Suomalaisten kotien älylaitteet ovat astumassa uuteen aikakauteen. Huhtikuun 2026 lopulla EU:n kyberresilienssiasetus (Cyber Resilience Act, CRA) on jo virallisesti voimassa, ja sen tärkein välietappi suomalaisille kuluttajille koittaa 11. syyskuuta 2026. Tästä päivästä alkaen jokaisen Suomessa myytävän älykodin laitteen valmistajan on ilmoitettava aktiivisesti hyödynnetyistä haavoittuvuuksista 24 tunnin sisällä – ja se mullistaa älykodin tietoturva 2026 -markkinan kokonaan. Olipa kotonasi älylukko, robotti-imuri, valvontakamera tai pelkkä WiFi-pistorasia, näiden laitteiden turvallisuusvaatimukset kiristyvät radikaalisti seuraavien 18 kuukauden aikana.
Tässä syvällisessä uutisanalyysissä käymme läpi, mitä CRA-asetus konkreettisesti tarkoittaa suomalaisten kotitalouksien arjessa, miksi syyskuun 2026 päivämäärä on niin merkittävä, ja miten kuluttajan kannattaa varautua jo nyt. Tarkastelemme myös, miten Liikenne- ja viestintävirasto Traficom ja Kyberturvallisuuskeskus (NCSC-FI) ohjaavat asetuksen jalkauttamista Suomessa, ja millaisia muutoksia älykodin laitevalikoimaan on luvassa loppuvuodesta 2026 alkaen.
Mikä CRA-asetus on ja miksi se mullistaa älykodin tietoturvan?
EU:n kyberresilienssiasetus, virallisesti Regulation (EU) 2024/2847, hyväksyttiin marraskuussa 2024 ja se astui voimaan joulukuussa 2024. Asetus on ensimmäinen koko Euroopan laajuinen sääntely, joka asettaa pakolliset kyberturvavaatimukset kaikille digitaalisia elementtejä sisältäville tuotteille. Käytännössä tämä tarkoittaa, että jokainen verkkoon kytkettävä laite – aina älyhammasharjasta teollisuusrouttereihin – joutuu täyttämään yhdenmukaiset minimivaatimukset, jos sitä myydään EU:n alueella.
Älykodin näkökulmasta CRA on käännekohta. Tähän asti IoT-laitteiden tietoturva on perustunut pitkälti valmistajien vapaaehtoisiin sertifiointeihin ja markkinoiden itsesäätelyyn. Kuluttaja on saanut luottaa siihen, että 49 euron hintainen kiinalaisvalmisteinen valvontakamera saa edes jonkinlaisia tietoturvapäivityksiä – tai sitten ei. Marraskuun 28. päivänä 2025 Euroopan komissio adoptoi täytäntöönpanoasetuksen, joka tarkentaa CRA:n vaatimukset, ja vuoden 2026 aikana kuluttaja saa ensimmäistä kertaa lain takaaman oikeuden vaatia tietoturvallisia älykodin laitteita.
Suomalaisten kotitalouksien älylaitemäärä on kasvanut räjähdysmäisesti viime vuosina. Telian älykodin tilausten kasvu oli 50 prosenttia vuonna 2025, ja Finanssialan kotivakuutustilastojen mukaan keskivertosuomalaisessa kerrostaloasunnossa on jo 14–18 verkkoon kytkettyä laitetta. Pientalossa luku nousee usein yli 30 laitteen. Älykodin tietoturva 2026 -kysymyksestä on tullut kansanterveysasiaan verrattava aihe – ei pelkkä tekninen yksityiskohta.
Aikajana: CRA:n tärkeimmät päivämäärät vuosina 2026 ja 2027
CRA-asetuksen jalkauttaminen tapahtuu portaittain, ja vuosi 2026 on kiistatta aikataulun ratkaisuvaihe. Alla oleva taulukko kokoaa kaikki tärkeimmät virstanpylväät, jotka jokaisen älykodin tietoturvasta kiinnostuneen kuluttajan ja valmistajan tulisi tuntea.
| Päivämäärä | Tapahtuma | Vaikutus kuluttajaan |
|---|---|---|
| 10.12.2024 | CRA astuu voimaan EU-tasolla | Ei välittömiä vaikutuksia kotitalouksiin |
| 28.11.2025 | Komissio hyväksyy täytäntöönpanoasetuksen | Tarkentaa luokitukset ja menettelyt |
| 11.6.2026 | Vaatimustenmukaisuuden arviointielinten säännöt voimaan | Sertifiointielimet aloittavat työn Suomessa |
| 11.9.2026 | Haavoittuvuusilmoitusten pakollisuus alkaa | Valmistajat ilmoittavat 24/72 tunnin aikataululla |
| 11.12.2027 | Täysi soveltaminen, kaikki vaatimukset pakollisia | Vain CRA-yhteensopivat laitteet myynnissä EU:ssa |
Erityisesti syyskuun 2026 päivämäärä ansaitsee huomion: tämän jälkeen suomalaisen kuluttajan älylaitteen valmistajan on lain mukaan kerrottava, jos laitteesta löytyy aktiivisesti hyökkäyksessä käytetty haavoittuvuus. Kyberturvallisuuskeskus (NCSC-FI) tulee saamaan ilmoitukset, ja vakavimmissa tapauksissa myös kuluttajille on tiedotettava asianmukaisesti. Tämä on suuri muutos verrattuna nykyiseen, jossa tieto haavoittuvuuksista jää usein valmistajan ja tietoturvatutkijoiden väliseksi keskusteluksi.
