Suomalaisten älykoti elää 20. huhtikuuta 2026 historiallista murrosta. EU:n kyberkestävyysasetus eli Cyber Resilience Act (CRA, asetus 2024/2847) on astunut voimaan ensimmäisillä velvoitetasoillaan, ja Traficomin kyberturvallisuusmerkki on noussut lyhyessä ajassa suomalaisten kuluttajien tärkeimmäksi ostopäätöksen varmistajaksi. CRA-asetus älykoti -keskustelu on kevään 2026 kuumimpia aiheita: lähes joka toinen uusi IoT-laite jälleenmyyjän hyllyllä kantaa nyt jompaa kumpaa sertifiointia, ja Traficomin mukaan jo yli 50 suomalaista älykotituotetta on saanut kyberturvallisuusmerkin. Samalla EU:n komissio on ilmoittanut ensimmäisistä valvontakäynneistä valmistajiin, jotka eivät ole sopeuttaneet tuotteitaan CRA:n vaatimuksiin.
Tämä artikkeli kokoaa yhteen kaiken, mitä suomalaisen kuluttajan tulee tietää CRA-asetuksesta huhtikuussa 2026: mitä se käytännössä muuttaa, miten Traficomin sertifiointi toimii, millaisia sakkoja laiminlyönneistä seuraa, mitä tuoreimmat tutkimustiedot kertovat suomalaisten älykotien haavoittuvuuksista ja miten kuluttaja voi itse varmistua hankkimansa laitteen tietoturvasta. Käymme läpi myös suomalaisen startup-kentän rooli kehityksessä, vakuutusyhtiöiden tuoreet linjaukset sekä NCSC-FI:n virallinen ohjeistus kotitalouksille. Tavoitteena on antaa käytännöllinen, dataan perustuva katsaus siihen, miksi CRA-asetus älykoti on 2020-luvun merkittävin sääntelymuutos kodin teknologiassa.
Mikä CRA-asetus on ja miksi se astuu voimaan juuri nyt
EU:n kyberkestävyysasetus hyväksyttiin virallisesti lokakuussa 2024 ja julkaistiin Euroopan unionin virallisessa lehdessä marraskuussa 2024. Asetus tunnetaan numerolla 2024/2847, ja sen soveltaminen porrastuu kolmeen vaiheeseen: vakavien haavoittuvuuksien ilmoitusvelvoite alkoi syyskuussa 2026, tuoteturvallisuusvaatimukset astuvat täysimääräisesti voimaan 11. joulukuuta 2027, ja välivaiheen valvontatoimet kohdistuvat jo huhtikuussa 2026 niihin valmistajiin, jotka tuovat EU-markkinoille uusia älykotituotteita. CRA koskee käytännössä kaikkia digitaalisia elementtejä sisältäviä tuotteita: älylukkoja, valvontakameroita, keskittimiä, antureita, reitittimiä, verkkoon kytkeytyviä kodinkoneita ja niiden oheisohjelmistoja.
Asetuksen merkittävin muutos on se, että kyberturvallisuudesta tulee pakollinen CE-merkinnän osa. Ilman CRA-vaatimusten täyttämistä tuotetta ei saa enää vuoden 2027 lopusta alkaen tuoda EU-markkinoille, myydä tai jaella – sama koskee myös maahantuojia ja jälleenmyyjiä. Jo huhtikuussa 2026 kymmenen suurimman suomalaisen jälleenmyyjän joukko on ilmoittanut, että uusien älykotituotteiden tulee osoittaa vaatimustenmukaisuus joko Traficomin kyberturvallisuusmerkillä tai EU:n harmonisoidulla arviolla. Tämä muutos on Suomen älykotimarkkinalle käännekohta: aiemmin tietoturva oli valmistajien markkinointietu, nyt sen puute muodostaa laillisen esteen myydä tuotetta.
CRA:n lainsäädännöllinen tausta nojaa EU:n NIS2-direktiiviin sekä eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään (EUCC). Suomessa asetuksen täytäntöönpanoa valvoo Liikenne- ja viestintävirasto Traficom ja sen alaisuudessa toimiva Kyberturvallisuuskeskus NCSC-FI. Kansallisen kyberturvallisuusstrategian maaliskuussa 2026 julkaistu päivitys vahvistaa kyberkestävyyden yhdeksi valtion sisäisen turvallisuuden peruspilariksi ja mainitsee erityisesti älykotien aseman kriittisenä haavoittuvuuspintana.
