Kyberkestävyyssäädöksen vaatimuksien toteutus pk-yrityksissä
Puronummi, Petra (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052616278
https://urn.fi/URN:NBN:fi:amk-2025052616278
Tiivistelmä
Opinnäytetyön tarkoituksena oli selvittää, millaisia toimenpiteitä pk-yritysten tulee tehdä täyttääkseen EU:n uuden kyberkestävyyssäädöksen vaatimukset. Säädös tuo digitaalisia tuotteita ja ohjelmistoja valmistaville ja myyville toimijoille uusia velvoitteita, jotka koskevat muun muassa ohjelmistojen päivityksiä, haavoittuvuuksien hallintaa ja dokumentointia. Työssä tarkasteltiin, miten pk-yritykset voivat kustannustehokkaasti vastata säädöksen vaatimuksiin ottaen huomioon niiden rajalliset resurssit. Opinnäytetyön toimeksiantajana toimi pienten ja keskisuurten yritysten ja yrittäjien etujärjestö Hämeen Yrittäjät ry.
Opinnäytetyön teoreettisessa osuudessa määriteltiin työn kannalta keskeiset käsitteet, kuten kyberkestävyys, DevSecOps, haavoittuvuuksien hallinta ja sääntelykehys EU:ssa. Tietopohja koostui säädösdokumentaation, ENISA:n ja muiden viranomaistahojen raporttien, uutiskirjeiden sekä aiemman tutkimustiedon analyysistä. Opinnäytetyö oli toiminnallinen ja tutkimuksellinen yhdistelmä, jossa teoriaosuus tuki käytännön toteutusta. Tutkimusmenetelmänä käytettiin laadullista analyysia sekä Proof of Concept (PoC) -ratkaisua, jossa simuloitiin pk-yrityksen tarpeisiin sopiva turvallinen ohjelmistokehityksen toimitusputki avoimen lähdekoodin työkaluilla.
Tutkimuksessa havaittiin, että monet CRA:n vaatimukset pohjautuvat jo käytössä oleviin standardeihin ja toimintamalleihin, eikä suuria muutoksia tarvita erityisesti sellaisissa suomalaisyrityksissä, joilla on korkea kyberkypsyys. Samalla on kuitenkin huomioitava, että kyberturvallisuuskenttä kehittyy jatkuvasti ja uhkakuvat monimutkaistuvat, mikä lisää painetta rakenteellisten ja teknisten vaatimusten tarkentamiseen. CRA:n täytäntöönpano on osa tätä muutosta, mutta lopullinen vaatimusten yksityiskohtainen soveltaminen tapahtuu vasta kansallisen lainsäädännön kautta. Näin ollen yritysten valmistautuminen vaatii ennakoivaa otetta, mutta tarkat käytännön toimenpiteet voidaan suunnitella vasta, kun kansalliset ohjeistukset ja valvontamallit ovat selvillä. CRA:n voimaantuloon on kuitenkin vielä siirtymäaikaa, mikä tarjoaa yrityksille mahdollisuuden tarkastella omaa kyberkypsyystasoaan, kehittää sisäisiä prosesseja ja seurata lainsäädännön etenemistä. PoC-toteutus osoitti, että teknisten vaatimusten täyttäminen on mahdollista ilman suuria investointeja, kun ratkaisut suunnitellaan yrityskohtaisesti. Johtopäätöksenä voidaan todeta, että selkeästi määritellyt prosessit ja perustason kyberturvakäytännöt tukevat CRA:n käyttöönottoon valmistautumista, mutta yksityiskohtainen toteutus vaatii edelleen kansallisen sääntelyn tarkentumista. The purpose of thesis was to examine how small and medium-sized enterprises (SMEs) can comply with the requirements of the European Union’s new Cyber Resilience Act. The Regulation introduces mandatory obligations for manufacturers and distributors of digital products and software, focusing on areas such as software updates, vulnerability management and documentation. Thesis aimed to identify practical, cost-effective solutions that align with the limited resources which are typical of SME’s. Thesis was commissioned by Hämeen Yrittäjät ry, an interest organization for small and medium-sized enterprises and entrepreneurs.
Thesis combines both theoretical and practical approaches. The theoretical part defines key concepts such as cyber resilience, DevSecOps, vulnerability management and the evolving EU regulatory landscape. Research framework is based on a qualitative analysis of legislation, cybersecurity publications and institutional reports, especially from ENISA and national authorities. In the practical part, a Proof of Concept (PoC) was implemented to simulate a secure DevSecOps pipeline using open-source tools demonstrating how SMEs can address CRA requirements with minimal investment.