Olennaiset kyberturvavaatimukset: 13 kohtaa, joihin valmistajan on vastattava
CRA:n liite I sisältää 13 olennaista kyberturvavaatimusta, joihin jokaisen valmistajan on vastattava. Suomalaisen kuluttajan on hyödyllistä tuntea nämä, sillä ne määrittelevät, mitä älykodin laite vähintään tekee oletuksena syyskuun 2026 jälkeen. Vaatimukset jakautuvat kolmeen ryhmään: turvallinen suunnittelu (security-by-design), turvallinen käyttöönotto (security-by-default) sekä haavoittuvuuksien hallinta tuotteen elinkaaren ajan. Komission täytäntöönpanoasetus 28.11.2025 tarkensi näitä vielä huomattavasti: esimerkiksi salaussuositukset perustuvat ENISAn ja BSI:n yhteisiin ohjeisiin, ja oletuksena on aina vahvin saatavilla oleva algoritmi.
Käytännössä tämä tarkoittaa, että tulevan älypistorasian ei ole enää sallittua oletusarvoisesti hyväksyä HTTP-yhteyksiä pilvipalveluunsa ilman TLS-salausta. Älylukko ei saa enää luoda Bluetooth-paritusta ilman vahvaa autentikointia. Robotti-imuri ei saa lähettää pohjapiirroskuvaa palvelimelle ilman selkeää käyttäjän hyväksyntää. Nämä ovat asioita, joita käyttäjät ovat pitäneet itsestäänselvyyksinä, mutta tutkimus on osoittanut, että jopa 30 prosenttia laitteista rikkoo näitä periaatteita oletusasetuksilla.
- Turvallinen oletuskonfiguraatio jokaisessa laitteessa
- Suojaus luvattomalta käytöltä, mukaan lukien biometriikka tai vahva PIN
- Tietojen luottamuksellisuuden ja eheyden takaavat salausmekanismit
- Saatavuuden suojaaminen DoS-hyökkäyksiltä
- Hyökkäyspinta-alaa minimoiva suunnittelu
- Lokitietojen suojattu tallennus ja tarkastusmekanismit
- Turvalliset päivitysmekanismit, ml. kryptografinen allekirjoitus
- Henkilötietojen käsittely tietosuojaperiaatteita kunnioittaen
- Käyttäjälle näkyvät tietoturva-asetukset ja niiden hallinta
- Haavoittuvuuksien tunnistamisen ja korjauksen prosessit
- Tukikauden minimipituuden ilmoittaminen pakkauksessa
- Coordinated Vulnerability Disclosure -käytäntö julkisesti dokumentoituna
- Tukikauden päättymistä koskeva selkeä viestintä loppukäyttäjälle
Mitkä älykodin laitteet kuuluvat asetuksen piiriin?
CRA-asetus kattaa erittäin laajan joukon laitteita: kaikki tuotteet, joissa on digitaalisia elementtejä (Products with Digital Elements, PDE). Käytännössä tämä tarkoittaa kaikkia älykodin laitteita, ohjelmistoja ja niiden komponentteja. Asetus jakaa tuotteet kolmeen riskiluokkaan: perustaso, tärkeä luokka I ja II sekä kriittinen luokka. Älykodin näkökulmasta kiinnostavimpia ovat perustason laitteet ja tärkeän luokan I tuotteet.
Älylukot ja älyovikellot
Älylukot ovat klassinen esimerkki perustason laitteesta CRA:n alla. Vaikka ne hoitavat kriittistä turvallisuustoimintoa – kodin oven lukitusta – niiden riskiluokitus on perustaso, koska niihin liittyvät uhkat ovat hyvin tunnettuja ja teknisesti hallittavia. Valmistajan on kuitenkin varmistettava, että lukko vastaanottaa tietoturvapäivityksiä koko sen elinkaaren ajan, joka tyypillisesti on vähintään viisi vuotta. Sama koskee älyovikellojen ja videoporttien kameramoduuleja.
Valvontakamerat ja kotihälyttimet
Valvontakamerat ovat osa älykodin tietoturva-arsenaalia, mutta ne ovat myös eräs eniten haavoittuvuuksia keränneistä laiteryhmistä. WithSecure raportoi vuoden 2025 IoT-trendiraportissaan, että kuluttajakameroista löytyi keskimäärin 4,7 kriittistä haavoittuvuutta laitemallia kohti. CRA-asetus pakottaa valmistajat dokumentoimaan kaikki kolmannen osapuolen ohjelmistokomponentit Software Bill of Materials -dokumentilla, mikä helpottaa haavoittuvuuksien jäljittämistä.
Älykaiuttimet ja virtuaaliavustajat
Älykaiuttimet ja yleiskäyttöiset virtuaaliavustajat on luokiteltu CRA:ssa tärkeäksi luokaksi I, koska ne käsittelevät jatkuvasti äänidataa, ohjaavat muita kodin laitteita ja kommunikoivat suoraan internetiin. Tämä tarkoittaa tiukempia vaatimustenmukaisuusarviointeja: pelkkä valmistajan oma vakuutus ei riitä, vaan tuote on käytävä läpi sertifioidun arviointielimen tarkastus. Käytännössä Apple HomePodin, Amazon Echon ja Googlen Nest Hubin kaltaiset laitteet joutuvat läpi tiukemman seulan ennen kuin ne saavat CE-merkinnän.
Riskiluokat: perustaso, tärkeä ja kriittinen
CRA:n riskipohjainen lähestymistapa määrittelee, kuinka tiukasti tuote on arvioitava ennen markkinoille pääsyä. Suurin osa älykodin tuotteista – arviolta noin 90 prosenttia – kuuluu perustasoon, jossa valmistaja voi tehdä itse vaatimustenmukaisuuden arvioinnin. Loput 10 prosenttia, joihin kuuluvat sananmuokkausta tekevät avustajat, identiteetinhallintatuotteet ja smart-grid-laitteet, vaativat ulkopuolisen arvioinnin.