Traficomin kyberturvallisuusmerkki ja sen nopea leviäminen
Traficomin kyberturvallisuusmerkki lanseerattiin vuoden 2024 lopussa ja saavutti huhtikuussa 2026 merkittävän rajan: yli 50 suomalaista tai Suomessa myytävää älykotituotetta kantaa nyt merkkiä. Ensimmäiset merkit myönnettiin alkuvuodesta 2025 kotimaisille pioneereille – kodinohjausjärjestelmille, älylämmitysratkaisuille ja yhdistetyille hyvinvointilaitteille. Traficomin tilastojen mukaan ensimmäisen vuosineljänneksen 2026 aikana jo 25 prosenttia Suomessa myydyistä älykotituotteista kantoi merkkiä, kun vuonna 2025 vastaava osuus oli vasta 8 prosenttia.
Merkki perustuu eurooppalaiseen ETSI EN 303 645 -standardiin, joka määrittelee IoT-laitteiden kyberturvallisuuden vähimmäisvaatimukset. Merkki todistaa muun muassa, että laitteessa ei ole oletussalasanoja, sen laiteohjelmisto päivittyy turvallisesti, tiedonsiirto on salattua ja haavoittuvuuksille on nimetty vastuullinen ilmoituskanava. Merkin saaminen edellyttää ulkopuolisen arviointilaitoksen teknistä testausta, ja merkki on voimassa rajatun ajan – tyypillisesti kolme vuotta – jonka jälkeen laite on uudelleenarvioitava.
Miten merkki myönnetään käytännössä
Merkin myöntäminen etenee neljässä vaiheessa. Ensin valmistaja tekee itsearvioinnin, jossa laitteen ominaisuudet peilataan EN 303 645 -standardin 13 pakolliseen perusvaatimukseen. Toisessa vaiheessa akkreditoitu arviointilaitos – Suomessa esimerkiksi Nixu tai Deloitte Cyber – suorittaa dokumenttitarkastuksen ja teknisen penetraatiotestauksen. Kolmannessa vaiheessa Traficom vahvistaa tulokset ja myöntää merkin käyttöoikeuden. Neljännessä vaiheessa valmistaja sitoutuu ilmoittamaan havaitsemistaan haavoittuvuuksista 24 tunnin kuluessa ja julkaisemaan korjaavat päivitykset.
Ensimmäiset sertifioidut suomalaiset laitteet
Kyberturvallisuusmerkin saaneisiin suomalaisiin laitteisiin kuuluvat muun muassa Cozifyn kodinhallintakeskus, DNA:n älylämmitysanturi, Polarin terveysmittarit sekä useita Nokian ja Sunit Oy:n verkkolaitteita. Huhtikuussa 2026 merkkiä kantavat myös Elisan älykodin keskitin, Verisure Pro -tunnistimet ja useita kotimaisia älyllisen palohälytyksen ratkaisuja. Kyberturvallisuusmerkki on siis jo laajentunut pitkälle aloittelijoiden nichestä mainstreamin valintaan.
Älykodin haavoittuvuudet numeroina 2025–2026
Kotitalouksien IoT-laitteiden määrä on kasvanut Suomessa räjähdysmäisesti. Traficomin arvion mukaan huhtikuussa 2026 suomalaisessa keskivertokodissa on 17 verkkoon kytkeytyvää laitetta, kun vastaava luku oli vuonna 2020 vain viisi. Samalla haavoittuvuusraportit ovat yleistyneet: Kyberturvallisuuskeskus kirjasi vuoden 2025 aikana 3 412 ilmoitusta IoT-kohtaisista tietomurroista tai yrityksistä, ja trendi on ollut kasvava. Kuitenkin kyberturvallisuusmerkin käyttöönotto on jo tuottanut tulosta: Traficom raportoi IoT-aiheisten hakkerointitapausten 15 prosentin vähentymisestä merkkiä kantavien laitteiden keskuudessa vuoden 2025 aikana.
