CRA:サイバーレジリエンス法(サイバーセキュリティ対応)

RED、「サイバーセキュリティ要件」の整合規格(EN 18031-1,-2,-3)を適用！2025月8月1日から

EU、RED(無線機器指令)、「サイバーセキュリティ要件」の整合規格として、「EN 18031シリーズ」が「2025年1月30日」に発効になった。
尚、この整合規格の要求に適合すれば、「モジュールAの適合評価手順」(自己認証)を選択できます。
⇒2025年8月1日から、REDのサイバーセキュリティ要件が義務化になります。
(不適合の場合、製品の押収、罰金、市場からの製品の撤回、およびブランドの評判の低下などの措置が取られる可能性があります。)
EU公式、サイバーセキュリティ要求 EU公式サイトから引用

＊EN 18031シリーズの適用範囲
・EN 18031シリーズは、家電製品、スマートホーム製品、コネクテッド家電、ウェアラブルヘルスモニター、IoT 対応産業機器、デジタルおよびコネクテッド消防機器、決済および金融機器、エンターテインメントおよび教育製品など、広範なインターネット接続される「無線機器」に適用されます。具体的な例としては、スマートフォン、タブレット、スマート TV、スマートカメラ、ウェアラブルデバイス、スマートホームデバイス、スマート冷蔵庫、ワイヤレス決済端末、コネクテッドトイ、ベビーモニター、電子ペット追跡装置などが挙げられます。
・ただし、軍事用途専用のデバイス、特定の分野の枠組み（民間航空や自動車システムなど）で規制されている機器、および他の EU 規制の対象となる医療機器など、RED のサイバーセキュリティ要件から除外される製品カテゴリもあります。
・有線LANなどの有線接続にて、インターネットにつながる機器は対象外です。(無線機器でないため)こちらは、2027年12月以降に適用になる「サイバーレジリエンス法（CRA）」の対象となる。

