*欧州議会は、サイバーレジリエンス法 (CRA) を、2024 年 3 月 12 日に採択した。
この法の完全施行は 発効後36 か月の移行期間の後に行われる。
この法は、デジタル要素を備えた製品に対するサイバーセキュリティ必須要件を導入している。
特定された脆弱性に対処するためのセキュリティ サポートとソフトウェア アップデートの提供等をメーカーに義務付けることで、メーカーの責任を義務化し、消費者をより確実に保護することを目的としている。
カテゴリー: CRA:サイバー レジリエンス法(サイバーセキュリティ対応)
サイバー レジリエンス法で、NB認証が必須なデジタル製品は何か!
*本EU法では、NB認証が必須な「重要デジタル製品(インターネット通信製品)」がある。
・「重要デジタル製品」に指定されていない場合は自己宣言、またはNB認証の選択が可能である。
*NB認証の可否について
1. 「重要なデジタル製品以外のデジタル製品」
・本法の付属書Ⅲに記載のないデジタル製品
→ 自己適合宣言、又はNB認証かを選択できる。
2.「重要なデジタル製品クラスI(低リスク)製品
a) EUCCやE欧州整合化規格に適合する場合
→ 自己適合宣言、又はNB認証かを選択可能
b) EUCC準拠やEN整合規格に適合していない場合
→ NB認証の取得が必須
3. 「重要なデジタル製品クラスII(高リスク)製品
→ NB認証が必須である。
*重要デジタル製品(クラスⅠ、Ⅱ)に指定されている機器
・付属書Ⅲに記載されているデジタル製品である。(クラスⅠ、Ⅱ分類)
・下図の製品が重要なデジタル製品に該当する。
*「お問合せ」
・CEマーキングをサポートしております。
・お気軽に「お問合せ」ページから、ご連絡下さい。
サイバー レジリエンス法(インターネットセキュリティ対応)の条文項目!
*「インターネット接続されるデジタル回路、およびソフトフェア製品」が対象のサイバーセキュリティ対応のEU法です。
・CEマーキングの適用です。
・「2024年当初の発効、3年後の「2027年初頭に適用」の模様
・事前に製品、および製造者への要求事項を確認し、製品にサイバーセキュリティ対応をしよう。
*サイバー レジリエンス法(インターネットセキュリティ対応)の条文項目
*第1章 総則
第1条 対象事項
第2条 適用範囲
第3条 定義
第4条 自由な移動
第5条 デジタル要素を含む製品の要求事項
第6条 デジタル要素を含む重要な製品
第7条 一般的な製品の安全性
第8条 高リスクのAIシステム
第9条 機械製品
—————————————————————–
*第2章 経済事業者の義務
第10条 製造者の義務
第11条 製造者の報告義務
第12条 任命代理人
第13条 輸入者の義務
第14条 販売業者の義務
第15条 製造者の義務が輸入者及び販売者に適用される場合
第16条 製造者の義務が適用されるその他の場合
第17条 経済事業者の識別
—————————————————————-
*第3章 デジタル要素のある製品の適合性
第18条 適合性の推定
第19条 共通仕様
第20条 EU適合性宣言
第21条 CEマーキングの一般原則
第22条 CEマーキングの貼付に関する規定と条件
第23条 技術文書
第24条 デジタル要素を含む製品の適合性評価手順
—————————————————————–
*第4章 適合性評価機関の届出
第25条 通知
第26条 通知機関
第27条 通知機関に関する要件
第30条 ノーティファイドボディの適合性の推定
第31条 通知機関の子会社及び下請け業務
第32条 通知機関の申請
第33条 届出手続
第34条 ノーティファイドボディの識別番号とリスト
第35条 通知機関の変更
第36条 通知機関の能力調査
第37条 通知機関の運用義務
第38条 通知機関の情報義務
第39条 当局間の経験情報の交換
第40条 通知機関の調整及び協力
—————————————————————-
*第5章 市場監視と執行
第41条 EU市場におけるデジタル技術を用いた製品の市場監視と管理
第42条 データおよび文書へのアクセス
第43条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関する国レベルでの手続き
第44条 EUセーフガード手続
