デジタル化が進む中、製造業者はサイバー攻撃という新たな脅威に直面しています。
サイバーレジリエンス法に積極的に取り組み、必要な対策を講じる製造業者は、複雑化するサイバーセキュリティ環境を効果的に乗り切り、自社の事業を守り、安全で強靭な製造エコシステムの構築に貢献することができます。
メーカーによるコンプライアンスガイドをご覧ください!
デジタル要素を含む製品をEU市場に出す前に、製造業者は以下のステップを完了する必要があります。
第 1 項に定められた義務を遵守するため、製造業者は、デジタル要素を備えた製品に関連するサイバーセキュリティリスクの評価を、計画、設計、開発、生産、納品の各段階において実施し、その評価結果を踏まえて製品の開発を進めるものとします。 さらに、ユーザーの健康と安全に関連するものを含め、サイバーセキュリティリスクを最小限に抑え、セキュリティインシデントを防止し、そのようなインシデントの影響を最小限に抑えることを目的とした、デジタル要素を備えた製品のメンテナンスフェーズにおいても、継続的にリスク評価を実施する必要があります。
For the purpose of complying with paragraph 1, manufacturers shall exercise due diligence when integrating components sourced from third parties so that those components do not compromise the cybersecurity of the product with digital elements, including when integrating components of free and open-source software that have not been made available on the market in the course of a commercial activity.
製造者は、特に、合理的なユーザの期待、意図された目的を含む製品の性質、及びデジタル要素を有する製品の耐用年数を定める関連連合法を考慮して、製品が使用されると予想される期間を反映するようにサポート期間を決定しなければならない。サポート期間を決定する際、製造者は、他の製造者が市場に出している同様の機能を提供するデジタル要素を搭載した製品のサポート期間、動作環境の可用性、中核機能を提供し第三者から供給される統合コンポーネントのサポート期間、および第52条15項に従って設立された専門の行政協力グループ(ADCO)および欧州委員会が提供する関連ガイダンスも考慮することができる。サポート期間の長さを決定するために考慮される事項は、比例性を確保する方法で考慮されなければならない。
第2号を損なうことなく、サポート期間は少なくとも5年間とする。デジタル要素を含む製品の使用期間が5年未満であると予想される場合、サポート期間は予想される使用期間に対応するものとする。
Before placing a product with digital elements on the market, manufacturers shall draw up the technical documentation referred to in Article 31.
これらの機関は,第32条に規定する選択された適合性評価手続を実施し,又は実施させなければならない。
デジタル要素を有する製品が、付属書Iの第1部に定める必須要件に適合していること、および、製造者が実施するプロセスが、付属書Iの第2部に定める必須要件に適合していることが、適合性評価手続きによって証明された場合、製造者は、第28条に従ってEU適合宣言書を作成し、第30条に従ってCEマーキングを貼付しなければならない。
Manufacturers shall ensure that their products with digital elements bear a type, batch or serial number or other element allowing their identification, or, where that is not possible, ensure that this information is provided on their packaging or in a document accompanying the product with digital elements.
Manufacturers shall indicate the name, registered trade name or registered trade mark of the manufacturer, and the postal address, email address or other digital contact details, as well as, where applicable, the website at which the manufacturer can be contacted, on the product with digital elements, on its packaging or in a document accompanying the product with digital elements. That information shall also be included in the information and instructions to the user referred to in Annex II. The contact details shall be in a language which can be easily understood by users and market surveillance authorities.