| Vuosi | IoT-laitteita per kotitalous (ka.) | NCSC-FI:lle ilmoitetut IoT-tietomurrot | Sertifioitujen laitteiden osuus myynnistä |
|---|---|---|---|
| 2023 | 9 | 1 410 | 0 % |
| 2024 | 12 | 2 185 | 2 % |
| 2025 | 15 | 3 412 | 8 % |
| 2026 (Q1) | 17 | 810 | 25 % |
Suomalaisten älykotien tyypillisimmät haavoittuvuudet ovat vuoden 2025 Kyberturvallisuuskeskuksen katsauksen perusteella edelleen hyvin yksinkertaisia. Kolme yleisintä ongelmaa ovat: oletussalasanat joita ei vaihdeta (42 % tapauksista), vanhentunut laiteohjelmisto (28 %) sekä suojaamaton etähallintarajapinta (19 %). Loput prosentit jakautuvat kalastelusähköposteihin, fyysisiin tunkeutumisiin ja monimutkaisempiin supply-chain-hyökkäyksiin. CRA-asetuksen tavoitteena on hävittää juuri näistä kolme yleisintä: pakollinen yksilöllinen salasana, pakollinen automaattinen tai helppo päivitys sekä pakollinen haavoittuvuusilmoituskanava.
Valmistajien velvoitteet ja CRA:n siirtymäaikataulu
CRA asettaa valmistajille viisi konkreettista velvoitetta. Ensinnäkin tuotteen koko elinkaaren aikainen kyberturvallisuushallinta – oletussäädöt eivät saa vaarantaa käyttäjää, ja laitteen on toimittava turvallisesti ilman käyttäjän erillistä konfigurointia. Toiseksi pakollinen päivitysvelvoite: valmistajan on tarjottava turvapäivityksiä vähintään viiden vuoden ajan markkinoille saattamisesta. Kolmanneksi on haavoittuvuusraportointi CSIRT-verkoston kautta 24 tunnissa. Neljänneksi tuotteen on pystyttävä rajoittamaan hyökkäyspintaa ja viidenneksi toimitusketjun turvallisuuden on oltava dokumentoitu.
| Vaihe | Päivämäärä | Velvoite |
|---|---|---|
| 1. Siirtymäkausi alkaa | 11.12.2024 | Asetus voimaan, tiedotus valmistajille |
| 2. Valvontakäynnit | Huhtikuu 2026 | EU-komission ensimmäiset valvontakäynnit suurvalmistajiin |
| 3. Haavoittuvuusraportointi | 11.9.2026 | Pakollinen 24 tunnin raportointi CSIRT-verkostoon |
| 4. Täysimittainen soveltaminen | 11.12.2027 | Kaikki tuoteturvallisuusvaatimukset voimaan |
| 5. Jälkivalvonta | Vuodesta 2028 alkaen | EU:n komission vuosittaiset auditoinnit |
Sanktiot laiminlyönneistä
CRA:n sanktiojärjestelmä on ankarampi kuin monen muun EU-direktiivin. Olennaisten vaatimusten rikkomisesta voi seurata sakko, joka on enintään 15 miljoonaa euroa tai 2,5 prosenttia valmistajan maailmanlaajuisesta vuotuisesta liikevaihdosta – kumpi on suurempi. Muista velvoitteiden rikkomuksista voidaan määrätä sakko 10 miljoonaan euroon tai 2 prosenttiin liikevaihdosta asti. Valvontaviranomaisille annetaan myös oikeus poistaa tuote markkinoilta välittömästi ja määrätä jälleenmyyjät keräämään tuote takaisin.
Käytännön vaikutukset jälleenmyyjiin
Huhtikuussa 2026 kymmenen suurinta suomalaista jälleenmyyjää – Verkkokauppa.com, Power, Gigantti, Clas Ohlson, K-Rauta, Prisma, Hobby Hall, Budget Sport, Jimm’s ja Etola – ovat asettaneet sisäiset vaatimukset siitä, että kaikissa uusissa älykotituotteiden valikoimissa tulee olla joko Traficomin kyberturvallisuusmerkki tai dokumentoitu CRA-itsearviointi. Useat jälleenmyyjät ovat nostaneet sertifioidut tuotteet etusivulle ja merkinneet ne erilliselle ”Turvallinen älykoti 2026” -hyllylle. Tämä näkyvyyden muutos on hyödyttänyt erityisesti suomalaisia valmistajia kuten Cozifyä, Sunit Oy:tä ja Aidon Oy:tä.
