の提案
欧州議会および欧州理事会の規則
デジタル要素を含む製品に対する水平的なサイバーセキュリティ要件について、 規則(EU)2019/1020および指令(EU)2020/1828の改正
(EEA関連テキスト)
{SEC(2022)321最終} - {SWD(2022)282最終} - {SWD(2022)283最終}。
第一章
総則
第1条 主題
この規則はこう定めている:
(a)デジタル要素を含む製品のサイバーセキュリティを確保するための、当該製品の市販に関する規則;
(b) デジタル要素を含む製品の設計、開発、生産に不可欠な要件、およびこれらの製品に関する経済事業者のサイバーセキュリティに関する義務;
(c) 製品が使用されると予想される期間中、デジタル要素を含む製品のサイバーセキュリティを確保するために製造業者が実施する脆弱性対応プロセスに関する必須要件、およびこれらのプロセスに関連する経済事業者の義務;
(d) モニタリングを含む市場監視に関する規則、および本条で言及される規則と要件の実施。
第2条 スコープ
本規則は、意図された目的または合理的に予見可能な使用において、デバイスまたはネットワークへの直接的または間接的な論理的または物理的データ接続が含まれる、市場で入手可能なデジタル要素を含む製品に適用されます。
2.本規則は、以下の連邦法が適用されるデジタル要素を含む製品には適用されない:
(a) 規則(EU)2017/745;
(b) 規則(EU)2017/746;
(c) 規則(EU)2019/2144。
3.本規則は、規則(EU)2018/1139に従って認証されたデジタル要素を有する製品には適用されない。
4.本規則は、欧州議会および理事会指令 2014/90/EU の適用範囲内にある機器には適用されない。
5.附属書Ⅰに定める必須要求事項が対象とするリスクの全部または一部に対応する要求事項を定める他のEU規則が適用されるデジタル要素を有する製品への本規則の適用は、以下の場合に制限または除外することができる:
(a) 当該制限又は除外が、当該製品に適用される全体的な規制の枠組みと整合していること。
(b) 当該分野別規則が、本規則の規定と同等またはそれ以上の保護水準を達成していること。
欧州委員会は、第61条に従い、当該制限または除外が必要かどうか、関係する製品および規則、ならびに関連する場合は制限の範囲を明記することにより、本規則を補足する委任法を採択する権限を有する。
6.本規則は、デジタル素子を搭載した製品の同一部品を交換するために市販され、交換する部品と同じ仕様で製造されたスペア部品には適用されない。
7.本規定は、国家安全保障または防衛の目的のみに開発または修正されたデジタル要素を有する製品、または機密情報を処理するために特別に設計された製品には適用されない。
8.本規則に定める義務は、開示が加盟国の国家安全保障、公安または防衛の本質的利益に反する情報提供を伴うものであってはならない。
第3条 - 定義
本規定においては、以下の定義が適用される:
(1)「デジタル要素を含む製品」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューション(別個に市場に出されるソフトウェアまたはハードウェアコンポーネントを含む)を意味する;
(2) 「遠隔データ処理」とは、そのためのソフトウェアが製造者または製造者の責任の下で設計および開発され、そのソフトウェアがない場合にはデジタル要素を有する製品がその機能の一つを実行することができなくなるような、離れた場所におけるデータ処理をいう;
(3) 「サイバーセキュリティ」とは、規則(EU)2019/881の第2条(1)に定義されるサイバーセキュリティを意味する;
(4)「ソフトウェア」とは、電子情報システムのうち、コンピュータコードで構成される部分を指す;
(5) 「ハードウェア」とは、デジタルデータの処理、保存、伝送が可能な物理的な電子情報システムまたはその部品を指す;
(6) 「コンポーネント」とは、電子情報システムへの統合を意図したソフトウェアまたはハードウェアをいう;
(7)「電子情報システム」とは、電気的または電子的機器を含む、デジタルデータを処理、保存または送信できるシステムを指す;
(8) 「論理接続」とは、ソフトウェアインターフェースを通じて実装されるデータ接続の仮想的な表現を意味する;
(9)「物理的接続」とは、電気的、光学的、機械的インターフェース、電線、電波など、物理的手段を用いて実現される電子情報システムまたはコンポーネント間の接続をいう;
(10)「間接接続」とは、装置またはネットワークへの接続を意味し、直接行われるのではなく、むしろ当該装置またはネットワークに直接接続可能なより大規模なシステムの一部として行われる;
▌
(11) 「エンドポイント」とは、ネットワークに接続され、そのネットワークへのエントリー・ポイントとして機能するあらゆる機器をいう;
▌
(12) 「経済的事業者」とは、製造者、公認代理人、輸入者、販売業者、又は本規則に従って製品の製造若しくは市販に関する義務を負うその他の自然人若しくは法人をいう;
(13)「製造業者」とは、有償、収益化、無償を問わず、デジタル要素を有する製品を開発もしくは製造し、またはデジタル要素を有する製品を設計、開発もしくは製造させ、その名称もしくは商標の下で販売する自然人もしくは法人をいう;
(14) 「オープンソース・ソフトウェア・スチュワード」とは、製造業者以外の法人であって、フリーかつオープンソースソフトウェアとして適格であり、商業活動を目的とするデジタル要素を含む特定の製品の開発に対して、体系的かつ継続的な支援を提供する目的または目標を有し、それらの製品の実行可能性を保証する法人をいう;
(15) 「認定代理人」とは、特定業務に関して製造者からその代理を務める旨の書面による委任を受けた、EU域内に設立された自然人または法人をいう;
(16) 「輸入者」とは、域外に設立された自然人または法人の名称または商標が付されたデジタル要素を有する製品を市場に出す、域内に設立された自然人または法人を意味します;
(17) 「販売業者」とは、サプライチェーンの中で、製造業者または輸入業者以外の自然人または法人であって、デジタル要素を有する製品を、その特性に影響を与えることなく連合市場で入手できるようにする者をいう;
(18) 「消費者」とは、自己の営業、事業、技術または職業以外の目的のために行動する自然人をいう;
(19) 「零細企業」、「小規模企業」及び「中堅企業」とは、欧州委員会勧告2003/361/ECに定義されている零細企業、小規模企業及び中堅企業を意味する;
(20) 「サポート期間」とは、デジタル要素を有する製品の脆弱性が、附属書Ⅰの第Ⅱ部に定める必須要件に従って効果的に処理されることを確保するために製造者が必要とする期間をいう;
(21) 「上市」とは、デジタル要素を含む製品を連合市場において最初に入手可能にすることをいう;
(22) 「市場で入手できるようにする」とは、商業活動の過程において、有償であるか無償であるかを問わず、連合市場において頒布または使用するために、デジタル要素を含む製品を供給することを意味する;
(23) 「意図された目的」とは、製造者が使用説明書、販売促進資料、明細書、および技術文書において提供する情報に明記されている、具体的な使用状況および使用条件を含む、デジタル要素を有する製品が意図する用途を意味する;
(24) 「合理的に予見可能な使用」とは、使用説明書、宣伝用資料、販売用資料、および技術文書において製造者が提供した意図した目的とは必ずしも一致しないが、合理的に予見可能な人間の行動または技術的操作もしくは相互作用から生じる可能性のある使用をいう;
(25)「合理的に予見可能な誤用」とは、デジタル要素を含む製品を、その意図された目的に沿わない方法で使用することを意味するが、合理的に予見可能な人間の行動または他のシステムとの相互作用から生じる可能性がある;
(26) 「通告当局」とは,適合性評価機関の審査,指定及び通告並びにそれらの監視のために必要な手 続きの設定及び実施に責任を負う国家当局を意味する;
(27) 「適合性評価」とは、附属書Ⅰに定める必須要件が満たされているかどうかを検証するプロセスを意味する;
(28) 「適合性評価機関」とは、規則(EU)No 765/2008 の第 2 条の(13)に定義される適合性評価機関をいう;
(29) 「届出機関」とは、この規則の第 33 条及び他の関連する連合調和法に従って指定された適合性評価機関をいう;
(30) 「大幅な変更」とは、デジタル要素付き製品の上市後の変更であって、デジタル要素付き製品が附属書Ⅰの第Ⅰ部に定める必須要件に適合することに影響を及ぼすもの、又はデジタル要素付き製品が評価された意図する目的に変更をもたらすものをいう;
(31) 「CE マーキング」とは、デジタル要素を有する製品及び製造者が実施するプロセスが、附属書Ⅰに定め られる必須要件及びその貼付を規定する他の適用可能な欧州連合の▌法規に適合していることを製造 者が表示するマーキングをいう;
(32) 「EU 調和法令」とは、規則(EU)2019/1020 の附属書Ⅰに記載されているEU法令及び同規則が適用される製品の販売条件を調和させるその他のEU法令をいう;
(33) 「市場監視当局」とは、規則(EU)2019/1020の第3条、ポイント(4)に定義される市場監視当局を意味する;
(34) 「国際規格」とは、規則(EU)No 1025/2012の第2条(1)(a)に定義される国際規格を意味する;
(35) 「欧州規格」とは、規則(EU)No 1025/2012 の第 2 条(1)(b)に定義される欧州規格を意味する;
(36) 「整合規格」とは、規則(EU)No 1025/2012 の第 2 条(1)(b)に定義される欧州規格を意味する;
(37) 「サイバーセキュリティリスク」とは、インシデントによって引き起こされる損失または混乱の可能性を意味し、そのような損失または混乱の大きさとインシデントの発生可能性の組み合わせとして表現される;
(38)「重大なサイバーセキュリティリスク」とは、その技術的特徴に基づき、相当な重大又は非重要な損失や混乱を引き起こすなど、深刻な悪影響をもたらすインシデントが発生する可能性が高いと想定できるサイバーセキュリティリスクをいう;
(39) 「ソフトウェア部品表」または「SBOM」とは、デジタル要素を有する製品のソフトウェア要素に含まれる構成要素の詳細およびサプライチェーン関係を含む正式な記録をいう;
(40) 「脆弱性」とは、サイバー脅威によって悪用される可能性のある、デジタル要素を持つ製品の弱点、感受性、欠陥を意味する;
(41)「悪用可能な脆弱性」とは、実際の運用条件下で敵対者が有効に利用できる可能性を持つ脆弱性を意味する;
(42)「積極的に悪用された脆弱性」とは、悪意のある▌係数がシステム所有者の許可なくシステ ムの脆弱性を悪用したという信頼できる証拠がある脆弱性を意味する;
(43) 「事故」とは、指令(EU)2022/2555の第6条(6)に定義される事故を意味する;
(44) 「デジタル要素付き製品のセキュリティに影響を及ぼすインシデント」とは、データまたは機能の可用性、真正性、完全性または機密性を保護する製造業者のデジタル要素付き製品の能力に悪影響を及ぼす、または悪影響を及ぼす可能性のあるインシデントを意味する;
(45) 「ニアミス」とは、指令(EU)2022/2555の第6条(5)に定義されるニアミスを意味する;
(46)「サイバー脅威」とは、規則(EU)2019/881の第2条(8)に定義されるサイバー脅威を意味する;
(47)「個人データ」とは、規則(EU)2016/679の第4条(1)に定義される個人データを意味する。
(48)「フリー・オープンソースソフトウェア」とは、ソースコードがオープンに共有され、自由にアクセスし、使用し、改変し、再配布できるようにするためのすべての権利を提供するフリー・オープンソースライセンスの下で利用可能にされたソフトウェアをいう;