| Laiteluokka | Esimerkki | CRA-luokitus | Arviointi |
|---|---|---|---|
| Älylukko | Yale Linus Smart Lock | Perustaso | Itsearviointi |
| Valvontakamera | Eufy SoloCam S340 | Perustaso | Itsearviointi |
| Robotti-imuri | Roborock S9 MaxV | Perustaso | Itsearviointi |
| Älykaiutin/avustaja | Apple HomePod, Amazon Echo | Tärkeä luokka I | Ulkopuolinen arviointi |
| Identiteetinhallinta | Salasanahallinta-sovellukset | Tärkeä luokka I | Ulkopuolinen arviointi |
| Älymittari (kriittinen) | Sähkönmittaus, vesimittari | Kriittinen | Eurooppalainen sertifiointi |
Riskiluokitus heijastuu myös laitteen elinkaareen liittyviin vaatimuksiin. Kriittisen luokan tuotteille tukiajan on oltava vähintään 10 vuotta. Tärkeän luokan I tuotteille seitsemän vuotta, ja perustasolle viisi vuotta. Tämä tukikausivaatimus on yksi CRA:n merkittävimmistä uudistuksista älykodin tietoturva 2026 -näkökulmasta, sillä monet halpamerkit ovat aiemmin lopettaneet päivitykset jo kahden vuoden kuluttua julkaisusta.
CE-merkintä, SBOM ja vaatimustenmukaisuusvakuutus
CRA-asetuksen myötä CE-merkki saa uuden merkityksen: se ei enää ole pelkkä tae sähköturvallisuudesta tai EMC-vaatimuksista, vaan se vahvistaa myös kyberturvallisuuden minimitason. Valmistajan on ennen merkin lisäämistä laadittava kolme tärkeää dokumenttia. Ensinnäkin Software Bill of Materials (SBOM), eli ohjelmistokomponenttiluettelo, jossa eritellään kaikki tuotteen avoimen lähdekoodin ja kaupalliset komponentit versionumeroineen.
Toiseksi EU-vaatimustenmukaisuusvakuutus (EU Declaration of Conformity), jossa valmistaja sitoutuu CRA:n keskeisiin vaatimuksiin: turvallinen oletuskonfiguraatio, suojatut päivitysmekanismit, salausstandardien noudattaminen ja koneäly-pohjaisten ominaisuuksien turvallinen toteutus. Kolmanneksi haavoittuvuudenkäsittelyprosessi, jossa valmistaja kuvaa, miten se ottaa vastaan, käsittelee ja korjaa raportoituja haavoittuvuuksia.
Kuluttajan kannalta tämä tarkoittaa, että vuoden 2027 lopusta lähtien CE-merkintä muuttuu hyödylliseksi tietoturvaindikaattoriksi. Kun ostat valvontakameran tai älypistorasian, voit tarkistaa, että pakkauksessa on CE-merkki ja valmistajan dokumentaatiossa selkeä lupaus tukikaudesta. Suosittelemme jo nyt valitsemaan vain niitä laitteita, joiden valmistaja kertoo selkeästi tukikauden pituuden – tämä erottaa edelläkävijät massasta.
24, 72 ja 14: Haavoittuvuusilmoitusten aikarajat syyskuusta 2026
Yksi CRA:n tunnusomaisimmista piirteistä on tiukka haavoittuvuusilmoitusten aikataulu, joka tulee voimaan 11. syyskuuta 2026. Aikataulu noudattaa kolmiportaista mallia, joka muistuttaa GDPR:n tietoturvaloukkausilmoituksia, mutta on vielä tarkemmin määritelty. Ilmoitukset tehdään kansalliselle CSIRT-viranomaiselle, joka Suomessa on Kyberturvallisuuskeskus, sekä ENISAlle.
- 24 tuntia havaitsemisesta: Ennakkoilmoitus, jossa kuvataan haavoittuvuuden perustiedot ja tiedossa olevat hyökkäykset.
- 72 tuntia havaitsemisesta: Yksityiskohtainen raportti, joka sisältää teknisen analyysin ja korjaavat toimenpiteet.
- 14 päivää korjauksesta: Lopullinen raportti, jossa kuvataan korjauksen tehokkuus ja opitut asiat.
Tämä aikataulu on huomattavasti tiukempi kuin esimerkiksi Yhdysvaltain CISA:n ohjeistus, ja se asettaa erityisesti pienemmille älykodin valmistajille merkittäviä haasteita. Suomessa toimivat valmistajat – kuten Polar Electro, Suunto ja Genelec, jotka ovat siirtymässä yhä enemmän älykodin segmenttiin – ovat jo investoineet PSIRT-tiimeihin (Product Security Incident Response Team) varautuakseen vaatimuksiin. Pienemmillä toimijoilla on edessään joko prosessien rakentaminen tai markkinoilta vetäytyminen.
Sakot ja taloudelliset seuraamukset valmistajille
CRA:n sakkojärjestelmä on huomattavan ankara: vakavimmissa rikkomuksissa sakko voi nousta jopa 15 miljoonaan euroon tai 2,5 prosenttiin valmistajan maailmanlaajuisesta vuosiliikevaihdosta – sen mukaan, kumpi luku on suurempi. Tämä sakkoasteikko ylittää GDPR:n maksimisakon (4 % liikevaihdosta), mikä korostaa EU:n vakavaa suhtautumista IoT-tietoturvaan. Sakkoja jakavat kansalliset markkinavalvontaviranomaiset, jotka Suomessa ovat Traficom ja Tukes.
| Rikkomus | Maksimisakko | Esimerkki |
|---|---|---|
| Olennaisten kyberturvavaatimusten rikkominen | 15 M€ tai 2,5 % liikevaihdosta | Tuotetta myydään ilman päivitysmekanismia |
| Haavoittuvuudenraportointivelvollisuuden laiminlyönti | 10 M€ tai 2 % liikevaihdosta | 24/72 tunnin aikarajan ylittäminen toistuvasti |
| Vääränlainen tieto viranomaiselle | 5 M€ tai 1 % liikevaihdosta | SBOMin puutteellinen toimittaminen |
| Markkinoilta poisto -määräyksen rikkominen | 15 M€ tai 2,5 % liikevaihdosta | Tuotteen myynnin jatkaminen kiellosta huolimatta |
Konkreettisesti tämä tarkoittaa, että suuri kiinalainen IoT-valmistaja, jonka liikevaihto on miljardiluokkaa, voi joutua maksamaan kymmenien miljoonien sakkoja yhdestäkin vakavasta rikkomuksesta. Pieni eurooppalainen valmistaja taas voisi suoraan kaatua sakon takia, mikä on aiheuttanut huolta erityisesti suomalaisten älykodin start-upien parissa. Liikenne- ja viestintävirasto Traficom on antanut kotimaisille toimijoille opastusta loppuvuodesta 2025 alkaen, ja vuoden 2026 aikana on tulossa myös sektorikohtaisia ohjeita.
