データを保護し、脆弱性を取り除き、脅威に備える。サイバーレジリエンス法準拠チェックリストで、あなたの会社、製品、ソフトウェアがCRAに対応しているかどうかを確認しよう!
迅速な対応と期限内の準備のために、不足している可能性のある要件を特定する。
製品メーカー ない クリティカル製品または重要製品クラスⅡに分類される製品は、CRAの要求事項への準拠を自己評価することができる。.
を確認することができる。 附属書III 重要品目リストについては同規則を参照のこと。 附属書IV クリティカル製品のリストはこちら。
重要製品クラスIの製造者で、以下のいずれかに該当する者 適合 十分に 調和された基準 または 共通仕様に準拠 または は欧州のサイバーセキュリティ認証を取得している、 また、CRAの要求事項への準拠を自己評価することもできる。
⚠️、整合規格、共通仕様、または欧州のサイバーセキュリティ認証スキームを適用していないか、一部しか適用していない重要製品クラスⅠの製造業者。 マスト 第三者機関の評価を受ける(「重要製品および重要製品のタブ」を参照)。
いずれにせよ、非重要製品の製造者は、ノーティファイドボディがCRAへの適合性を評価する、重要製品と同じ評価プロセスを受けることを選択することができる。この場合、以下の2つのモジュールから選択する必要がある。 重要な製品 タブに表示され、以下に説明する条件とは異なる条件を満たすもの。
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | サイバーセキュリティリスクアセスメントを実施する。 | 規則第13条3項 | 自己評価 | |
| 2 | サイバーセキュリティリスク評価には、少なくとも、デジタル要素を含む製品の意図され た目的と予測可能な用途に基づくサイバーセキュリティリスクの分析を含めること。 | 規則第13条3項 | 自己評価 | |
| 3 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が一般要求事項をどのように適用するかを示すべきである(以下の「一般要求事項」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 4 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が脆弱性ハンドリング要件をどのように適用するかを示すべきである(以下の「一般要件」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 6 | 特定の必須要件がデジタル要素を含む製品に適用されない場合、製造者は、サイバーセキュリティリスク評価に明確な正当性を含めるべきである。 | (56) | 自己評価 | |
| 5 | サイバーセキュリティリスクアセスメントは、少なくとも製品サポート期間中は、サイバーセキュリティリスクの性質が進化し、新たな脆弱性が発見されたときに更新されるべきである。 | 規則第13条7項 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 7 | デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない; | 附属書I第1章第1節 | 自己評価 | |
| 8 | サイバーセキュリティリスク評価に基づき、該当する場合には、デジタル要素を含む製品は、悪用可能な既知の脆弱性がない状態で市場に提供されなければならない; | 附属書I、第1セクション§2a | 自己評価 | |
| 9 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素 を搭載した製品は、デフォルトで安全な構成で市場に提供されるものとする、 (デジタル要素を搭載したオーダーメイド製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り)、製品を元の状態にリセットする可能性を含む; | 附属書I、第1セクション§2b | 自己評価 | |
| 10 | サイバーセキュリティリスク評価に基づき、該当する場合、デジタル要素を含む製品は、セキュリティ更新によって脆弱性に対処できることを保証しなければならない、 これには、該当する場合、適切な期間内にインストールされる自動セキュ リティアップデートを通じて、利用可能なアップデートをユーザーに通知し、一時的にアップデートを延期するオ プションを提供する、明確で使いやすいオプトアウトメカニズムをデフォルト設定として有効にするこ とが含まれる; | 付属書第1章第1節§2c | 自己評価 | |
| 11 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製 品は、認証、ID またはアクセス管理システムを含むがこれに限定されない適切な管理メカニズ ムによって、不正アクセスからの保護を確保し、不正アクセスの可能性を報告する。 また、不正アクセスの可能性について報告しなければならない; | 附属書I第1章第2節 | 自己評価 | |
| 12 | サイバーセキュリティのリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、保存、送信、またはその他の方法で処理された個人またはその他のデータの機密性を保護しなければならない。 例えば、最新のメカニズムによる静止時または転送中の関連データの暗号化、その他の技術的手段の使用などである; | 附属書I第1部§2e | 自己評価 | |
| 13 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、保存、送信、またはその他の方法で処理されたデータの完全性を保護しなければならない、 個人またはその他のデータ、コマンド、プログラム、設定を、ユーザーの許可なく操作または変更されないように保護し、破損について報告しなければならない; | 附属書I第1部§2f | 自己評価 | |
| 14 | サイバーセキュリティリスク評価に基づき、該当する場合、デジタル要素を含む製品は、適切で、関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された個人データまたはその他のデータのみを処理するものとする(データの最小化); | 附属書I第1部§2g | 自己評価 | |
| 15 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、サービス妨害(DoS)攻撃に対する回復力および緩和策を含め、インシデント発生後も、必要不可欠かつ基本的な機能の可用性を保護しなければならない; | 附属書 I セクション 1 §2h | 自己評価 | |
| 16 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、製品自体または接続されたデバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること(例:外部接続やオープンポートの監視など)。 | 附属書I、第1セクション§2i | 自己評価 | |
| 17 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、外部インタフェースを含む攻撃面を制限するように設計、開発、製造されなければならない(例えば、外部ポートを閉じるなど)。 | 附属書I第1部§2j | 自己評価 | |
| 18 | サイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、適切な悪用緩和メカニズムや技術(例えば、侵害されたデバイスをネットワークから隔離する)を使用して、インシデントの影響を低減するように設計、開発、製造されなければならない。 | 附属書I、セクション1 §2k | 自己評価 | |
| 19 | サイバーセキュリティリスク評価に基づき、該当する場合、デジタル要素を含む製品は、データ、サービス、機能へのアクセスや変更を含む、関連する内部活動を記録・監視することで、セキュリティ関連情報を提供するものとする; | 附属書I、第1セクション§2l | 自己評価 | |
| 20 | サイバーセキュリティのリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、ユーザーがすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証しなければならない。 | 付属書 I、第 2 セクション§2、第 2 セクション§7、第 1 セクション§2m | 自己評価 | |
| 21 | デジタル要素を含む製品の製造者は、次のことを行わなければならない: (1) デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。 デジタル要素を持つ製品に含まれる脆弱性とコンポーネントを特定し、文書化すること。 を特定し、文書化すること。 少なくとも製品のトップレベルの依存関係を網羅する; | 附属書I、セクション2 §1 | 自己評価 | |
| 22 | デジタル要素を含む製品にもたらされるリスクに関連して、以下のような脆弱性に対処し、遅滞なく是正する。 セキュリティ更新を提供することを含め、脆弱性を遅滞なく是正すること。 技術的に可能な場合は、新しいセキュリティ更新を機能更新とは別に提供すること。 技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供されなければならない; | 附属書I、第2条第4項および第2条第2項 | 自己評価 | |
| 23 | デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを行う。 を適用する; | 附属書I、セクション2 §3 | 自己評価 | |
| 24 | セキュリティアップデートが利用可能になったら、修正された脆弱性の情報を共有し、一般に公開する。 修正された脆弱性に関する情報を共有し、公開すること。 これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザが特定できる情報、脆弱性が及ぼす影響、深刻度、明確な情報が含まれます。 を特定できる情報、脆弱性の影響、その深刻度、およびユーザが脆弱性を修正するための明確でアクセス可能な情報を含む、修正された脆弱性に関する情報を共有し、公開すること。 ユーザが脆弱性を修正するのに役立つ明確でアクセス可能な情報。 正当な理由がある場合であって、公表によるセキュリティ上のリスクがセキュリティ上の利点を上回るとメーカーが判断した場合。 メーカーが、公表によるセキュリティ上のリスクがセキュリティ上の利点を上回ると考える正当な場合には、修正された脆弱性に関する情報を公表するのを遅らせることができる。 メーカーが、公表によるセキュリティ上のリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合には、修正された脆弱性に関する情報の公表を、ユーザーが該当するパッチを適用できるようになるまで延期することができる。 を与えた後まで、修正された脆弱性に関する情報の公表を遅らせることができる; | 附属書I、セクション2 §4 | 自己評価 | |
| 25 | 協調的な脆弱性開示に関するポリシーを導入し、実施する; | 附属書I、セクション2 §5 | 自己評価 | |
| 26 | の潜在的な脆弱性に関する情報の共有を促進する措置を講じる。 その製品に含まれるサードパーティのコンポーネントの脆弱性だけでなく、デジタル要素を含む製品の潜在的な脆弱性に関する情報の共有を促進する手段を講じること。 その製品に含まれるサードパーティコンポーネントに潜在する脆弱性に関する情報の共有を容易にする手段を講じること。 デジタル要素を含む製品に発見された脆弱性を報告するための連絡先を提供すること。 を提供することを含む; | 附属書I、セクション2 §6 | 自己評価 | |
| 27 | デジタル要素を含む製品のアップデートを安全に配布する仕組みを提供する。 脆弱性が適時に修正または緩和されることを保証するために、デジタル要素を含む製品のアップデートを安全に配布する仕組みを提供すること。 セキュリティ更新に適用される場合は、自動的な方法で; | 附属書I、セクション2 §7 | 自己評価 | |
| 28 | 特定されたセキュリティ問題に対処するためのセキュリ ▌ アップデートが利用可能な場合は、そのアップデートが遅滞なく 頒布されるようにする。 セキュリティの問題に対処するための更新が利用可能な場合は、 遅滞なく、かつ、別段の合意がない限り、その更新を周知させる。 デジタル要素を含むオーダーメード製品に関連して製造事業者と企 業ユーザーとの間で合意された場合を除き、無料で、かつ、潜在的なセキュリ ティの問題を含む関連情報をユーザーに提供する勧告的メッセージを添付 して、遅滞なく配布されることを確保する。 を含む関連情報をユーザーに提供する勧告メッセージを添付して、無料で配布される。 を添付する。 | 附属書I、セクション2 §8 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 29 | 最低限、デジタル要素を含む製品には、以下を添付しなければならない:1.製造者の名称、登録商号または登録商標、▌郵送先住所、電子メールアドレスまたはその他のデジタル連絡先、および入手可能な場合は製造者と連絡可能なウェブサイト; | 付属書II、§1 | 自書 | |
| 30 | デジタル要素を含む製品の ▌ 脆弱性に関する情報を報告・受領できる唯一の窓口であり、 ▌ 協調的な脆弱性開示に関する製造業者の方針を確認できる場所; | 附属書II、§2 | 自書 | |
| 31 | デジタル要素 ▌ による製品の一意な識別を可能にする、名称、タイプ、および追加情報; | 附属書II、§3 | 自書 | |
| 32 | 製造者が提供するセキュリティ環境、製品の必須機能、セキュリティ特性に関する情報など、デジタル要素を含む製品の意図された目的; | 附属書II、§4 | 自書 | |
| 33 | 意図された目的に従って、または合理的に予見可能な誤用の条件下で、デジタル要素を含む製品を使用することに関連する、既知または予見可能な状況であって、重大なサイバーセキュリティリスクにつながる可能性のあるもの; | 附属書II、§5 | 自書 | |
| 34 | 該当する場合は、EU適合宣言にアクセスできるインターネットアドレス; | 附属書II、§6 | 自書 | |
| 35 | メーカーが提供するテクニカルセキュリティサポートの種類と、ユーザーが脆弱性への対応やセキュリティアップデートの提供を期待できるサポート期間の終了日; | 附属書II、§7 | 自書 | |
| 36 | に関する詳細な指示又は当該詳細な指示及び情報を参照するインターネットアドレス:(a) 最初の試運転時及びデジタル要素を備えた製品の耐用期間を通じて、その安全な使用を確保するために必要な措置; | 附属書II、§8a | 自書 | |
| 37 | デジタル要素を含む製品への変更が、データのセキュリティにどのような影響を与えるか; | 附属書II、§8b | 自書 | |
| 38 | セキュリティ関連のアップデートをインストールする方法; | 附属書II、§8c | ||
| 39 | ユーザーデータを安全に削除する方法に関する情報を含む、デジタル要素を含む製品の安全な廃止; | 付属書II、§8d | ||
| 40 | 附属書Ⅰ、パートⅠ、ポイント(c)で要求されている、セキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法; | 附属書 VI、§8e | ||
| 41 | デジタル要素を備えた製品が他のデジタル要素を備えた製品への統合を意図している場合、統合者が附属書Ⅰに定める必須要件及び附属書Ⅶに定める文書要件に準拠するために必要な情報。 | 附属書II、§8f | ||
| 42 | 製造者がソフトウェア部品表をユーザーに提供することを決定した場合、ソフトウェア部品表にアクセスできる場所に関する情報。 | 附属書II、§9 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 43 | 第28条のEU適合宣言書には、以下のすべての情報を含まなければならない:1.1.名称、型式、およびデジタル要素による製品の一意な識別を可能にする追加情報; | 付属書V、セクション1 | 自書 | |
| 44 | メーカーまたはその正規代理店の名前と住所; | 付属書V、セクション2 | 自書 | |
| 45 | EU適合宣言は、提供者の単独の責任において発行される旨の声明; | 付属書V、セクション3 | 自書 | |
| 46 | 宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;) | 附属書V第4章 | 自書 | |
| 47 | 上記の宣言の対象が、関連するEU調和法に適合している旨の声明; | 附属書V、セクション5 | 自書 | |
| 48 | 適合が宣言されている関連整合規格、その他の共通仕様、サイバーセキュリティ認証への言及; | 附属書V第6章 | 該当する場合 | |
| 49 | 該当する場合、通知機関の名称と番号、実施された適合性評価手順の説明、発行された証明書の識別; | 附属書V第7章 | - | |
| 50 | 追加情報(氏名、職責)(署名): | 付属書V、第8節 | - |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 51 | 第31条の技術文書には,デジタル要素付き製品に該当する場合,少なくとも次の情報を含まな ければならない:1. 以下を含む、デジタル要素付き製品の一般的な説明; | 附属書VIII第1節a | 自書 | |
| 52 | 必須要件への準拠に影響を与えるソフトウェアのバージョン; | 付属書VIII第1節§b | 自書 | |
| 53 | デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト; | 付属書VIII第1セクション§c | 自書 | |
| 54 | 附属書IIに記載されている利用者情報および指示; | 付属書VIII第1節§d | 自書 | |
| 55 | (a)デジタル要素を含む製品の設計、開発、製造、および脆弱性処理プロセスに関する説明(該当する場合、図面および図式、ならびにソフトウェアコンポーネントがどのように互いに構築または相互作用し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む); | 附属書 VIII セクション 2 §a | 自書 | |