(49)「リコール」とは、規則(EU)2019/1020の第3条(22)に定義されるリコールを意味する;
(50)「離脱」とは、規則(EU)2019/1020の第3条(23)に定義される離脱を意味する;
(51) 「調整者として指定された CSIRT」とは、指令(EU)2022/2555 の第 12 条(1)に基づき調整者として指定された CSIRT をいう。
第4条 移動の自由
1.加盟国は、本規則が対象とする事項について、本規則に準拠するデジタル要素を有する製品の市販を妨げてはならない。
2.見本市、展示会、実演会または類似のイベントにおいて、加盟国は、本規則に準拠していないデジタル要素を有する製品(その試作品を含む)の提示または使用を妨げてはならない。
製品が本規則に準拠しておらず、本規則に準拠していない製品であることを示す。
この規制を遵守するまでは、市場に出回らない。
3.加盟国は、本規則に準拠していない未完成のソフトウェアを市場で入手できるようにすることを妨げてはならない。ただし、当該ソフトウェアがテスト目的に必要な限られた期間のみ入手可能であり、かつ、当該ソフトウェアが本規則に準拠しておらず、テスト目的以外には市場で入手できないことを目に見える標識で明示することを条件とする。
4.第 3 項は、本規則以外の欧州連合の整合化法令に基づく安全部品には適用されない。
第5条 プロの調達または使用デジタル・エレメント付きダクト
1.本規則は、加盟国が、デジタル要素を含む製品を特定の目的で調達または使用する場合(当該製品が防衛または国家安全保障の目的で調達または使用される場合を含む)、当該製品に対して追加のサイバーセキュリティ要件を課すことを妨げるものではない。
2.指令(EU) 2014/24および指令(EU) 2014/25/EUを損なうことなく、本規則の適用範囲に含まれるデジタル要素を有する製品を調達する場合、加盟国は、製造者の脆弱性への効果的な対処能力を含め、本規則の付属書Ⅰに定める必須要件への適合が調達プロセスにおいて考慮されることを確保するものとする。
第6条 - デジタル要素を含む製品の要件
デジタル要素を含む製品は、以下の場合にのみ市販されるものとする:
(1) 附属書Ⅰの第Ⅰ部に規定される必須要件を満たしていること。ただし、それらが適切に設置され、維持され、意図された目的又は合理的に予見できる条件下で使用され、該当する場合には、必要なセキュリティ更新が導入されていることを条件とする。
(2) 製造者が実施するプロセスが、附属書ⅠパートⅡに定める必須要件に適合していること。
第7条 - 重要 デジタル製品
1.附属書Ⅲに定める製品分類の中核的機能を有するデジタル要素を備えた製品は、デジタル要素を備えた重要な製品とみなされ、第32条(2)及び(3)にいう適合性評価手続の対象となる。附属書IIIに定める製品分類の中核的機能を有するデジタル要素を備えた製品の統合は、それ自体、それが統合された製品を第32条(2)及び(3)にいう適合性評価手続の対象とするものであってはならない。
2.附属書IIIに定めるクラスIおよびIIに分けられ、以下の基準の少なくとも1つを満たす、本条第1項にいうデジタル要素を有する製品のカテゴリー:
(a)デジタル要素を含む製品が、認証とアクセスの確保、侵入防止と検知、エンドポイントセキュリティ、またはネットワーク保護を含む、他の製品、ネットワーク、またはサービスのサイバーセキュリティにとって重要な機能を主に実行する;
(b) デジタル要素を含む製品が、ネットワーク管理、構成制御、仮想化、または個人データの処理を含む中央システム機能など、直接的な操作を通じて、多数の他の製品を混乱させたり、制御したり、損害を与えたり、またはそのユーザーの健康、安全、セキュリティに損害を与えたりする、その強度と能力の点で重大な悪影響のリスクを伴う機能を実行する場合。
3.欧州委員会は、第61条に従い、付属書IIIを改正するための委任法を採択する権限を有する。この委任法は、デジタル要素を有する製品の各分類の中に新たなカテゴリーを含め、その定義を規定すること、製品のカテゴリーをあるカテゴリーから他のカテゴリーに移動させること、または既存のカテゴリーをリストから除外することを目的とする。附属書IIIに定めるリストを修正する必要性を評価する際、欧州委員会は、第2項に言及する基準によって規定される、サイバーセキュリティに関連する機能、またはデジタル要素を有する製品がもたらす機能およびサイバーセキュリティリスクのレベルを考慮するものとする。
本項第1号に言及する委任法は,特に,附属書IIIに定めるとおり,デジタル要素を備えた重要な製品の新たな類型が第I類若しくは第II類に追加され,又は第I類から第II類に移動された場合,緊急の必要性から,より短い移行期間が正当化されない限り,第32条第2項及び第3項に言及する関連する適合性評価手続の適用を開始する前に,最低12か月の移行期間を規定しなければならない。
3.欧州委員会は、[この規則の発効日から12カ月]までに、以下のことを行う。 は、▌カテゴリーの技術的説明を規定する実施法を採択しなければならない。 附属書IIIに規定されたクラスIおよびIIに分類されるデジタル・エレメントを持つ製品、および 附属書IVに規定されたデジタル要素を持つ製品のカテゴリーの技術的説明.
その実施法は、審査手続きに従って採択されなければならない。
第62条2項
第8条-デジタル要素を含む重要製品
1.欧州委員会は、第50条に従い、以下の目的のために委任法を採択する権限を有する。 本規定を補足し、デジタル要素を含む製品のうち、以下のような製品に該当するものを決定する。 本規則の付属書IIIaに記載されているカテゴリーの中核機能は、以下のとおりとする。 少なくとも保証レベルの欧州サイバーセキュリティ証明書を取得する必要がある。 に従って採用された欧州のサイバーセキュリティ認証制度に基づく実質的なものである。 規則(EU)2019/881に定められた必須要件への適合を証明する。 ただし、欧州委員会が、本規則の附属書Iまたはその一部に記載されている サイバーセキュリティ認証制度は、デジタル技術を用いた製品のカテゴリーを対象としている。 要素は、規則(EU)2019/881に従って採択され、以下のように利用可能である。 製造業者。委任された法律では、以下のような要求される保証レベルを規定しなければならない。 の製品に関連するサイバーセキュリティリスクのレベルに見合ったものでなければならない。 デジタル要素は、その重要性を含む意図された目的を考慮しなければならない。 指令(EU)第3条で言及されているタイプの必須事業体による依存関係 2022/2555.
欧州委員会は、そのような委任行為を採択する前に、以下の項目について評価を行わなければならない。 想定される措置が市場に与える潜在的影響について、以下の者と協議を行わなければならない。 欧州サイバーセキュリティ認証グループを含む関係ステークホルダーが言及した。 規則(EU)2019/881による。評価は、準備態勢と以下を考慮しなければならない。 各加盟国の欧州連合(EU)理事会の実施能力レベル サイバーセキュリティ認証スキーム第 1 項の委任行為がない場合 本号が採用された場合、コアとなるデジタル・エレメントを搭載した製品は、本号の対象外となる。 附属書IVに記載されているカテゴリーの機能性は、以下の適合性の対象となる。 第32条(3)で言及されている査定手続き。
第 1 号に規定する委任法は、最低限、次の事項を規定しなければならない。 ただし、これより短い移行期間が正当化される場合はこの限りではない。 急を要する緊急の理由である。
2.欧州委員会は、第61条に従い、▌デジタル要素を有する重要製品のカテゴリーを追加または削除することにより附属書IVを改正する委任法を採択する権限を有する。欧州委員会は、本条第1項に従い、デジタル要素を有する重要製品の当該カテゴリーおよび要求される保証レベルを決定する際、以下のことを行うものとする。
第7条2項で言及されている基準、および以下の基準の少なくとも1つが適用される範囲を考慮する:
(a) デジタル要素を有する製品のカテゴリーに関して、指令▌(EU) 2022/2555 の第 3 条で言及されている必須エンティティの重要な依存関係がある。
(b) デジタル要素を含む製品カテゴリーに関する事件や悪用された脆弱性は、域内市場全体の重要なサプライチェーンに深刻な混乱をもたらす可能性がある。
欧州委員会は、そのような委任行為を採択する前に、以下の項目について評価を行わなければならない。 第1項第2号のタイプ。
第1号に掲げる委任法は、緊急の理由により移行期間を短縮することが正当化される場合を除き、最低6カ月の移行期間を定めなければならない。
第9条 ステークホルダーとの協議
1.欧州委員会は、本規則の実施に向けた措置を準備する際、関連する利害関係者、例えば、加盟国の関係当局、零細・中小企業を含む民間部門、オープンソースソフトウェアコミュニティ、消費者団体、学界、および、欧州連合の関連機関や団体、欧州連合レベルで設置された専門家グループと協議し、その意見を考慮するものとする。特に、欧州委員会は、以下の場合に、計画的かつ適切な方法で、これらの利害関係者と協議し、意見を求めるものとする:
(a) 第26条のガイドラインを作成すること;
(b) 本規則第 61 条を損なうことなく、第 7 条(4)に従って附属書 III に定める製品分類の具体的な技術的説明を作成すること、第 7 条(3)及び第 8 条(2)に従って製品分類リストの潜在的な更新の必要性を評価すること、又は第 8 条(1)にいう潜在的な市場影響の評価を実施すること;
(c) 本規則の評価と見直しのための準備作業を行うこと。
2.欧州委員会は、少なくとも年1回、定期的な協議および説明会を開催し、本規則の実施に関する第1項の利害関係者の意見を収集する。
第10条 サイバーに強いデジタル環境におけるスキルの向上
本規則の目的のため、また、本規則の実施を支援する専門家のニーズに応えるため、加盟国は、教育分野における加盟国の責任を十分に尊重しつつ、適切な場合には欧州委員会、欧州サイバーセキュリティ能力センターおよびENISAの支援を得て、以下を目的とする措置および戦略を推進するものとする:
a) 市場監視当局と適合性評価機関の活動を支援するために、サイバーセキュリティスキルを開発し、熟練した専門家の十分な利用可能性を確保するための組織的・技術的ツールを構築する;
(b) 製造業者の従業員、消費者、訓練提供者、行政の再教育やスキルアップを含む、民間部門、経済事業者間の連携を強化し、サイバーセキュリティ分野の仕事にアクセスできる若者の選択肢を拡大する。
第11条 一般的な製品の安全性
規則(EU)2023/988 の第 2 条(1)項第 3 号、(b)項の適用除外により、同規則の第 Ⅲ 章、第 1 節、第Ⅴ 章および第Ⅶ章、第Ⅸ 章から第ⅳ 章が適用される ▌ 製品が、規則(EU)2023/988 の第 3 条第(27)項に定義される他の「EU 調 和法」に規定される特定の安全要件の対象でない場合、本規則の対象外であるリスクの側面およびリスクまたはカテゴリーに関して、デジタル要素を有する ▌ 製品に適用される。
第12条 ハイリスクAIシステム
1.AI規則]の[第15条]に定める正確性と堅牢性に関する要件を損なうことなく、本規則の適用範囲に含まれ、同規則の[第6条]に従って高リスクAIシステムとして分類されるデジタル要素を有する製品は、同規則の[第15条]に定めるサイバーセキュリティ要件▌に適合するものとみなされる:
(a)それらの製品が、附属書ⅠのパートⅠに定める必須要件を満たしていること;
(b) 製造事業者が実施するプロセスが,附属書Ⅰの第Ⅱ部に規定する必須要件に適合していること。
(c)規則...[AI規則]の[第15条]に基づき要求されるサイバーセキュリティ保護レベルの達成が、本規則に基づき発行されるEU適合宣言において実証されていること。