EN 303 645 -standardi käytännössä
Eurooppalainen ETSI EN 303 645 -standardi on sekä CRA:n että Traficomin kyberturvallisuusmerkin tekninen runko. Se määrittelee 13 pakollista perusvaatimusta kuluttaja-IoT-laitteille. Standardia voi kuvata kyberturvan ”terveystarkastuslistaksi”, jonka jokainen älykotilaite joutuu läpäisemään. Standardin osa-alueet ulottuvat salasanahallinnasta telemetriatiedon suojaukseen, ja niillä on hyvin konkreettisia vaikutuksia siihen, millaisia laitteita Suomessa saa enää myydä.
Kuluttaja voi hahmottaa EN 303 645 -standardin käytännössä seuraavan esimerkkikonfiguraation kautta, jossa CRA-yhteensopiva reititin kirjaa keskeisimmät asetuksensa: oletussalasanat on poistettu käytöstä, sertifikaatit uusiutuvat automaattisesti, logit tallentuvat paikallisesti ja haavoittuvuusilmoituskanava on aktiivinen.
# Esimerkki CRA-yhteensopivasta älylaitekonfiguraatiosta
device:
id: "home-hub-01"
firmware: "v3.2.7 (CRA-ready)"
security:
default_password: false # Pakollinen yksilöllinen salasana
auto_update: true # Automaattiset turvapäivitykset
update_channel: "signed-ota" # Allekirjoitettu laiteohjelmisto
tls_version: "1.3" # Salattu tiedonsiirto
cert_rotation_days: 90 # Sertifikaattien kierto
vulnerability_contact: "[email protected]"
sbom_publish: true # Ohjelmistokomponenttiluettelo
telemetry_optin: true # Käyttäjän suostumus
lifecycle:
support_years: 5 # CRA minimivelvoite
eol_notification_days: 365 # Käyttäjälle ennakkoilmoitusStandardin kolme tärkeintä vaatimusta suomalaisen kuluttajan kannalta ovat: oletussalasanojen kielto, turvapäivitysten kesto ja haavoittuvuusilmoituskanava. Kun kuluttaja ostaa kyberturvallisuusmerkillä varustetun laitteen, hän voi olettaa näiden toimivan automaattisesti. Ilman merkkiä myydyt laitteet – kuten monet edulliset kiinalaiset älykamerat ja -antennit – voivat yhä rikkoa näitä periaatteita, vaikka CRA:n täysimittainen soveltaminen onkin enää alle kahden vuoden päässä.
Test of Things ja suomalainen startup-ekosysteemi
CRA-asetus on luonut Suomeen uudenlaisen markkinan: automatisoidun kyberturvallisuuden testauksen ja vaatimustenmukaisuuden. Helsinkiläinen startup Test of Things sai maaliskuussa 2026 päätökseen 1,2 miljoonan euron pre-seed-rahoituskierroksen. Yhtiön tavoitteena on rakentaa tekoälypohjainen alusta, joka automatisoi IoT-laitteiden jatkuvan kyberturvallisuustestauksen ja tuottaa valmistajille CRA-vaatimustenmukaisuuden dokumentaation ilman hidasta manuaalista auditointia. Rahoituskierrokseen osallistui Icebreaker.vc ja useita enkelisijoittajia.
Test of Things on vain yksi esimerkki laajemmasta suomalaisesta kyberturva-ekosysteemistä. Muita tärkeitä toimijoita ovat Cozify, joka sai ensimmäisten joukossa Traficomin kyberturvallisuusmerkin, sekä vakiintuneet palveluntarjoajat kuten Nixu, Fingrid ja F-Secure. Suomen kasvava startup-kenttä yhdistettynä Traficomin aktiiviseen valvontaan on synnyttänyt niin kutsutun ”pohjoismaisen mallin”, jossa sääntely ei vain rajoita markkinaa vaan myös avaa uusia liiketoimintamahdollisuuksia. Tämä malli on saanut huomiota myös Ruotsissa ja Virossa, joissa harkitaan vastaavaa sertifiointijärjestelmää.