| 56 | ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先アドレスの提供の証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報と仕様; | 附属書 VIII セクション 2 §b | 自書 | |
| 57 | デジタルエレメントを使用した製品の製造および監視プロセス、ならびにそれらのプロセスの検証に必要な情報および仕様; | 附属書 VIII セクション 2 §c | 自書 | |
| 58 | 附属書ⅠパートⅠに定める必須要件がどのように適用されるかを含め、デジタル要素を含む製品が本規則第13条に定めるように設計、開発、製造、引渡し及び維持されるサイバーセキュリティリスクの評価; | 付属書VIII第3章 | 自書 | |
| 59 | デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報; | 付属書VIII第4節 | 自書 | |
| 60 | 欧州連合官報に引用文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含む、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用されている部分を明記しなければならない; | 付属書VIII第5章 | 自書 | |
| 61 | 付属書 I の第 I 部および第 II 部に規定されている適用される必須要求事項に対する、デジタル要素を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書; | 付属書VIII第6章 | 自書 | |
| 62 | EU適合宣言書のコピー; | 付属書VIII第7章 | 自書 | |
| 63 | ただし,市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要である場合に限る。 | 付属書VIII 第8節 | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 64 | 製造者は、デジタル要素を有する製品に含まれる、積極的に悪用される脆弱性を認識した場合、 ▌本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造者は、第 16 条に従って確立された単一の報告プラットフォームを通じて、積極的に悪用された脆弱性 を通知するものとする。 | 規則第14条1項 | - | |
| 65 | 積極的に悪用される脆弱性について、過度の遅滞なく、いかなる場合にも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと; | 規則第14条2項a号 | - | |
| 66 | この脆弱性通知は、関連する情報が既に提供されている場合を除き、過度な遅滞なく、いかなる場合においても、製造者が積極的に悪用された脆弱性を認識してから72時間以内に、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質および当該脆弱性、ならびに講じられた是正措置または緩和措置、およびユーザが講じることができる是正措置または緩和措置を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとします; | 規則第14条2項b号 | - | |
| 67 | 関連する情報が既に提供されている場合を除き、是正措置または緩和措置が利用可能になってから 14 日以内に、少なくとも以下を含む最終報告書を提出する:(i) 脆弱性の重大性と影響を含む脆弱性の説明 (ii) 可能な場合は、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報 (iii) 脆弱性を是正するために利用可能となったセキュリティ更新またはその他の是正措置の詳細。 | 規則第14条第2項§c | - | |
| 68 | 製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントを認識した場合、本条第7項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16 条に従って構築された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。 | 規則第14条3項 | - | |
| 69 | 必要な場合、最初に通知を受けたコーディネータとして指定された CSIRT は、積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリティに影響を与える深刻なインシデントに関する関連するステータスアップデートの中間報告を製造者に要求することができる。 | 規則第14条6項 |
重要製品クラスIIおよびクラスIの製造業者 (自社製品がない場合 十分に 整合規格または共通仕様に適合しているか、欧州サイバーセキュリティ認証を受けていない場合)は、製品がCRAの要件に適合していることを検証する責任を負うノーティファイド・ボディが実施する外部評価プロセスを経る必要がある。
⚠️ 2024年3月現在、認定団体は発表されていない。
を確認することができます。 附属書III 重要品目リストについては、規則の項を参照のこと。
重要製品メーカー が必要となる可能性がある。 今後 これは第8条1項によるものである。しかし、2024年3月現在、欧州委員会は、どの製品が該当し、どのような認証スキームに従わなければならないかを決定するために必要な委任法をまだ採択していない。そのような委任法がない場合、重要製品の製造者は、重要製品と同じ認証手続きに従うことができる。
⚠️委任法が公表され、これらの認証制度に関する詳細が判明次第、このウェブページを更新する。
を確認することができます。 附属書IV クリティカル・プロダクトのリストについては、規制の項を参照のこと。
重要・重要製品のメーカーは、自社製品の評価について、モジュールB(またはモジュールB+モジュールC)とモジュールHの2つの経路から自由に選択することができる。
モジュールHは比較的厳密な評価パスで、次のようなものである。 品質システム 製品が CRA の要求事項に適合していることを保証するために製造者が実施した工程と手順の 書面による記録が、届出機関により評価されること。
モジュールBでは、品質システムの構築は義務付けられていませんが、その代わりに、審査過程において、製品の検体をノーティファイド・ボディが検査することが義務付けられています。さらに、ある製品がモジュールBで認証されると、同種の他の製品はモジュールCで認証される。これは、ノーティファイド・ボディによる新たな審査を必要としない認証パスである。
したがって、モジュールBがハードウェア自体に焦点を当てるのに対し、モジュールHは、CRAに準拠するための基礎として、製造者のプロセス(すなわち品質システム)に注目する。
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | サイバーセキュリティリスクアセスメントを実施する。 | 規則第13条3項 | 自己評価 | |
| 2 | サイバーセキュリティリスク評価には、少なくとも、デジタル要素を含む製品の意図され た目的と予測可能な用途に基づくサイバーセキュリティリスクの分析を含めること。 | 規則第13条3項 | 自己評価 | |
| 3 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が一般要求事項をどのように適用するかを示すべきである(以下の「一般要求事項」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 4 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が脆弱性ハンドリング要件をどのように適用するかを示すべきである(以下の「一般要件」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 6 | 特定の必須要件がデジタル要素を含む製品に適用されない場合、製造者は、サイバーセキュリティリスク評価に明確な正当性を含めるべきである。 | (56) | 自己評価 | |
| 5 | サイバーセキュリティリスクアセスメントは、少なくとも製品サポート期間中は、サイバーセキュリティリスクの性質が進化し、新たな脆弱性が発見されたときに更新されるべきである。 | 規則第13条7項 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 7 | デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない; | 附属書I第1章第1節 | ノーティファイド・ボディによる評価 | |
| 8 | 悪用可能な既知の脆弱性がない状態で市場に出回る; | 附属書I、第1セクション§2a | ノーティファイド・ボディによる評価 | |
| 9 | 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメイド製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること; | 附属書I、第1セクション§2b | ノーティファイド・ボディによる評価 | |
| 10 | 該当する場合は、利用可能なアップデートのユーザーへの通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効化された、適切な期間内にインストールされる自動セキュリティ・アップデートを通じて、脆弱性に対処できるようにする; | 附属書I第1部§2c | ノーティファイド・ボディによる評価 | |
| 11 | 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保し、不正アクセスの可能性について報告する; | 附属書I第1章第2節 | ノーティファイド・ボディによる評価 | |
| 12 | 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護するため、関連するデータを最新のメカニズムで暗号化し、その他の技術的手段を使用します; | 付属書I第1章第3節cおよび付属書第1章第2節e | ノーティファイド・ボディによる評価 | |
| 13 | 保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の整合性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること; | 附属書I第1部§2f | ノーティファイド・ボディによる評価 | |
| 14 | 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化); | 附属書I第1部§2g | ノーティファイド・ボディによる評価 | |
| 15 | サービス拒否攻撃に対する回復力 ▌ と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する; | 附属書 I セクション 1 §2h | ノーティファイド・ボディによる評価 | |
| 16 | 製品自体または接続デバイスが、他のデバイスやネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること; | 附属書I、第1セクション§2i | ノーティファイド・ボディによる評価 | |
| 17 | 外部インターフェイスを含む攻撃面を制限するように設計、開発、製造される; | 附属書I第1部§2j | ノーティファイド・ボディによる評価 | |
| 18 | 適切な悪用緩和の仕組みと技術を用いて、インシデントの影響を軽減するように設計、開発、製造される; | 附属書I、セクション1 §2k | ノーティファイド・ボディによる評価 | |
| 19 | データ、サービス、機能へのアクセスや変更を含む、関連する内部活動の記録および監視によるセキュリティ関連情報の提供; | 附属書I、第1セクション§2l | ノーティファイド・ボディによる評価 | |
| 20 | 利用者がすべてのデータや設定を安全かつ簡単に永久的に削除できるようにすること。また、そのようなデータを他の製品やシステムに転送できる場合は、安全な方法で転送できるようにすること。 | 附属書I、セクション1 §2m | ノーティファイド・ボディによる評価 | |
| 21 | デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することが含まれる; | 附属書I、セクション2 §1 | ノーティファイド・ボディによる評価 | |
| 22 | 技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供すること; | 附属書 I セクション 2 §2 | ノーティファイド・ボディによる評価 | |
| 23 | デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する; | 付属書 I、第 2 セクション§2、第 2 セクション§7、第 2 セクション§3 | ノーティファイド・ボディによる評価 | |
| 24 | セキュリティ・アップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開すること。これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザーが特定できる情報、脆弱性の影響、深刻度、ユーザーが脆弱性を修正するのに役立つ明確でアクセス可能な情報などが含まれる。メーカーが、公開によるセキュリティ上のリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合、修正された脆弱性に関する情報の公開を、ユーザーが該当するパッチを適用できるようになるまで延期することができる; | 附属書I、セクション2 §4 | ノーティファイド・ボディによる評価 | |
| 25 | 協調的な脆弱性開示に関するポリシーを導入し、実施する; | 附属書I、セクション2 §4およびセクション2 §5 | ノーティファイド・ボディによる評価 | |
| 26 | デジタル要素を含む製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル要素を含む製品およびその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること; | 附属書I、セクション2 §6 | ノーティファイド・ボディによる評価 | |
| 27 | デジタル要素を含む製品のアップデートを安全に配布するメカニズムを提供し、 ▌脆弱性が適時に、またセキュリティアップデートに該当する場合は自動的 に修正または緩和されるようにする; | 附属書I、セクション2 §7 | ノーティファイド・ボディによる評価 | |
| 28 | 特定されたセキュリティ上の問題に対処するためのセキュリ ▌アップデートが入手可能な場合は、遅滞なく、また、デジタ ル要素を含むオーダーメイド製品に関して製造業者とビジネス・ユ ーザーの間で別段の合意がない限り、無料で配布されるようにする。 | 附属書I、セクション2 §8 | ノーティファイド・ボディによる評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 29 | 最低限、デジタル要素を含む製品には、以下を添付しなければならない:1.製造者の名称、登録商号または登録商標、▌郵送先住所、電子メールアドレスまたはその他のデジタル連絡先、および入手可能な場合は製造者と連絡可能なウェブサイト; | 付属書II、§1 | 自書 | |
| 30 | デジタル要素を含む製品の ▌ 脆弱性に関する情報を報告・受領できる唯一の窓口であり、 ▌ 協調的な脆弱性開示に関する製造業者の方針を確認できる場所; | 附属書II、§2 | 自書 | |
| 31 | デジタル要素 ▌ による製品の一意な識別を可能にする、名称、タイプ、および追加情報; | 附属書II、§3 | 自書 | |
| 32 | 製造者が提供するセキュリティ環境、製品の必須機能、セキュリティ特性に関する情報など、デジタル要素を含む製品の意図された目的; | 附属書II、§4 | 自書 | |
| 33 | 意図された目的に従って、または合理的に予見可能な誤用の条件下で、デジタル要素を含む製品を使用することに関連する、既知または予見可能な状況であって、重大なサイバーセキュリティリスクにつながる可能性のあるもの; | 附属書II、§5 | 自書 | |
| 34 | 該当する場合は、EU適合宣言にアクセスできるインターネットアドレス; | 附属書II、§6 | 自書 | |
| 35 | メーカーが提供するテクニカルセキュリティサポートの種類と、ユーザーが脆弱性への対応やセキュリティアップデートの提供を期待できるサポート期間の終了日; | 附属書II、§7 | 自書 | |
| 36 | に関する詳細な指示又は当該詳細な指示及び情報を参照するインターネットアドレス:(a) 最初の試運転時及びデジタル要素を備えた製品の耐用期間を通じて、その安全な使用を確保するために必要な措置; | 附属書II、§8a | 自書 | |
| 37 | デジタル要素を含む製品への変更が、データのセキュリティにどのような影響を与えるか; | 附属書II、§8b | 自書 | |
| 38 | セキュリティ関連のアップデートをインストールする方法; | 附属書II、§8c | ||
| 39 | ユーザーデータを安全に削除する方法に関する情報を含む、デジタル要素を含む製品の安全な廃止; | 付属書II、§8d | ||
| 40 | 附属書Ⅰ、パートⅠ、ポイント(c)で要求されている、セキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法; | 附属書 VI、§8e | ||
| 41 | デジタル要素を備えた製品が他のデジタル要素を備えた製品への統合を意図している場合、統合者が附属書Ⅰに定める必須要件及び附属書Ⅶに定める文書要件に準拠するために必要な情報。 | 附属書II、§8f | ||