IoT-haavoittuvuudet Suomessa: nykytilanne 2025–2026
Vuoden 2025 aikana suomalaisten älykodin laitteiden tietoturvatilanne heikkeni merkittävästi. Pohjoismaisen IoT-tietoturvavertailun mukaan kuluttajakohtaisten haavoittuvuusraporttien määrä kasvoi 40 prosenttia edellisvuoteen verrattuna. Erityisen yleisiä havaintoja olivat kovakoodatut salasanat, päivittämättömät avoimen lähdekoodin kirjastot ja salaamattomat HTTP-yhteydet pilvipalveluihin. Kyberturvallisuuskeskus julkaisi maaliskuussa 2026 erityishuomion: kuluttajille suunnatuista IoT-laitteista lähes 60 prosentissa on jokin tunnettu haavoittuvuus käyttöönoton hetkellä.
Käytännön esimerkit ovat huolestuttavia. Helmikuussa 2026 paljastui, että erään Aasiassa valmistetun valvontakameramallin live-streamia pystyi katsomaan internetin yli ilman salasanaa, koska valmistaja oli jättänyt RTSP-portin avoimeksi. Suomessa myynnissä olleita laitteita oli arviolta 4 200 kpl. Tammikuussa 2026 puolestaan löytyi älypistorasiamallin, joka lähetti käyttäjän WiFi-salasanan selkokielisenä Kiinassa sijaitsevalle palvelimelle. Tämän kaltaiset tapaukset ovat tarkalleen niitä, jotka CRA-asetus pyrkii estämään.
Suomalaisten oma tietoturvakäyttäytyminen on myös kehittynyt. Telian alkuvuoden 2026 tutkimuksen mukaan 67 prosenttia älykotia hyödyntävistä suomalaisista on vaihtanut oletussalasanan vähintään yhdessä laitteessaan, ja 41 prosenttia käyttää erillistä IoT-VLAN:ia kotireitittimessään. Luvut ovat kasvaneet merkittävästi parin vuoden takaisesta, mutta jättävät yhä paljon parantamisen varaa.
Suomalaisen kuluttajan käytännön opas
Vaikka CRA tuo merkittäviä parannuksia, kuluttajan oma vastuu ei katoa. Älykodin tietoturva 2026 -kuvio rakentuu kolmesta tasosta: lainsäädännöstä (CRA, NIS2), valmistajan käytännöistä ja loppukäyttäjän omista valinnoista. Alla olemme koonneet käytännön ohjeet, joita kannattaa noudattaa juuri nyt – odottamatta syyskuuta 2026.
Tarkista olemassa olevien laitteiden tietoturva
Aloita inventoimalla kaikki kotisi verkkoon kytketyt laitteet. Yksinkertaisin tapa on käydä reitittimen hallintaliittymässä ja katsoa kytkettyjen laitteiden lista. Kirjaa laitteet ylös, etsi valmistajan tukisivut ja tarkista, kuinka pitkään laitteet saavat tietoturvapäivityksiä. Jos laite on yli viisi vuotta vanha tai valmistaja on lopettanut päivitykset, harkitse vakavasti laitteen vaihtoa tai eristämistä omaan VLAN-segmenttiinsä. Tämä on erityisen tärkeää valvontakameroiden, älylukkojen ja kotihälyttimien kohdalla, jotka liittyvät kodin fyysiseen turvallisuuteen.
Päivitysrytmin merkitys
Säännölliset päivitykset ovat kotitalouden tärkein yksittäinen tietoturvatoimenpide. Tutkimusten mukaan jopa 80 prosenttia hyödynnetyistä haavoittuvuuksista olisi voitu välttää, jos käytössä olisi ollut viimeisimmät päivitykset. Aktivoi automaattipäivitykset jokaiseen mahdolliseen laitteeseen ja tarkista manuaalisesti kerran kuukaudessa kaikkien laitteiden päivitysstatus. Kirjoita itsellesi muistutus puhelimen kalenteriin – tämä on yksi vaikuttavimmista älykodin tietoturva 2026 -käytännöistä.
Verkon segmentointi ja vahvat salasanat
Modernit kotireitittimet tukevat verkon segmentointia, jolloin älylaitteet voidaan eristää omaan aliverkkoonsa. Tämä estää tilanteen, jossa kompromissoidun valvontakameran kautta hyökkääjä pääsee käsiksi tietokoneeseen tai NAS-laitteeseen. Lisäksi jokaisella laitteella tulisi olla uniikki, vahva salasana – ei oletussalasanaa eikä samaa salasanaa kaikissa laitteissa. Salasanahallinta-sovelluksen käyttö helpottaa tämän toteuttamista.
Vaikutukset älykodin markkinaan ja hintatasoon
CRA-asetuksen markkinavaikutukset ulottuvat hinnoittelusta valikoiman muutoksiin. Tutkimusyhtiö GfK:n maaliskuun 2026 analyysissä arvioidaan, että älykodin laitteiden keskihinta nousee 8–14 prosenttia vuoden 2027 loppuun mennessä, mikä kattaa lisääntyneet sertifiointi-, dokumentointi- ja PSIRT-kustannukset. Toisaalta valikoima saattaa kapenea, sillä osa halpamerkeistä todennäköisesti vetäytyy markkinoilta sen sijaan että tekisi vaadittavat investoinnit.