The research indicates that many of the CRA’s core requirements are aligned with existing cybersecurity standards and practices, especially in Finnish companies with higher levels of cyber maturity. They do not need to rebuild their operations entirely. However, the cybersecurity environment is rapidly evolving, and the specific application of CRA will ultimately depend on the completion of national legislation. While the CRA defines the overall framework, those exact obligations, supervisory procedures and compliance expectations will be clarified at the national level. Since the regulation will enter into force gradually, companies still have time to assess their current cyber resilience, improve internal processes and monitor legislative developments. The POC demonstrated that meeting the technical requirements is practical when solutions are tailored to the organization’s size and needs. In conclusion, clearly defined processes and basic cyber security practices support the preparation for the introduction of CRA, but detailed implementation still requires revision of national regulation.
Opinnäytetyön teoreettisessa osuudessa määriteltiin työn kannalta keskeiset käsitteet, kuten kyberkestävyys, DevSecOps, haavoittuvuuksien hallinta ja sääntelykehys EU:ssa. Tietopohja koostui säädösdokumentaation, ENISA:n ja muiden viranomaistahojen raporttien, uutiskirjeiden sekä aiemman tutkimustiedon analyysistä. Opinnäytetyö oli toiminnallinen ja tutkimuksellinen yhdistelmä, jossa teoriaosuus tuki käytännön toteutusta. Tutkimusmenetelmänä käytettiin laadullista analyysia sekä Proof of Concept (PoC) -ratkaisua, jossa simuloitiin pk-yrityksen tarpeisiin sopiva turvallinen ohjelmistokehityksen toimitusputki avoimen lähdekoodin työkaluilla.
Tutkimuksessa havaittiin, että monet CRA:n vaatimukset pohjautuvat jo käytössä oleviin standardeihin ja toimintamalleihin, eikä suuria muutoksia tarvita erityisesti sellaisissa suomalaisyrityksissä, joilla on korkea kyberkypsyys. Samalla on kuitenkin huomioitava, että kyberturvallisuuskenttä kehittyy jatkuvasti ja uhkakuvat monimutkaistuvat, mikä lisää painetta rakenteellisten ja teknisten vaatimusten tarkentamiseen. CRA:n täytäntöönpano on osa tätä muutosta, mutta lopullinen vaatimusten yksityiskohtainen soveltaminen tapahtuu vasta kansallisen lainsäädännön kautta. Näin ollen yritysten valmistautuminen vaatii ennakoivaa otetta, mutta tarkat käytännön toimenpiteet voidaan suunnitella vasta, kun kansalliset ohjeistukset ja valvontamallit ovat selvillä. CRA:n voimaantuloon on kuitenkin vielä siirtymäaikaa, mikä tarjoaa yrityksille mahdollisuuden tarkastella omaa kyberkypsyystasoaan, kehittää sisäisiä prosesseja ja seurata lainsäädännön etenemistä. PoC-toteutus osoitti, että teknisten vaatimusten täyttäminen on mahdollista ilman suuria investointeja, kun ratkaisut suunnitellaan yrityskohtaisesti. Johtopäätöksenä voidaan todeta, että selkeästi määritellyt prosessit ja perustason kyberturvakäytännöt tukevat CRA:n käyttöönottoon valmistautumista, mutta yksityiskohtainen toteutus vaatii edelleen kansallisen sääntelyn tarkentumista.
Thesis combines both theoretical and practical approaches. The theoretical part defines key concepts such as cyber resilience, DevSecOps, vulnerability management and the evolving EU regulatory landscape. Research framework is based on a qualitative analysis of legislation, cybersecurity publications and institutional reports, especially from ENISA and national authorities. In the practical part, a Proof of Concept (PoC) was implemented to simulate a secure DevSecOps pipeline using open-source tools demonstrating how SMEs can address CRA requirements with minimal investment.
The research indicates that many of the CRA’s core requirements are aligned with existing cybersecurity standards and practices, especially in Finnish companies with higher levels of cyber maturity. They do not need to rebuild their operations entirely. However, the cybersecurity environment is rapidly evolving, and the specific application of CRA will ultimately depend on the completion of national legislation. While the CRA defines the overall framework, those exact obligations, supervisory procedures and compliance expectations will be clarified at the national level. Since the regulation will enter into force gradually, companies still have time to assess their current cyber resilience, improve internal processes and monitor legislative developments. The POC demonstrated that meeting the technical requirements is practical when solutions are tailored to the organization’s size and needs. In conclusion, clearly defined processes and basic cyber security practices support the preparation for the introduction of CRA, but detailed implementation still requires revision of national regulation.