| 42 | 製造者がソフトウェア部品表をユーザーに提供することを決定した場合、ソフトウェア部品表にアクセスできる場所に関する情報。 | 附属書II、§9 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 43 | 第28条のEU適合宣言書には、以下のすべての情報を含まなければならない:1.1.名称、型式、およびデジタル要素による製品の一意な識別を可能にする追加情報; | 付属書V、セクション1 | 自書 | |
| 44 | メーカーまたはその正規代理店の名前と住所; | 付属書V、セクション2 | 自書 | |
| 45 | EU適合宣言は、提供者の単独の責任において発行される旨の声明; | 付属書V、セクション3 | 自書 | |
| 46 | 宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;) | 附属書V第4章 | 自書 | |
| 47 | 上記の宣言の対象が、関連するEU調和法に適合している旨の声明; | 附属書V、セクション5 | 自書 | |
| 48 | 適合が宣言されている関連整合規格、その他の共通仕様、サイバーセキュリティ認証への言及; | 附属書V第6章 | 該当する場合 | |
| 49 | 該当する場合、通知機関の名称と番号、実施された適合性評価手順の説明、発行された証明書の識別; | 附属書V第7章 | - | |
| 50 | 追加情報(氏名、職責)(署名): | 付属書V、第8節 | - |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 51 | 以下を含む、デジタル要素を含む製品の一般的な説明。 | 附属書VII、セクション1 §a | ノーティファイド・ボディによる評価 | |
| 52 | 必須要件への準拠に影響を与えるソフトウェアのバージョン; | 附属書VII第1節§b | ノーティファイド・ボディによる評価 | |
| 53 | デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト | 付属書VII第1セクション§c | ノーティファイド・ボディによる評価 | |
| 54 | 附属書IIに記載されている利用者情報および指示; | 付属書VII第1節§d | ノーティファイド・ボディによる評価 | |
| 55 | デジタル要素を含む製品の設計と開発に関する必要な情報(該当する場合、図面や回路図、ソフトウェアコンポーネントがどのように相互に構築され、または相互作用し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む); | 附属書VII、セクション2 §a | ノーティファイド・ボディによる評価 | |
| 56 | ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先アドレスの提供の証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報と仕様; | 附属書 VII セクション 2 §b | ノーティファイド・ボディによる評価 | |
| 57 | デジタルエレメントを使用した製品の製造および監視プロセス、ならびにそれらのプロセスの検証に必要な情報および仕様; | 附属書 VII セクション 2 §c | ノーティファイド・ボディによる評価 | |
| 58 | 附属書ⅠパートⅠに定める必須要件がどのように適用されるかを含め、デジタル要素を含む製品が本規則第13条に定めるように設計、開発、製造、引渡し及び維持されるサイバーセキュリティリスクの評価; | 付属書VII第3章 | ノーティファイド・ボディによる評価 | |
| 59 | デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報; | 付属書VII第4章 | ノーティファイド・ボディによる評価 | |
| 60 | 欧州連合官報に引用文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含む、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用されている部分を明記しなければならない; | 付属書VII第5章 | ノーティファイド・ボディによる評価 | |
| 61 | 付属書 I の第 I 部および第 II 部に規定されている適用される必須要求事項に対する、デジタル要素を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書; | 付属書VII第6章 | ノーティファイド・ボディによる評価 | |
| 62 | EU適合宣言書のコピー; | 付属書VII第7章 | ノーティファイド・ボディによる評価 | |
| 63 | ただし,市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要である場合に限る。 | 付属書VII第8項 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 64 | 製造者は、デジタル要素を有する製品に含まれる、積極的に悪用される脆弱性を認識した場合、 ▌本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造者は、第 16 条に従って確立された単一の報告プラットフォームを通じて、積極的に悪用された脆弱性 を通知するものとする。 | 規則第14条1項 | - | |
| 65 | 積極的に悪用される脆弱性について、過度の遅滞なく、いかなる場合にも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと; | 規則第14条2項a号 | - | |
| 66 | この脆弱性通知は、関連する情報が既に提供されている場合を除き、過度な遅滞なく、いかなる場合においても、製造者が積極的に悪用された脆弱性を認識してから72時間以内に、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質および当該脆弱性、ならびに講じられた是正措置または緩和措置、およびユーザが講じることができる是正措置または緩和措置を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとします; | 規則第14条2項b号 | - | |
| 67 | 関連する情報が既に提供されている場合を除き、是正措置または緩和措置が利用可能になってから 14 日以内に、少なくとも以下を含む最終報告書を提出する:(i) 脆弱性の重大性と影響を含む脆弱性の説明 (ii) 可能な場合は、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報 (iii) 脆弱性を是正するために利用可能となったセキュリティ更新またはその他の是正措置の詳細。 | 規則第14条第2項§c | - | |
| 68 | 製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントを認識した場合、本条第7項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16 条に従って構築された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。 | 規則第14条3項 | - | |
| 69 | 必要な場合、最初に通知を受けたコーディネータとして指定された CSIRT は、積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリティに影響を与える深刻なインシデントに関する関連するステータスアップデートの中間報告を製造者に要求することができる。 | 規則第14条6項 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 72 | 製造者は、単一のノーティファイド機関にEU型式審査を申請しなければならない。 | 付属書VIII、モジュールB、セクション3 | - | |
| 73 | 申請書には、製造者の名称と住所、および該当する場合は正規代理店の名称と住所を記載すること。 | 付属書VIII、モジュールB、セクション3 | - | |
| 74 | 申請書には、他の団体について同一の申請を行っていない旨の宣誓書を添付しなければならない。 | 付属書VIII、モジュールB、セクション3 | - | |
| 75 | 申請書には、技術的な説明を含めなければならない。 | 付属書VIII、モジュールB、セクション3 | - | |
| 76 | 申請書には、該当する場合はテストを含め、適切性を裏付ける証拠を含めること。 | 付属書VIII、モジュールB、セクション3 | - | |
| 77 | 申請書には、ノーティファイドボディによる更なる試験のための製品の試験片を含めなければならない。 | 付属書VIII、モジュールB、セクション2 | - | |
| 78 | 製造者は,認証された製品の有効条件に影響を及ぼす可能性のある,認証された製品及び脆弱性 の取扱いプロセスに対するすべての変更について,通知機関に通知しなければならない。 | 付属書VIII、モジュールB、セクション7 | - | |
| 79 | 製造者は、ノーティファイドボディから提供された審査証明書、付属書及び追補の写しを、製品の上市後10年間保管しなければならない。 | 付属書VIII、モジュールB、セクション9 | - | |
| 80 | 委任された代理人は、委任状に明記されている場合に限り、申請書を提出することができる。 | 付属書VIII、モジュールB、セクション10 | - |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | サイバーセキュリティリスクアセスメントを実施する。 | 規則第13条3項 | 自己評価 | |
| 2 | サイバーセキュリティリスク評価には、少なくとも、デジタル要素を含む製品の意図され た目的と予測可能な用途に基づくサイバーセキュリティリスクの分析を含めること。 | 規則第13条3項 | 自己評価 | |
| 3 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が一般要求事項をどのように適用するかを示すべきである(以下の「一般要求事項」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 4 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が脆弱性ハンドリング要件をどのように適用するかを示すべきである(以下の「一般要件」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 6 | 特定の必須要件がデジタル要素を含む製品に適用されない場合、製造者は、サイバーセキュリティリスク評価に明確な正当性を含めるべきである。 | (56) | 自己評価 | |
| 5 | サイバーセキュリティリスクアセスメントは、少なくとも製品サポート期間中は、サイバーセキュリティリスクの性質が進化し、新たな脆弱性が発見されたときに更新されるべきである。 | 規則第13条7項 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 7 | デジタル要素を含む製品を設計、開発、製造する際には、サイバーレジリエンスを考慮すべきである。 | 附属書I第1章第1節 | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 8 | 悪用可能な既知の脆弱性がない状態で市場に出回る; | 附属書I、第1セクション§2a | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 9 | 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメイド製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること; | 附属書I、第1セクション§2b | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 10 | 該当する場合は、利用可能なアップデートのユーザーへの通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効化された、適切な期間内にインストールされる自動セキュリティ・アップデートを通じて、脆弱性に対処できるようにする; | 附属書I第1部§2c | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 11 | 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保し、不正アクセスの可能性について報告する; | 附属書I第1章第2節 | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 12 | 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護するため、関連するデータを最新のメカニズムで暗号化し、その他の技術的手段を使用します; | 付属書I第1章第3節cおよび付属書第1章第2節e | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 13 | 保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の整合性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること; | 附属書I第1部§2f | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 14 | 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化); | 附属書I第1部§2g | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 15 | サービス拒否攻撃に対する回復力 ▌ と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する; | 附属書 I セクション 1 §2h | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 16 | 製品自体または接続デバイスが、他のデバイスやネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること; | 附属書I、第1セクション§2i | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 17 | 外部インターフェイスを含む攻撃面を制限するように設計、開発、製造される; | 附属書I第1部§2j | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 18 | 適切な悪用緩和の仕組みと技術を用いて、インシデントの影響を軽減するように設計、開発、製造される; | 附属書I、セクション1 §2k | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 19 | データ、サービス、機能へのアクセスや変更を含む、関連する内部活動の記録および監視によるセキュリティ関連情報の提供; | 附属書I、第1セクション§2l | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 20 | 利用者がすべてのデータや設定を安全かつ簡単に永久的に削除できるようにすること。また、そのようなデータを他の製品やシステムに転送できる場合は、安全な方法で転送できるようにすること。 | 附属書I、セクション1 §2m | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 21 | デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することが含まれる; | 附属書I、セクション2 §1 | 同種の製品について過去に取得したEU型審査証明書に基づく自己評価(モジュールB) | |
| 22 | 技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供すること; | 附属書 I セクション 2 §2 | ノーティファイド・ボディによる評価 | |
| 23 | デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する; | 附属書 I セクション 2 §2 | ノーティファイド・ボディによる評価 | |
| 24 | セキュリティ・アップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開すること。これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザーが特定できる情報、脆弱性の影響、深刻度、ユーザーが脆弱性を修正するのに役立つ明確でアクセス可能な情報などが含まれる。メーカーが、公開によるセキュリティ上のリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合、修正された脆弱性に関する情報の公開を、ユーザーが該当するパッチを適用できるようになるまで延期することができる; | 附属書I、セクション2 §4 | ノーティファイド・ボディによる評価 | |
| 25 | 協調的な脆弱性開示に関するポリシーを導入し、実施する; | 附属書I、セクション2 §5 | ノーティファイド・ボディによる評価 | |
| 26 | デジタル要素を含む製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル要素を含む製品およびその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること; | 附属書I、セクション2 §6 | ノーティファイド・ボディによる評価 | |