2.本条第1項に言及されるデジタル要素及びサイバーセキュリティ要件を備えた製品については、...[AI規則]の[第43条]に規定される適合性評価手続が適用される。当該評価の目的上、▌【AI規則】に基づく高リスクAIシステムの適合性を管理する権限を有する届出機関は、本規則の範囲内にある▌高リスクAIシステムの、本規則の附属書Ⅰに定める要件への適合性を管理する権限も有するものとし、ただし、当該届出機関が本規則の第39条に定める要件に適合していることは、▌【AI規則】に基づく届出手続の中で評価されているものとする。
3.第2項の適用除外として、本規則の附属書IIIに記載されたデジタル要素を有する重要な製品であって、本規則第32条(2)の(a)及び(b)にいう適合性評価手続の対象となるもの、及び本規則第 32 条(3)に定める適合性評価手続の対象となる、本規則附属書Ⅳに掲げるデジタル要素を有する重要製品であって、本規則第 8 条(1)に基づき欧州サイバーセキュリティ証明書を取得する必要があるもの、又はそれがない場合であっても本規則第 32 条(3)に定める適合性評価手続の対象となるものであって、▌...規則第[6条]に基づき高リスクAIシステムとしても分類されるもの。[AI規則]の[附属書Ⅵ]で言及される内部管理に基づく適合性評価手順が適用されるものは、本規則の必須要件に関する限り、本規則に規定される適合性評価手順▌に従うものとする。
4.本条第1項にいうデジタル要素を有する製品の製造者は、...規則[AI規則]の[第53条]にいうAI規制サンドボックスに参加することができる。
▌
第二章
フリー・オープンソースソフトウェアに関する経済事業者の義務と但し書き
第13条 - 製造者の義務
1.デジタル要素を含む製品を市場に出す場合、製造者は、その製品が附属書ⅠのパートⅠに定める必須要件に従って設計、開発、製造されていることを保証しなければならない。
2.第 1 項に定める義務を遵守するために、製造者は、デジタル要素を含む製品に関連するサイ バーセキュリティリスクのアセスメントを実施し、サイバーセキュリティリスクの最小化、セキュリ ティインシデントの防止、及び当該インシデントの影響の最小化(利用者の健康及び安全との 関係を含む)を目的として、デジタル要素を含む製品の計画、設計、開発、製造、引渡し及び保守の各段階において、 当該アセスメントの結果を考慮に入れなければならない。
3.サイバーセキュリティリスク評価は、本条第 8 項に従って決定されるサポート期間中、 文書化され、適宜更新されるものとする。サイバーセキュリティリスクアセスメントは、少なくとも、意図された目的及び合理的に予見可能な使用、並びに、運用環境又は保護されるべき資産のようなデジタル要素を有する製品の使用条件に基づくサイバーセキュリティリスクの分析から構成されるものとし、当該製品が使用されると予想される期間を考慮しなければならない。サイバーセキュリティリスクアセスメントは、附属書ⅠのパートⅠの(3)に規定されるセキュリティ要件がデジタル要素を有する当該製品に適用されるかどうか、また、適用される場合、どのような方法で適用されるか、また、サイバーセキュリティリスクアセスメントによって知らされたこれらの要件がどのように実施されるかを示すものとする。また、製造者が附属書Ⅰの第Ⅰ部(1)及び附属書Ⅰの第Ⅱ部に定める脆弱性処理要件をどのように適用するかを示さなければならない。
4.第8条及び第24条(4)で言及されるデジタル要素を有する製品で、他のEU法も適用されるものについては、サイバーセキュリティリスクアセスメントは、それぞれのEU法で要求されるリスクアセスメントの一部とすることができる。特定の必須要件がデジタル要素を含む上市製品に適用されない場合、製造者は、その文書に明確な根拠を含めなければならない。
5.第 1 項を遵守するため、製造者は、第三者から提供されたコンポーネントを統合する際に、当該コンポーネントがデジタル要素を含む製品のサイバーセキュリティを損なわないよう、十分な注意を払わなければならない(商業活動の過程で市場に提供されていないフリーソフトウェアやオープンソースソフトウェアのコンポーネントを統合する場合を含む)。
6.製造者は、オープンソースコンポーネントを含む、デジタル要素と共に製品に組み込まれた コンポーネントの脆弱性を特定した場合、当該コンポーネントを製造又は保守する者又は主体に 脆弱性を報告し、附属書Ⅰの第Ⅱ部に定める脆弱性対応要件に従って脆弱性に対処し、 脆弱性を是正しなければならない。製造者が当該コンポーネントの脆弱性に対処するためにソフトウェアまたはハードウェアの修正を開発した場合、製造者は、適切な場合、機械可読形式で、当該コンポーネントを製造または保守する者または団体と関連するコードまたは文書を共有しなければならない。
7.製造者は、その性質とサイバーセキュリティリスクに見合った方法で、デジタル 要素を有する製品に関連するサイバーセキュリティの側面を体系的に文書化するものとす る。これには、製造者が認識した脆弱性及び第三者から提供された関連情報を含み、該当 する場合には、製品のサイバーセキュリティリスク評価を更新するものとする。
8.製造者は、デジタル要素を含む製品を市場に投入する際、及びサポート期間中、その構成要素を含む当該製品の脆弱性が、附属書Ⅰの第Ⅱ部に定める必須要件に従って効果的に処理されることを確保しなければならない。
製造者は、特に、合理的なユーザの期待、意図された目的を含む製品の性質、及びデジタル要素を有する製品の耐用年数を定める関連連合法を考慮して、製品が使用されると予想される期間を反映するようにサポート期間を決定しなければならない。サポート期間を決定する際、製造者は、他の製造者が市場に出している同様の機能を提供するデジタル要素を搭載した製品のサポート期間、動作環境の可用性、中核機能を提供し第三者から供給される統合コンポーネントのサポート期間、および第52条15項に従って設立された専門の行政協力グループ(ADCO)および欧州委員会が提供する関連ガイダンスも考慮することができる。サポート期間の長さを決定するために考慮される事項は、比例性を確保する方法で考慮されなければならない。
第2号を損なうことなく、サポート期間は少なくとも5年間とする。デジタル要素を含む製品の使用期間が5年未満であると予想される場合、サポート期間は予想される使用期間に対応するものとする。
第52条(16)に言及されているADCOの勧告を考慮し、欧州委員会は、第61条に従い、市場サーベイランスのデータが不十分なサポート期間を示唆している特定の製品カテゴリーについて最低サポート期間を規定することにより、本規則を補足する委任法を採択することができる。
製造業者は、以下の事項を決定するために考慮した情報を含めなければならない。
附属書 VII に定める技術文書に記載されたデジタル要素を含む製品のサポート期間。
製造事業者は、内部又は外部情報源から報告されたデジタル要素を含む製品の潜在的な脆弱性を処理し、是正するために、附属書Ⅰのセクション2の(5)で言及されている調整された脆弱性開示方針を含む適切な方針及び手順を持たなければならない。
9.製造者は、附属書Ⅰの第Ⅱ部(8)で言及されている、サポート期間中にユーザーに提供された各セキュリティ更新が、発行後、デジタル要素を含む製品が市場に出てから最低10年間、又はサポート期間の残りの期間のいずれか長い方の期間、利用可能であることを保証しなければならない。
10.製造者があるソフトウェア製品の大幅な改変を施した後続バージョンを市場に出した場合、その製造者は、その製造者が最後に市場に出したバージョンについてのみ、附属書Ⅰ第Ⅱ部第(2)項に定める必須要件への適合を確保することができる。ただし、以前に市場に出したバージョンの利用者は、最後に市場に出したバージョンに無料でアクセスすることができ、その製品の元のバージョンを使用するハードウェア及びソフトウェア環境を調整するための追加費用を負担しないことを条件とする。
11.製造業者は、ユーザーが過去のバージョンにアクセスできるよう、公開ソフトウェア・アーカイブを維持することができる。このような場合、サポートされていないソフトウェアを使用することに伴うリスクについて、容易にアクセスできる方法でユーザーに明確に通知するものとする。
12.製造者は、デジタル要素を含む製品を市場に出す前に、第31条の技術文書を作成しなければならない。
これらの機関は,第32条に規定する選択された適合性評価手続を実施し,又は実施させなければならない。
デジタル要素を有する製品が、付属書Iの第1部に定める必須要件に適合していること、および、製造者が実施するプロセスが、付属書Iの第2部に定める必須要件に適合していることが、適合性評価手続きによって証明された場合、製造者は、第28条に従ってEU適合宣言書を作成し、第30条に従ってCEマーキングを貼付しなければならない。
13.製造者は、技術文書およびEU適合宣言書を、デジタル要素を含む製品が上市されてから少なくとも10年間、またはサポート期間のいずれか長い方の期間、市場監視当局が自由に処分できるよう保管しなければならない。
14.製造者は、一連の製造の一部であるデジタル要素を有する製品について、本規則への適合性を維持するための手順を確保しなければならない。製造者は、デジタル要素を有する製品の適合性が宣言され、又はその適合性が検証される際に参照される、開発及び製造プロセス、又はデジタル要素を有する製品の設計若しくは特性における変更、並びに整合規格、欧州サイバーセキュリティ認証スキーム又は第27条で言及される共通仕様における変更を適切に考慮しなければならない。
15.製造事業者は,そのデジタル要素付き製品に型式,バッチ番号若しくは製造番号又はその識別を 可能にするその他の要素を付すことを確実にするか,又はそれが不可能な場合には,その情報が包装上 又はデジタル要素付き製品に添付する文書に記載されることを確実にしなければならない。
16.製造事業者は,製造事業者の名称,登録商号又は登録商標,並びに郵便番号,電子メールアドレス又はその他のデジタル連絡先の詳細,並びに該当する場合,製造事業者に連絡することができるウェブサイトを,デジタル要素付き製品,その包装上又はデジタル要素付き製品に添付する文書に表示しなければならない。その情報は、附属書IIで言及される使用者に対する情報及び指示にも記載しなければならない。連絡先の詳細は,使用者及び市場監視当局が容易に理解できる言語で記載しなければならない。
17.本規則の目的のため、製造者は、デジタル要素を有する製品の脆弱性に関する報告を容易にするためも含め、利用者が直接かつ迅速に連絡を取ることができるよう、単一の連絡窓口を指定しなければならない。
製造事業者は,単一の連絡窓口を使用者が容易に識別できるようにしなければならない。また,附属書Ⅱに定める使用者に対する情報及び指示にも,単一の連絡先を記載しなければならない。
単一窓口は、利用者が希望するコミュニケーション手段を選択できるようにし、その手段を自動化されたツールに限定してはならない。
18.製造事業者は,デジタル要素を含む製品に,附属書Ⅱに定める使用者に対する情報及び指示を紙又は電子形式で添付することを確実にしなければならない。当該情報及び指示は,使用者及び市場監視当局が容易に理解できる言語で提供されなければならない。それらは,明確で,理解可能で,明瞭で,判読可能でなければならない。それらは、デジタル要素を含む製品の安全な設置、操作及び使用を可能にするものでなければならない。製造事業者は,附属書Ⅱに定める使用者に対する情報及び指示を,使用者及び市場監視当局が自由に利用できるよう,デジタル要素付き製品の上市後少なくとも10年間又はサポート期間のいずれか長い方の期間,保管しなければならない。このような情報及び指示がオンラインで提供される場合、製造者は、デジタル要素を含む製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い方の期間、アクセス可能で、使い勝手がよく、オンラインで利用可能であることを確保しなければならない。