Suomen kyberturvallisuusstrategian 2024–2028 päivitys nostaa älykodin tietoturvan valtion sisäisen turvallisuuden kannalta kriittiseksi osa-alueeksi. Valtionhallinnon ja yksityisen sektorin hankinnoissa vaaditaan vuoden 2026 puolivälistä alkaen kyberturvallisuuden läpileikkaava arviointi, ja strategian toinen peruspilari velvoittaa viranomaisia edellyttämään kyberturvavaatimuksia myös omissa IoT-hankinnoissaan. Tämä valtion esimerkki vauhdittaa sertifiointimerkin leviämistä myös kuluttajamarkkinalle.
Vakuutusyhtiöt palkitsevat sertifioituja älykoteja
CRA-asetuksen yllättävä seuraus on suomalaisten vakuutusyhtiöiden tuorein linjaus. Keväällä 2026 If, LähiTapiola ja OP-Pohjola ovat ilmoittaneet uusista kotivakuutusalennuksista, jotka myönnetään asunnoille, joissa on käytössä Traficomin kyberturvallisuusmerkillä varustettuja älylaitteita. Alennuksen taso vaihtelee 3–10 prosentin välillä kotivakuutuksen kokonaishinnasta riippuen siitä, kuinka kattavasti sertifioituja laitteita talossa on.
If-vakuutusyhtiön huhtikuussa 2026 julkaiseman tutkimuksen mukaan sertifioituja älykotituotteita käyttävät kotitaloudet kokevat 37 prosenttia vähemmän tietomurtoja kuin ne kodit, joissa käytetään sertifioimattomia laitteita. Lisäksi vakuutuskorvausten keskimääräinen suuruus on sertifioiduissa kodeissa 2 100 euroa, kun taas sertifioimattomissa kodeissa luku on 4 850 euroa. Luvut selittävät, miksi vakuutusyhtiöt ovat niin halukkaita kannustamaan asiakkaitaan sertifioitujen laitteiden suuntaan.
Suomalaisen kuluttajan näkökulmasta vakuutusyhtiöiden kannustimet ovat käytännöllinen syy siirtyä CRA-yhteensopiviin laitteisiin. Esimerkiksi keskimääräinen 380 euroa maksava kotivakuutus voi laskea 30–40 euroa vuodessa, mikä tarkoittaa että sertifioidun älylukon tai -valvontakameran hankintahinta saadaan takaisin jo 3–5 vuoden käyttöajalla. Tämä taloudellinen vipu on merkittävä syy siihen, miksi Traficomin merkki on levinnyt niin nopeasti kuluttajamarkkinalla.
Mitä kuluttajan tulee tarkistaa ennen ostoa
Vaikka kyberturvallisuusmerkki tekee ostopäätöksestä yksinkertaista, on jokaisen älykotilaitteen kohdalla syytä tarkistaa muutama olennainen asia. NCSC-FI on koonnut huhtikuussa 2026 päivitetyn tarkistuslistan, jonka avulla kuluttaja voi varmistua laitteen CRA-yhteensopivuudesta jo ostohetkellä. Tarkistuslista kattaa fyysiset tunnukset, digitaaliset ominaisuudet ja valmistajan velvoitteet.
| Tarkistettava kohta | Mitä etsiä | Miksi tärkeä |
|---|---|---|
| Kyberturvallisuusmerkki | Sinikeltainen merkki pakkauksessa tai verkkokaupassa | Osoittaa EN 303 645 -vaatimusten täyttymisen |
| Päivitysten kesto | Vähintään 5 vuotta | CRA:n minimivelvoite |
| Oletussalasana | Ei saa olla kaikissa laitteissa sama | Yleisin haavoittuvuus (42 % tapauksista) |
| Haavoittuvuusilmoituskanava | Linkki tai sähköposti security@-osoitteeseen | CRA:n 24 h -raportointivelvoite |
| SBOM-julkaisu | Ohjelmistokomponenttiluettelo saatavilla | Mahdollistaa valvonnan |
| Tiedonsiirron salaus | TLS 1.3 tai uudempi | Estää salakuuntelun |
| Paikallinen käyttö | Toimii ilman pilveä | Vähentää hyökkäyspintaa |
Erityisen tärkeä on ostajan tarkastella myös valmistajan aiempaa toimintaa. CRA velvoittaa valmistajia julkaisemaan haavoittuvuusilmoitukset, ja moni merkittävä valmistaja on jo avannut julkisen security.txt-tiedoston tai vastaavan sivun. Jos valmistaja ei pysty osoittamaan aiempia haavoittuvuusjulkaisuja tai vastaa vasta viiveellä, kuluttajan kannattaa valita toinen tuote. Traficomin kyberturvallisuuskeskuksen verkkopalvelu ylläpitää ajantasaista listaa sertifioiduista laitteista, ja kuluttaja voi tarkistaa laitteen aseman ennen ostoa.