| 27 | デジタル要素を含む製品のアップデートを安全に配布するメカニズムを提供し、 ▌脆弱性が適時に、またセキュリティアップデートに該当する場合は自動的 に修正または緩和されるようにする; | 附属書I、セクション2 §7 | ノーティファイド・ボディによる評価 | |
| 28 | 特定されたセキュリティ上の問題に対処するためのセキュリ ▌アップデートが入手可能な場合は、遅滞なく、また、デジタ ル要素を含むオーダーメイド製品に関して製造業者とビジネス・ユ ーザーの間で別段の合意がない限り、無料で配布されるようにする。 | 附属書I、セクション2 §8 | ノーティファイド・ボディによる評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 29 | 最低限、デジタル要素を含む製品には、以下を添付しなければならない:1.製造者の名称、登録商号または登録商標、▌郵送先住所、電子メールアドレスまたはその他のデジタル連絡先、および入手可能な場合は製造者と連絡可能なウェブサイト; | 付属書II、§1 | 自書 | |
| 30 | デジタル要素を含む製品の ▌ 脆弱性に関する情報を報告・受領できる唯一の窓口であり、 ▌ 協調的な脆弱性開示に関する製造業者の方針を確認できる場所; | 附属書II、§2 | 自書 | |
| 31 | デジタル要素 ▌ による製品の一意な識別を可能にする、名称、タイプ、および追加情報; | 附属書II、§3 | 自書 | |
| 32 | 製造者が提供するセキュリティ環境、製品の必須機能、セキュリティ特性に関する情報など、デジタル要素を含む製品の意図された目的; | 附属書II、§4 | 自書 | |
| 33 | 意図された目的に従って、または合理的に予見可能な誤用の条件下で、デジタル要素を含む製品を使用することに関連する、既知または予見可能な状況であって、重大なサイバーセキュリティリスクにつながる可能性のあるもの; | 附属書II、§5 | 自書 | |
| 34 | 該当する場合は、EU適合宣言にアクセスできるインターネットアドレス; | 附属書II、§6 | 自書 | |
| 35 | メーカーが提供するテクニカルセキュリティサポートの種類と、ユーザーが脆弱性への対応やセキュリティアップデートの提供を期待できるサポート期間の終了日; | 附属書II、§7 | 自書 | |
| 36 | に関する詳細な指示又は当該詳細な指示及び情報を参照するインターネットアドレス:(a) 最初の試運転時及びデジタル要素を備えた製品の耐用期間を通じて、その安全な使用を確保するために必要な措置; | 附属書II、§8a | 自書 | |
| 37 | デジタル要素を含む製品への変更が、データのセキュリティにどのような影響を与えるか; | 附属書II、§8b | 自書 | |
| 38 | セキュリティ関連のアップデートをインストールする方法; | 附属書II、§8c | ||
| 39 | ユーザーデータを安全に削除する方法に関する情報を含む、デジタル要素を含む製品の安全な廃止; | 付属書II、§8d | ||
| 40 | 附属書Ⅰ、パートⅠ、ポイント(c)で要求されている、セキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法; | 附属書 VI、§8e | ||
| 41 | デジタル要素を備えた製品が他のデジタル要素を備えた製品への統合を意図している場合、統合者が附属書Ⅰに定める必須要件及び附属書Ⅶに定める文書要件に準拠するために必要な情報。 | 附属書II、§8f | ||
| 42 | 製造者がソフトウェア部品表をユーザーに提供することを決定した場合、ソフトウェア部品表にアクセスできる場所に関する情報。 | 附属書II、§9 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 37 | 第28条のEU適合宣言書には、以下のすべての情報を含まなければならない:1.1.名称、型式、およびデジタル要素による製品の一意な識別を可能にする追加情報; | 付属書V、セクション1 | 自筆 | |
| 38 | メーカーまたはその正規代理店の名前と住所; | 付属書V、セクション2 | 自書 | |
| 39 | EU適合宣言は、提供者の単独の責任において発行される旨の声明; | 付属書V、セクション3 | 自書 | |
| 40 | 申告の対象(トレーサビリティを可能にするデジタル要素による製品の識別、適切な場合には写真を含むことができる。) | 附属書V第4章 | 自書 | |
| 41 | 上記の宣言の対象が、関連するEU調和法に適合している旨の声明; | 附属書V、セクション5 | 自書 | |
| 42 | 適合が宣言されている関連整合規格、その他の共通仕様、サイバーセキュリティ認証への言及; | 附属書V第6章 | 自書 | |
| 43 | 該当する場合、通知機関の名称と番号、実施された適合性評価手順の説明、発行された証明書の識別; | 附属書V第7章 | 自書 | |
| 44 | 追加情報(氏名、職責)(署名): | 付属書V、第8節 | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 51 | 第31条の技術文書には,デジタル要素付き製品に該当する場合,少なくとも次の情報を含まな ければならない:1. 以下を含む、デジタル要素付き製品の一般的な説明; | 附属書VIII第1節a | 自書 | |
| 52 | 必須要件への準拠に影響を与えるソフトウェアのバージョン; | 付属書VIII第1節§b | 自書 | |
| 53 | デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト; | 付属書VIII第1セクション§c | 自書 | |
| 54 | 附属書IIに記載されている利用者情報および指示; | 付属書VIII第1節§d | 自書 | |
| 55 | (a)デジタル要素を含む製品の設計、開発、製造、および脆弱性処理プロセスに関する説明(該当する場合、図面および図式、ならびにソフトウェアコンポーネントがどのように互いに構築または相互作用し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む); | 附属書 VIII セクション 2 §a | 自書 | |
| 56 | ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先アドレスの提供の証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報と仕様; | 附属書 VIII セクション 2 §b | 自書 | |
| 57 | デジタルエレメントを使用した製品の製造および監視プロセス、ならびにそれらのプロセスの検証に必要な情報および仕様; | 附属書 VIII セクション 2 §c | 自書 | |
| 58 | 附属書ⅠパートⅠに定める必須要件がどのように適用されるかを含め、デジタル要素を含む製品が本規則第13条に定めるように設計、開発、製造、引渡し及び維持されるサイバーセキュリティリスクの評価; | 付属書VIII第3章 | 自書 | |
| 59 | デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報; | 付属書VIII第4節 | 自書 | |
| 60 | 欧州連合官報に引用文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含む、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用されている部分を明記しなければならない; | 付属書VIII第5章 | 自書 | |
| 61 | 付属書 I の第 I 部および第 II 部に規定されている適用される必須要求事項に対する、デジタル要素を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書; | 付属書VIII第6章 | 自書 | |
| 62 | EU適合宣言書のコピー; | 付属書VIII第7章 | 自書 | |
| 63 | ただし,市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要である場合に限る。 | 付属書VIII 第8節 | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 64 | 製造者は、デジタル要素を有する製品に含まれる、積極的に悪用される脆弱性を認識した場合、 ▌本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造者は、第 16 条に従って確立された単一の報告プラットフォームを通じて、積極的に悪用された脆弱性 を通知するものとする。 | 規則第14条1項 | - | |
| 65 | 積極的に悪用される脆弱性について、過度の遅滞なく、いかなる場合にも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと; | 規則第14条2項a号 | - | |
| 66 | この脆弱性通知は、関連する情報が既に提供されている場合を除き、過度な遅滞なく、いかなる場合においても、製造者が積極的に悪用された脆弱性を認識してから72時間以内に、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質および当該脆弱性、ならびに講じられた是正措置または緩和措置、およびユーザが講じることができる是正措置または緩和措置を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとします; | 規則第14条2項b号 | - | |
| 67 | 関連する情報が既に提供されている場合を除き、是正措置または緩和措置が利用可能になってから 14 日以内に、少なくとも以下を含む最終報告書を提出する:(i) 脆弱性の重大性と影響を含む脆弱性の説明 (ii) 可能な場合は、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報 (iii) 脆弱性を是正するために利用可能となったセキュリティ更新またはその他の是正措置の詳細。 | 規則第14条第2項§c | - | |
| 68 | 製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントを認識した場合、本条第7項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16 条に従って構築された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。 | 規則第14条3項 | - | |
| 69 | 必要な場合、最初に通知を受けたコーディネータとして指定された CSIRT は、積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリティに影響を与える深刻なインシデントに関する関連するステータスアップデートの中間報告を製造者に要求することができる。 | 規則第14条6項 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | サイバーセキュリティリスクアセスメントを実施する。 | 規則第13条3項 | 自己評価 | |
| 2 | サイバーセキュリティリスク評価には、少なくとも、デジタル要素を含む製品の意図され た目的と予測可能な用途に基づくサイバーセキュリティリスクの分析を含めること。 | 規則第13条3項 | 自己評価 | |
| 3 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が一般要求事項をどのように適用するかを示すべきである(以下の「一般要求事項」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 4 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が脆弱性ハンドリング要件をどのように適用するかを示すべきである(以下の「一般要件」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 6 | 特定の必須要件がデジタル要素を含む製品に適用されない場合、製造者は、サイバーセキュリティリスク評価に明確な正当性を含めるべきである。 | (56) | 自己評価 | |
| 5 | サイバーセキュリティリスクアセスメントは、少なくとも製品サポート期間中は、サイバーセキュリティリスクの性質が進化し、新たな脆弱性が発見されたときに更新されるべきである。 | 規則第13条7項 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 7 | デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない; | 附属書I第1章第1節 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 8 | 第 13 条(2)で言及されるサイバーセキュリティリスク評価に基づき、該当する場合、デジタル要素を含む製品は、以下のようにしなければならない:(a)悪用可能な既知の脆弱性がない状態で市場に提供されること; | 附属書I、第1セクション§2a | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 9 | 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメイド製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること; | 附属書I、第1セクション§2b | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 10 | 該当する場合は、利用可能なアップデートのユーザーへの通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効化された、適切な期間内にインストールされる自動セキュリティ・アップデートを通じて、脆弱性に対処できるようにする; | 付属書I第1章第3節cおよび付属書第1章第1節第2節c | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 11 | 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保し、不正アクセスの可能性について報告する; | 附属書I第1章第2節 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 12 | 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護するため、関連するデータを最新のメカニズムで暗号化し、その他の技術的手段を使用します; | 附属書I第1部§2e | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 13 | 保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の整合性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること; | 附属書I第1部§2f | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 14 | 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化); | 附属書I第1部§2g | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 15 | サービス拒否攻撃に対する回復力 ▌ と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する; | 附属書 I セクション 1 §2h | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 16 | 製品自体または接続デバイスが、他のデバイスやネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること; | 附属書I、第1セクション§2i | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 17 | 外部インターフェイスを含む攻撃面を制限するように設計、開発、製造される; | 附属書I第1部§2j | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 18 | 適切な悪用緩和の仕組みと技術を用いて、インシデントの影響を軽減するように設計、開発、製造される; | 附属書I、セクション1 §2k | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 19 | データ、サービス、機能へのアクセスや変更を含む、関連する内部活動の記録および監視によるセキュリティ関連情報の提供; | 附属書I、第1セクション§2l | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 20 | 利用者がすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること。 | 付属書 I、第 2 セクション§2、第 2 セクション§7、第 1 セクション§2m | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 21 | デジタル要素を含む製品の製造者は、次のことを行わなければならない:(1) デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、一般的に使用され、機械が読み取り可能なフォーマットで、少なくとも製品のトップレベルの依存関係を網羅するソフトウェア部品表を作成することが含まれる; | 附属書I、セクション2 §1 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 22 | 技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供すること; | 附属書I、セクション2 §4 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 23 | デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する; | 附属書I、セクション2 §3 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 24 | セキュリティ・アップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開すること。これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザーが特定できる情報、脆弱性の影響、深刻度、ユーザーが脆弱性を修正するのに役立つ明確でアクセス可能な情報などが含まれる。メーカーが、公開によるセキュリティ上のリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合、修正された脆弱性に関する情報の公開を、ユーザーが該当するパッチを適用できるようになるまで延期することができる; | 附属書I、セクション2 §4 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 25 | 協調的な脆弱性開示に関するポリシーを導入し、実施する; | 附属書I、セクション2 §5 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 26 | デジタル要素を含む製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル要素を含む製品およびその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること; | 附属書I、セクション2 §6 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 27 | デジタル要素を含む製品のアップデートを安全に配布するメカニズムを提供し、 ▌脆弱性が適時に、またセキュリティアップデートに該当する場合は自動的 に修正または緩和されるようにする; | 附属書I、セクション2 §7 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 | |