19.製造事業者は,第8項に規定されるサポート期間の終了日が,少なくとも月及び年を含め, 購入時に,該当する場合,デジタル要素を有する製品,その包装又はデジタル手段によって, 容易にアクセス可能な方法で明確かつ理解できるように明記されることを確保しなければならない。
デジタル要素を含む製品の性質に照らして技術的に可能な場合、製造者は、デジタル要素を含む製品のサポート期間が終了したことを知らせる通知をユーザーに表示しなければならない。
20.製造者は、EU適合宣言書の写し、またはデジタル要素を含む簡易EU適合宣言書のいずれかを製品に添付しなければならない。簡易EU適合宣言書を提供する場合、完全なEU適合宣言書にアクセスできる正確なインターネットアドレスを記載しなければならない。
21.デジタル要素を含む製品又は製造者が実施するプロセスが附属書Ⅰに定める必須要件に適合していないことを知り、又はそう信じる理由がある製造者は、上市後及びサポート期間中▌、適宜、デジタル要素を含む製品又は製造者のプロセスを適合させるために必要な是正措置を直ちに講じ、製品を撤回又は回収しなければならない。
22.製造者は、市場監視当局から理由ある要請を受けた場合、当該当局が容易に理解できる言語で、デジタル要素付き製品及び製造者が実施したプロセスが附属書Ⅰに定める必須要件に適合していることを証明するために必要なすべての情報及び文書を、紙又は電子形式で当該当局に提供しなければならない。
23.業務を停止し、その結果、本規則に定める義務を遵守することができなくなった製造者は、業務停止が発効する前に、その状況を関連市場監視当局に通知するとともに、利用可能なあらゆる手段により、かつ、可能な限り、市場に出回るデジタル要素を有する関連製品の使用者にも、業務停止が間近に迫っていることを通知しなければならない。
24.欧州委員会は、欧州規格または国際規格およびベストプラクティスを考慮し、附属書I第II部第(1)項に定めるソフトウェア部品表の書式および要素を、実施法によって規定することができる。これらの実施法は、第62条(2)に言及された審査手続きに従って採択されるものとする。
25.ソフトウェア・コンポーネント、特にフリー・ソフトウェアおよびオープンソース・ソフトウェアとして適格なコンポーネントに対する加盟国および連邦全体の依存度を評価するため、ADCO は、デジタル要素を有する特定のカテゴリの製品について、連邦全体の依存度評価を実施することを決定することができる。そのために、市場監視当局は、以下のようなカテゴリーの製品の製造業者に対して、依存性評価を実施するよう要請することができます。
附属書 I、第 II 部、(1)で言及されている、関連するソフトウェア部品表を提供するためのデジタル要素。当該情報に基づき、市場監視当局は、ソフトウェアの依存性に関する匿名化され集計された情報を ADCO に提供することができる。ADCO は、指令(EU)2022/2555 の第 14 条に基づき設立された協力グループに、依存性評価の結果に関する報告書を提出するものとする。
第14条 製造業者の報告義務
1.製造者は、デジタル要素を有する製品に含まれる積極的に悪用される脆弱性を認識した場合、 ▌本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造者は、第 16 条に定める単一報告プラットフォームを通じて、当該積極的に悪用される脆弱性を通知するものとする。
2.第1項の通知のために,製造者は,以下を提出しなければならない:
(a) 活発に悪用されている脆弱性に関する早期警告通知を、過度の遅滞なく、いかなる場合でも製造者がそれを認識してから24時間以内に、該当する場合には、製造者がデジタル要素を含む製品が利用可能になったことを認識している加盟国を示す;
(b) 関連する情報が既に提供されている場合を除き、製造者が積極的に悪用された脆弱性を認識してから、不当な遅延なく、いかなる場合であっても72時間以内に、脆弱性に関する通知を行う。この通知には、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質及び当該脆弱性、並びに講じられた是正措置又は緩和措置、及びユーザが講じることができる是正措置又は緩和措置を可能な限り提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなすかを示すものとする;
(c) 関連情報がすでに提供されている場合を除き、是正措置または緩和措置が利用可能になってから14日以内に、少なくとも以下を含む最終報告書を提出する:
(i) 脆弱性の説明(その重大性と影響を含む);
(ii) 利用可能な場合、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報;
(iii) 脆弱性を是正するために提供されたセキュリティアップデートまたはその他の是正措置の詳細。
3.製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントが発生したことを ▌ 認識した場合、本条第 7 項に従い、コーディネータとして指名された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16 条に定める単一報告プラットフォームを通じて、当該インシデントを通知するものとする。
4.第3項の通知のために,製造事業者は,以下を提出しなければならない:
(a) デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントについて、過度の遅滞なく、いかなる場合であっても、製造者がそれを認識してから24時間以内に、少なくともインシデントが不法行為又は悪意ある行為によって引き起こされた疑いがあるか否かを含めて、早期警告通知を行うこと。通知には、該当する場合、製造者がデジタル要素付き製品が利用可能になったことを認識している加盟国も記載しなければならない;
(b) 関連する情報が既に提供されている場合を除き、過度の遅滞なく、いかなる場合であっても、 製造者がインシデントを認識してから72時間以内に、インシデント通知。また、通知には、該当する場合、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとする;
(c) 関連情報が既に提供されている場合を除き、(b)に基づく事故通知書の提出後1ヶ月以内に、少なくとも以下を含む最終報告書を提出すること:
(i)その重大性と影響を含む、事故の詳細な説明;
(ii) インシデントの引き金となったと思われる脅威の種類または根本原因;
(iii) 適用済みおよび継続中の緩和策。
5.第3項の目的上、デジタル要素を含む製品のセキュリティに影響を及ぼすインシデントは、以下の場合に深刻であるとみなされるものとする:
(a) 機密または重要なデータまたは機能の可用性、真正性、完全性または機密性を保護するための、デジタル要素を持つ製造業者の製品の能力に悪影響を及ぼす、または悪影響を及ぼす可能性がある。
(b)デジタル要素を含む製品、またはデジタル要素を含む製品のユーザーのネットワークや情報システムに、悪意のあるコードを導入または実行させることにつながった、またはつながる可能性がある。
6.必要な場合、最初に通知を受領したコーディネータとして指定された CSIRT は、デジタル要素を含む製品のセキュリ ティに影響を及ぼす、積極的に悪用された脆弱性又は深刻なインシデントに関する関連する状況の更新につい て、中間報告を提供するよう製造者に要求することができる。
7.第 1 項および第 3 項の届出は、第 16 条(1)に言及される電子届出エンドポイントのいずれかを使用して、第 16 条に言及される単一届出プラットフォームを経由して提出されるものとする。届出は、製造者が域内に主たる事業所を有する加盟国のコーディネーターとして指定されたCSIRTの電子届出エンドポイントを使用して提出され、同時にENISAがアクセスできるものとする。
本規則において、製造者は、デジタル要素を含む製品のサイバーセキュリティに関する意思決定が主に行われる加盟国に、域内における主たる事業所を有するものとみなされる。そのような加盟国を決定できない場合は、当該製造者がデジタル要素を有する事業所を有する加盟国が主たる事業所であるとみなされるものとする。
同組合で最多の従業員数を誇る。
製造者が域内に主たる事業所を有していない場合、製造者は、以下の順序に従って決定された加盟国において調整者として指定された CSIRT の電子通知エンドポイントを使用し、製造者が入手可能な情報に基づいて、第 1 項及び第 3 項の通知を提出するものとする:
(a)デジタルエレメントを搭載した製品のうち、最も多くの製品について、製造者の代理を務める公認代理店が設立されている加盟国;
(b) 当該製造業者のデジタル要素を搭載した製品を最も多く市場に出している輸入業者が設立されている加盟国;
(c) 当該製造業者のデジタル・エレメントを搭載した製品を最も多く販売している販売業者が設立されている加盟国;
(d) 当該製造業者のデジタル・エレメントを搭載した製品のユーザー数が最も多い加盟国。
第3号の(d)に関連して、製造者は、その後積極的に悪用された脆弱性又はデジタル要素を有する製品のセキュリティに影響を及ぼす重大なインシデントに関する通知を、最初に報告した調整者として指定された同一のCSIRTに提出することができる。
▌
8.▌ 製造者は、積極的に悪用される脆弱性又は深刻なインシデントを認識した後、デジタル要素製品のセキュリ ティに影響を及ぼす、積極的に悪用される脆弱性又は深刻なインシデントについて、また、必要な場合には、当該 脆弱性又はインシデントの影響を軽減するためにユーザが展開できるリスク軽減及び是正措置に ついて、デジタル要素製品の影響を受けるユーザ、及び適切な場合には全てのユーザに、構造化され、容易に 自動処理可能な機械可読形式で通知しなければならない。製造者が適時にデジタル要素を含む製品のユーザに通知しない場合、共同実施者として指定された通知された CSIRT は、そのような情報をユーザに提供することができる。
その脆弱性またはインシデントの影響を防止または軽減するために適切かつ必要であると考えられる場合。
9.欧州委員会は、[本規則の発効日から 12 ヶ月]までに、第 61 条に従って、第 16 条(2)に言及される通知の普及の遅延に関するサイバーセキュリティ関連の根拠を適用するための条件を規定することにより、本規則を補足する委任法を採択するものとする。欧州委員会は、委任法の草案の作成において、指令(EU_ 2022/2555)の第15条に従って設立されたCSIRTsネットワークおよびENISAと協力するものとする。
10.欧州委員会は、実施法によって、第15条および第16条と同様に、本条で言及される通知の形式および手続きをさらに定めることができる。これらの実施法は、第62条2項に言及された審査手続きに則って採択されなければならない。欧州委員会は、実施法の草案の作成において、CSIRTsネットワークおよびENISAと協力するものとする。
第15条 自主報告
1.製造者及びその他の自然人又は法人は、デジタル要素を含む製品に含まれる脆弱性及びデジタル要素を含む製品のリスクプロファイルに影響を与える可能性のあるサイバー脅威を、調整者として指定された CSIRT 又は ENISA に任意で通知することができる。
2.製造者及びその他の自然人又は法人は、デジタル要素を含む製品のセキュリティに影響を及ぼすインシデント、及びデジタル要素を含む製品のセキュリティに影響を及ぼすインシデントにつながる可能性があったニアミスを、調整者として指定された CSIRT 又は ENISA に任意で通知することができる。