Eurooppalaisille valmistajille tilanne tarjoaa kilpailuetua. Saksalainen Bosch, ranskalainen Legrand ja suomalainen Genelec ovat ilmoittaneet investoivansa miljoonia euroja CRA-yhteensopivuuteen vuosina 2025–2027. Sama koskee älykodin keskukset valmistajia: Aqara, Aeotec ja Homey ovat jo nyt tuoneet markkinoille uusia mallistoja, jotka mainostavat avoimesti CRA-yhteensopivuutta myyntiargumenttina. Kuluttajan kannalta tämä on positiivinen kehitys, sillä laatu nousee markkinan painopisteeksi.
Käytetyn älylaitemarkkinan rooli muuttuu myös. CRA:n vaatimus tukikauden minimipituudesta tarkoittaa, että käytettyjen laitteiden arvo riippuu jäljellä olevasta tukikaudesta. Tämä saattaa luoda uusia liiketoimintamahdollisuuksia tukikauden seurantaan erikoistuneille palveluille, mutta toisaalta se vähentää ostohaluja vanhoihin laitteisiin. Vuoden 2026 lopussa älylaitteen myyntipakkaukseen pitäisi olla pakollisesti merkitty tukikauden päättymispäivä, samaan tapaan kuin elintarvikkeissa parasta ennen -merkintä.
NIS2-direktiivi ja CRA: kaksi pilaria suomalaiselle kyberturvallisuudelle
CRA ei ole ainoa EU-tason kyberturvasäätely, joka koskee suomalaisia kotitalouksia välillisesti. NIS2-direktiivi astui Suomessa voimaan kyberturvallisuuslakina (124/2025) jo 8. huhtikuuta 2025, ja se vaikuttaa älykodin ekosysteemiin tytäryhtiön kautta: kotitalouden internet-yhteyttä tarjoavien Telian, DNA:n ja Elisan on noudatettava NIS2-vaatimuksia, samoin merkittävien pilvipalveluiden kuten Amazon AWS, Microsoft Azure ja Google Cloud, joilla älykodin pilvialustat pyörivät.
Käytännön esimerkki: kun Aqara M3 -älykodin keskus välittää tietoja AWS-palvelimelle, koko ketju on nyt NIS2:n alainen. Jos pilvipalvelussa tapahtuu merkittävä häiriö, AWS:n on ilmoitettava siitä viranomaisille, ja Aqaran on tiedotettava asiakkaitaan. Yhdessä CRA:n kanssa NIS2 luo kattavan turvaverkon: laitteet (CRA), verkkopalvelut (NIS2) ja pilvitalous (NIS2) ovat kaikki saman valvonnan alla. Tämä on Euroopan suuri rakenteellinen muutos verrattuna esimerkiksi Yhdysvaltoihin tai Kiinaan, joissa vastaavaa kokonaisvaltaista sääntelyä ei ole.
Komission tammikuun 2026 paketissa CRA:han ehdotetaan jo täsmennyksiä, jotka selkeyttävät rajauksia esimerkiksi pien-mid-cap-yritysten määrittelyssä. Suomi on saanut huomautuksen Brysseliltä toukokuussa 2025 NIS2:n epätäydellisestä siirtämisestä – yhdessä 22 muun jäsenmaan kanssa – mutta jalkauttaminen on tämän jälkeen edennyt suhteellisen sujuvasti.
Asiantuntijoiden näkemyksiä CRA:n vaikutuksista
Suomalaiset kyberturva-asiantuntijat suhtautuvat CRA:han pääosin myönteisesti, joskin haasteita tunnustetaan avoimesti. WithSecuren tutkimuspäällikkö Mikko Hyppönen totesi yhtiön blogissa maaliskuussa 2026, että ”CRA on tarpeellisin yksittäinen sääntelymuutos kuluttaja-IoT:n historiassa. Se nostaa rimaa kaikille toimijoille, ja jos joku ei pysy mukana, se on hyvä asia kuluttajalle”. Samalla hän varoitti, että pienten valmistajien kustannukset voivat nousta kohtuuttomasti, jos täytäntöönpano on liian byrokraattista.
Liikenne- ja viestintävirasto Traficomin kyberturvajohtaja muistutti maaliskuun 2026 tiedotustilaisuudessa, että viranomainen aikoo julkaista vuoden 2026 aikana kuluttajille suunnatun turvalogon, joka helpottaa CRA-yhteensopivien laitteiden tunnistamista. Tämä logo täydentäisi CE-merkintää ja toimisi visuaalisena pikatestinä myymäläympäristössä. Mallia haetaan Singaporen Cybersecurity Labelling Schemestä, jossa laitteet luokitellaan tähtien määrällä.
Aalto-yliopiston tietoturvatutkija Tuomas Aura puolestaan korostaa, että CRA muuttaa myös yliopistojen tutkimustyötä: avoimet haavoittuvuusraportit ja Coordinated Vulnerability Disclosure -prosessit standardisoituvat, mikä helpottaa akateemista tutkimusta merkittävästi. Toisaalta hän ennakoi, että haavoittuvuuksien raportointi-paljouden seurauksena CSIRT-yksikköjen kuormitus tulee kasvamaan jyrkästi loppuvuodesta 2026 alkaen.
Suomalaisten älykodin valmistajien CRA-valmius 2026
Suomesta löytyy yllättävän monta älykodin segmentissä toimivaa yritystä, jotka ovat kukin omalla tavallaan valmistautumassa CRA:han. Suunto julkaisi maaliskuussa 2026 päivitetyn tietoturvaohjelmansa, jossa luvataan kuusi vuotta tietoturvapäivityksiä kaikille uusille älykelloille ja sykemittareille. Polar Electro on viestinyt vastaavasti, ja yhtiön toimitusjohtaja korosti vuosikatsauksessaan, että ”kyberturva on yhtä lailla tuotelaadun mittari kuin akun kesto tai mittausarkuus”. Genelec, joka tunnetaan studiomonitoreistaan, on laajentanut kotihifin älyaktiivikaiuttimiin, jotka tukevat sekä Roon-protokollaa että AirPlay 2:ta – molemmat vaativat CRA-yhteensopivuutta.