| 28 | 特定されたセキュリティ上の問題に対処するためのセキュリ ▌アップデートが入手可能な場合は、遅滞なく、また、デジタ ル要素を含むオーダーメイド製品に関して製造業者とビジネス・ユ ーザーの間で別段の合意がない限り、無料で配布されるようにする。 | 附属書I、セクション2 §8 | ノーティファイドボディによる評価 - 品質システムに関して、明確な文書化された方針、手順、指示によって正当化されなければならない。 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 25 | 製品名、登録商標(または商号)、連絡先住所、Eメールアドレスを製品に印刷するか、不可能な場合は包装または添付文書に印刷しなければならない。 | 附属書II第1章 | 自書 | |
| 26 | サイバーセキュリティの脆弱性を報告・連絡するための連絡先を添付文書に記載すること。 | 附属書II、セクション2 | 自書 | |
| 27 | 製品は、型番、バッチ番号、バージョン番号、シリアル番号(または識別を可能にするその他の要素)を付けて納入されなければならない。 | 附属書II第3章 | 自書 | |
| 28 | 製造者が提供する使用目的、必須機能、セキュリティ機能/特性は、添付文書に詳述されなければならない。 | 附属書II第4章 | 自書 | |
| 29 | 重大なサイバーセキュリティ・リスクにつながる可能性のある製品の使用目的は、付属文書に詳述しなければならない。 | 附属書II第5章 | 自書 | |
| 30 | ソフトウェアの請求書または資料へのリンクは、付属文書で提供されなければならない(直接提供されていない場合)。 | 附属書II第6章 | 自書 | |
| 31 | EU適合宣言書へのリンクを添付文書に記載しなければならない(直接記載しない場合)。 | 附属書II第7章 | 自書 | |
| 32 | テクニカル・サポートおよびセキュリティ・サポートの種類と期限は、付属文書に詳述されなければならない。 | 附属書II第8章 | 自書 | |
| 33 | 製品の安全な使用を確保するために、初期試運転時および製品の耐用期間を通じて必要な措置に関する詳細な指示または詳細な指示へのリンクを提供しなければならない。 | 附属書II、第9条a | 自書 | |
| 34 | 製品の変更がデータのセキュリティにどのような影響を与えるかについての詳細な説明、または詳細な説明へのリンクを提供しなければならない。 | 附属書II、第9節§b | 自書 | |
| 35 | セキュリティ更新プログラムのインストール方法に関する詳細な説明、または詳細な説明へのリンクを提供すること。 | 附属書 II 第 9 セクション §c | 自書 | |
| 36 | 安全な廃止とユーザーデータの消去に関する詳細な指示または詳細な指示へのリンクを提供しなければならない。 | 附属書 II 第 9 セクション d | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 38 | 第28条のEU適合宣言書には、以下のすべての情報を含まなければならない:1.1.名称、型式、およびデジタル要素による製品の一意な識別を可能にする追加情報; | 付属書V、セクション1 | 自筆 | |
| 39 | メーカーまたはその正規代理店の名前と住所; | 付属書V、セクション2 | 自書 | |
| 40 | EU適合宣言は、提供者の単独の責任において発行される旨の声明; | 付属書V、セクション3 | 自書 | |
| 41 | 宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;) | 附属書V第4章 | 自書 | |
| 42 | 上記の宣言の対象が、関連するEU調和法に適合している旨の声明; | 附属書V、セクション5 | 自書 | |
| 43 | 適合が宣言されている関連整合規格、その他の共通仕様、サイバーセキュリティ認証への言及; | 附属書V第6章 | 自書 | |
| 44 | 該当する場合、通知機関の名称と番号、実施された適合性評価手順の説明、発行された証明書の識別; | 附属書V第7章 | 自書 | |
| 45 | 追加情報(氏名、職責)(署名): | 付属書V、第8節 | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 51 | 以下を含む、デジタル要素を含む製品の一般的な説明。 | 附属書VII、セクション1 §a | ノーティファイド・ボディによる評価 | |
| 52 | 必須要件への準拠に影響を与えるソフトウェアのバージョン; | 附属書VII第1節§b | ノーティファイド・ボディによる評価 | |
| 53 | デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト | 付属書VII第1セクション§c | ノーティファイド・ボディによる評価 | |
| 54 | 附属書IIに記載されている利用者情報および指示; | 付属書VII第1節§d | ノーティファイド・ボディによる評価 | |
| 55 | デジタル要素を含む製品の設計と開発に関する必要な情報(該当する場合、図面や回路図、ソフトウェアコンポーネントがどのように相互に構築され、または相互作用し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む); | 附属書VII、セクション2 §a | ノーティファイド・ボディによる評価 | |
| 56 | ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先アドレスの提供の証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報と仕様; | 附属書 VII セクション 2 §b | ノーティファイド・ボディによる評価 | |
| 57 | デジタルエレメントを使用した製品の製造および監視プロセス、ならびにそれらのプロセスの検証に必要な情報および仕様; | 附属書 VII セクション 2 §c | ノーティファイド・ボディによる評価 | |
| 58 | 附属書ⅠパートⅠに定める必須要件がどのように適用されるかを含め、デジタル要素を含む製品が本規則第13条に定めるように設計、開発、製造、引渡し及び維持されるサイバーセキュリティリスクの評価; | 付属書VII第3章 | ノーティファイド・ボディによる評価 | |
| 59 | デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報; | 付属書VII第4章 | ノーティファイド・ボディによる評価 | |
| 60 | 欧州連合官報に引用文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含む、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用されている部分を明記しなければならない; | 付属書VII第5章 | ノーティファイド・ボディによる評価 | |
| 61 | 付属書 I の第 I 部および第 II 部に規定されている適用される必須要求事項に対する、デジタル要素を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書; | 付属書VII第6章 | ノーティファイド・ボディによる評価 | |
| 62 | EU適合宣言書のコピー; | 付属書VII第7章 | ノーティファイド・ボディによる評価 | |
| 63 | ただし,市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要である場合に限る。 | 付属書VII第8項 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 64 | 製造者は、デジタル要素を有する製品に含まれる、積極的に悪用される脆弱性を認識した場合、 ▌本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造者は、第 16 条に従って確立された単一の報告プラットフォームを通じて、積極的に悪用された脆弱性 を通知するものとする。 | 規則第14条1項 | - | |
| 65 | 積極的に悪用される脆弱性について、過度の遅滞なく、いかなる場合にも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと; | 規則第14条2項a号 | - | |
| 66 | この脆弱性通知は、関連する情報が既に提供されている場合を除き、過度な遅滞なく、いかなる場合においても、製造者が積極的に悪用された脆弱性を認識してから72時間以内に、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質および当該脆弱性、ならびに講じられた是正措置または緩和措置、およびユーザが講じることができる是正措置または緩和措置を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとします; | 規則第14条2項b号 | - | |
| 67 | 関連する情報が既に提供されている場合を除き、是正措置または緩和措置が利用可能になってから 14 日以内に、少なくとも以下を含む最終報告書を提出する:(i) 脆弱性の重大性と影響を含む脆弱性の説明 (ii) 可能な場合は、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報 (iii) 脆弱性を是正するために利用可能となったセキュリティ更新またはその他の是正措置の詳細。 | 規則第14条第2項§c | - | |
| 68 | 製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントを認識した場合、本条第7項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16 条に従って構築された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。 | 規則第14条3項 | - | |
| 69 | 必要な場合、最初に通知を受けたコーディネータとして指定された CSIRT は、積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリティに影響を与える深刻なインシデントに関する関連するステータスアップデートの中間報告を製造者に要求することができる。 | 規則第14条6項 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 66 | 製造者は、当該デジタル素子搭載製品について、自ら選択したノーティファイド機関に品質システムの審査申請を行わなければならない。 | 付属書VIII、モジュールH、セクション3.1 | - | |
| 67 | 品質システムは、デジタル要素を含む製品が附属書ⅠのパートⅠに定める必須要件に適合すること、及び製造者が実施する脆弱性処理プロセスが附属書ⅠのパートⅡに定める要件に適合することを保証しなければならない。製造者が採用するすべての要素、要求事項及び規定は、体系的かつ整然とした方法で、文書化された方針、手順書及び指示書の形で文書化されなければならない。品質システムの文書化は、品質プログラム、計画、マニュアル及び記録の一貫した解釈を可能にするものでなければならない。 | 付属書VIII、モジュールH、セクション3.2 | - | |
| 68 | 通知機関は,品質システムが3.2項で言及した要求事項を満たしているかどうかを判定するため に,品質システムを評価しなければならない。審査チームは,関連する整合規格又は技術仕様を実施する国家規格の対応する仕様に準拠する品質シ ステムの要素に関して,これらの要件に適合していると推定しなければならない。審査チームは、品質マネジメントシステムの経験に加え、当該製品分野及び製品技術の審査員としての経験を有し、かつ、本規則の該当する要求事項に関する知識を有する者を少なくとも1名含まなければならない。審査は、製造者の敷地がある場合は、その敷地への審査訪問を含むものとする。審査チームは、3.1 項第 2 号の技術文書を審査し、製造者が本規則の該当する要求事項を特定し、デジ タル要素付き製品がこれらの要求事項に適合していることを保証するために必要な審査を実施する 能力を検証するものとする。製造者またはその認定代理人には、決定が通知されるものとする。通知には、審査の結論及び理由付き評価の決定を含まなければならない。 | 付属書VIII、モジュールH、セクション3.3 | - | |
| 69 | 製造者は、承認された品質システムから生じる義務を履行し、それが適切かつ効率的であり続けるように維持することを約束するものとする。 | 付属書VIII、モジュールH、セクション3.4 | - | |
| 70 | 製造者は,品質システムを承認したノーティファイドボディに対し,品質システムに意図した 変更があることを通知し続けなければならない。通知機関は,提案された変更を評価し,変更後の品質システムが3.2で言及された要求事項を引き続き満たすか,又は再評価が必要かどうかを決定しなければならない。その決定を製造事業者に通知しなければならない。通知には,審査の結論及び理由を付した審査決定を含まなければならない。 | 付属書VIII、モジュールH、セクション3.5 | - | |
| 71 | 製造者は,審査目的のため,通知機関に設計,開発,製造,検査,試験及び保管場所への立ち入 りを許可しなければならず,また,特に次のようなすべての必要な情報を提供しなければならない: - 品質システム文書 - 分析,計算及び試験結果など,品質システムの設計部門が規定する品質記録 - 検査報告書及び試験データ,校正データ及び関係者の資格報告書など,品質システムの製造部門が規定する品質記録。 | 付属書VIII、モジュールH、セクション4.2 | - | |
| 72 | 届出機関は、製造者が品質システムを維持し、適用していることを確認するために定期的な監査を実施し、製造者に監査報告書を提出しなければならない。 | 付属書VIII、モジュールH、セクション4.3 | - | |
| 73 | 製造者は、本規則の附属書ⅠのパートⅠに規定された要求事項を満たすデジタル要素を備えた個々の製品に、CE マーキング、及び、3.1 で言及されたノーティファイド・ボディの責任の下、ノーティファイド・ボディの識別番号を付さなければならない。 | 付属書VIII、モジュールH、セクション5.1 | - | |
| 74 | 製造者は,製品モデルごとに適合宣言書を作成し,デジタル要素を備えた製品が市場に出てから10年間又はサポート期間のいずれか長い方の期間,国家当局の手元に置かなければならない。適合宣言書は、それが作成された製品モデルを特定しなければならない。適合宣言書の写しは、要請に応じて関係当局に提供されなければならない。 | 付属書VIII、モジュールH、セクション5.2 | - | |
| 75 | 製造事業者は,デジタル要素を備えた製品の上市後少なくとも10年又はサポート期間のいずれか長い方 の期間,国家当局の手元に保管しなければならない:6.1 3.1に言及した技術文書 6.2 3.1に言及した品質システムに関する文書 6.3 承認された3.5に言及した変更 6.4 3.5及び4.3に言及した通知機関の決定及び報告書 | 付属書VI、モジュールH、セクション6 | - | |
| 76 | 3.1,3.5,5及び6に規定された製造事業者の義務は,委任に明記されていることを条件として,製造事業者に代わり,製造事業者の責任の下で,その認定代理人が果たすことができる。 | 付属書VIII、モジュールH、セクション8 | - |
ソフトウェア開発企業 ない クリティカル製品または重要製品クラスⅡに分類されるソフトウェアは、CRAの要求事項への適合性を自己評価することができる。.