＊EN 18031シリーズの要求事項
・この整合規格の要求事項は、「メカニズム(仕組み)」であり、ソリューション(解決策)ではない。
以下の3規格です。
1. EN 18031-1:2024 ( パート 1: インターネット接続無線機器)
尚、RED の第 3 条第 3 項 (d) に対応します。
RED-サイバーセキュリティ規格
この規格では、インターネットに接続された無線機器の「一般的なセキュリティ要件」を規定しています。
尚、この規格では、製品が「直接通信するか他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品」に関する無線機器のセキュリティ要件を規定している。
以下のような要求事項(6章)がある。:
(1)アクセス制御メカニズム:デバイスへの不正アクセスを制限するメカニズムである。
(2)認証メカニズム:ユーザーの身元を確認するための堅牢なシステムであること。
(3)機密な更新メカニズム：ファームウェアとソフトウェアを安全にアップデートできるメカニズムにする。
(4)安全なストレージメカニズム：改ざんや侵害からデータを保護する。
(5)安全な通信メカニズム：データ転送プロセスを保護する。
(6)復元メカニズム：システム障害やサイバー攻撃に対する耐性を備える。
(7)ネットワーク監視メカニズム：異常を検出するための継続的な分析を行う。
(8)トラフィック制御メカニズム：データフローを効果的に管理する。
(9)機密暗号キー：暗号資産を安全に保管する。
(10)一般的な機器の機能：さまざまな機能にわたる機能セキュリティを確保する。
2.EN 18031-2:2024 (パート2:無線機器のデータ処理データ、-インターネット接続無線機器、育児無線機器、玩具無線機器、ウェアラブル無線機器等)尚、RED の第 3 条第 3 項 (e) に対応します。
REDサイバーセキュリティ規格
「個人データ、トラフィックデータ、または位置データ」を処理する無線機器の共通セキュリティ要件です。
そして、インターネットに接続された無線機器、育児専用に設計または意図された無線機器、玩具、ウェアラブル無線機器のいずれかです。
この規格は、個人データ、トラフィックデータ、または位置データを処理する無線機器の技術仕様を提供します。
これは、インターネット経由で通信できる電気電子製品に関するもので、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、育児、玩具、またはウェアラブル無線機器に関するものです。
この範囲は、欧州議会および理事会の指令 (EU) 2018/1972 で定義される公共電子通信ネットワークおよび公的に利用可能な電子通信サービスのプロバイダーが使用する 5G ネットワーク機器には適用されない。
この規格には、以下のような要求事項(6章)がある。
(1)アクセス制御メカニズム：通常はアクセスレベルと権限設定を通じて、許可された担当者のみが無線機器のコンポーネントを操作したり、データを管理したりできるようにする。
(2)認証メカニズム：整合性とセキュリティを維持するために、ユーザーIDまたはデバイスの検証を行う
(3)安全な更新メカニズム：改ざんや悪意のあるソフトウェアによるアクセスを防止するため、暗号化され認証されたアップデートを行う。
(4)安全なストレージメカニズム：データストレージを不正アクセスや潜在的な脆弱性から保護する。
(5)安全な通信メカニズム：デバイス間のデータ転送における暗号化とセキュアプロトコルを使用する。
(6)ログ記録メカニズム：監査と監視のために、ユーザーによる操作やシステム変更の記録する。
(7)削除メカニズム：データが完全に削除または消去され、機密情報の痕跡が残らないようにする。
(8)ユーザー通知メカニズム：セキュリティまたは機能に関する懸念事項についてユーザーに通知する。
(9)機密暗号キー：データセキュリティに不可欠な暗号鍵の安全な取り扱いと保管を規定する。
(10)一般的な機器の機能：セキュリティおよび安全性の基準を遵守しながら、基本的な機能を確保する機能を持つ。
3.EN 18031-3:2024 (パート 3: インターネット接続無線機器が仮想通貨または貨幣価値を処理する機器)
尚、 RED の第 3 条第 3 項 (f) に対応します。
REDサイバーセキュリティ規格
この規格対応機器により、所有者またはユーザーは、「お金、金銭的価値、または仮想通貨を転送」できます。
この規格では、仮想マネーまたは金銭的価値を処理する無線機器のセキュリティ仕様を示します。
この仕様は、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品に適用されます。
この規格には、以下のような要求事項(6章)がある
(1)アクセス制御メカニズム：厳格な制御手段を導入し、許可されたユーザーのみが機器の重要なシステムまたは機能にアクセスできるようにする。
(2)認証メカニズム：不正使用を防止するため、ユーザーとデバイスの安全な認証を実施する。
(3)安全な更新メカニズム：ファームウェアまたはソフトウェアの更新が検証、暗号化、および認証され、脆弱性の導入を防止する。
(4)安全なストレージメカニズム：個人情報や動作パラメータなどの機密データを不正アクセスや改ざんから保護する。
(5)安全な通信メカニズム：通信の傍受や改ざんを防ぐために、暗号化されたデータ転送プロトコルを使用する。
(6)ログ記録メカニズム：監査証跡とセキュリティ監視を容易にするため、システムアクティビティとアクセス試行の詳細なログ記録を行う。
(7)機密暗号鍵：暗号鍵の安全な取り扱いと保管に焦点を当て、漏洩や不正使用を防止する。
(8)一般的な機器の機能：基本的な安全性と運用機能を網羅し、機器の本来の用途に加えて、セキュリティ要件への準拠を確保する。
(9)暗号化：堅牢な暗号化方式を適用することで、保存時および転送中のデータを保護し、データ漏洩や不正開示のリスクを最小限に抑える。

＊各整合規格の各メカニズム要求の実装可否について

・対象製品の目的・機能状況により、要求のメカニズム実装(適用の適切性や強度)が異なる。本規格の規定(適用や各メカニズムのリスクアセスメント)により、実装可否を判定をする。判定は主にメーカになる。
この判定は、製品の意図する用途とメーカが各メカニズムのおける「リスクアセスメント」に基づいて決定するため、対象の製品が下のような場合は異なることになります。
・高リスク機器：緊急サービスで使用される無線通信機器
・低リスク機器：温室の単純な温度センサーのような機器

＊「適合性評価」と「技術文書」について

(1)本適合性評価は、主に製造業者が提供する「技術文書」と、指定された「特定セキュリティ試験の結果」に基づいて行われる。
(2)技術文書について
①「情報の識別子」の使用: 文書内の特定の情報要素を識別するために、`[E.Info.cccxx)` のような「特定の構文を持つタグ」が使用される。(これは、評価者がどの情報がどの評価要件に対応しているかを素早く見つけられるようにするためのもの。)
②「文書に含まれるべき情報」: 技術文書には、以下のような一般的な情報が含まれている必要がある。
a)「機器の機能」に関する情報
b)「技術的な詳細」
c) 特定のユースケースにおける｢ベストプラクティス(最良の方法)」について
d)「外部インターフェースのリスト」などの詳細
e)「セキュリティリスク評価」の結果
その他)「情報の重複回避」: 複数の要件で同じまたは類似の情報が必要な場合（例：インターフェース情報）、文書内で「相互参照」を使用することで、情報の重複を防ぐことができる。
　⇒「技術文書」は、機器のセキュリティに関するすべての関連情報と、適合性評価の結果をまとめたもの。