Pienempien suomalaisten toimijoiden joukossa on huolenaihe. Tampereen teknillisen yliopiston ympärille kasvanut älykodin start-up-ekosysteemi, johon kuuluvat muun muassa älyilmastoinnin ja LTO-ratkaisujen valmistajat, on huolissaan sertifiointikustannuksista. EU on luvannut pien-mid-cap-yrityksille kevennetyn polun, ja Business Finland on käynnistänyt tukiohjelman, joka kattaa kuluja CRA-valmistautumiseen. Helmikuussa 2026 ohjelmaan oli hakenut jo 87 suomalaista IoT-yritystä, mikä antaa kuvan asian merkityksestä.
Suuret kansainväliset toimijat – Apple, Google, Amazon, Samsung – ovat jo pitkälti CRA-valmiita. Apple on tunnetusti soveltanut tiukkoja tietoturvavaatimuksia HomeKit-ekosysteemissään, ja yhtiön HomePod-laitteet ovat saaneet keväällä 2026 kasvojentunnistuksen Matter 1.4 -laajennoksen kautta. Google Nest -tuotteet siirtyvät yhä enemmän Matter-pohjaisiksi, mikä helpottaa yhdenmukaista turvallisuusmallia. Samsung on integroinut SmartThingsiin Knox-kerroksen, joka toteuttaa CRA:n keskeiset vaatimukset. Kilpailu kuluttajista käydäänkin jatkossa yhä enemmän tietoturvavetureilla.
Esimerkkitapaukset 2025–2026: mitä voimme oppia
Konkreettiset tapaukset paljastavat, miksi CRA on niin tärkeä. Lokakuussa 2025 paljastui kansainvälinen Mirai-tyyppinen botnet, joka kompromisoi yli 250 000 valvontakameraa ympäri maailman. Suomesta laitteita oli noin 8 500, ja niiden välityksellä toteutettiin DDoS-hyökkäyksiä eurooppalaisia pankkeja ja terveydenhuoltoyksiköitä vastaan. Botnet hyödynsi vuonna 2022 löydetyn haavoittuvuuden, johon valmistaja ei ollut koskaan julkaissut korjausta. CRA:n alaisuudessa tämä olisi ollut mahdotonta: valmistaja olisi joutunut joko julkaisemaan korjauksen tai vetämään tuotteet markkinoilta.
Toinen merkittävä tapaus oli joulukuun 2025 älypeili-haavoittuvuus, jossa pohjoismaisesta älypeilimallista löytyi takaportti, joka mahdollisti laitteen kameran salakatselun. Valmistaja korjasi haavoittuvuuden 11 päivää havaitsemisen jälkeen, mutta uusi CRA-aikataulu olisi vaatinut ennakkoilmoituksen 24 tunnin sisällä ja täydellisen raportin 72 tunnin sisällä. Samaan tapaan tammikuussa 2026 paljastui älyovikellomalli, joka tallensi liikkeen tunnistuksen yhteydessä havaittuja kasvoja ulkoiselle palvelimelle ilman selkeää käyttäjän suostumusta – tilanne, joka on samanaikaisesti CRA:n ja GDPR:n näkökulmasta ongelmallinen.
Positiivisena esimerkkinä kannattaa nostaa esiin Aqara, jonka edustaja vastasi marraskuussa 2025 huomattuun suojausvirheeseen mallikkaasti: ennakkoilmoitus 18 tunnissa, korjaus 48 tunnissa ja yksityiskohtainen blogi-postaus 5 päivässä. Tämä on juuri se toimintamalli, jota CRA pyrkii standardoimaan jokaisen valmistajan kohdalle. Kuluttajan kannalta tämä luo turvallisuuden tunteen ja luottamusta brändiin – mikä on lopulta valmistajalle myös taloudellinen etu.
Älykodin tietoturva 2026: tulevaisuusnäkymät
Vaikka CRA on suuri uudistus, se ei ole päätepiste. Euroopan komissio esitteli jo 20. tammikuuta 2026 uuden kyberturvapaketin, joka sisältää kyberturva-asetuksen (Cybersecurity Act) uudistamisen ja CRA:n täydennyksiä. Tärkeimpänä uudistuksena on ehdotus eurooppalaisesta IoT-sertifiointijärjestelmästä, joka mahdollistaisi laitteiden vapaaehtoisen tähtiluokituksen. Korkeimman tähtiluokan saavuttavat laitteet osoittaisivat erityisen korkeaa tietoturvatasoa.
Pidemmällä aikavälillä CRA tulee todennäköisesti vaikuttamaan myös muiden mantereiden sääntelyyn. Yhdysvalloissa on käynnistetty Cyber Trust Mark -ohjelma vuoden 2025 aikana, ja Iso-Britannia, Australia ja Singapore seuraavat tarkasti EU:n kokemuksia. Kuluttajan kannalta tämä tarkoittaa, että älykodin tietoturva 2026 on ensimmäinen luku globaalissa muutoksessa, jossa IoT-laitteita koskevat samat odotukset kuin elintarvikkeita tai kosmetiikkaa.
Älykodin laitevalikoiman näkökulmasta odotettavissa on, että vuoden 2027 loppuun mennessä lähes kaikki uudet laitteet ovat CRA-yhteensopivia, ja lyhyemmän tukikauden tarjoavat tuotteet katoavat erikoisliikkeistä. Tämä on positiivinen kehitys, mutta se voi tarkoittaa pieniä hintapaineita erityisesti budjettiluokassa. Kuluttajalle suosittelemme ostotilanteessa kysymään selkeästi: ”Kuinka pitkään laite saa tietoturvapäivityksiä?” Hyvä myyjä osaa vastata.
