Egon Talur ja Priit Põld: kõik Eestis müüdavad digielementidega kaubad peavad kahe aasta pärast vastama uutele nõuetele

Artikkel ilmus 21. veebruar 2025 Äripäeva Kaubandus portaalis

Uute nõuetega soovitakse lahendada Euroopa Liidus kahte probleemi: esiteks – digielemente sisaldavate toodete madal küberturvalisuse tase ja teiseks – tarbijate kehv arusaam selliste toodete küberturvalisusest. 

Advokaadibüroo Cobalt partner Egon Talur ja vandeadvokaat Priit Põld toonitavad, et uutele nõuetele vastamist oleks mõistlik alustada teie ettevõttes olevate toodete ja nende komponentide esmasest hindamisest, kas need võiksid minna küberkerksuse (teisisõnu kübervastupidamise) määruse ehk CRA-regulatsiooni alla või kas kohaldub mõni erand. Kui esmane kaardistus on tehtud, saab edasi otsustada, milliseid nõudeid on vaja täpsemalt täita. Arvestades toodete elutsükli pikkust ja planeerimisprotsesside kestvust, on mõistlik alustada riskianalüüsi ja edasiste sammude ajakava koostamist juba praegu, et tagada kõikide turule lastud toodete vastavus CRA-nõuetele 2027. aasta lõpuks. 

Igal juhul on ettevõtetel, kelle tooted kuuluvad CRA alla, soovituslik juba praegu valmistuda uute nõuete täitmiseks. 

Kübervastupidamine ehk küberkerksus. EL-i uus määrus toob muutusi ka Eesti kaubanduses.

Viimastel aastatel on kasvanud uute kübervaldkonna õigusaktide hulk, mis on suuresti tingitud julgeolekuriskidest ning vaenulike riikide küberrünnakutest. 

Mitmete uute õigusaktide nagu NIS-2-direktiiv, mille ülevõtmiseks muudetakse küberturvalisuse seadust, või DORA-määrus, mis reguleerib küberturvalisust finantssektoris, on justkui pisut tahaplaanile jäänud eelmise aasta detsembris jõustunud Euroopa Liidu küberkerksuse määrus (Cyber Resilience Act ehk CRA), mille peamised kohustused hakkavad kehtima 11. detsembrist 2027. 

Nn CRAga püüavad seadusandjad leida leevendust kahele suurele probleemile: esiteks digielemente sisaldavate toodete madal küberturvalisuse tase ning kasutajate ebapiisav arusaamine ja juurdepääs teabele, et valida piisava küberturvalisusega tooteid või neid turvaliselt kasutada. 

Mida peab CRA puhul silmas pidama? 

Üldistatult: digielementidega toote valmistamisel, maaletoomisel ja edasimüümisel peab olema tagatud, et toode vastaks küberturvalisuse nõuetele. Paljude toodete puhul peab seda kinnitama CE-märgis sarnaselt juba tuttavatele toodetele – nt pehmed mänguasjad või kodumasinad. 

Et paremini mõista, mida CRA reguleerib, tuleks esmalt selgitada, mida tähendab „digielemente sisaldav toode“. Sisuliselt on see iga toode, mis on ühendatud mõne seadme või võrguga andmeside eesmärgil. See hõlmab nii tarkvaralahendusi, nagu paroolihaldurid ja veebibrauserid, kui ka füüsilisi ja virtuaalseid võrguliideseid, nagu näiteks ruuterid. Tavakasutaja jaoks on aga paremini tajutavad igapäevaelus levinud seadmed, nagu nutikodude süsteemid, internetiga ühendatud robottolmuimejad, beebimonitorid või ka nutikad mänguasjad. 

Digielemente sisaldavad tooted jagunevad CRA kohaselt kolme kategooriasse: esiteks üldiselt mistahes digielemente sisaldavad tooted, teiseks olulised digielemente sisaldavad tooted ning kolmandaks kriitilise tähtsusega digielemente sisaldavad tooted.  

Kuigi iga kategooria puhul kehtivad mõnevõrra erinevad nõuded, siis üldiselt tuleb kõiki digielemente sisaldavaid tooteid projekteerida, arendada ja toota nii, et need vastaksid riskitasemest lähtuvatele küberturvalisuse nõuetele. 

Kellele kohaldub? 

CRA kohaldub peaasjalikult digielementidega toodete tootjatele, sh arendajatele, kuid lisaks ka nt importijatele ja turustajatele, kellele kehtivad vastavalt nende rollile erinevad kohustused. 

Millised on peamised nõuded? 

Digielemente sisaldavad tooted peavad vastama küberturvalisuse nõuetele, mis on sätestatud CRA-s. Nende nõuete täitmine tuleb tagada nii toote turule laskmise kui ka toe kestuse ajal. 

Tootjad peavad hindama küberturvalisusega seotud riske, tagades, et nende tooted vastavad nõutud standarditele. Hindamise tulemusi peab aga arvesse võtma kogu toote eluakaare jooksul, st nii projekteerimise, arendamise, tootmise, kui ka tarne ja hooldusetapis. 

Mitmete tootekategooriate puhul peab ka läbi viima vastavushindamise, mille tulemusena saab toode CE-märgise, kinnitades selle vastavust küberturvalisuse nõuetele. Samuti peab toote juurde kuuluma kasutajale mõeldud juhendmaterjal, mis võimaldab toodet turvaliselt paigalda ja kasutada: küberturvalisust on võimalik tagada vaid selliselt, et toote kasutajatele on selgelt ja arusaadavalt edasi antud kogu vajalik info, mis tagab toodete eesmärgipärase kasutuse.