3.コーディネータとして指定された CSIRT または ENISA は、第 16 条に定める手続きに従い、本条第 1 項および第 2 項の通知を処理する。
コーディネータに指名された CSIRT は、自発的な届出よりも義務的な届出を優先して処理することができる。
4.製造者以外の自然人又は法人が、本条第 1 項又は第 2 項に従って、積極的に悪用された脆弱性又はデジタル要素を持つ製品のセキュリティに影響を与える重大なインシデントを通知する場合、調整者として指名されたシーサートは、製造者に遅滞なく通知しなければならない。
5.コーディネータとして指定された CSIRT 及び ENISA は、届出自然人又は法人から提供された情報の機密性及び適切な保護を確保するものとする。犯罪の予防、捜査、発見及び訴追を損なうことなく、自発的な通報は、通報した自然人又は法人に、通報を提出しなければ課されることのなかった追加的な義務を課す結果とならないものとする。
第16条 単一報告プラットフォームの確立
1.製造者の報告義務を簡素化するため、第 14 条(1)項および(3)項ならびに第 15 条(1)項および(2)項に記載される通知のために、ENISA は単一の報告プラットフォームを構築するものとする。日々の運用はENISAが管理・維持する。単一報告プラットフォームのアーキテクチャは、加盟国およびENISAが独自の電子通知エンドポイントを設置できるようにする。
2.通知を受領した後、最初に通知を受領したコーディネータとして指定された CSIRT は、遅滞なく、単一の報告プラットフォームを経由して、製造者がデジタル要素を含む製品が利用可能であることを示した地域のコーディネータとして指定されたすべての CSIRT に通知を配信しなければならない。
例外的な状況、特に製造者の要求があり、本規則の第 14 条(2)の(a)に基づき製造者が示した届出情報の機密性のレベルに照らすと、指令(EU)2022/2555 の第 12 条(1)に言及される調整された脆弱性開示手続の対象となる脆弱性の場合を含め、正当なサイバーセキュリティ関連の理由に基づき、厳密に必要な期間、届出の普及を延期することができる。CSIRT が届出を保留することを決定した場合、当該 CSIRT は、その決定について直ちに ENISA に通知し、届出を保留する正当な理由と、本項に規定される普及手順に従って届出を普及させる時期の指示の両方を提供するものとする。ENISA は、サイバーセキュリティ関連の CSIRT を支援することができる。
通知の伝達を遅延させることに関する根拠。
特に例外的な状況として、メーカーが以下のようなマークを付けている場合がある。
第14条2項の(b)で言及されている通知:
(a) 通知された脆弱性が悪意のある行為者によって積極的に悪用されたこと、
入手可能な情報によれば、製造者が脆弱性を通知した CSIRT 以外の加盟国において、その脆弱性が悪用されたことはない;
(b) 通知された脆弱性を直ちにさらに広めることは、当該加盟国の本質的利益に反する情報の開示につながる可能性が高いこと。
(c)通知された脆弱性が、さらなる拡散に起因する差し迫った高いサイバーセキュリティリスクをもたらすこと。
完全な届出が関係CSIRT及びENISAに周知されるまでは、製造者による届出があったという情報、製品に関する一般的な情報、エクスプロイトの一般的な性質に関する情報、セキュリティ関連の根拠が提起されたという情報のみがENISAに同時に提供される。当該情報に基づき、ENISAが域内市場のセキュリティに影響を及ぼすシステミックリスクがあると考える場合、ENISAは、コーディネータとして指定された他のCSIRT及びENISA自身へ完全な通知を周知するよう、当該CSIRTに勧告するものとする。
3.製品の脆弱性が積極的に悪用されているという通知を受け取った後
デジタル要素を有する製品、又はデジタル要素を有する製品のセキュリティに影響を及ぼす重大なインシデントに関して、CSIRT は、各加盟国の市場監視当局に、以下のために必要な通知情報を提供しなければならない。
市場監視当局が本規則に基づく義務を履行すること。
4.ENISAは、単一報告プラットフォームのセキュリティ、及び単一報告プラットフォームを通じて提出され、または拡散される情報にもたらされるリスクを管理するため、適切かつ相応の技術的、運用的、組織的措置を講じるものとする。ENISAは、単一報告プラットフォームに影響を及ぼすセキュリティインシデントが発生した場合、過度の遅滞なく、CSIRTsネットワークおよび欧州委員会に通知するものとする。
5.ENISA は、CSIRTs ネットワークと協力して、以下を提供し実施するものとする。
第1項で言及される単一報告プラットフォームの構築、維持及び安全な運用に関する技術的、運用的及び組織的措置に関する仕様。
通知された脆弱性に是正措置や緩和措置がない場合、その脆弱性に関する情報が厳格なセキュリティプロトコルに沿って、知る必要があるベースで共有されることを保証するための手続き的側面を含む。
6.コーディネータとして指定された CSIRT が、以下に言及する調整された脆弱性開示手順の一環として、 活発に悪用される脆弱性を認識した場合。
指令(EU)2022/2555 の第 12 条(1)では、最初に通報を受けたコーディネータとして指定された CSIRT は、以下の方法でそれぞれの通報の周知を遅らせることができる。
は、サイバーセキュリティに関連する正当な理由に基づき、厳密に必要な期間、かつ、関係する協調的脆弱性開示当事者による開示の同意が得られるまでの間、単一の報告プラットフォームにおいて、当該脆弱性を通知することを要求される。この要件は、製造業者が本条に規定された手順に従って自主的に当該脆弱性を通知することを妨げるものではない。
第17条 - 報告に関するその他の規定
1.ENISAは、指令(EU)2022/2555の第16条に基づき設立された欧州サイバー危機連絡組織ネットワーク(EUCyCLONe)に、以下の情報を提出することができる。
当該情報が、大規模なサイバーセキュリティインシデント及び危機の運用レベルでの協調的管理に関連する場合、第 14 条(1)及び(3)並びに第 15 条(1)及び(2)に従って通知される。そのような関連性を決定するために、ENISAは、利用可能な場合、CSIRTsネットワークによって実施された技術的分析を考慮することができる。
2.デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントの防止もしくは軽減、または進行中のインシデントに対処するために、一般への周知が必要である場合、またはインシデントの開示がその他の公益に資する場合、関連する加盟国の調整役として指定された CSIRT は、当該製造者と協議した後、適切な場合には ENISA と協力して、インシデントについて一般に通知するか、または製造者にそのように要求することができる。
3.ENISAは、第14条(1)項および(3)項ならびに第15条(1)項および(2)項に従って受領した通知に基づき、24カ月ごとに、デジタル要素を含む製品のサイバーセキュリティリスクに関する新たな動向に関する技術報告書を作成し、指令(EU)2022/2555の第14条に基づいて設立された協力グループに提出するものとする。最初の当該報告書は、第14条(1)および(3)に規定された義務の適用開始後24ヶ月以内に提出されるものとする。ENISAは以下を行うものとする。
指令(EU) 2022/2555の第18条に基づき、EUにおけるサイバーセキュリティの状況に関する報告書に、技術報告書の関連情報を含める。
4.第14条(1)および(3)、または第15条(1)および(2)に従った単なる通知行為は、通知した自然人または法人に増加責任を負わせるものではない。
5.セキュリティ更新または別の形態の是正措置もしくは緩和措置が利用可能になった後、ENISAは、当該デジタル要素を有する製品の製造者と合意した上で、本規則第14条(1)または第15条(1)に従って通知された公知の脆弱性を、指令(EU)2022/2555の第12条(2)に従って設立された欧州脆弱性データベースに追加するものとする。
6.コーディネータとして指名された CSIRT は,製造業者,特に零細企業又は中小企業に該当する製造業者に対し,第 14 条に基づく報告義務に関するヘルプデスク支援を提供しなければならない。
第18条 委任代理人
1.製造事業者は,書面による委任によって,認定代理人を任命することができる。
2.第13条(1)から(12)までの第1号及び(14)に定める義務は、権限のある代表者の権限の一部を構成しない。
3.認定代理人は,製造事業者から受領した委任事項で指定された業務を実施しなければならない。認定代理店は,要請に応じて,委任の写しを市場監視当局に提出しなければならない。委任状は,認定代理人が少なくとも次のことを行うことを認めなければならない:
(a) 第27条にいうEU適合宣言書及び第31条にいう技術文書を、デジタル要素を含む製品が上市されてから少なくとも10年間、又はサポート期間のいずれか長い方の期間、市場監視当局の手元に保管すること;
(b) 市場監視当局からの合理的な要請があった場合、当該当局に対し、製品のデジタル要素への適合性を証明するために必要なすべての情報及び文書を提供すること;
(c) 市場監視当局の要請に応じて、公認代理人の委任の対象となるデジタル要素を含む製品によってもたらされるサイバーセキュリティ上のリスクを排除するために取られる行動について、市場監視当局に協力すること。
第19条 - 輸入業者の義務
1.輸入者は、附属書Ⅰの第Ⅰ部に定める必須要件に適合し、かつ、製造者が実施するプロセスが附属書Ⅰの第Ⅱ部に定める必須要件に適合するデジタル要素を有する製品のみを市場に流通させなければならない。
2.デジタル要素を含む製品を市場に出す前に、輸入者は以下を確認しなければならない:
(a) 第 32 条に規定する適切な適合性評価手順が製造事業者によって実施されていること;
(b) 製造者が技術文書を作成したこと;
(c) デジタル要素を備えた製品に第30条のCEマーキングが付され、第13条(20)のEU適合宣言書及び附属書Ⅱに定める情報及び使用説明書が、使用者及び市場監視当局が容易に理解できる言語で添付されていること;
(d) 製造者が第13条(15)、(16)および第19条に定める要件を遵守していること。
本項の目的のため、輸入者は本条に定める要件を満たしていることを証明する必要書類を提出できるものとする。
3.輸入者が、デジタル要素を有する製品または製造者が実施したプロセスが本規則に適合していないと考え、またはそう考える理由がある場合、輸入者は、当該製品または製造者が実施したプロセスが本規則に適合するまで、当該製品を市場に出してはならない。さらに、デジタル要素を含む製品が重大なサイバーセキュリティ・リスクをもたらす場合、輸入者はその旨を製造者及び市場監視当局に通知しなければならない。
輸入者が、デジタル要素を含む製品が非技術的なリスク要因に照らして重大なサイバーセキュリティリスクをもたらす可能性があると信じる理由がある場合、輸入者はその旨を市場監視当局に通知しなければならない。当該情報を受領した場合、市場監視当局は以下の手続きに従うものとする。
第54条2項
4.輸入者は、その氏名、登録商号又は登録商標、郵送先住所、電子メールアドレス又はその他のデジタル連絡先、並びに該当する場合、連絡先となるウェブサイトを、デジタル要素を含む製品に表示するか、▌その包装又はデジタル要素を含む製品に添付する文書に表示しなければならない。連絡先の詳細は、利用者及び市場監視当局が容易に理解できる言語で記載しなければならない。
▌
5.輸入者は、市場に出したデジタル要素を含む製品が本規則に適合していないことを知り、またはそう信じる理由がある場合、直ちに以下のことを行わなければならない。
デジタル要素を含む製品を本規則に適合させるために必要な是正措置を講じること。
