EU(欧州)サイバーレジリエンス法(CRA)は、EU域内でデジタル製品に対するサイバーセキュリティ要件の厳格化を規定し、日本にもサプライチェーンのサイバーセキュリティを通じ、製造業を中心に幅広く影響すると見込まれています。
  
2024年11月20日付で、サイバーレジリエンス法(EU)2024/2847が欧州連合官報(OJ)に掲載されました。サイバーレジリエンス法はOJ記載の翌日から20日後に発効となります。また本規則は、2027年12月11日より全面施行となりますが、Article 14(製造事業者の報告義務)については2026年9月11日より、Chapter IV(Article35~51、適合性評価機関の通知)については2026年6月11日より先行して施行となります。

本稿では、同法案の目的や対象者、製造者に課せられる義務について解説します。

1.はじめに

欧州委員会の推計によると、サイバー攻撃の3分の2は製品の脆弱性に起因しています。また、市場に出回っている製品の約60%には、すでにサイバー攻撃に対する既知の脆弱性が含まれています。
EUにおけるサイバー耐性を強化するため、欧州委員会はデジタル要素を含む製品のサイバーセキュリティ要件に関する法案を提示しています。いわゆるサイバーレジリエンス法(CRA)は、NIS-2指令を補完するものでより安全なハードウェアおよびソフトウェア製品を確保するためのサイバーセキュリティ要件が義務付けられています

2.サイバーレジリエンス法の目的:安全な製品と安全な使用

サイバーレジリエンス法は、デジタル要素を含む製品に対し、製品のライフサイクルを通じて遵守すべきサイバーセキュリティの必須要件を導入することを目的としています。欧州委員会の提案で述べられているデジタル要素を含む製品とは、「個別に市場に投入されることを意図したソフトウェアまたはハードウェア製品およびそのリモートコンピューティングソリューション(ソフトウェアまたはハードウェアのコンポーネントを含む)」です。

サイバーレジリエンス法は、デジタル要素を含む製品の製造業者、製造業者の公認代理人、輸入業者、販売業者といった経済事業者全般を対象としています。

サイバーレジリエンス法の2つの主な目的のうち、1つは脆弱性の少ない安全な製品の開発と、それに伴う製品のライフサイクル全体に対する製造者の責任です。もう1つは、消費者による製品の安全な選択と使用を保証することです。

3.サイバーレジリエンス法の要件:製造者の義務

法案の中核となるのは、デジタル要素を含む製品に対する包括的な形式的・物質的要件です。形式的要件には、EU適合宣言とCEマーキングが含まれ、製造者は製品が適用される要件に適合していることを宣言します。重要な要件は、欧州委員会の提案の付属書1に記載されており、「デザインによるセキュリティ」の原則に従い、適切な管理メカニズム、特に認証、ID、アクセス管理システムを通じて、不正アクセスから保護するための措置が含まれています。

製造業者に課される義務:

  • サイバーセキュリティは、製品のライフサイクルのすべての段階、すなわち開発段階だけでなく、計画段階、納品段階、保守段階においても考慮されなければなりません。ソフトウェア開発プロセスへのセキュリティの統合は不可欠であり、DevOpsなどの概念をDev-SecOpsに変える必要があります。
  • サイバーセキュリティのリスクを文書化する必要があり、脅威モデルの作成が有効とされています。
  • 製造業者は、製品を市場に出してから少なくとも5年間はセキュリティの脆弱性に責任を負い、セキュリティ更新プログラムを提供しなければなりません。
  • 積極的に悪用された脆弱性は、24時間以内に欧州連合サイバーセキュリティ機関(ENISA)へ報告する義務があります。
  • 脆弱性は、製品の予定耐用年数中(最長5年)、効果的に対処されなければなりません。
  • 明確で理解しやすい使用説明書をユーザーに提供することが求められています。

各国の市場監視当局は、市場監視規則(No 765/2008)に従い、デジタル要素を含む製品の適合性を評価・監視する責任を負います。たとえば、オーストリアは、サイバーレジリエンスに関する規則の採択後、管轄の市場監視当局を指定しなければなりません。その結果、この当局は、非準拠製品に関連する経済事業者に対し、セキュリティリスクを排除し、EU規制との適合性を確立するための措置を講じるよう要請できるようになります。さらに、非準拠製品の市場流通を禁止し、リコールの実施を要求できるようにすることができます。同規則は、最高1,500万ユーロまたは全世界の年間売上高の2.5%(いずれか高い方)の制裁金を規定しており、加盟国は具体的な制裁規定を決定する必要があります。

【欧州サイバーレジリエンス規制(EU Cyber Resilience Act)】

(1)安全な製品と安全な使用

目的 製品のライフサイクルを通じて遵守すべき、デジタル要素を持つ製品に対する強制的なサイバーセキュリティ要件を導入すること
対象製品 デジタル要素を持つ製品「個別に市場に投入されることを意図したソフトウェアまたはハードウェア製品およびそのリモートコンピューティングソリューション」
対象者 一般的に経済事業者、すなわちデジタル要素を持つ製品の製造業者、製造業者の公認代理人、輸入業者、流通業者を対象としている
目標 脆弱性の少ない安全な製品の開発と、それに伴う製品のライフサイクル全体に対する製造者の責任である。消費者による製品の安全な選択と使用を確保することである

(2)製造者の義務

セキュリティ保証 製造業者は、製品を市場に出してから少なくとも5年間はセキュリティの脆弱性に責任を持ち、セキュリティアップデートを提供する必要がある
報告義務 積極的に悪用された脆弱性は、24時間以内に欧州連合サイバーセキュリティ機関(ENISA)に報告する必要がある
罰則 最高1,500万ユーロまたは全世界の年間売上高の2.5%(いずれか高い方)の制裁金を規定しており、加盟国は具体的な制裁規定を決定することが求められている
開発ライフサイクル サイバーセキュリティは、製品のライフサイクルのすべての段階、すなわち開発段階だけでなく、計画、納品、保守の段階でも考慮されなければならない。DevOps のような概念は Dev-SecOps に変更する必要がある
文書化 サイバーセキュリティのリスクは文書化する必要がある。それには、脅威モデルの作成が有効である
ユーザマニュアル 明確で理解しやすい使用説明書がユーザーに提供されなければならない

4.サイバーレジリエンス法の結論と展望

法案によると、デジタル要素を含む製品のサイバーセキュリティに対する第一義的な責任は製造業者にあります。包括的な要件があるため、CRAの予定する規制に早い段階で対応することを推奨します。

KPMGでは、サイバーレジリエンス法におけるセキュリティ要件を遵守するためのセキュリティ体制構築、規程整備等を支援しています。

詳細については、お気軽にお問い合わせください。

本稿は、KPMG Lawが発表した「EU-Kommission schlägt neue Verordnung über Cyberresilienz vor」を翻訳したものです。翻訳と独語原文に齟齬がある場合には、独語原文が優先するものとします。

全文はこちらから(独文)

お問合せ