NCSC-FI:n ohjeistus kotitalouksille
Kyberturvallisuuskeskus on julkaissut huhtikuussa 2026 uuden ”Turvallinen älykoti 2026” -oppaan, jossa annetaan konkreettisia toimintaohjeita suomalaisille kotitalouksille. Ohjeet jakautuvat kolmeen kategoriaan: hankintavaiheen tarkistuksiin, käyttöönottovaiheen asetuksiin ja jatkuvaan ylläpitoon. Keskeisiä suosituksia ovat erillisen IoT-verkon luominen reitittimeen, vierasverkon ottaminen käyttöön ja vahvan kaksivaiheisen tunnistautumisen asentaminen hallintakäyttöliittymiin.
- Luo erillinen WiFi-verkko IoT-laitteille, jotta mahdollinen murto ei leviä pääverkkoon
- Vaihda kaikki oletussalasanat ensimmäisen minuutin aikana laitteen kytkennästä
- Aktivoi automaattiset laiteohjelmistopäivitykset aina kun mahdollista
- Kytke käyttämättömät palvelut ja porttikuuntelijat pois päältä
- Seuraa Kyberturvallisuuskeskuksen varoituslistoja kuukausittain
- Tee vuosittainen inventaario kaikista verkkoon kytkeytyvistä laitteista
- Irrota vanhentunut laite verkosta heti, kun tuki päättyy
- Suojaa hallintapaneelit kaksivaiheisella tunnistautumisella
- Harkitse paikallista tallennusta pilvitallennuksen sijaan kriittisissä laitteissa
- Hyödynnä vakuutusyhtiön sertifioitujen laitteiden alennukset
NCSC-FI korostaa, että CRA-asetus älykoti -sääntely ei poista käyttäjän vastuuta: vaikka laite olisi itsessään turvallinen, sen asennus, ylläpito ja käyttö ovat edelleen kotitalouden vastuulla. Keskus suosittelee erityisesti sitä, että jokainen kotitalous nimeää itselleen ”kyberturvapäällikön” – henkilön, joka pitää kirjaa laitteista, päivityksistä ja salasanoista. Tämä voi olla aikuinen perheenjäsen tai jopa teinipuberteetti-ikäinen lapsi, joka omaksuu teknologian nopeammin kuin vanhempansa.
Uhkakuvat ja tulevaisuuden näkymät 2027–2030
CRA:n täysimittainen soveltaminen vuoden 2027 joulukuussa on vasta alkupiste. Euroopan komissio on jo ilmoittanut laajentamissuunnitelmista, joissa kyberkestävyysasetuksen vaatimuksia sovelletaan myös teollisiin IoT-laitteisiin sekä ajoneuvojen verkkokomponentteihin vuodesta 2029 alkaen. Samalla NCSC-FI ennustaa, että vuoden 2026 loppuun mennessä jo 40 prosenttia suomalaisista kotitalouksista omistaa vähintään yhden sertifioidun älykotilaitteen. Vuoteen 2030 mennessä lukema odotetaan nousevan 75 prosenttiin.
Teknologiatasolla suurimmat muutokset liittyvät tekoälyn käyttöön sekä hyökkäyksissä että puolustuksessa. AI-pohjaiset deepfake-kalastelut, äänen kloonaus ja käyttäytymispohjainen huijaus ovat nousseet keskeisiksi huolenaiheiksi. Samaan aikaan edge-AI eli laitekohtainen tekoälylaskenta mahdollistaa sen, että älykamerat ja -lukot voivat paikallisesti tunnistaa poikkeavaa käyttäytymistä ilman, että data poistuu kodista pilveen. Tämä paikallinen älykkyys on CRA:n näkökulmasta ihanteellinen ratkaisu, sillä se minimoi hyökkäyspinnan ja yksityisyydenloukkauksen riskin.