第45条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き
第46条 重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ適合宣言製品
第47条 形式的な不適合
第48条 市場監視当局間の共同活動
第49条 市場監視当局間の協調管理措置
———————————————–
*第6章 委譲された権限と委員会の手続き
第50条 委任の行使
第51条 委員会の手続き
———————————————-
*第7章 守秘義務と罰則
第52条 守秘義務
第53条 罰則
———————————————–
*第8章 経過措置と最終規定
第54条 規則(EU)2019/1020の改正について
第55条 経過措置
第56条 本規則の評価及び見直し
第57条 発効と適用
*本法の「付属書」の項目は以下です。
・付属書 I:サイバーセキュリティの必須要件
・付属書 II:ユーザーへの情報及び指示
・付属書III:デジタル技術を用いた重要製品
クラスI、クラスII
・付属書IV :EU適合宣言
・付属書V:技術文書の内容
・付属書 VI:適合性評価手順
*サイバー レジリエンス法の構成図
図. EU サイバー レジリエンス法の構成
*「お問合せ」
・CEマーキングをサポートしております。
・お気軽に「お問合せ」ページから、ご連絡下さい。
「サイバー レジリエンス法(案)」を公表!インターネット接続デジタル製品対象 2022年9月15日
*EU(欧州委員会)は9月15日、インターネット接続デジタル製品に「サイバーセキュリティー(インターネット セキュリティ)対応」を義務付ける「サイバー レジリエンス法(CRA:インターネット セキュリティ対応)」のドラフトを公表した。
( レジリエンスとは強じん性、復元力のこと。)
*重要点は下です。
・インターネットに接続する「デジタル製品の全般」に適用される!
・また、ソフトウェア製品も含まれる。
・「CEマーキング」適用
・2023年後半の発効、2025年後半の適用(模様)
・罰則:最大1,500万ユーロまたは世界の年間売上高の2.5%の罰金
・法案の目的と背景
・インターネット接続のデジタル要素を含む製品は「サイバーセキュリティ(インターネット通信安全)を確保した製品」のみを市場に出すこと。
・インターネット接続デジタル コンポーネントを組込む製品(電気電子機器/機械等)、またはソフトウェアを購入/使用する「消費者および企業を保護すること」を目的としている。
(背景:ベビー モニターからスマート ウォッチまで、デジタル コンポーネントを含む製品やソフトウェアは、私たちの日常生活のいたるところに存在している。しかしながら、多くのユーザーにとって、そのような製品やソフトウェアがもたらす可能性のある「セキュリティ リスク(インターネット通信安全リスク)」はそれほど、理解していない。)
・法案の対象製品、および対象外
・ソフトウエアを含む、他の製品や「ネットワークへのデータ接続が想定される」デジタル製品が対象 → 多くの分野のデジタル製品が対象(特定機器はNB認証要)になる。
・医療機器、体外診断用医療機器、航空、自動車などの既存のEU法により、「サイバーセキュリティーに関する要求事項が課されている製品」は除外
・国家安全保障または軍事目的のためにのみ開発されたデジタル要素を有する製品は除外
*関連URL
・EU Cyber Resilience Act(サイバー レジリエンス法)のEUサイト.
*ドラフト(案)がダウンロードできます。
1.サイバーレジリエンス法(案):原文
Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act (.pdf):デジタル要素を持つ製品のサイバーセキュリティ対応の要求事項に関する規則の提案 –
2.サイバーレジリエンス法 (案)の付属書:原文
Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act (.pdf): デジタル要素を有する製品に係るインターネット安全対応要求事項に関する規則案 の付属書
*「お問合せ」
・CEマーキング等をサポートしております。
・お気軽に「お問合せ」ページから、ご連絡下さい。