デジタル要素を含む製品に脆弱性があることを認識した場合、輸入者は、その脆弱性について過度の遅滞なく製造者に通知しなければならない。さらに、デジタル要素を含む製品が重大なサイバーセキュリティ上のリスクをもたらす場合、輸入者は、直ちに、輸入者が属する加盟国の市場監視当局に通知しなければならない。
その旨、特に不適合の詳細および講じられた是正措置の詳細を記載し、デジタル要素を搭載した製品を市場で入手できるようにしたこと。
6.輸入者は、デジタル要素を含む製品が上市されてから少なくとも10年間、またはサポート期間のいずれか長い方の期間、EU適合宣言書の写しを市場監視当局が自由に入手できるように保管し、要請に応じて技術文書を同当局が入手できるようにしなければならない。
7.輸入者は、市場監視当局からの合理的な要請があれば、当該当局が容易に理解できる 言語で、デジタル要素を有する製品が附属書Ⅰの第Ⅰ部に定める必須要件に適合していること、 及び製造者が附属書Ⅰの第Ⅱ部に定める必須要件に適合するプロセスを実施していることを証 明するために必要なすべての情報及び文書を、紙媒体又は電子媒体で提供しなければならない。製造者は、当局の要請に応じて、当局が上市したデジタル要素を含む製品がもたらすサイバーセキュリティ上のリスクを適切に低減するために講じた措置について、当局に協力しなければならない。
8.デジタル要素付き製品の輸入者が、当該製品の製造者が操業を停止し、その結果、本規則に定める義務を遵守できないことを知った場合、当該輸入者は、関連する市場監視当局に当該状況を通知するとともに、利用可能なあらゆる手段により、かつ可能な限り、市場に置かれたデジタル要素付き製品の使用者にも通知しなければならない。
第20条 - 代理店の義務
1.デジタル要素を含む製品を市場に流通させる場合、販売業者は、本規則に規定される要件に関して十分な注意を払って行動するものとする。
2.販売業者は、デジタル要素を含む製品を市場に流通させる前に、以下を確認するものとする:
(a) デジタル要素を含む製品にCEマーキングが付されていること;
(b) 製造者及び輸入者が、それぞれ第 13 条(15)、(16)、(18)、(19)及び(20)並びに第 19 条(4)に定める義務を遵守し、かつ販売業者に必要な全ての書類を提供していること。
3.販売業者が、その保有する情報に基づき、デジタル要素を有する製品または製造業者が実施するプロセスが附属書Ⅰに定める必須要件に適合していないと考え、またはそう考える理由がある場合、販売業者は、当該製品または製造業者が実施するプロセスが本規則に適合するまで、デジタル要素を有する製品を市場に提供してはならない。さらに、デジタル要素を含む製品が重大なサイバーセキュリティ・リスクをもたらす場合、販売業者は、過度の遅滞なく、その旨を製造業者および市場監視当局に通知しなければならない。
4.ディストリビューターは、その保有する情報に基づき、自らが市場に提供しているデジタル要素を 含む製品またはその製造者が実施するプロセスが本規則に適合していないことを知り、またはそう信じる理由が ある場合、当該デジタル要素を含む製品またはその製造者が実施するプロセスを適合させるために必要な是正 措置を講じること、または適切な場合には、当該製品を撤回または回収することを確認しなければなりません。
デジタル要素を含む製品に脆弱性があることを知った場合、販売業者はその脆弱性について過度な遅滞なく製造業者に通知するものとする。さらに、デジタル要素付き製品が重大なサイバーセキュリティ・リスクをもたらす場合、販売業者は、デジタル要素付き製品を市場に提供している加盟国の市場監視当局に直ちにその旨を通知し、特に、コンプライアンス違反の詳細および講じられた是正措置について報告しなければならない。
5.販売業者は、市場監視当局からの合理的な要請があった場合には、当該当局に対し、デジタル要素を 含む製品の適合性及びその製造者が実施した本規則への適合プロセスを証明するために必要な全ての情報及び 文書を、当該当局が容易に理解できる言語で、紙媒体又は電子媒体により提供しなければならない。製造者は、当該当局の要請に応じて、当該当局が市販したデジタル要素を有する製品によってもたらされるサイバーセキュリティ上のリスクを排除するために講じた措置について、当該当局に協力しなければならない。
6.デジタル要素を有する製品の販売業者が、その保有する情報に基づき、当該製品の製造業者が操業を停止し、その結果、本規則に定める義務を遵守することができないことを認識した場合、販売業者は、当該市場監視当局に対し、過度の遅滞なく、当該状況を通知するとともに、利用可能なあらゆる手段により、かつ、可能な限り、市場に置かれたデジタル要素を有する製品の使用者にも通知しなければならない。
第21条 - 製造業者の義務が輸入業者および販売業者に適用される場合
輸入業者または販売業者は、本規則の適用上製造業者とみなされるものとし、当該輸入業者または販売業者がデジタル要素を有する製品をその名称または商標の下で市場に出す場合、または既に市場に出ているデジタル要素を有する製品の大幅な改変を行う場合には、▌第 13 条および第 14 条の適用を受けるものとする。
第22条 - 製造者の義務が適用されるその他の場合
1.製造業者、輸入業者又は販売業者以外の自然人又は法人で、デジタル要素を用いて製品の大幅な改変を行い、それを市場で入手できるようにする者は、本規則の適用上、製造業者とみなされるものとする。
2.その者は、実質的な改変によって影響を受ける製品の部分について、又は、実質的な改変がデジタル要素を含む製品全体のサイバーセキュリティに影響を及ぼす場合には、製品全体について、第 13 条及び第 14 条に定める▌義務に従うものとする。
第23条 - 経済事業者の特定
1.経済事業者は、要請があれば▌、以下の情報を市場監視当局に提供しなければならない:
(a) デジタル要素を含む製品を提供した経済事業者の氏名および住所;
(b) 情報が入手可能な場合、デジタル要素を含む製品を供給した経済事業者の名前と住所;
2.経済事業者は、デジタル要素を有する製品の供給を受けてから10年間、及びデジタル要素を有する製品を供給してから10年間、第1項にいう情報を提示することができるものとする。
第24条 オープンソースソフトウェアのスチュワードの義務
1.オープンソースソフトウェアのスチュワードは、デジタル要素を含む安全な製品の開発と、当該製品の開発者による脆弱性の効果的な取り扱いを促進するために、サイバーセキュリティポリシーを定め、検証可能な方法で文書化しなければならない。当該方針はまた、当該製品の開発者による第 15 条に定める脆弱性の自発的な報告を促進し、オープンソースソフトウェアのスチュワードの特定の性質、および当該スチュワードが従う法的および組織的な取り決めを考慮に入れなければならない。その方針は、特に、脆弱性の文書化、対処、および修復に関連する側面を含み、発見された脆弱性に関する情報のオープンソースコミュニティ内での共有を促進するものとする。
2.オープンソースソフトウェアのスチュワードは、市場監視当局の要請に応じて、フリーソフ トウェアおよびオープンソースソフトウェアとして適格なデジタル要素を持つ製品 がもたらすサイバーセキュリティ上のリスクを軽減する目的で、市場監視当局と協力しなけ ればならない。
市場監視当局からの合理的な要請があった場合、オープンソースソフトウェアのスチュワードは、同当局に対し、同当局が容易に理解できる言語で、紙または電子形式で、第1項にいう文書を提供しなければならない。
3.第14条(1)に定める義務は、オープンソースソフトウェアのスチュワードがデジタル要素を含む製品の開発に関与する範囲において、オープンソースソフトウェアのスチュワードに適用されるものとする。第14条(3)および(8)に定める義務は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントがネットワークおよび情報に影響を及ぼす限りにおいて、オープンソースソフトウェアのスチュワードに適用されるものとする。
オープンソースソフトウェアのスチュワードがそのような製品の開発のために提供するシステム。
第25条 フリーソフトウェアおよびオープンソースソフトウェアのセキュリティ認証
第13条5項に定めるデューディリジェンス義務を促進するため、特に、デジタル要素を有する製品にフリーソフトウェアおよびオープンソースソフトウェアのコンポーネントを統合する製造業者に関して、欧州委員会は、フリーソフトウェアおよびオープンソースソフトウェアとして適格なデジタル要素を有する製品の開発者または使用者、およびその他の第三者が、当該製品が本規則に規定されるすべてまたは特定の必須要件もしくはその他の義務に適合しているかどうかを評価することを可能にする自主的なセキュリティ認証プログラムを確立することにより、本規則を補完するため、第61条に従って委任法を採択する権限を有する。
第26条 指導
1.実施を容易にし、一貫性を確保するために、欧州委員会は、経済事業者が本規則を適用する際の助けとなるガイダンスを公表する。
2.第1項にいうガイダンスを提供しようとする場合、欧州委員会は、少なくとも以下の点を取り上げなければならない:
(a) 遠隔データ処理ソリューションおよびフリー・オープンソースソフトウェアに特に焦点を当てた、本規則の適用範囲;
(b) デジタル要素を含む製品の特定のカテゴリーに関するサポート期間の適用;
(c)本規則の対象となる製造業者であって、本規則以外の連合調和法又は他の関連する連合法の対象でもある製造業者を対象としたガイダンス;
(d) 実質的な変更という概念。
また、欧州委員会は、この規則に従って採択された委任法および実施法の一覧表を、アクセスしやすいように維持するものとする。
3.本条に基づくガイダンスを作成する際、欧州委員会は関係する利害関係者と協議するものとする。
第三章
デジタル要素と製品の適合性
第27条 適合性の推定
1.欧州連合官報に引用文献が掲載されている整合規格またはその一部に適合している、製造者によって設置されたデジタル要素および工程を有する製品は、それらの規格またはその一部が対象としている附属書Ⅰに規定された必須要件に適合していると推定されるものとする。
欧州委員会は、規則(EU)1025/2012の第10条1項に従い、本規則の附属書Iに定める必須要件に関する整合規格の草案を作成するよう、1つ以上の欧州標準化機関に要請するものとする。欧州委員会は、本規則の標準化要請書を作成する際、規則(EU)1025/2012に従い、整合規格の作成を簡素化するために、既存のサイバーセキュリティに関する国際規格および欧州規格を考慮するよう努めるものとする。
▌
2.欧州委員会は、本規則の適用範囲内にあるデジタル要素を搭載した製品について、付属書Iに定める必須要件に適合するための手段を提供する技術的要件を網羅する共通仕様を定める実施法を採択することができる。
これらの実施法は、以下の条件が満たされた場合にのみ採択される:
(a) 欧州委員会が、規則(EU)No 1025/2012の第10条(1)に従い、1つ以上の欧州標準化機関に対し、附属書Ⅰ及び附属書Ⅰに定める必須要件に関する整合規格を起草するよう要請したこと:
(i) リクエストが受理されなかった;
(ii) 当該要請に対応する整合規格が、規則(EU)No.1025/2012の第10条(1)に従って設定された期限内に引き渡されない場合;
(iii) ハーモナイズド規格がその要請に適合していない。
(b) 規則(EU)No 1025/2012に従って,附属書Ⅰに定める関連必須要件をカバーする整合規格への言及が欧州連合官報に掲載されておらず,合理的な期間内にそのような言及が掲載される見込みがないこと。それらの実施法は、第62条(2)で言及される審査手続に従って採択されなければならない。