Toinen merkittävä kehityssuunta on niin sanottu ”post-quantum”-kryptografia, johon älykotien valmistajat siirtyvät vuosina 2027–2030. Kvanttitietokoneiden tuleva uhka nykyisille salausalgoritmeille on pakottanut NIST:n ja EU:n standardointielimet hyväksymään uudet kvanttiturvalliset algoritmit, ja CRA:n päivitykset vuodelta 2028 tulevat sisältämään näiden käyttöönottovaatimuksia. Suomalaisen kuluttajan kannattaa huomioida, että jo tänään hankittavan laitteen tulisi tukea laiteohjelmistopäivityksiä koko sen viiden vuoden elinkaarensa ajan, jotta post-quantum-siirtymä on mahdollinen myöhemmin.
Usein kysytyt kysymykset CRA-asetuksesta
Tarvitsenko itse tehdä jotain, jos olen jo ostanut älylaitteen? Olemassa olevia laitteita CRA ei takautuvasti koske, mutta valmistajan on tarjottava niille turvapäivityksiä, mikäli laite myydään vielä markkinoilla. Käyttäjän vastuulla on asentaa päivitykset ja seurata valmistajan ilmoituksia.
Koskeeko CRA myös käytettyjä laitteita? Pääsääntöisesti ei – CRA koskee uusia markkinoille tulevia tuotteita. Käytetyn tuotteen myynnissä vastuu siirtyy myyjälle, mutta valvonnallisesti rajanveto on toistaiseksi epäselvä.
Mitä tapahtuu, jos valmistaja ei täytä CRA:n vaatimuksia? EU-viranomaiset voivat määrätä sakkoja 15 miljoonaan euroon tai 2,5 prosenttiin maailmanlaajuisesta liikevaihdosta asti. Lisäksi tuote voidaan poistaa markkinoilta ja pakottaa jälleenmyyjät keräämään se takaisin.
Mistä tunnistan kyberturvallisuusmerkin? Merkki on sinikeltainen, ja sen keskellä on suomalainen lippu ja teksti ”Kyberturvallisuusmerkki”. Se löytyy joko tuotteen pakkauksesta, laitteen kyljestä tai verkkokaupan tuotetiedoista. Traficomin verkkosivuilla on ajantasainen lista merkkiä kantavista tuotteista.
Saako CRA-yhteensopivia laitteita edullisesti? Kyllä. Kilpailu sertifioitujen laitteiden markkinoilla on kevätaikaan 2026 tuonut hintoja alas, ja useat kotimaiset valmistajat tarjoavat kyberturvallisuusmerkittyjä keskitinyksiköitä alle 200 euron hintaan. Vakuutusyhtiöiden alennukset alentavat kokonaiskustannusta lisää.
Miten CRA-asetus älykoti vaikuttaa kiinalaisvalmistajiin? Kaikkien EU-markkinoille tuotavien laitteiden on täytettävä CRA:n vaatimukset valmistusmaasta riippumatta. Tämä on jo johtanut useiden edullisten kiinalaisten tuotteiden vetäytymiseen EU-markkinoilta, mutta toisaalta myös suuret kiinalaiset valmistajat kuten Xiaomi, TP-Link ja Aqara ovat ilmoittaneet sertifiointihankkeistaan.
Kuluttajan konkreettinen 10-kohdan tarkistuslista
- Tarkista, että ostamassasi laitteessa on Traficomin kyberturvallisuusmerkki tai dokumentoitu CRA-itsearviointi
- Varmista, että valmistaja lupaa vähintään viisi vuotta turvapäivityksiä
- Aseta laitteelle yksilöllinen, vahva salasana heti käyttöönotossa
- Ota automaattiset päivitykset käyttöön
- Luo reitittimessäsi erillinen IoT-verkko
- Tarkista TLS 1.3 -salauksen käyttö laitteen yhteyksissä
- Tallenna valmistajan haavoittuvuusilmoitussivu suosikkeihin
- Kytke käyttämättömät palvelut pois päältä
- Tee vuosittainen inventaario verkkolaitteistasi
- Hyödynnä vakuutusyhtiön sertifioitujen laitteiden alennukset
Tämä 10-kohdan tarkistuslista tiivistää koko CRA-asetus älykoti -muutoksen käytännön tasolle. Kun jokainen suomalainen kotitalous omaksuu nämä perusperiaatteet, Euroopan unionin koko älykotimarkkina muuttuu vuoden 2027 loppuun mennessä merkittävästi turvallisemmaksi kuin se on koskaan ollut. Kyberkestävyys ei ole enää erillinen lisäosa, vaan sisäänrakennettu osa jokaista kodin laitetta aivan kuten sähköturvallisuus tai paloturvallisuus ovat olleet jo vuosikymmeniä.