Usein kysytyt kysymykset älykodin tietoturvasta 2026
Olemme keränneet alle kysymyksiä, joita lukijamme ovat lähettäneet alkuvuoden 2026 aikana. Vastaukset perustuvat virallisiin lähteisiin ja parhaisiin saatavilla oleviin tietoihin huhtikuussa 2026.
Pitääkö minun heittää pois nykyiset älylaitteeni syyskuussa 2026?
Et tarvitse. CRA-asetus koskee uusia, markkinoille saatettavia laitteita, ei jo käytössä olevia. Vanhat laitteet jäävät käyttöön niin kauan kuin valmistaja tukee niitä. Sen sijaan on järkevää arvioida nykyisiä laitteitasi: onko valmistaja yhä olemassa, saatko päivityksiä ja onko laite yhä ylläpidetty? Jos vastaus on ”ei” yhteenkin näistä, harkitse vaihtoa.
Pitääkö minun maksaa enemmän älykodin laitteista CRA:n vuoksi?
Kyllä, jonkin verran. GfK:n analyysin mukaan keskihinta nousee 8–14 prosenttia. Toisaalta laatu paranee samalla, joten kyse on rahasta jota saat takaisin pidempänä tukikautena ja luotettavampana toimintana. Halvimmat tuntemattomat tuotemerkit voivat joko nostaa hintojaan merkittävästi tai poistua markkinoilta kokonaan – ja se ei ole välttämättä huono asia kuluttajalle.
Mistä tunnistan CRA-yhteensopivan laitteen?
Vuoden 2027 lopusta lähtien CE-merkki kattaa myös CRA-vaatimukset, mutta sitä ennen kannattaa tarkistaa kolme asiaa: 1) valmistaja ilmoittaa selvästi tukikauden pituuden, 2) valmistajalla on julkinen Coordinated Vulnerability Disclosure -käytäntö ja 3) Software Bill of Materials on saatavilla pyynnöstä. Traficomin suunnittelema turvalogo helpottaa tunnistusta loppuvuoden 2026 aikana.
Kotivakuutus ja CRA: vaikutukset korvauksiin
Yllättävä CRA-asetuksen sivuvaikutus liittyy kotivakuutuksiin. LähiTapiolan ja OP:n alkuvuoden 2026 ehtopäivitykset sisältävät uusia lausekkeita, jotka liittyvät kyberturvallisuuteen. Jos asunnossa tapahtuu varkaus tai tulipalo ja syy todennäköisesti liittyy haavoittuvaan älylaitteeseen, vakuutusyhtiöt voivat tulevaisuudessa edellyttää laitteen olleen valmistajan tukikauden sisällä ja vakavasti otettujen päivityskäytäntöjen piirissä. Tämä on ennakoiva muutos, joka ei vielä huhtikuussa 2026 johda korvaushylkäyksiin, mutta vuonna 2028 tilanne voi olla toinen.
Vakuutusyhtiöt tarjoavat samanaikaisesti uusia älykotivakuutusliitteitä, jotka korvaavat esimerkiksi kyberhyökkäyksen aiheuttamia laitevaurioita tai dataa. Esimerkiksi Pohjola Vakuutuksen ”Älykoti Premium” -liite, hinnaltaan noin 7 €/kk, kattaa älylaitteiden firmware-palautukset, dataloggien analyysin ja jopa kyberasiantuntijan kotikäynnin tarvittaessa. Tämän tyyppiset palvelut yleistyvät nopeasti, ja kuluttajan kannattaa vertailla vaihtoehtoja kotivakuutuksen uusimisen yhteydessä.
Käytännön muistilista huhtikuusta syyskuuhun 2026
Lopuksi olemme koonneet konkreettisen muistilistan, jota kannattaa noudattaa seuraavien viiden kuukauden aikana valmistautuessasi CRA:n täysimääräiseen sovellutukseen. Lista perustuu Kyberturvallisuuskeskuksen, Traficomin ja eurooppalaisten tutkimuslaitosten suosituksiin.
- Inventoi laitteet: Laadi lista kaikista verkkoon kytketyistä älylaitteista huoneittain.
- Tarkista tukikaudet: Etsi valmistajan tuki- ja päivityssitoumukset jokaiselle laitteelle.
- Päivitä firmware: Aja kaikki laitteet uusimpaan versioonsa kerralla viikonlopun aikana.
- Vaihda oletussalasanat: Jokaiseen laitteeseen uniikki, vähintään 14-merkkinen salasana.
- Aktivoi 2FA: Älykodin sovelluksiin kaksivaiheinen tunnistus, mielellään autentikaattorisovelluksen kautta.
- Eriytä verkot: Luo kotireitittimeen erillinen IoT-VLAN tai vieras-WiFi älylaitteille.
- Seuraa uutisointia: Tilaa Kyberturvallisuuskeskuksen uutiskirje ja seuraa ostamasi merkin tietoturvasivuja.
- Ostohetki: Suosi merkkejä, jotka kommunikoivat avoimesti tukikausistaan ja CRA-yhteensopivuudesta.
- Kysy myyjältä: Älä epäröi kysyä tietoturvapäivityksistä – ammattitaitoinen myyjä osaa vastata.
- Eliminoi kuolleet laitteet: Päivittämättömät, käytöstä poistetut laitteet pois verkosta heti.
Erityisesti syksyä 2026 lähestyttäessä kannattaa olla valpas. Kun valmistajat alkavat 11. syyskuuta tehdä haavoittuvuusilmoituksia, julkisuuteen tulee joukko aiemmin piilossa olleita haavoittuvuuksia. Tämä voi näyttää lyhyellä aikavälillä huolestuttavalta, mutta on tosiasiassa positiivinen kehitys: tieto auttaa korjaamaan ongelmia. Käytännössä ensimmäisten kuuden kuukauden aikana voidaan odottaa kymmeniä julkisia ilmoituksia.