3.第2項で言及された実施法の草案を作成する前に、欧州委員会は、規則(EU)No 1025/2012の第22条で言及された委員会に次のことを通知しなければならない。
第2項の条件が満たされたと判断した場合。
4.第2項にいう実施法の草案を作成する際、欧州委員会は、関係機関の意見を考慮し、すべての関係機関と正式に協議しなければならない。
利害関係者
5.5.参照される実施法によって制定された共通仕様に適合する、製造者によって設置されたデジタル要素および工程を有する製品。
本条第 2 項に定める共通仕様書又はその一部は,附属書 I に定める必須要件に適合しているものと推定される。
6.整合規格が欧州標準化機構によって採択され、欧州連合官報への掲載を目的として欧州委員会に提案された場合、欧州委員会は、規則(EU) No 1025/2012に従って整合規格を評価しなければならない。整合規格の参考文献が欧州連合官報に掲載された場合、欧州委員会はその整合規格を評価する。
欧州委員会は、当該整合規格が対象とする必須要件と同一の必須要件を対象とする、第2項で言及された実施法またはその一部を廃止しなければならない。
7.加盟国は、共通仕様書が附属書Iに定める必須要件を完全に満たしていないと考える場合、詳細な説明を提出することにより、その旨を欧州委員会に通知しなければならない。欧州委員会は、その詳細な
を説明し、適切であれば、当該共通仕様を定める実施法を改正することができる。
8.規則(EU)2019/881 ▌に従って採択された欧州サイバーセキュリティ認証制度に基づき EU 適合性宣言書または認証書が発行された、製造者により設置されたデジ タル要素及びプロセスを有する製品は、EU 適合性宣言書または欧州サイバーセキュリティ認証書、またはその 一部分がこれらの要求事項をカバーしている限りにおいて、附属書 I に定める必須要求事項に適合しているものと推定される。
10.欧州委員会は、デジタル要素を有する製品が本規則の付属書Iに定める必須要件またはその一部に適合していることを証明するために使用できる、規則(EU)2019/881に従って採用された欧州サイバーセキュリティ認証制度を規定することにより、本規則を補足するため、第61条に従って委任法を採択する権限を有する。さらに、欧州のサイバーセキュリティ認証の発行は、以下の通りである。
このような制度に基づき発行された、少なくとも保証レベル「実質的」なものについては、本規則第 32 条(2)項(a)及び(b)項、第 32 条(3)項(a)及び(b)項に定める、対応する要求事項に関する第三者適合性評価を実施する製造者の義務を排除する。▌
第28条 EU適合宣言
1.EU適合宣言書は、製造者が第13条(12)に従って作成し、附属書Ⅰに定める該当する必須要件が満たされていることを証明するものでなければならない。
2.EU適合宣言は、附属書Vに定めるモデル構造を有し、附属書VIIIに定める関連適合性評価手順で規定される要素を含まなければならない。このような宣言書は、適宜更新されなければならない。この宣言は、デジタル要素を含む製品が上市され、又は市販される加盟国が要求する言語又は複数の言語で利用できるようにしなければならない。
第13条(20)で言及される簡易EU適合宣言書には、附属書VIで規定されるモデル構造を含まなければならない。この簡易適合宣言書は、デジタル要素を含む製品が上市され、または市販される加盟国が要求する言語で利用できるようにしなければならない。
3.デジタル要素を含む製品が、EU適合性宣言を必要とする複数のEU法の対象となる場合、そのようなすべてのEU法に関して単一のEU適合性宣言を作成しなければならない。この宣言書には、発行文献を含め、関係するEU法の識別情報を記載しなければならない。
4.EU適合宣言書を作成することにより、製造者は、製品がデジタル要素に適合する責任を負うものとする。
5.欧州委員会は、第50条に従い、付属書IVに定めるEU適合宣言の最低内容に、技術開発を考慮した要素を追加することにより、本規則を補足する委任法を採択する権限を有する。
第29条 - CEマーキングの一般原則
第30条に定めるCEマーキングは、規則(EC)No 765/2008の第30条に定める一般原則に従うものとする。
第30条 CEマーキングの貼付に関する規則および条件
1.CEマーキングは、デジタル要素を有する製品に、見やすく、読みやすく、かつ消えないように貼付しなければならない。デジタル要素を有する製品の性質上、それが不可能な場合または保証されない場合は、包装およびデジタル要素を有する製品に付属する第20条のEU適合宣言書に貼付しなければならない。ソフトウェアの形態であるデジタル要素製品の場合、CEマーキングは、第20条のEU適合宣言書またはソフトウェア製品に付随するウェブサイトのいずれかに貼付しなければならない。後者の場合、ウェブサイトの関連セクションは、消費者が容易かつ直接アクセスできるものでなければならない。
2.デジタル要素を有する製品の性質上、デジタル要素を有する製品に貼付されるCEマーキングの高さは、視認性及び可読性を維持することを条件に、5mm未満とすることができる。
3.CE マークは、デジタル要素を含む製品が上市される前に付さなければならない。CE マーキングには、ピクトグラム、または第 6 項で言及される実施法に規定されるサイ バーセキュリティ上の特別なリスクや用途を示すその他のマークを付すことができる。
4.第 32 条に規定する完全品質保証(モジュール H に基づく)に基づく適合性評価手順に当該機関が関与している場合、CE マーキングに続いて通知機関の識別番号を付さなければならない。
届出機関の識別番号は,届出機関自身によって,又はその指示に基づき,製造者若しくは製造者の認定代理人によって付されなければならない。
5.加盟国は、CEマーキングを管理する制度の正しい適用を確保するための既存の仕組みを基礎とし、CEマーキングが不適切に使用された場合には、適切な措置を講じなければならない。デジタル要素を有する製品が、CEマーキングの貼付を規定する本規則以外の他のEU調和法の適用を受ける場合、CEマーキングは、当該製品が当該他のEU調和法の要件も満たすことを示すものとする。
6.欧州委員会は、実施法によって、デジタル要素を含む製品のセキュリティ、そのサポート期間、その使用を促進するための仕組み、デジタル要素を含む製品のセキュリティに関する国民の意識を高めるための仕組みに関連するラベル、ピクトグラム、その他のマークに関する技術仕様を定めることができる。実施法の草案を作成する際、欧州委員会は、関連する利害関係者、および第52条15項に従ってADCOがすでに設立されている場合には、ADCOと協議するものとする。これらの実施法は、第62条(2)で言及されている審査手続きに従って採択されるものとする。
第31条 - 技術文書
1.技術文書には,デジタル要素を備えた製品及び製造事業者が実施するプロセスが附属書Ⅰに規定する必須要件に準拠することを確実にするために製造事業者が使用するすべての関連データ又は手段の詳細を含まなければならない。
2.技術文書は、デジタル要素を含む製品が市場に出る前に作成され、少なくともサポート期間中、必要に応じて継続的に更新されなければならない。
3.第 8 条及び第 24 条(4)に言及するデジタル要素を持つ製品で、技術文書について規定する他の連合の法律も適用されるものについては、本規則の附属書 VII に言及する情報及びそれぞれの連合の法律が要求する情報を含む一組の技術文書を作成しなければならない。
4.適合性評価手続に関する技術文書及び通信文書は,その通告機関が設立されている加盟国の公用語又はその通告機関が受け入れ可能な言語で作成しなければならない。
5.欧州委員会は、第61条に従い、技術的発展、および本規則の実施過程で遭遇する発展を考慮し、附属書VIIに定める技術文書に含めるべき要素を追加することにより、本規則を補足する委任法を採択する権限を有する。そのために、欧州委員会は、零細企業および中小企業の事務負担が適切なものとなるよう努めるものとする。
第32条-デジタル要素を持つ製品の適合性評価手続き
1.製造事業者は,附属書Ⅰに定める必須要件が満たされているかどうかを判断するため,デジタル要素及び製造事業者が実施するプロセスを用いて,製品の適合性評価を実施しなければならない。製造者は、次のいずれかの手順を用いて、必須要件への適合を実証しなければならない:
(a) 付属文書VIIIに定める内部統制手順(モジュールAに基づく);
(b) 附属書VIIIに定めるEU型審査手順(モジュールBに基づく)、次いで附属書VIIIに定める内部生産管理に基づくEU型への適合(モジュールCに基づく);
(c) 附属書 VIII に定める完全な品質保証(モジュール H に基づく)に基づく適合性審査。
(d) 利用可能で適用可能な場合は、第 27 条(9)に規定される欧州のサイバーセキュリティ認証スキーム。
2.附属書Ⅲに定めるクラスⅠのデジタル要素を有する重要な製品及びその製造者が実施するプロセスが附属書Ⅰに定める必須要件に適合していることを評価する際に、製造者が、第27条にいう少なくとも「実質的」な保証レベルの整合規格、共通仕様又は欧州サイバーセキュリティ認証制度を適用していないか、一部しか適用していない場合、または、そのような整合規格、共通仕様書または欧州サイバーセキュリティ認証制度が存在しない場合、当該デジタル要素を含む製品および製造者が実施したプロセスは、それらの必須要件に関して、以下のいずれかの手続きに提出されなければならない:
(a) 附属書VIIIに定めるEU型審査手順(モジュールBに基づく)、次いで附属書VIIIに定める内部製造管理(モジュールCに基づく)に基づくEU型への適合。
(b) 附属書 VIII に定める完全品質保証(モジュール H に基づく)に基づく適合性評価。
3.製品が附属書Ⅲに定めるクラスⅡに該当するデジタル要素を備えた重要な製品である場合、製造事業者は、次のいずれかの手順を用いて、附属書Ⅰに定める必須要件への適合を実証しなければならない:
(a) 附属書VIIIに定めるEU型審査手順(モジュールBに基づく)、次いで附属書VIIIに定める内部製造管理(モジュールCに基づく)に基づくEU型への適合;
(b) 附属書 VIII に定める完全な品質保証(モジュール H に基づく)に基づく適合性審査。
(c) 利用可能で適用可能な場合、規則(EU)2019/881 に従い、少なくとも実質的な保証レベルで第 27 条(9)に規定される欧州のサイバーセキュリティ認証スキーム。
4.附属書Ⅲaに記載されたデジタル要素を有する重要な製品は、以下の手順のいずれかを用いて、附属書Ⅰに規定された必須要件への適合性を実証しなければならない:
(a) 第 8 条(1)に従った欧州のサイバーセキュリティ認証スキーム、または、
(b) 第8条第1項の条件を満たさない場合、本条第3項のいずれかの手続。
5.本規則の附属書IIIに列挙されたカテゴリーに該当する、フリー・オープンソースソフトウェアとして適格なデジタル要素を有する製品の製造者は、附属書Iに規定された必須要件への適合を、以下の方法によって証明することができるものとする。
ただし、第31条の技術文書が製品の上市時に公開されていることを条件とする。
6.欧州医療データ空間規則(European Health Data Space Regulation)」に基づき EHR システムとして分類されるデジタル要素を持つ製品の製造者は、以下の適合性を実証しなければならない。
に規定されている適合性評価手順を用いて、本規則の附属書Iに規定されている必須要件に適合していること。
ヘルス・データ・スペース規制]。
7.適合性評価手続の手数料を設定する際には、新興企業を含む零細企業及び中小企業の特定の利益及びニーズを考慮しなければならず、 ▌その手数料は、その特定の利益及びニーズに比例して減額されなければならない。
第33条 新興企業を含む零細・中小企業に対する支援措置
