrime by regulation. Cyber Resilience Act (CRA) is a novel EU cybersecurity regulation, that entered into force in December 2024. The CRA sets strict cybersecurity requirements for the manufacturers of products with digital elements.

The CRA proposal came out in September 2022, and the final version of the CRA legal text was published in November 2024. As the existing literature was referring to the CRA proposal text the research aimed to clarify the final version of the CRA legal text, thus helping the product manufacturers in the compliance process and fulfilling the CRA requirements.

Pragmatism research philosophy was applied and qualitative research approach used, combining exploratory research and applied research, to answer the following three research questions: What is the CRA? What are the cybersecurity requirements in the CRA? What kind of tool could be developed to help manufacturers in the CRA compliance process?

To understand the history and the reasons behind the new regulation, the existing cybersecurity legislation was researched. The new regulation was researched and a clear overview of the CRA was presented to give readers an overall understanding on the regulation. Requirements of the CRA were brought together and each of them were explained for clarity. A tool was developed to help the product manufacturers in the compliance process.

The tool was developed with Microsoft Excel. The tool makes collaborating possible in the compliance process, offers an easy monitoring of the progress, and enables storing the results of the process in a single location. The tool was developed to guide users in using the tool and following the logical path of the CRA compliance by comprehensive instructions.

Internetiin kytkettyjen laitteiden määrä on kasvanut voimakkaasti, ja kyberrikollisuuden määrä kasvaa samassa suhteessa. Kyberkestävyyssäädös on uusi EU:n kyberturvallisuusasetus, joka astui voimaan joulukuussa 2024. Säädös asettaa tiukkoja tietoturvavaatimuksia yrityksille, jotka valmistavat digitaalisia elementtejä sisältäviä tuotteita. Säädösehdotus julkaistiin syyskuussa 2022, ja lopullinen versio marraskuussa 2024. Koska olemassa oleva kirjallisuus käsittelee säädösehdotusta, tutkimus pyrki selventämään säädöksen lopullista versiota, ja siten auttamaan tuotteiden valmistajia vaatimustenmukaisuusprosessissa sekä säädöksen vaatimusten täyttämisessä. Seuraaviin tutkimuskysymyksiin vastattiin soveltamalla pragmatistista tutkimusfilosofiaa ja kvalitatiivista tutkimusta, yhdistäen eksploratiivista ja soveltavaa tutkimusta: Mikä kyberkestävyyssäädös on? Mitä kyberturvavaatimuksia kyberkestävyyssäädöksessä on? Minkälaisen työkalun voisi kehittää auttaakseen valmistajia kyberkestävyyssäädöksen vaatimustenmukaisuusprosessissa? Uuden asetuksen historian ja sen taustalla olevien syiden ymmärtämiseksi tutkittiin voimassa olevaa kyberturvalainsäädäntöä. Uutta asetusta tutkittiin ja siitä esitettiin selkeä katsaus, jotta lukijat saisivat yleiskäsityksen asetuksesta. Kyberkestävyyssäädöksen vaatimukset koottiin yhteen ja selvennettiin. Tuotteiden valmistajien avuksi vaatimustenmukaisuusprosessissa kehitettiin työkalu. Työkalu kehitettiin Microsoft Excelillä. Työkalu mahdollistaa yhteistyön vaatimustenmukaisuusprosessissa, tarjoaa helpon prosessin edistymisen seurannan ja mahdollistaa prosessin tulosten tallentamisen yhteen paikkaan. Työkalu kehitettiin siten, että se opastaa käyttäjiä työkalun käytössä ja kyberkestävyyssäädöksen vaatimustenmukaisuuden loogisen järjestyksen seuraamisessa kattavien ohjeiden avulla.