EU,サイバーレジデンス法を発効！2027年12月11日適用

＊欧州議会は、サイバーレジリエンス法 (CRA) を、2024 年 12 月 10 日に発効した。

但し、この法の適用は 「2027年12月11日」以後、適用になる。
この法は、デジタル要素を備えた製品に対するサイバーセキュリティ必須要件を導入している。
特定された脆弱性に対処するためのセキュリティサポートとソフトウェアアップデートの提供等をメーカーに義務付けることで、メーカーの責任を義務化し、消費者をより確実に保護することを目的としている。

サイバーレジリエンス法で、NB認証が必須なデジタル製品は何か！

＊本EU法では、NB認証が必須な「重要デジタル製品(インターネット通信製品)」がある。
・「重要デジタル製品」に指定されていない場合は自己宣言、またはNB認証の選択が可能である。

＊NB認証の可否について

1. 「重要なデジタル製品以外のデジタル製品」
　　・本法の付属書Ⅲに記載のないデジタル製品
　　→　自己適合宣言、又はNB認証かを選択できる。
2.「重要なデジタル製品クラスI（低リスク）製品
　　a) EUCCやE欧州整合化規格に適合する場合
　　　→　自己適合宣言、又はNB認証かを選択可能
b) EUCC準拠やEN整合規格に適合していない場合
→　NB認証の取得が必須
３. 「重要なデジタル製品クラスII（高リスク）製品
　　　→　NB認証が必須である。

＊重要デジタル製品(クラスⅠ、Ⅱ)に指定されている機器

・付属書Ⅲに記載されているデジタル製品である。(クラスⅠ、Ⅱ分類)
・下図の製品が重要なデジタル製品に該当する。

サイバーレジリエンス法の重要デジタル製品

＊「お問合せ」
・CEマーキングをサポートしております。
・お気軽に「お問合せ」ページから、ご連絡下さい。

サイバーレジリエンス法(ｲﾝﾀｰﾈｯﾄｾｷｭﾘﾃｨ対応)の条文項目！

＊「インターネット接続されるデジタル回路、およびソフトフェア製品」が対象のサイバーセキュリティ対応のEU法です。

・CEマーキングの適用です。
・「2024年当初の発効、3年後の「2027年12月以降に適用」の模様
・事前に製品、および製造者への要求事項を確認し、製品にサイバーセキュリティ対応をしよう。

＊サイバーレジリエンス法(インターネットセキュリティ対応)の条文項目

EU サイバーレジリエンス法(ドラフト)の表紙
＊第1章総則
第1条　対象事項
第2条　適用範囲
第3条　定義
第4条　自由な移動
第5条　デジタル要素を含む製品の要求事項
第6条　デジタル要素を含む重要な製品
第7条　一般的な製品の安全性
第8条　高リスクのAIシステム
第9条　機械製品
—————————————————————–
＊第2章経済事業者の義務
第10条　製造者の義務
第11条　製造者の報告義務
第12条　任命代理人
第13条　輸入者の義務
第14条　販売業者の義務
第15条　製造者の義務が輸入者及び販売者に適用される場合
第16条　製造者の義務が適用されるその他の場合
第17条　経済事業者の識別
—————————————————————-
＊第3章デジタル要素のある製品の適合性
第18条　適合性の推定
第19条　共通仕様
第20条　EU適合性宣言
第21条　CEマーキングの一般原則
第22条　CEマーキングの貼付に関する規定と条件
第23条　技術文書
第24条　デジタル要素を含む製品の適合性評価手順
—————————————————————–
＊第4章適合性評価機関の届出
第25条　通知
第26条　通知機関
第27条　通知機関に関する要件
第30条　ノーティファイドボディの適合性の推定
第31条　通知機関の子会社及び下請け業務
第32条　通知機関の申請
第33条　届出手続
第34条　ノーティファイドボディの識別番号とリスト
第35条　通知機関の変更
第36条　通知機関の能力調査
第37条　通知機関の運用義務
第38条　通知機関の情報義務
第39条　当局間の経験情報の交換
第40条　通知機関の調整及び協力
—————————————————————-
＊第5章市場監視と執行
第41条　EU市場におけるデジタル技術を用いた製品の市場監視と管理
第42条　データおよび文書へのアクセス
第43条　重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関する国レベルでの手続き
第44条　EUセーフガード手続
第45条　重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き
第46条　重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ適合宣言製品
第47条　形式的な不適合
第48条　市場監視当局間の共同活動
第49条　市場監視当局間の協調管理措置
———————————————–
＊第6章委譲された権限と委員会の手続き
第50条　委任の行使
第51条　委員会の手続き
———————————————-
＊第7章守秘義務と罰則
第52条　守秘義務
第53条　罰則
———————————————–
＊第8章　経過措置と最終規定
第54条　規則(EU)2019/1020の改正について
第55条　経過措置
第56条　本規則の評価及び見直し
第57条　発効と適用