を確認することができる。 附属書III 重要品目リストについては同規則を参照のこと。 附属書IV クリティカル製品のリストはこちら。
重要製品第一種に分類されるソフトウェアを開発する企業で、以下のいずれかに該当する企業 適合 十分に 調和された基準 または 適合 十分に 共通仕様 または は欧州のサイバーセキュリティ認証を取得している、 また、CRAの要求事項への準拠を自己評価することもできる。
⚠️、整合規格、共通仕様、または欧州のサイバーセキュリティ認証スキームを適用していないか、一部しか適用していない重要製品クラス I のソフトウェア開発者。 マスト サードパーティのアセスメントを受ける(「重要なソフトウェア」タブを参照)
いずれにせよ、非重要製品のソフトウェア開発者は、重要製品および重要製品と同じ評価プロセスを選択することができる。
重要なソフトウェアとクリティカルなソフトウェアをチェックする タブをクリックしてください。
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | サイバーセキュリティリスクアセスメントを実施する。 | 規則第13条3項 | 自己評価 | |
| 2 | サイバーセキュリティリスク評価には、少なくとも、デジタル要素を含む製品の意図され た目的と予測可能な用途に基づくサイバーセキュリティリスクの分析を含めること。 | 規則第13条3項 | 自己評価 | |
| 3 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が一般要求事項をどのように適用するかを示すべきである(以下の「一般要求事項」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 4 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が脆弱性ハンドリング要件をどのように適用するかを示すべきである(以下の「一般要件」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 6 | 特定の必須要件がデジタル要素を含む製品に適用されない場合、製造者は、サイバーセキュリティリスク評価に明確な正当性を含めるべきである。 | (56) | 自己評価 | |
| 5 | サイバーセキュリティリスクアセスメントは、少なくとも製品サポート期間中は、サイバーセキュリティリスクの性質が進化し、新たな脆弱性が発見されたときに更新されるべきである。 | 規則第13条7項 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | 本ソフトウェアは、テスト目的(アルファ版、ベータ版、リリース候補版など)でリリースされるものではありません。 リリース候補のような)。 | 規則第21条 | テストのためのソフトウェアのリリースはCRAの範囲に含まれないが、リスクアセスメントが実施された後にリリースされるべきである。 | |
| 2 | デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない; | 附属書I第1章第1節 | 自己評価 | |
| 3 | 悪用可能な既知の脆弱性がない状態で市場に出回る; | 附属書I、第1セクション§2a | 自己評価 | |
| 4 | 第13条5項に定めるデューディリジェンス義務を促進するため、特に、デジタル要素を有する製品にフリーソフトウェアおよびオープンソースソフトウェアのコンポーネントを統合する製造業者に関して、欧州委員会は、フリーソフトウェアおよびオープンソースソフトウェアとして適格なデジタル要素を有する製品の開発者または使用者、およびその他の第三者が、当該製品が本規則に規定されるすべてまたは特定の必須要件もしくはその他の義務に適合しているかどうかを評価することを可能にする自主的なセキュリティ認証プログラムを確立することにより、本規則を補完するため、第61条に従って委任法を採択する権限を有する。 | 規則第25条 | 自己評価 | |
| 5 | 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメイド製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること; | 附属書I、第1セクション§2b | 自己評価 | |
| 6 | 該当する場合は、利用可能なアップデートのユーザーへの通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効化された、適切な期間内にインストールされる自動セキュリティ・アップデートを通じて、脆弱性に対処できるようにする; | 附属書I第1部§2c | 自己評価 | |
| 7 | 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保し、不正アクセスの可能性について報告する; | 附属書I第1章第2節 | 自己評価 | |
| 8 | 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護するため、関連するデータを最新のメカニズムで暗号化し、その他の技術的手段を使用します; | 付属書I第1章第3節cおよび付属書第1章第2節e | 自己評価 | |
| 9 | 保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の整合性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること; | 附属書I第1部§2f | 自己評価 | |
| 10 | 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化); | 附属書I第1部§2g | 自己評価 | |
| 11 | サービス拒否攻撃に対する回復力 ▌ と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する; | 附属書 I セクション 1 §2h | 自己評価 | |
| 12 | 製品自体または接続デバイスが、他のデバイスやネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること; | 附属書I、第1セクション§2i | 自己評価 | |
| 13 | 外部インターフェイスを含む攻撃面を制限するように設計、開発、製造される; | 附属書I第1部§2j | 自己評価 | |
| 14 | 適切な悪用緩和の仕組みと技術を用いて、インシデントの影響を軽減するように設計、開発、製造される; | 附属書I、セクション1 §2k | 自己評価 | |
| 15 | データ、サービス、機能へのアクセスや変更を含む、関連する内部活動の記録および監視によるセキュリティ関連情報の提供; | 附属書I、第1セクション§2l | 自己評価 | |
| 16 | 利用者がすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること。 | 附属書I、第1セクション§2l | 自己評価 | |
| 17 | デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することが含まれる; | 附属書I、セクション2 §1 | 自己評価 | |
| 18 | 技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供すること; | 附属書 I セクション 2 §2 | 自己評価 | |
| 19 | デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する; | 附属書I、セクション2 §3 | 自己評価 | |
| 20 | 特定されたセキュリティ上の問題に対処するためのセキュリ ▌アップデートが入手可能な場合は、遅滞なく、また、デジタ ル要素を含むオーダーメイド製品に関して製造業者とビジネス・ユ ーザーの間で別段の合意がない限り、無料で配布されるようにする。 | 附属書 I、第 2 セクション§4 および第 2 セクション§8 | 自己評価 | |
| 21 | 協調的な脆弱性開示に関するポリシーを導入し、実施する; | 附属書I、セクション2 §5 | 自己評価 | |
| 22 | デジタル要素を含む製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル要素を含む製品およびその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること; | 附属書I、セクション2 §6 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 25 | 製造者の名称、登録商号または登録商標、郵送先住所、 ▌Eメールアドレスまたはその他のデジタル連絡先、および入手可能な場合は製造者に連絡できるウェブサイト; | 附属書II第1章 | 自書 | |
| 26 | デジタル要素を含む製品の ▌ 脆弱性に関する情報を報告・受領できる唯一の窓口であり、 ▌ 協調的な脆弱性開示に関する製造業者の方針を確認できる場所; | 附属書II、セクション2 | 自書 | |
| 27 | デジタル要素 ▌ による製品の一意な識別を可能にする、名称、タイプ、および追加情報; | 附属書II第3章 | 自書 | |
| 28 | 意図された目的に従って、または合理的に予見可能な誤用の条件下で、デジタル要素を含む製品を使用することに関連する、既知または予見可能な状況であって、重大なサイバーセキュリティリスクにつながる可能性のあるもの; | 附属書II第5章 | 自書 | |
| 31 | デジタル・エレメントを搭載した製品の安全な使用を保証するために、最初の試運転時および製品の寿命を通じて必要な措置 | 附属書II、セクション8 §a | 自書 | |
| 32 | デジタル要素を含む製品への変更が、データのセキュリティにどのような影響を与えるか; | 附属書II、セクション8 §b | 自書 | |
| 33 | セキュリティ関連のアップデートをインストールする方法; | 附属書II、セクション8 §c | 自書 | |
| 34 | ユーザーデータを安全に削除する方法に関する情報を含む、デジタル要素を含む製品の安全な廃止; | 附属書II、セクション8 §d | 自書 | |
| 37 | 製造者がソフトウェア部品表をユーザーに提供することを決定した場合、ソフトウェア部品表にアクセスできる場所に関する情報。 | 附属書 II 第 9 セクション d | 自書 | |
| 35 | 附属書Ⅰ、パートⅠ、ポイント(c)で要求されている、セキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法; | 附属書II、セクション8 §e | ||
| 36 | デジタル要素を備えた製品が他のデジタル要素を備えた製品への統合を意図している場合、統合者が附属書Ⅰに定める必須要件及び附属書Ⅶに定める文書要件に準拠するために必要な情報。 | 附属書II、第8節§f |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 38 | 名称、タイプ、およびデジタル要素を含む製品の一意な識別を可能にする追加情報; | 付属書V、セクション1 | 自書 | |
| 39 | メーカーまたはその正規代理店の名前と住所; | 付属書V、セクション2 | 自書 | |
| 40 | EU適合宣言は、提供者の単独の責任において発行される旨の声明; | 付属書V、セクション3 | 自書 | |
| 41 | 宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;) | 附属書V第4章 | 自書 | |
| 42 | 上記の宣言の対象が、関連するEU調和法に適合している旨の声明; | 附属書V、セクション5 | 自書 | |
| 43 | 適合が宣言されている関連整合規格、その他の共通仕様、サイバーセキュリティ認証への言及; | 附属書V第6章 | 自書 | |
| 44 | 該当する場合、通知機関の名称と番号、実施された適合性評価手順の説明、発行された証明書の識別; | 附属書V第7章 | 自書 | |
| 45 | 追加情報(氏名、職責)(署名): | 付属書V、第8節 | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 45 | (a)意図された目的; | 附属書VII、セクション1 §a | 自書 | |
| 46 | 必須要件への準拠に影響を与えるソフトウェアのバージョン; | 附属書VII第1節§b | 自書 | |
| 47 | デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト; | 付属書VII第1セクション§c | 自書 | |
| 48 | 附属書IIに記載されている利用者情報および指示; | 付属書VII第1節§d | 自書 | |
| 49 | (a)デジタル要素を含む製品の設計、開発、製造、および脆弱性処理プロセスに関する説明(該当する場合、図面および図式、ならびにソフトウェアコンポーネントがどのように互いに構築または相互作用し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む); | 附属書VII、セクション2 §a | 自書 | |
| 50 | ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先アドレスの提供の証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報と仕様; | 附属書 VII セクション 2 §b | 自書 | |
| 51 | デジタルエレメントを使用した製品の製造および監視プロセス、ならびにそれらのプロセスの検証に必要な情報および仕様; | 附属書 VII セクション 2 §c | 自書 | |
| 52 | 附属書ⅠパートⅠに定める必須要件がどのように適用されるかを含め、デジタル要素を含む製品が本規則第13条に定めるように設計、開発、製造、引渡し及び維持されるサイバーセキュリティリスクの評価; | 付属書VII第3章 | 自書 | |
| 53 | デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報; | 付属書VII第4章 | 自書 | |
| 54 | 欧州連合官報に引用文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含む、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用されている部分を明記しなければならない; | 付属書VII第5章 | 自書 | |
| 55 | 付属書 I の第 I 部および第 II 部に規定されている適用される必須要求事項に対する、デジタル要素を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書; | 付属書VII第6章 | 自書 | |
| 56 | EU適合宣言書のコピー; | 付属書VII第7章 | 自書 | |
| 57 | ただし,市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要である場合に限る。 | 付属書VII第8項 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 58 | オープンソースソフトウェアのスチュワードは、市場監視当局の要請に応じて、フリーソフ トウェアおよびオープンソースソフトウェアとして適格なデジタル要素を持つ製品 がもたらすサイバーセキュリティ上のリスクを軽減する目的で、市場監視当局に協力しなけ ればならない。市場監視当局からの合理的な要請があった場合、オープンソースソフトウェアのスチュワードは、同当局に対し、同当局が容易に理解できる言語で、紙または電子形式で、第1項で言及した文書を提供しなければならない。 | 規則第24条2項 | 自書 | |
| 59 | 積極的に悪用される脆弱性について、過度の遅滞なく、いかなる場合にも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと; | 規則第14条2項a号 | 自書 | |
| 60 | この脆弱性通知は、関連する情報が既に提供されている場合を除き、過度な遅滞なく、いかなる場合においても、製造者が積極的に悪用された脆弱性を認識してから72時間以内に、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質および当該脆弱性、ならびに講じられた是正措置または緩和措置、およびユーザが講じることができる是正措置または緩和措置を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとします; | 規則第14条2項b号 | 自書 | |
| 61 | オープンソースソフトウェアのスチュワードは、デジタル要素を含む安全な製品の開発と、当該製品の開発者による脆弱性の効果的な取り扱いを促進するために、サイバーセキュリティポリシーを定め、検証可能な方法で文書化しなければならない。この方針はまた、当該製品の開発者による第 15 条に定める脆弱性の自発的な報告を促進し、オープンソースソフトウェアのスチュワードの特定の性質と、そのスチュワードが従う法的および組織的な取り決めを考慮に入れなければならない。この方針は、特に、脆弱性の文書化、対処、および修復に関連する側面を含むものとし、発見された脆弱性に関する情報のオープンソースコミュニティ内での共有を促進するものとする。 | 規則第24条1項 | 自書 | |
| 62 | 第14条(1)に定める義務は、オープンソースソフトウェア・スチュワードがデジタル要素を含む製品の開発に関与する範囲において、オープンソースソフトウェア・スチュワードに適用されるものとする。第14条(3)および(8)に定める義務は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントが、当該製品の開発のためにオープンソースソフトウェアのスチュワードが提供するネットワークおよび情報システムに影響を及ぼす限りにおいて、オープンソースソフトウェアのスチュワードに適用されるものとする。 | 規則第24条3項 | - |
重要製品クラスIIおよびクラスIに分類されるソフトウェア製品を開発する企業 (自社製品がない場合 十分に 整合規格または共通仕様に適合しているか、欧州サイバーセキュリティ認証を受けていない場合)は、製品がCRAの要件に適合していることを検証する責任を負うノーティファイド・ボディが実施する外部評価プロセスを経る必要がある。
⚠️ 2024年3月現在、認定団体は発表されていない。
を確認することができます。 附属書III 重要製品に分類されるソフトウェアのリストについては、同規則を参照のこと。