Ulkoiset lähteet ja viralliset ohjeistukset
Lisätietoa CRA-asetuksesta ja Traficomin kyberturvallisuusmerkistä saat virallisilta sivustoilta. Traficomin Kyberturvallisuuskeskus ylläpitää ajantasaista listaa sertifioiduista laitteista sekä uutisia viimeisimmistä haavoittuvuuksista. EU:n virallinen Eur-Lex-tietokanta sisältää CRA-asetuksen koko tekstin suomeksi. ETSI:n standardi EN 303 645 on ladattavissa ilmaiseksi teknisille lukijoille. Liikenne- ja viestintävirasto Traficom julkaisee säännöllisesti kuluttajaohjeita sekä tilastoja sertifioinnin etenemisestä.
Lue lisää turvallinenkoti.netissä
- Kuinka suojautua uuden ajan kyberuhkilta – kattava opas kaksivaiheiseen tunnistautumiseen ja muihin suojakeinoihin
- Palvelunestohyökkäykset uhkaavat suomalaisten digitaalista turvallisuutta – tausta siitä, miksi kotireititin on tärkeä suojautumisen kohde
- Nordean varoitus: Näin suojaudut huijauksilta nettikirppiksillä – rahoitusalan näkökulma kyberturvaan
- USB-portit: Avain tehokkaaseen ja nopeaan tiedonsiirtoon – millaista liitäntää sertifioidut laitteet käyttävät
- USB-nimet: Opas digitaalisen sekamelskan selättämiseen – tekninen yhteenveto kodin liitännöistä
- Nuorten poliittinen maailmankuva muotoutuu sosiaalisessa mediassa – algoritmien ja tietoturvan yhteys digitaalisessa elämässä
Yhteenveto: CRA-asetus mullistaa suomalaisen älykodin 2026
Huhtikuu 2026 on jäämässä historiaan hetkenä, jolloin suomalaisten älykotien tietoturva nousi pysyvästi uudelle tasolle. EU:n kyberkestävyysasetus (CRA), yhdistettynä Traficomin kyberturvallisuusmerkkiin ja kotimaiseen startup-ekosysteemiin, on rakentanut kokonaisuuden, joka ei vain rajoita markkinaa vaan parantaa sitä. Kuluttajalle muutos on pääosin myönteinen: myytävänä olevat laitteet ovat turvallisempia, vakuutusyhtiöt kannustavat sertifioitujen tuotteiden hankintaan ja käyttäjä voi luottaa siihen, että perusvaatimukset on täytetty. CRA-asetus älykoti on siis ensisijaisesti kuluttajansuojan asetus, vaikka sen nimi viittaakin tekniseen kyberkestävyyteen.
Suomalaisella kuluttajalla on nyt kaksi tehtävää: hyödyntää sertifioidut laitteet uusien hankintojen yhteydessä ja pitää oma kyberhygienia kunnossa. Näitä kahta periaatetta noudattamalla älykoti palvelee tarkoitustaan – helpottaa arkea, parantaa turvallisuutta ja säästää energiaa – ilman että siitä muodostuu uutta haavoittuvuuspintaa. Tulevina vuosina kyberturvallisuus on yhtä itsestäänselvä osa kodin teknologiaa kuin sähköturvallisuus, ja suomalaiset ovat tässä muutoksessa eurooppalaisessa etuvarjossa. Kyberturvallisuusmerkki, CRA-asetus ja kotimainen innovaatio yhdessä tekevät CRA-asetus älykoti -ajasta pysyvän muutoksen suomalaisessa asumisessa.
