Meiko Monitor — tiedät heti, kun ohjelmistossasi on kriittinen CRA-haavoittuvuus, ja mitä, kenelle ja missä ajassa siitä on lain mukaan ilmoitettava.
Meiko Monitor valvoo koodivarastojasi päivittäin, nostaa esiin kriittiset löydökset ja tuottaa valmiit raporttiluonnokset. Jatkuvana palveluna, ei kertaluonteisena auditointina.
Ilmoitukset ENISAn keskitettyyn raportointialustaan ja kansalliselle CSIRT-taholle.
CRA on jo voimassa — raportointivelvoite alkaa 11.9.2026.
EU:n Cyber Resilience Act astui voimaan joulukuussa 2024. Raportointivelvoitteet tulevat sovellettaviksi 11.9.2026 — ilman siirtymäaikaa.
Raportointivelvoite alkaa. CRA:n täysi soveltaminen alkaa 11.12.2027, mutta velvoite ilmoittaa haavoittuvuuksista tulee voimaan jo nyt syksyllä.
Ilmoitettava on aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista poikkeamista — ei jokaisesta CVE:stä. Ne pitää vain tunnistaa ajoissa.
Vakavimmillaan sakko on enintään 15 miljoonaa euroa tai 2,5 % maailmanlaajuisesta liikevaihdosta — sen mukaan, kumpi on suurempi.
Laki ei rankaise siitä, että haavoittuvuus löytyy. Se rankaisee siitä, ettei sitä havaita, käsitellä ja raportoida oikein ja ajoissa.
Lähde: digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
Koskeeko CRA sinua? Jos tuotteissasi on ohjelmistoa tai verkkoyhteyttä, vastaus on todennäköisesti kyllä.
CRA koskee digitaalisia elementtejä sisältäviä tuotteita, jotka asetetaan saataville EU-markkinalle — niin ohjelmistotuotteita kuin verkkoon kytkettyjä laitteitakin. Soveltuuko velvoite juuri sinun järjestelmiisi ja missä roolissa, on tapauskohtainen kysymys.
Tämä on yksi syy hankkia valvonta ulkopuolelta: et joudu yksin tulkitsemaan, mikä on raportoitavaa ja mikä ei. Meiko Monitor seuraa jatkuvasti, ja tarvittaessa autamme arvioimaan, onko yksittäinen havainto CRA-raportointivelvoitteen alainen.
Kyberkestävyyssäädöstä sovelletaan tuotteisiin, joissa on digitaalisia elementtejä. Käytännössä tämä tarkoittaa laitteita ja ohjelmistoja, jotka toimivat digitaalisessa ympäristössä ja jotka voidaan liittää suoraan tai epäsuorasti verkkoon.
- kuluttajille suunnatut älylaitteet, kuten turvakamerat, televisiot, lelut ja kotitalousreitittimet
- ohjelmistot ja sovellukset, kuten pelit, tekstin- ja kuvankäsittelyohjelmat, käyttöjärjestelmät, selaimet ja salasananhallintaohjelmistot
- teolliset ja tekniset digitaaliset järjestelmät, kuten teolliset ohjausjärjestelmät, verkkoon liitettävät IoT-laitteet sekä tietyt mikroprosessorit ja -ohjaimet
IoT-laitteiden yhteydessä myös valmistajan tarjoama datan etäkäsittelyratkaisu — kuten laitteen etähallintaan tarkoitettu palvelu — katsotaan osaksi tuotetta. Säädös voi koskea myös pilvipalveluita silloin, kun ne ovat osa tuotetta tai sen valmistajan tarjoamaa etäkäsittelyratkaisua.
Lähde: kyberturvallisuuskeskus.fiMeiko Monitor: jatkuva CRA-haavoittuvuusvalvonta, valmiit raporttiluonnokset, selkeä kuva tilanteesta.