クリティカル製品に分類されるソフトウェア製品を開発する企業 が必要となる可能性がある。 今後 これは第8条1項によるものである。しかし、2024年3月現在、欧州委員会は、どの製品が対象となり、どのような認証スキームに従わなければならないかを決定するために必要な委任法をまだ採択していない。そのような委任法がない場合、重要製品の開発者は、重要製品と同じ認証手続きに従うことができる。
⚠️委任法が公表され、これらの認証制度に関する詳細が判明次第、このウェブページを更新する。
を確認することができます。 附属書IV クリティカル製品に分類されるソフトウェアのリストについては、同規則を参照のこと。
これらのソフトウェア会社は、モジュールHを通過する必要がある。 品質システム ソフトウェアがCRAの要求事項を満たすことを保証するためにソフトウェア会社が実施したプロセスおよび手順の書面による記録が、届出機関によって評価される。
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | サイバーセキュリティリスクアセスメントを実施する。 | 規則第13条3項 | 自己評価 | |
| 2 | サイバーセキュリティリスク評価には、少なくとも、デジタル要素を含む製品の意図され た目的と予測可能な用途に基づくサイバーセキュリティリスクの分析を含めること。 | 規則第13条3項 | 自己評価 | |
| 3 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が一般要求事項をどのように適用するかを示すべきである(以下の「一般要求事項」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 4 | サイバーセキュリティリスクアセスメントは、製造者/ソフトウェア開発者が脆弱性ハンドリング要件をどのように適用するかを示すべきである(以下の「一般要件」の表を参照)。 | 規則第13条3項 | 自己評価 | |
| 6 | 特定の必須要件がデジタル要素を含む製品に適用されない場合、製造者は、サイバーセキュリティリスク評価に明確な正当性を含めるべきである。 | (56) | 自己評価 | |
| 5 | サイバーセキュリティリスクアセスメントは、少なくとも製品サポート期間中は、サイバーセキュリティリスクの性質が進化し、新たな脆弱性が発見されたときに更新されるべきである。 | 規則第13条7項 | 自己評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 1 | デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない; | 附属書I第1章第1節 | テストのためのソフトウェアのリリースはCRAの範囲に含まれないが、リスクアセスメントが実施された後にリリースされるべきである。 | |
| 2 | 悪用可能な既知の脆弱性がない状態で市場に出回る; | 附属書I、第1セクション§2a | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 3 | 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメイド製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること; | 附属書I、第1セクション§2b | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 4 | 該当する場合は、利用可能なアップデートのユーザーへの通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効化された、適切な期間内にインストールされる自動セキュリティ・アップデートを通じて、脆弱性に対処できるようにする; | 附属書I第1部§2c | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 5 | 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保し、不正アクセスの可能性について報告する; | 附属書I第1章第2節 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 6 | 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護するため、関連するデータを最新のメカニズムで暗号化し、その他の技術的手段を使用します; | 附属書I第1部§2e | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 7 | 保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の整合性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること; | 附属書I第1部§2f | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 8 | 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化); | 附属書 I 第 1 部第 3c 条および附属書 1 第 1 部第 2g 条 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 9 | サービス拒否攻撃に対する回復力 ▌ と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する; | 附属書 I セクション 1 §2h | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 10 | 製品自体または接続デバイスが、他のデバイスやネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること; | 附属書I、第1セクション§2i | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 11 | 外部インターフェイスを含む攻撃面を制限するように設計、開発、製造される; | 附属書I第1章第3節j | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 12 | 適切な悪用緩和の仕組みと技術を用いて、インシデントの影響を軽減するように設計、開発、製造される; | 附属書I、セクション1 §2k | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 13 | データ、サービス、機能へのアクセスや変更を含む、関連する内部活動の記録および監視によるセキュリティ関連情報の提供; | 附属書I、第1セクション§2l | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 14 | 利用者がすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること。 | 附属書I、セクション1 §2m | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 15 | デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することが含まれる; | 附属書I、セクション2 §1 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 16 | 技術的に可能な場合、新しいセキュリティアップデートは、機能のアップデートとは別に提供すること; | 附属書 I セクション 2 §2 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 17 | デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する; | 附属書I、セクション2 §3 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 18 | セキュリティ・アップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開すること。これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザーが特定できる情報、脆弱性の影響、深刻度、ユーザーが脆弱性を修正するのに役立つ明確でアクセス可能な情報などが含まれる。メーカーが、公開によるセキュリティ上のリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合、修正された脆弱性に関する情報の公開を、ユーザーが該当するパッチを適用できるようになるまで延期することができる; | 附属書 I、第 2 セクション§2、第 2 セクション§7、第 2 セクション§4 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 19 | 協調的な脆弱性開示に関するポリシーを導入し、実施する; | 附属書I、セクション2 §5 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 20 | デジタル要素を含む製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル要素を含む製品およびその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること; | 附属書 I、第 2 セクション§4 および第 2 セクション§6 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 21 | デジタル要素を含む製品のアップデートを安全に配布するメカニズムを提供し、 ▌脆弱性が適時に、またセキュリティアップデートに該当する場合は自動的 に修正または緩和されるようにする; | 附属書I、セクション2 §7 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 22 | 特定されたセキュリティ上の問題に対処するためのセキュリ ▌アップデートが入手可能な場合は、遅滞なく、また、デジタ ル要素を含むオーダーメイド製品に関して製造業者とビジネス・ユ ーザーの間で別段の合意がない限り、無料で配布されるようにする。 | 附属書I、セクション2 §8 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | |
| 23 | 附属書I、セクション2 §6 | 品質システムに関して、明確な方針、手順、指示を文書化しなければならない。 | ||
| 24 | 付属書VI 4.1項 | 該当する場合 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 25 | 製造者の名称、登録商号または登録商標、郵送先住所、 ▌Eメールアドレスまたはその他のデジタル連絡先、および入手可能な場合は製造者に連絡できるウェブサイト; | 附属書II第1章 | 自書 | |
| 26 | デジタル要素を含む製品の ▌ 脆弱性に関する情報を報告・受領できる唯一の窓口であり、 ▌ 協調的な脆弱性開示に関する製造業者の方針を確認できる場所; | 附属書II、セクション2 | 自書 | |
| 27 | デジタル要素 ▌ による製品の一意な識別を可能にする、名称、タイプ、および追加情報; | 附属書II第3章 | 自書 | |
| 28 | 意図された目的に従って、または合理的に予見可能な誤用の条件下で、デジタル要素を含む製品を使用することに関連する、既知または予見可能な状況であって、重大なサイバーセキュリティリスクにつながる可能性のあるもの; | 附属書II第5章 | 自書 | |
| 31 | デジタル・エレメントを搭載した製品の安全な使用を保証するために、最初の試運転時および製品の寿命を通じて必要な措置 | 附属書II、セクション8 §a | 自書 | |
| 32 | デジタル要素を含む製品への変更が、データのセキュリティにどのような影響を与えるか; | 附属書II、セクション8 §b | 自書 | |
| 33 | セキュリティ関連のアップデートをインストールする方法; | 附属書II、セクション8 §c | 自書 | |
| 34 | ユーザーデータを安全に削除する方法に関する情報を含む、デジタル要素を含む製品の安全な廃止; | 附属書II、セクション8 §d | 自書 | |
| 37 | 製造者がソフトウェア部品表をユーザーに提供することを決定した場合、ソフトウェア部品表にアクセスできる場所に関する情報。 | 附属書 II 第 9 セクション d | 自書 | |
| 35 | 附属書Ⅰ、パートⅠ、ポイント(c)で要求されている、セキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法; | 附属書II、セクション8 §e | ||
| 36 | デジタル要素を備えた製品が他のデジタル要素を備えた製品への統合を意図している場合、統合者が附属書Ⅰに定める必須要件及び附属書Ⅶに定める文書要件に準拠するために必要な情報。 | 附属書II、第8節§f |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 38 | 名称、タイプ、およびデジタル要素を含む製品の一意な識別を可能にする追加情報; | 付属書V、セクション1 | 自書 | |
| 39 | メーカーまたはその正規代理店の名前と住所; | 付属書V、セクション2 | 自書 | |
| 40 | EU適合宣言は、提供者の単独の責任において発行される旨の声明; | 付属書V、セクション3 | 自書 | |
| 41 | 宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;) | 附属書V第4章 | 自書 | |
| 42 | 上記の宣言の対象が、関連するEU調和法に適合している旨の声明; | 附属書V、セクション5 | 自書 | |
| 43 | 適合が宣言されている関連整合規格、その他の共通仕様、サイバーセキュリティ認証への言及; | 附属書V第6章 | 自書 | |
| 44 | 該当する場合、通知機関の名称と番号、実施された適合性評価手順の説明、発行された証明書の識別; | 附属書V第7章 | 自書 | |
| 45 | 追加情報(氏名、職責)(署名): | 付属書V、第8節 | 自書 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 46 | (a)意図された目的; | 附属書VII、セクション1 §a | 自書、届出機関による審査 | |
| 47 | 必須要件への準拠に影響を与えるソフトウェアのバージョン; | 附属書VII第1節§b | 自書、届出機関による審査 | |
| 48 | デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト; | 付属書VII第1セクション§c | 自書、届出機関による審査 | |
| 49 | 附属書IIに記載されている利用者情報および指示; | 付属書VII第1節§d | 自書、届出機関による審査 | |
| 50 | (a)デジタル要素を含む製品の設計、開発、製造、および脆弱性処理プロセスに関する説明(該当する場合、図面および図式、ならびにソフトウェアコンポーネントがどのように互いに構築または相互作用し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む); | 附属書VII、セクション2 §a | 自書、届出機関による審査 | |
| 51 | ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先アドレスの提供の証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報と仕様; | 附属書 VII セクション 2 §b | 自書、届出機関による審査 | |
| 52 | デジタルエレメントを使用した製品の製造および監視プロセス、ならびにそれらのプロセスの検証に必要な情報および仕様; | 附属書 VII セクション 2 §c | 自書、届出機関による審査 | |
| 53 | 附属書ⅠパートⅠに定める必須要件がどのように適用されるかを含め、デジタル要素を含む製品が本規則第13条に定めるように設計、開発、製造、引渡し及び維持されるサイバーセキュリティリスクの評価; | 付属書VII第3章 | 自書、届出機関による審査 | |
| 54 | デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報; | 付属書VII第4章 | 自書、届出機関による審査 | |
| 55 | 欧州連合官報に引用文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含む、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用されている部分を明記しなければならない; | 付属書VII第5章 | 自書、届出機関による審査 | |
| 56 | 付属書 I の第 I 部および第 II 部に規定されている適用される必須要求事項に対する、デジタル要素を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書; | 付属書VII第6章 | 自書、届出機関による審査 | |
| 57 | ただし,市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要である場合に限る。 | 付属書VII第8項 | 該当する場合、ノーティファイドボディによる評価 |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 58 | オープンソースソフトウェアのスチュワードは、市場監視当局の要請に応じて、フリーソフ トウェアおよびオープンソースソフトウェアとして適格なデジタル要素を持つ製品 がもたらすサイバーセキュリティ上のリスクを軽減する目的で、市場監視当局に協力しなけ ればならない。市場監視当局からの合理的な要請があった場合、オープンソースソフトウェアのスチュワードは、同当局に対し、同当局が容易に理解できる言語で、紙または電子形式で、第1項で言及した文書を提供しなければならない。 | 規則第24条2項 | 自書 | |
| 59 | 積極的に悪用される脆弱性について、過度の遅滞なく、いかなる場合にも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと; | 規則第14条2項a号 | 自書 | |
| 60 | この脆弱性通知は、関連する情報が既に提供されている場合を除き、過度な遅滞なく、いかなる場合においても、製造者が積極的に悪用された脆弱性を認識してから72時間以内に、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質および当該脆弱性、ならびに講じられた是正措置または緩和措置、およびユーザが講じることができる是正措置または緩和措置を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとします; | 規則第14条2項b号 | 自書 | |