Vertailu: CRA ja muiden maiden lähestymistavat
EU:n CRA on ensimmäinen laatuaan, mutta ei ainoa kansainvälinen IoT-tietoturva-aloite. Yhdysvalloissa Federal Communications Commission lanseerasi heinäkuussa 2025 vapaaehtoisen Cyber Trust Mark -ohjelman, joka tarjoaa logon laitteille jotka täyttävät NIST IR 8425 -vaatimukset. Iso-Britannia on toteuttanut PSTI-lakia (Product Security and Telecommunications Infrastructure Act), joka tuli voimaan huhtikuussa 2024 ja sisältää muutamia perusvaatimuksia kuten oletussalasanojen kiellon. Singaporen Cybersecurity Labelling Scheme (CLS) on tähtipohjainen luokitus, jossa korkein neljä tähteä edellyttää muodollista penetraatiotestausta.
EU:n CRA erottuu joukosta laajuudeltaan ja seuraamustensa ankaruudeltaan. Se kattaa kaikki digitaalisia elementtejä sisältävät tuotteet ja kohdistuu suoraan valmistajaan – ei vain importteriin tai jälleenmyyjään. Tämä on aiheuttanut keskustelua erityisesti yhdysvaltalaisissa teknologiayhtiöissä, jotka näkevät CRA:n eräänlaisena de facto -globaaliksi standardiksi: koska EU on niin merkittävä markkina, tuotteita harvoin valmistetaan erikseen EU:lle ja muulle maailmalle. Lopputuloksena CRA:n vaikutukset ulottuvat globaalisti.
Pohjoismaiden välillä on yhteistyötä, mutta käytännön toteutus eroaa hieman. Ruotsi ja Tanska ovat valinneet rakentaa erilliset kyberturvasivustot kuluttajille, kun taas Suomessa Kyberturvallisuuskeskus toimii keskeisenä porttina. Norja, joka EU:n ulkopuolisena maana ei ole CRA:n alainen, on kuitenkin sitoutunut harmonisointiin osana ETA-sopimusta. Käytännössä norjalaisetkin saavat CRA-yhteensopivat laitteet, vaikka virallinen valvontamekanismi on hieman erilainen.
Yhteenveto: älykodin tietoturva 2026 on käännekohta
EU:n kyberresilienssiasetus muuttaa älykodin tietoturva 2026 -maisemaa pysyvästi. Syyskuun 11. päivän haavoittuvuusilmoitusvaatimus on välitön käännekohta, ja joulukuun 2027 täysi sovellutus saa aikaan rakenteellisen muutoksen koko Euroopan älykodin markkinassa. Suomalaisen kuluttajan kannalta uudistus on ennen kaikkea positiivinen: laitteiden laatu paranee, tukikaudet pitenevät, läpinäkyvyys lisääntyy. Hintapaineet ovat odotettavissa, mutta kohtuullisia.
Kotitalouden ei tarvitse olla teknisesti suuntautunut hyödyntääkseen uudistusta. Riittää, että ostohetkellä kiinnittää huomiota CE-merkintään, valmistajan tukikausi-ilmoitukseen ja päivityskäytäntöihin. Olemassa olevien laitteiden osalta pätevät vanhat hyvät käytännöt: säännölliset päivitykset, vahvat salasanat, verkkojen segmentointi ja vanhentuneiden laitteiden poistaminen verkosta. Yhdessä CRA:n kanssa nämä luovat kotitalouden tietoturvan, joka kestää 2020-luvun lopun uhkia.
Älykodin tietoturva 2026 ei ole pelkkä juridinen tekninen kysymys, vaan kysymys siitä, kenen ehdoilla kotimme älykäs kerros toimii. Vahvistuva sääntely siirtää valtaa valmistajilta kuluttajille ja yhteiskunnalle. Se on hyvä uutinen, ja vuoden 2026 jälkimmäinen puoli on ratkaisevaa aikaa nähdä, miten muutos toteutuu käytännössä. Suosittelemme palaamaan aiheeseen säännöllisesti – tilanne kehittyy nopeasti.
Lisätietoa ja viranomaislähteet
Lisätietoja CRA-asetuksesta ja sen soveltamisesta saa seuraavista lähteistä: Euroopan komission Cyber Resilience Act -sivu tarjoaa virallisen säädöstekstin ja täytäntöönpano-ohjeet. Kyberturvallisuuskeskus NCSC-FI julkaisee Suomessa ajankohtaisia tietoturvavaroituksia ja CRA-ohjeita. Liikenne- ja viestintävirasto Traficom vastaa markkinavalvonnasta Suomessa. ENISA, EU:n kyberturvavirasto tarjoaa eurooppalaisia ohjeita ja parhaita käytäntöjä. Turvallisuus- ja kemikaalivirasto Tukes osallistuu valvontaan tuoteturvallisuusnäkökulmasta.
Lue myös – aiheeseen liittyvät artikkelit
- Kuinka suojautua uuden ajan kyberuhkilta – kattava opas vahvasta tunnistautumisesta ja salasanahallinnasta.
- Palvelunestohyökkäykset uhkaavat suomalaisten digitaalista turvallisuutta – miksi DDoS-hyökkäykset koskevat myös älykodin laitteita.
- Nordean varoitus: Näin suojaudut huijauksilta nettikirppiksillä – käytännön ohjeet verkkohuijausten välttämiseen.
- USB-portit: Avain tehokkaaseen ja nopeaan tiedonsiirtoon – fyysiset portit ja niiden tietoturvariskit kotona.
- USB-nimet: Opas digitaalisen sekamelskan selättämiseen – tunnista oikeat liitännät ja suojaa tiedonsiirtoa.
- Luo kodistasi onnellisempi paikka – valitse oikea huonekasvi – tasapainota teknologiaa luonnollisilla elementeillä.
Artikkeli on päivitetty 27. huhtikuuta 2026. Seuraavat suuret päivitykset CRA-asetuksen jalkauttamiseen tehdään odotettavasti kesä- ja syyskuussa 2026, jolloin palaamme aiheeseen tuoreilla tiedoilla.