＊本法の「付属書」の項目は以下です。
EU サイバーレジリエンス法(ドラフト)・付属書の表紙

・付属書 I：サイバーセキュリティの必須要件
・付属書 II：ユーザーへの情報及び指示
・付属書III：デジタル技術を用いた重要製品
　　　　　　クラスI、クラスII
・付属書IV ：EU適合宣言
・付属書V：技術文書の内容
・付属書 VI：適合性評価手順

＊サイバーレジリエンス法の構成図

EUサイバーレジリエンス法(ドラフト)の構成
　図.　EU サイバーレジリエンス法の構成

＊「お問合せ」
・CEマーキングをサポートしております。
・お気軽に「お問合せ」ページから、ご連絡下さい。

「サイバーレジリエンス法(案)」を公表！ｲﾝﾀｰﾈｯﾄ接続ﾃﾞｼﾞﾀﾙ製品対象 2022年9月15日

＊EU(欧州委員会)は9月15日、インターネット接続デジタル製品に「サイバーセキュリティー(インターネットセキュリティ)対応」を義務付ける「サイバーレジリエンス法(CRA：インターネットセキュリティ対応)」のドラフトを公表した。 ( レジリエンスとは強じん性、復元力のこと。)

＊重要点は下です。 ・インターネットに接続する「デジタル製品の全般」に適用される！ ・また、ソフトウェア製品も含まれる。・「CEマーキング」適用・2023年後半の発効、2025年後半の適用(模様) ・罰則：最大1,500万ユーロまたは世界の年間売上高の2.5%の罰金

・法案の目的と背景・ｲﾝﾀｰﾈｯﾄ接続のデジタル要素を含む製品は「サイバーセキュリティ(インターネット通信安全)を確保した製品」のみを市場に出すこと。・ｲﾝﾀｰﾈｯﾄ接続ﾃﾞｼﾞﾀﾙｺﾝﾎﾟｰﾈﾝﾄを組込む製品(電気電子機器/機械等)、またはソフトウェアを購入/使用する「消費者および企業を保護すること」を目的としている。（背景：ベビーモニターからスマートウォッチまで、デジタルコンポーネントを含む製品やソフトウェアは、私たちの日常生活のいたるところに存在している。しかしながら、多くのユーザーにとって、そのような製品やソフトウェアがもたらす可能性のある「セキュリティリスク(インターネット通信安全リスク)」はそれほど、理解していない。）

・法案の対象製品、および対象外

・ソフトウエアを含む、他の製品や「ネットワークへのデータ接続が想定される」デジタル製品が対象 → 多くの分野のデジタル製品が対象(特定機器はNB認証要)になる。・医療機器、体外診断用医療機器、航空、自動車などの既存のEU法により、「サイバーセキュリティーに関する要求事項が課されている製品」は除外・国家安全保障または軍事目的のためにのみ開発されたデジタル要素を有する製品は除外

＊関連URL ・EU Cyber Resilience Act(サイバーレジリエンス法)のEUサイト. ＊ドラフト(案)がダウンロードできます。 1.サイバーレジリエンス法(案)：原文 Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act (.pdf)：デジタル要素を持つ製品のサイバーセキュリティ対応の要求事項に関する規則の提案 – EU サイバーレジリエンス規則(ドラフト)の表紙

2.サイバーレジリエンス法 (案)の付属書：原文 Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act (.pdf)：デジタル要素を有する製品に係るインターネット安全対応要求事項に関する規則案の付属書 EU サイバーレジリエンス規則・付属書(ドラフト)の表紙

＊「お問合せ」

・CEマーキング等をサポートしております。・お気軽に「お問合せ」ページから、ご連絡下さい。