| 61 | オープンソースソフトウェアのスチュワードは、デジタル要素を含む安全な製品の開発と、当該製品の開発者による脆弱性の効果的な取り扱いを促進するために、サイバーセキュリティポリシーを定め、検証可能な方法で文書化しなければならない。この方針はまた、当該製品の開発者による第 15 条に定める脆弱性の自発的な報告を促進し、オープンソースソフトウェアのスチュワードの特定の性質と、そのスチュワードが従う法的および組織的な取り決めを考慮に入れなければならない。この方針は、特に、脆弱性の文書化、対処、および修復に関連する側面を含むものとし、発見された脆弱性に関する情報のオープンソースコミュニティ内での共有を促進するものとする。 | 規則第24条1項 | 自書 | |
| 62 | 第14条(1)に定める義務は、オープンソースソフトウェア・スチュワードがデジタル要素を含む製品の開発に関与する範囲において、オープンソースソフトウェア・スチュワードに適用されるものとする。第14条(3)および(8)に定める義務は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントが、当該製品の開発のためにオープンソースソフトウェアのスチュワードが提供するネットワークおよび情報システムに影響を及ぼす限りにおいて、オープンソースソフトウェアのスチュワードに適用されるものとする。 | 規則第24条3項 | - |
| 身分証明書 | 必要条件 | 参考 | コメント | チェック |
|---|---|---|---|---|
| 63 | 完全な品質保証に基づく適合性とは、製造者がポイント2および5に定められた義務を履行し、当該デジタル要素を有する製品または製品カテゴリーが附属書ⅠのパートⅠに定められた必須要件を満たしていること、および製造者が実施する脆弱性対応プロセスが附属書ⅠのパートⅡに定められた要件を満たしていることを、自らの責任において保証し宣言する適合性評価手続きである。 | 付属書VIII、モジュールH、セクション1 | - | |
| 64 | デジタル要素を含む製品の設計、開発、製造および脆弱性の取り扱い 製造者は、当該デジタル要素を含む製品の設計、開発、最終製品検査および試験、ならびに脆弱性の取り扱いのために、ポイント3に規定する承認された品質システムを運用し、サポート期間を通じてその有効性を維持し、ポイント4に規定するサーベイランスを受けなければならない。 | 付属書VIII、モジュールH、セクション2 | - | |
| 65 | 製造事業者は,その選択したノーティファイド機関に,当該デジタル要素を含む製品について,品質シス テムの審査申請を行わなければならない。申請書には,次を含めなければならない:- 製造事業者の名称及び住所,認定代理人が申請する場合は,その名称及び住所 - 製造又は開発を意図するデジタル要素付き製品の各カテゴリの 1 モデルの技術文書。技術文書には,該当する場合,少なくとも附属書VIIに規定する要素を含まなければならない。 | 付属書VIII、モジュールH、セクション3.1 | - | |
| 66 | 品質システムは、デジタル要素を含む製品が附属書ⅠのパートⅠに規定される必須要件に適合すること、及び製造事業者が実施する脆弱性ハンドリングプロセスが附属書ⅠのパートⅡに規定される要件に適合することを保証しなければならない。製造者が採用するすべての要素、要求事項及び規定は、体系的かつ整然とした方法で、文書化された方針、手順書及び指示書の形で文書化されなければならない。品質システム文書は、品質プログラム、計画、マニュアル及び記録の一貫した解釈を可能にするものでなければならない。品質システム文書には、特に以下の事項が適切に記述されていなければならない:- 設計、開発、製品品質及び脆弱性の取扱いに関する品質目標及び管理者の組織構造、責任及び権限 - 適用される規格を含む設計及び開発の技術仕様、並びに、関連する整合規格又は技術仕様が完全に適用されない場合、デジタル要素を含む製品に適用される附属書ⅠのパートⅠに規定される必須要求事項が満たされることを確実にするために使用される手段;- 適用される規格を含む手続き上の仕様,及び,関連する整合規格又は技術仕様が完全に適用されない場合,製造事業者に適用される附属書Ⅰの第Ⅱ部に規定される必須要件が満たされることを確保するために使用される手段;- 対象となる製品カテゴリーに関連するデジタル要素を含む製品を設計・開発する際に使用される設計・開発管理、ならびに設計・開発検証技術、プロセス、および体系的措置 - 使用される対応する製造、品質管理、品質保証技術、プロセス、および体系的措置- 生産前、生産中、生産後に実施される検査と試験、およびそれらの実施頻度 - 検査報告書や試験データ、校正データ、関係者の資格認定報告書などの品質記録 - 要求される設計と製品品質の達成、および品質システムの効果的な運用を監視する手段 | 付属書VIII、モジュールH、セクション3.2 | - | |
| 67 | 通知機関は,品質システムが3.2項で言及した要求事項を満たしているかどうかを判定するため に,品質システムを評価しなければならない。審査チームは,関連する整合規格又は技術仕様を実施する国家規格の対応する仕様に準拠する品質シ ステムの要素に関して,これらの要件に適合していると推定しなければならない。審査チームは、品質マネジメントシステムの経験に加え、当該製品分野及び製品技術の審査員としての経験を有し、かつ、本規則の該当する要求事項に関する知識を有する者を少なくとも1名含まなければならない。審査は、製造者の敷地がある場合は、その敷地への審査訪問を含むものとする。審査チームは、3.1 項第 2 号の技術文書を審査し、製造者が本規則の該当する要求事項を特定し、デジ タル要素付き製品がこれらの要求事項に適合していることを保証するために必要な審査を実施する 能力を検証するものとする。製造者またはその認定代理人には、決定が通知されるものとする。通知には、審査の結論及び理由付き評価の決定が含まれるものとする。 | 付属書VIII、モジュールH、セクション3.3 | - | |
| 68 | 製造者は、承認された品質システムから生じる義務を履行し、それが適切かつ効率的であり続けるように維持することを約束するものとする。 | 付属書VIII、モジュールH、セクション3.4 | - | |
| 69 | 製造者は,品質システムを承認したノーティファイドボディに対し,品質システムに意図した 変更があることを通知し続けなければならない。通知機関は,提案された変更を評価し,変更後の品質システムが3.2で言及された要求事項を引き続き満たすか,又は再評価が必要かどうかを決定しなければならない。その決定を製造事業者に通知しなければならない。通知には,審査の結論及び理由を付した審査決定を含まなければならない。 | 付属書VIII、モジュールH、セクション3.5 | - | |
| 70 | 各ノーティファイドボディ は,発行又は取り下げられた品質システム承認について,その通知当局に通知しなければならず,また, 定期的に又は要求に応じて,拒否,一時停止又はその他の方法で制限された品質システム承認のリストをその 通知当局に提供しなければならない。各通知機関は,拒否,一時停止又は撤回した品質システム承認について,また,要請があれば,発行した品質システム承認について,他の通知機関に通知しなければならない。 | 付属書VIII、モジュールH、セクション7 | - | |
| 71 | 委任代理人 3.1,3.5,5及び6に規定する製造者の義務は,委任状に明記されていることを条件に,その製造者に代わり,その責任の下に,その委任代理人が果たすことができる。 | 付属書VIII、モジュールH、セクション8 | - |
念のため付言しておくと、CRAはデジタル要素を含む製品の輸入者を「域外に設立された自然人または法人の名称または商標が付されたデジタル要素を含む製品を市場に出す、域内に設立された自然人または法人」と定義している。
したがって、デジタル要素を含む製品を自社の商標で輸入する、またはデジタル要素を含む製品に実質的な変更を加える輸入業者は「製造業者」とみなされるため、「ハードウェア製造業者」タブまたは「ソフトウェア開発業者」タブのいずれか最適な方を参照してください。
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 1 | 輸入者は、附属書Ⅰの第Ⅰ部に定める必須要件に適合し、かつ製造者が実施するプロセスが附属書Ⅰの第Ⅱ部に定める必須要件に適合するデジタル要素を有する製品のみを市場に流通させなければならない。 | 規則第19条第1項 | |
| 2 | 輸入者は、その氏名、登録商号または登録商標、郵送先住所、電子メールアドレスまたはその他のデジタル連絡先、および該当する場合は連絡可能なウェブサイトを、デジタル要素を含む製品に記載するか、▌その包装またはデジタル要素を含む製品に添付する文書に記載しなければならない。連絡先の詳細は、利用者及び市場監視当局が容易に理解できる言語でなければならない。 | 規則第19条4項 |
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 3 | ディストリビューターは、デジタルエレメントを搭載した製品を市販する前に、以下を確認するものとする:(b) 製造者及び輸入者が、第13条(15)、(16)、(18)、(19)及び(20)並びに第19条(4)に定める義務を遵守し、必要な全ての書類を販売業者に提供していること。 | 規則第20条2項 |
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 10 | 販売業者が、その保有する情報に基づき、デジタル要素を有する製品または製造業者が実施するプロセスが附属書Ⅰに定める必須要件に適合していないと考え、またはそう考える理由がある場合、販売業者は、当該製品または製造業者が実施するプロセスが本規則に適合するまで、デジタル要素を有する製品を市場に提供してはならない。さらに、デジタル要素を有する製品が重大なサイバーセキュリティ上のリスクをもたらす場合、販売業者は、過度の遅滞なく、その旨を製造業者および市場監視当局に通知しなければならない。 | 規則第20条3項 | |
| 11 | ディストリビューターは、その保有する情報に基づき、自らが市場に提供したデジタル要素付製品またはその 製造者が実施したプロセスが本規則に適合していないことを知り、またはそう信じる理由がある場合、当該デジ タル要素付製品またはその製造者が実施したプロセスを適合させるために必要な是正措置、または適切な場合には当該製品の 撤回もしくはリコールを確実に実施しなければなりません。ディストリビューターは、デジタル要素を含む製品に脆弱性があることを認識した場合、その脆弱性について過度な遅滞なく製造者に通知するものとします。さらに、デジタル要素付き製品が重大なサイバーセキュリティ・リスクをもたらす場合、販売業者は、デジタル要素付き製品を市場に提供している加盟国の市場監視当局に直ちにその旨を通知し、特に、コンプライアンス違反の詳細および講じた是正措置の詳細を通知しなければならない。 | 規則第20条4項 | |
| 13 | デジタル要素を有する製品の販売業者が、その保有する情報に基づき、当該製品の製造業者が操業を停止し、その結果、本規則に定める義務を遵守することができないことを認識した場合、当該販売業者は、当該市場監視当局に対し、過度の遅滞なく、当該状況を通知するとともに、利用可能なあらゆる手段により、かつ、可能な限り、市場に置かれたデジタル要素を有する製品の使用者にも通知しなければならない。 | 規則第20条6項 | |
| 12 | 販売業者は、市場監視当局からの合理的な要請があった場合、当該当局が容易に理解できる言語により、デジ タル要素を有する製品及びその製造者が実施したプロセスが本規則に適合していることを証明するために必要 な全ての情報及び文書を、紙媒体又は電子媒体で提供しなければならない。製造者は、当該当局の要請に応じて、当該当局が市場に提供したデジタル要素を有する製品がもたらすサイバーセキュリティ上のリスクを排除するために講じた措置について、当該当局に協力しなければならない。 | 規則第20条5項 |
念のため付言しておくと、CRAはデジタル要素を含む製品の販売業者を「製造業者または輸入業者以外のサプライチェーンに属する自然人または法人で、デジタル要素を含む製品をその特性に影響を与えることなく連合市場で入手可能にする者」と定義している(第3条(17))。
従って、デジタル要素を含む製品を自社の商標で頒布したり、デジタル要素を含む製品に実質的な変更を加えたりする販売業者は「製造業者」とみなされ、「ハードウェア製造業者」タブまたは「ソフトウェア開発業者」タブのいずれか最適な方を参照してください。
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 1 | デジタル要素を含む製品を市場に流通させる場合、販売業者は、本規則に規定される要件に関連し、十分な注意を払って行動するものとする。 | 規則第20条第1項 | |
| 2 | ディストリビューターは、デジタルエレメントを搭載した製品を市販する前に、以下を確認するものとする:(b) 製造者及び輸入者が、第13条(15)、(16)、(18)、(19)及び(20)並びに第19条(4)に定める義務を遵守し、必要な全ての書類を販売業者に提供していること。 | 規則第20条2項 |
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 1 | デジタル要素を含む製品を市場に流通させる場合、販売業者は、本規則に規定される要件に関連して十分な注意を払って行動するものとする。 | 規則第20条第1項 | |
| 2 | ディストリビューターは、デジタルエレメントを搭載した製品を市販する前に、以下を確認するものとする:(b) 製造者及び輸入者が、第13条(15)、(16)、(18)、(19)及び(20)並びに第19条(4)に定める義務を遵守し、必要な全ての書類を販売業者に提供していること。 | 規則第20条2項 |
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 6 | 販売業者が、その保有する情報に基づき、デジタル要素を有する製品または製造業者が実施するプロセスが附属書Ⅰに定める必須要件に適合していないと考え、またはそう考える理由がある場合、販売業者は、当該製品または製造業者が実施するプロセスが本規則に適合するまで、デジタル要素を有する製品を市場に提供してはならない。さらに、デジタル要素を有する製品が重大なサイバーセキュリティ上のリスクをもたらす場合、販売業者は、過度の遅滞なく、その旨を製造業者および市場監視当局に通知しなければならない。 | 規則第20条3項 | |
| 7 | ディストリビューターは、その保有する情報に基づき、自らが市場に提供したデジタル要素付製品またはその 製造者が実施したプロセスが本規則に適合していないことを知り、またはそう信じる理由がある場合、当該デジ タル要素付製品またはその製造者が実施したプロセスを適合させるために必要な是正措置、または適切な場合には当該製品の 撤回もしくはリコールを確実に実施しなければなりません。ディストリビューターは、デジタル要素を含む製品に脆弱性があることを認識した場合、その脆弱性について過度な遅滞なく製造者に通知するものとします。さらに、デジタル要素付き製品が重大なサイバーセキュリティ・リスクをもたらす場合、販売業者は、デジタル要素付き製品を市場に提供している加盟国の市場監視当局に直ちにその旨を通知し、特に、コンプライアンス違反の詳細および講じた是正措置の詳細を通知しなければならない。 | 規則第20条4項 | |
| 8 | 販売業者は、市場監視当局からの合理的な要請があった場合、当該当局が容易に理解できる言語により、デジ タル要素を有する製品及びその製造者が実施したプロセスが本規則に適合していることを証明するために必要 な全ての情報及び文書を、紙媒体又は電子媒体で提供しなければならない。製造者は、当該当局の要請に応じて、当該当局が市場に提供したデジタル要素を有する製品がもたらすサイバーセキュリティ上のリスクを排除するために講じた措置について、当該当局に協力しなければならない。 | 規則第20条5項 | |
| 9 | デジタル要素を有する製品の販売業者が、その保有する情報に基づき、当該製品の製造業者が操業を停止し、その結果、本規則に定める義務を遵守することができないことを認識した場合、当該販売業者は、当該市場監視当局に対し、過度の遅滞なく、当該状況を通知するとともに、利用可能なあらゆる手段により、かつ、可能な限り、市場に置かれたデジタル要素を有する製品の使用者にも通知しなければならない。 | 規則第20条6項 |
CRAは「再販業者」という用語を直接定義しておらず、その代わりに「経済事業者」という用語の定義、特に定義の後半に注目する必要がある、 デジタル要素を含む製品の製造または本規則に従った製品の市販に関連して義務を負う自然人または法人第3条(12)。
デジタル・エレメントを自社の商標で配布する、またはデジタル・エレメントを使用して製品に実質的な変更を加える再販業者は「製造業者」とみなされるため、「ハードウェア製造業者」タブまたは「ソフトウェア開発業者」タブのいずれか最適な方を参照してください。
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 1 | 製造業者、輸入業者または販売業者以外の自然人または法人で、デジタル要素を用いて製品に大幅な変更を加え、市場で入手できるようにした者は、本規則の適用上、製造業者とみなされる。 | 規則第22条第1項 | |
| 2 | その者は、実質的な改変によって影響を受けるデジタル要素を有する製品の部分について、または、実質的な改変がデジタル要素を有する製品全体のサイバーセキュリティに影響を及ぼす場合は、製品全体について、第 13 条および第 14 条に定める▌義務に従うものとする。 | 規則第22条2項 |
| 身分証明書 | 必要条件 | 参考 | チェック |
|---|---|---|---|
| 3 | 経済事業者は、要請があれば▌、次の情報を市場監視当局に提供しなければならない:(a)デジタル要素を含む製品を供給した経済事業者の名前と住所。 | 規則第23条第1項 | |
| 4 | 経済事業者は、要請があれば▌、次の情報を市場監視当局に提供しなければならない:(a)デジタル要素を含む製品を供給した経済事業者の名前と住所。 | 規則第23条2項 | |
| 5 | 製造業者だけでなく、その他の自然人または法人も、デジタル要素を含む製品に含まれる脆弱性、およびデジタル要素を含む製品のリスクプロファイルに影響を与える可能性のあるサイバー脅威を、コーディネーターとして指定されたCSIRTまたはENISAに任意で通知することができる。 | 規則第15条1項 | |
| 6 | 製造者だけでなく、その他の自然人または法人も、デジタル要素を含む製品のセキュリティに影響を及ぼすインシデントや、そのようなインシデントにつながる可能性があったニアミスを、コーディネーターとして指定されたCSIRTまたはENISAに任意で通知することができる。 | 規則第15条2項 |