製造業者は、以下の必須文書要件を満たさなければなりません。
デジタル要素を有する製品を市場に出す場合、製造者は、第31条及び附属書VIIに従って要求される技術文書に、本条第3項にいうサイバーセキュリティリスク評価を含めなければならない。第12条及び第32条第6項に規定されるデジタル要素を有する製品であって、他のEU法も適用されるものについては、サイバーセキュリティリスク評価は、当該EU法が要求するリスク評価の一部とすることができる。特定の必須要件がデジタル要素を備えた製品に適用されない場合,製造者は,その技術文書にその旨の明確な理由を含めなければならない。
製造者は、その性質とサイバーセキュリティリスクに見合った方法で、認識した脆弱性や第三者から提供された関連情報を含め、デジタル要素を含む製品に関するサイバーセキュリティの関連事項を体系的に文書化し、該当する場合は、製品のサイバーセキュリティリスク評価を更新しなければならない。
製造者は、技術文書およびEU適合宣言書を、デジタル要素を含む製品が市場に出てから少なくとも10年間、またはサポート期間のいずれか長い方の期間、市場監視当局の裁量で保管しなければならない。
製造者は、そのデジタル要素付き製品に、型式、バッチ番号、シリアル番号、又は識別を可能にするその他の要素が付されていること、又はそれが不可能な場合には、その情報が包装上又はデジタル要素付き製品に添付された文書に記載されていることを保証しなければならない。
製造事業者は,製造事業者の名称,登録商号又は登録商標,並びに郵便番号,電子メールアドレス又はその他のデジタル連絡先,並びに該当する場合,製造事業者に連絡することができるウェブサイトを,デジタル要素付き製品,その包装上又はデジタル要素付き製品に添付する文書に表示しなければならない。その情報は、附属書IIで言及される使用者に対する情報及び指示にも含まれなければならない。連絡先の詳細は,使用者及び市場監視当局が容易に理解できる言語で記載しなければならない。
製造事業者は,デジタル要素を含む製品に,附属書Ⅱに定める使用者に対する情報及び指示を紙又は電子形式で添付することを確実にしなければならない。このような情報及び指示は,使用者及び市場監視当局が容易に理解できる言語で提供しなければならない。それらは,明確で,理解可能で,明瞭で,判読可能でなければならない。それらは、デジタル要素を持つ製品の安全な設置、操作及び使用を可能にするものでなければならない。製造事業者は、附属書Ⅱに定める使用者に対する情報及び指示を、デジタル要素付き製品の上市後少なくとも10年間又はサポート期間のいずれか長い方の期間、使用者及び市場監視当局が自由に利用できるよう保管しなければならない。このような情報及び指示がオンラインで提供される場合、製造者は、デジタル要素を含む製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い方の期間、アクセス可能で、使い勝手がよく、オンラインで利用可能であることを確保しなければならない。
製造者は、EU適合宣言書の写し、またはデジタル要素を含む簡易EU適合宣言書を製品とともに提供しなければならない。簡易EU適合宣言書を提供する場合、完全なEU適合宣言書にアクセスできる正確なインターネットアドレスを記載しなければならない。
製造事業者は,市場監視当局からの合理的な要請があった場合,その当局に対し,その当局が容易に理解できる言語で,次の事項を提供しなければならない。
すべての情報と書類を、紙または電子形式で、
製造業者は、デジタル要素を備えた製品によってもたらされるサイバーセキュリティリスクを排除するために講じられた措置について、当該当局の要請に応じて、当該当局に協力しなければならない。
彼らが市場に投入したエレメント。
これらの報告要件は、製品のサイバーセキュリティ対策を強化し、脆弱性やインシデントへの迅速かつ協調的な対応を可能にすることを目的としています。 具体的には、製造業者は以下の義務を負います。
製造者は、▌に含まれる、積極的に悪用される脆弱性を通知しなければならない。
製造者が認識したデジタル要素を持つ製品は、本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知する。製造者は、積極的に悪用された脆弱性を、第 16 条に従って確立された単一の報告プラットフォームを通じて通知するものとする。
第1項の届出のために、製造者は以下の書類を提出しなければならない:
(a) 活発に悪用されている脆弱性について、過度の遅滞なく、いかなる場合でも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと;
(b) 関連する情報が既に提供されている場合を除き、製造者が積極的に悪用された脆弱性を認識してから、不当な遅滞なく、いかなる場合でも72時間以内に、以下の脆弱性通知を行う。
入手可能な限り、当該デジタル要素を含む製品、悪用の一般的性質、脆弱性に関する一般的情報を提供しなければならない。
また、是正措置や緩和措置が取られた場合は、その内容も報告する。
利用者が講じることができる是正措置または緩和措置。
該当する場合は、メーカーがどの程度敏感であると判断したかを示す。
を通知する;
(c) 関連情報がすでに提供されている場合を除き、是正措置または緩和措置が利用可能になってから14日以内に、少なくとも以下を含む最終報告書を提出する:
(i) 脆弱性の説明(その重大性と影響を含む);