Meiko Monitor on Meiko Oy:n jatkuva haavoittuvuusvalvontapalvelu ohjelmistoja ja verkkoon liitettäviä laitteita valmistaville yrityksille. Palvelu tunnistaa EU:n Cyber Resilience Actin (CRA, EU 2024/2847) piiriin kuuluvat haavoittuvuudet, tuottaa valmiit raporttiluonnokset ja pitää ohjelmistoluettelon (SBOM) ajan tasalla.
Päivittäinen valvonta
Jokaiselle nimetylle koodivarastolle skannataan riippuvuudet, verrataan löydökset CISA KEV -listaan ja päivitetään EPSS-pisteet avoimille havainnoille — joka päivä.
Raporttiluonnos 24 tunnissa
Kun havainto on KEV-listalla, EPSS ≥ 0,50 tai CVSS ≥ 9,0, saat valmiin luonnoksen: CVE, CVSS, vakavuus, vaikuttava komponentti, korjauksen saatavuus ja pohja VEX-lausumalle.
Kuukausittainen ohjelmistoluettelo (SBOM)
Et voi raportoida sitä, mitä et tiedä tuotteissasi olevan. Siksi tuotamme jokaisesta koodivarastosta kuukausittain ajantasaisen luettelon ohjelmistosi osista — tekninen nimi on Software Bill of Materials (SBOM), CycloneDX-formaatissa.
Välittömät hälytykset
KEV-osuman kohdalla tiimimme saa hälytyksen ja käynnistää raporttiluonnoksen heti. Et saa raakaa ilmoitusta vaan valmiin luonnoksen — käsittelemme välivaiheen puolestasi.
Selkeä kuukausiraportti suomeksi
Havaintojen määrä ja vakavuusjakauma, avoimet löydökset prioriteettijärjestyksessä, suljetut löydökset ja suositukset seuraavalle kuukaudelle.
Asiantuntija tukena
Kuukausimaksuun sisältyy konsultointia, ja saat lisätyötä tuntiveloituksella silloin, kun havainto vaatii ihmisen tulkintaa tai viranomaisilmoitusta.
Vastuuhenkilön kysymys ratkaistaan puolestasi.
Selkeä kuukausimaksu. Lisätyö silloin kun sitä tarvitset.
- Jatkuva valvonta, kattaa yhden koodivaraston
- Päivittäiset tarkistukset ja hälytykset
- Raporttiluonnokset ja kuukausiraportti
- 2 tuntia konsultointia kuukaudessa
- Lisäkoodivarastot alkaen 100 €/kpl
- Lisätyö 90 €/h (alv 0 %), muut tarpeet erikseen sovittuna
Käyttöön kolmessa vaiheessa.
Lyhyt keskustelu
Käydään läpi järjestelmäsi ja se, mikä on CRA:n kannalta olennaista. 15 minuuttia riittää alkuun.
Pääsy koodivarastoihin
Annat lukuoikeuden nimettyihin koodivarastoihin. Kevyt käyttöönotto, ei muutoksia järjestelmiisi.
Valvonta käyntiin
Palvelu käynnistetään 10 arkipäivän kuluessa pääsytietojen saamisesta. Sen jälkeen raportit ja hälytykset tulevat automaattisesti.
Meiko Monitor perustuu julkisiin tietolähteisiin (NVD, CISA KEV, OSV, FIRST EPSS). Palvelu tuottaa jatkuvan valvonnan, havainnot ja raporttipohjat, joiden varaan päätökset on helppo tehdä. Se ei takaa CRA-vaatimustenmukaisuutta eikä ole oikeudellista neuvontaa — vastuu lakisääteisten velvoitteiden täyttämisestä säilyy asiakkaalla.
Nämä yritykset luottavat meihin
Katsotaan, koskeeko CRA sinun järjestelmiäsi.
Varataan 15 minuuttia ja käydään läpi mitä se käytännössä tarkoittaa. Jos tarvetta ei ole, todetaan se rehellisesti.
Kivääritehtaankatu 6, 40100 Jyväskylä