Meiko Monitor tarjoaa haavoittuvuusraportointia Euroopan kyberkestävyyssäädöksen mukaisesti
18.6.2026
)
)
EU:n Cyber Resilience Act (CRA) astui voimaan joulukuussa 2024. Raportointivelvoitteet tulevat sovellettaviksi 11.9.2026, jolloin jokaisen digitaalisen tuotteen tarjoajan on kyettävä raportoimaan kriittisistä haavoittuvuuksista viranomaiselle.
Säädöksen tarkoituksena on tehdä digitaalisista tuotteista turvallisempia koko niiden elinkaaren ajan ja varmistaa, että samat pelisäännöt pätevät kaikkialla EU:ssa.
Kyberkestävyyssäädös koskee EU-markkinoille saatettavia, digitaalisia elementtejä sisältäviä tuotteita, ja asettaa velvoitteita näille toimijoille: valmistajat, maahantuojat, jakelijat ja tietyissä tilanteissa avoimen lähdekoodin ohjelmistovastaavat.
Säädös asettaa näille toimijoille velvollisuuden täyttää vaatimukset, joista Traficom on antanut konkreettisen listan. 11.9.2026 alkaa haavoittuvuuksien ilmoitusvelvollisuus, jonka mukaan valmistajan tulee ilmoittaa viranomaiselle aktiivisesti hyödynnetyistä haavoittuvuuksista ja tietoturvaan vaikuttavista vakavista poikkeamista. Säädös koskee sekä uusia että jo EU-markkinoilla olevia tuotteita. Valmistajan on annettava kaikista tapauksista ennakkovaroitusilmoitus, täydentävä ilmoitus, sekä loppuraportti ENISAn ylläpitämän keskitetyn raportointialustan (Single Reporting Platform) kautta.
Meikon asiakkaat ja kumppaneista useat astuvat tämän piiriin, jonka takia olemme ratkaisseet asian kehittämällä oman haavoittuvuusvalvonnan ja raporttien valmistelun alustan, Meiko Monitorin. Järjestelmä seuraa julkisia tietolähteitä aktiivisesti (NVD, CISA KEV, OSV, FIRST EPSS) ja vertaa niissä havaittuja haavoittuvuuksia Meiko Monitoriin yhdistettyihin koodivarastoihin (repository). Monitor muodostaa yhteenvedon havaituista haavoittuvuuksista ja arvioi niiden vakavuuden, sekä muodostaa annettujen sääntöjen mukaan raporttipohjia, jotka voidaan toimittaa viranomaisille.
Haavoittuvuuksien etsimiseen on paljon hyviä työkaluja: ne skannaavat koodin ja riippuvuudet ja antavat listan löydöksistä. Tämä on kuitenkin vain puolet siitä, mitä CRA vaatii. Säädöksen työläin osa tulee löydöksen jälkeen: aktiivisesti hyödynnetyistä haavoittuvuuksista on ilmoitettava viranomaiselle tiukassa aikataulussa, ja jokainen poikkeama on dokumentoitava havaitsemisesta ratkaisuun.
Meiko Monitor on rakennettu juuri tähän. Se ei jätä sinulle listaa tulkittavaksi, vaan hoitaa valvonnan ja raportoinnin puolestasi. Normaaleina kuukausina saat yhden selkeän raportin. Ja kun jotain kriittistä tapahtuu, saat 24 tunnin sisällä valmiin raportin, jossa on kaikki tarvittava CRA-ilmoituksen tekemiseen — et tyhjää lomaketta vaan valmiin pohjan. Niin voit keskittyä oman tuotteesi rakentamiseen, kun vaatimustenmukaisuus pyörii taustalla.
Parantaaksemme eurooppalaista tietoturvaa, julkaisemme Meiko Monitor-järjestelmän myös muiden palveluntarjoajien ja digitaalisia elementtejä sisältävien tuotteita valmistavien yritysten saataville. Tietoturva on kaikkien vastuulla ja sen saavuttaminen on mahdollista yhdessä. Kerromme mieluusti lisää ja arvioimme tarpeesi palvelulle erillisessä tapaamisessa.
Varaa aika keskusteluun:kalle.kaskinen@meiko.fi tai soita +358 50 585 8596