(ii) 利用可能な場合、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報;
(iii) 脆弱性を是正するために提供されたセキュリティアップデートまたはその他の是正措置の詳細。
製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントを認識した場合、本条第7項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16 条に従って構築された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。
第3項の届出のために、製造者は以下を提出しなければならない:
(a) デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントの早期警告通知。
製造者がその事象に気づいてから24時間以内に、少なくともその事象が不法行為または悪意ある行為によるものであると疑われるかどうかを含め、その事象が発生する;
(b) 関連する情報が既に提供されている場合を除き、過度の遅滞なく、いかなる場合であっても、製造者が事故に気づいてから72時間以内に、事故の通知。
インシデントの評価、講じられた是正措置または緩和措置、およびユーザーが講じることのできる是正措置または緩和措置。
に通知される;
(c) 関連情報が既に提供されている場合を除き、(b)に基づく事故通知書の提出後1ヶ月以内に、少なくとも以下を含む最終報告書を提出すること:
(i)その重大性と影響を含む、事故の詳細な説明;
(ii) インシデントの引き金となったと思われる脅威の種類または根本原因;
(iii) 適用済みおよび継続中の緩和策。
本条第1項および第3項の届出は、次のとおりとする。
第 16 条(1)で言及される電子通知エンドポイントのいずれかを使用して、第 16 条で言及される単一報告プラットフォームを介して提出される。届出は、CSIRT の電子届出エンドポイントを使用して提出されなければならない。
製造業者が域内に主たる事業所を有する加盟国のコーディネーターとして指定され、同時にENISAにアクセスできるものとする。
本規定において、製造者は、その製造者(以下「製造者」という。
デジタル要素を含む製品のサイバーセキュリティに関する意思決定が主に行われる加盟国に、EU域内の主要拠点を置く。
そのような加盟国を決定できない場合、主要事業所は、当該製造業者が域内で最も従業員数の多い事業所を有する加盟国にあるとみなされる。
製造者が域内に主たる事業所を有しない場合、製造者は、決定された加盟国においてコーディネータとして指定された CSIRT の電子通知エンドポイントを使用して、第 1 項及び第 3 項の通知を提出するものとする。
以下の順序に従い、メーカーが入手可能な情報に基づいている:
(a) 当該製造事業者のデジタル要素を搭載した製品の数が最も多い製造事業者を代理する公認代理人が設立されている加盟国;
(b) 当該製造業者のデジタル要素を搭載した製品を最も多く市場に出している輸入業者が設立されている加盟国;
(c) 当該製造業者のデジタル・エレメントを搭載した製品を最も多く市販している販売業者が設立されている加盟国;
(d) 当該製造業者のデジタル・エレメントを搭載した製品のユーザー数が最も多い加盟国。
第 3 項の(d)に関連して、製造者は、その後積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリ ティに影響を及ぼす深刻なインシデントに関する通知を、最初に報告した調整者として指定された CSIRT と同じ CSIRT に提出することができる。
▌
▌ 製造者は、積極的に悪用される脆弱性または深刻なインシデントを認識した後、影響を受ける製品のユーザーに対し、デジタ ルで通知しなければならない。
積極的に悪用される脆弱性について、各要素、および必要に応じて全ユーザーを対象とする。
または、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデント、および必要に応じて、その脆弱性やインシデントの影響を軽減するためにユーザーが展開できるリスク軽減および是正措置について、
適切な場合、構造化され、容易に自動処理可能で、機械可読なフォーマットで。製造者が適時にデジタル要素を含む製品のユーザに通知しない場合、以下のように指定された通知された CSIRT は、デジタル要素を含む製品のユーザに通知する。
コーディネーターは、以下のように判断した場合、そのような情報をユーザーに提供することができる。
当該脆弱性またはインシデントの影響を防止または軽減するために、比例的かつ必要なもの。
製造業者およびその他の自然人または法人は、以下のいずれかを通知することができる。
デジタル要素を含む製品に含まれる脆弱性、およびデジタル要素を含む製品のリスクプロファイルに影響を与える可能性のあるサイバー脅威。
コーディネータとして指定された CSIRT または ENISA をベースとする。
製造業者だけでなく、その他の自然人または法人も、デジタル要素を含む製品のセキュリティに影響を与えるすべてのインシデントを、以下のように通知することができる。
このようなインシデントにつながる可能性のあるニアミスを、任意でコーディネータとして指定された CSIRT または ENISA に報告する。