1.加盟国は、適切な場合、零細・小規模企業のニーズに合わせて以下の措置を講じるものとする:
(a) 本規則の適用に関する具体的な啓発・研修活動を組織すること;
(b) 本規則の実施に関する助言を提供し、問い合わせに対応するために、零細・小規模企業及び必要に応じて地方公共団体とのコミュニケーションのための専用チャネルを設置する;
(c) 欧州サイバーセキュリティ・コンピテンス・センターの支援を受け、関連する場合 を含め、試験および適合性評価活動を支援する。
2.加盟国は、適切な場合、サイバーレジリエンス規制のサンドボックスを設置することができる。このような規制上のサンドボックスは、デジタル要素を含む革新的な製品の開発、設計、検証、テストを容易にするために、市場に投入されるまでの限られた期間、管理されたテスト環境を提供するものとする。欧州委員会および必要に応じて
ENISAは、規制のサンドボックスの設立と運用のために、技術支援、助言、ツールを提供することができる。規制のサンドボックスは、市場監視当局による直接的な監督、指導、支援の下に設置されるものとする。加盟国は、ADCOを通じて、欧州委員会および他の市場監視当局に、規制のサンドボックスの設置について報告しなければならない。規制のサンドボックスは、管轄当局の監督・是正権限に影響を及ぼすものではない。加盟国は、規制のサンドボックスへのオープンで公正かつ透明なアクセスを確保し、特に新興企業を含む零細・小規模企業のアクセスを容易にするものとする。
3.第26条に従い、欧州委員会は、本規則の実施に関する零細・中小企業向けのガイダンスの作成を確保するものとする。
4.欧州委員会は、特に零細・小規模企業の経済的負担を軽減するため、既存の欧州連合(EU)プログラムの規制枠内で、利用可能な財政支援を宣伝する。
5.零細企業及び小規模企業は,附属書VIIIに規定する技術文書のすべての要素を,簡易な様式を用いて提供することができる。このため,欧州委員会は,実施細則によって,附属書VIIIの要素をどのように提供するかを含め,零細企業及び小規模企業のニーズを対象とした簡易な技術文書の様式を規定しなければならない。零細企業または小規模企業が、附属書VIIIの要素を提供することを選択した場合、欧州委員会は、附属書VIIIの簡略化された技術文書の様式を規定する。
附属書 VIII で要求される情報を簡略化した方法で提供する場合,この段落で言及した書式を使用しなけ ればならない。ノーティファイドボディ は,適合性評価のためにこの様式を受け入れなければならない。
本項にいう実施法は、第62条第2項にいう審査手続に従って採択されなければならない。
第34条 相互承認協定
第三国の技術開発レベルおよび適合性評価に関するアプローチを考慮し、EUは、国際貿易を促進および円滑化するために、TFEU第218条に従い、第三国と相互承認協定を締結することができる。
第四章
適合性評価機関通知
第35条 - 通知
1.加盟国は,欧州委員会及び他の加盟国に対し,この規則に従って適合性評価を実施する権限を有する ▌ 団体を通知しなければならない。
2.加盟国は、ボトルネックや市場参入の妨げを回避するため、[本規則の発効日から24ヶ月後]までに、適合性評価を実施するのに十分な数のノーティファイド・ボディを域内に確保するよう努めなければならない。
第36条 当局への通知
1.加盟国は、適合性評価機関の審査及び届出並びに第41条の遵守を含む届出機関の監視に必要な手続の設定及び実施に責任を負う届出機関を指定しなければならない。
2.加盟国は、本条第1項にいう評価および監視を、規則(EC)No 765/2008の意味する範囲内において、かつ、規則(EC)No 765/2008に従って、国家認定機関が実施することを決定することができる。
3.届出機関が、本条第 1 項の評価、届出又は監視を、政府機関でない機関に委任し、又はその他の方法で 委託する場合、当該機関は法人でなければならず、第 37 条を準用しなければならない。さらに、当該機関は、その活動から生じる責任をカバーするための取決めをしなければならない。
4.通知当局は,第3項に規定する機関が実施する業務について全責任を負うものとする。
第37条 - 通知当局に関する要件
1.通知機関は,適合性評価機関との利害の対立が生じないように設立しなければならない。
2.通告機関は、その活動の客観性と公平性を守るように組織され、機能しなければならない。
3.届出機関は,適合性評価機関の届出に関連する各決定が,審査を実施した者とは異なる能力者によって行われ るように組織されなければならない。
4.届出機関は,適合性評価機関が行う活動又はコンサルタント業務を商業ベース又は競争ベースで提供し てはならない。
5.届出機関は、入手した情報の秘密を守らなければならない。
6.通告当局は,その職務を適切に遂行するために,十分な人数の有能な要員を自由に使えるようにしなけれ ばならない。
第38条 - 通知当局の情報義務
1.加盟国は、適合性評価機関の審査及び届出並びに届出機関の監視のための手続並びに以下の事項を欧州委員会に通知しなければならない。
その変更
2.欧州委員会は、第1項の情報を公開しなければならない。
第39条-ノーティファイド・ボディに関する要求事項
1.適合性評価機関は,届出の目的上,第 2 項から第 12 項に規定する要件を満たさなければならない。
2.適合性評価機関は,国内法に基づいて設立され,法人格を持たなければならない。
3.適合性評価機関は、評価する組織又はデジタル要素を含む製品から独立した第三者機関でなければならない。
評価するデジタル要素を含む製品の設計、開発、製造、提供、組立、使用または保守に携わる事業を代表する事業者団体または専門家連盟に属する団体は、その独立性と利益相反がないことを証明することを条件に、そのような団体とみなすことができる。
4.適合性評価機関、そのトップレベルの管理者、及び適合性評価業務の実施に責任を負う要員は、 評価するデジタル要素を持つ製品の設計者、開発者、製造者、供給者、輸入者、販売者、設置者、 購入者、所有者、使用者、又は保守者であってはならず、また、これらの者の公認代理人であってはなら ない。このことは、適合性評価機関の業務に必要な被評価製品の使用又は個人的な目的での当該製品の使用を妨げないものとする。
適合性評価機関、そのトップレベルの管理者及び適合性評価業務の実施に責任を負う要員は、 評価するデジタル要素を備えた製品の設計、開発、製造、輸入、頒布、販売、設置、使用又は保守に 直接関与してはならず、又はそれらの活動に従事する当事者を代表して関与してはならない。適合性審査員は、通知された適合性審査活動に関して、その判断の独立性又は完全性に抵触す る可能性のあるいかなる活動にも従事してはならない。これは特にコンサルタント業務に適用される。
適合性評価機関は、その子会社または下請業者の活動が、適合性評価活動の機密性、客観性、または公平性に影響を与えないようにしなければならない。
5.適合性評価機関及びその要員は、最高度の専門的誠実さ及び特定分野における必要な技術的能力をもって適合性評価活動を実施しなければならず、また、特にその活動の結果に利害関係を有する個人又は集団に関して、その判断又は適合性評価活動の結果に影響を及ぼす可能性のあるあらゆる圧力及び誘因、特に金銭的なものから自由でなければならない。
6.適合性評価機関は,附属書 VI に規定され,その機関が通告されているすべての適合性評価業務 を,その業務が適合性評価機関自身によって実施されるか,又は適合性評価機関に代わってその責任 の下で実施されるかにかかわらず,実施することができなければならない。適合性評価機関は,常に,各適合性評価手順及び通知されたデジタル要素をもつ製品の種類又はカテゴリーごとに,必要なものを自由に利用できるようにしておかなければならない:
(a) 適合性評価業務を実施するための技術的知識及び十分かつ適切な経験を有する要員;
(b) 適合性評価が実施される手順の記述であって,その手順の透明性及び再現性を確保するもの。ノーティファイドボディとして実施する業務とその他の業務を区別する適切な方針及び手順を備えていなければならない;
(c) 事業の規模、事業を営む部門、その構造、問題となっている製品技術の複雑さの程度、及び生産工程の大量性又は連続性を十分に考慮した活動の実施手順。
適合性評価機関は、適合性評価活動に関連する技術的及び管理的業務を適切な方法で実施するために必要な手段を有し、かつ、必要なすべての機器又は設備を利用することができなければならない。
7.適合性評価活動の実施に責任を負う要員は、次の事項を備えていなければならない:
(a) 適合性評価機関が通知を受けた適合性評価活動のすべてを網羅する健全な技術及び職業訓練;
(b) 実施する審査の要件に関する十分な知識及びこれらの審査を実施するための適切な権限;
(c) 附属書Ⅰに定める必須要件、適用される整合規格及び共通仕様、並びに欧州連合の整合化法及びその施行法の関連規定に関する適切な知識と理解;
(d) 評価が実施されたことを証明する証明書、記録、報告書を作成する能力。
8.適合性評価機関、そのトップレベルの管理者及び審査要員の公平性を保証しなければならない。
適合性評価機関のトップレベルの管理者及び審査要員の報酬は、実施された審査の数又は審査結果に依存してはならない。
9.適合性評価機関は、国内法に従って加盟国が責任を負う場合、又は加盟国自体が適合性評価に直接責任を負う場合を除き、賠償責任保険に加入しなければならない。
10.適合性評価機関の要員は,その活動が実施される加盟国の市場監視当局との関係を除き,附属書 VI 又はこれに効力を及ぼす国内法の規定に基づく業務の実施において入手したすべての情報に関して,職務上の秘密を守らなければならない。所有権は保護されなければならない。適合性評価機関は、本項の遵守を確保するための文書化された手順を持たなければならない。
11.適合性評価機関は,関連する規格化活動及び第 51 条に基づいて設立されたノーティファイドボ ディ・コーディネーショングループの活動に参加し,又はその審査要員に周知させ,同グループの作業の結 果として作成された行政上の決定及び文書を一般的指針として適用しなければならない。
12.適合性評価機関は、経済事業者の不必要な負担を回避しつつ、特に手数料に関して零細企業及び中小企業の利益を考慮しつつ、一連の一貫した、公正、比例的かつ合理的な条件に従って運営されなければならない。
第40条 - 届出機関の適合性の推定
適合性評価機関が、欧州連合官報に引用文献が掲載された関連整合規格またはその一部に規定された基準に適合していることを証明する場合、適用される整合規格がこれらの要件を網羅している限りにおいて、第39条に規定された要件に適合していると推定されるものとする。
第41条 - 届出機関の子会社および下請け業者
1.届出機関が適合性評価に関連する特定の業務を外注する場合又は子会社に依頼する場合,その外注先又は子会 社が第 39 条に規定する要件を満たしていることを確実なものとし,それに従って届出機関に通知しなけ ればならない。
2.届出機関は,下請業者又は子会社が設立されている場合には,それらが実施する業務について全責任を負わなければならない。
3.製造者の同意がある場合に限り、活動を下請けに出したり、子会社が実施したりすることができる。
4.届出機関は,本規則に基づき,下請業者又は子会社の資格の評価及びそれらによって実施される作業に関する関連文書を,届出当局の自由に保管しなければならない。
第42条 届出申請
1.適合性評価機関は,その機関が設立された加盟国の届出当局に届出申請書を提出しなければならない。
2.その申請には,適合性評価活動,適合性評価手順又は手続及びその機関が能力を有すると主張するデジタル要素を有する製品又は製品の説明,並びに該当する場合には,その適合性評価機関が第 39 条に規定する要件を満たしていることを証明する国家認定機関が発行した認定証明書を添付しなければならない。
3.当該適合性評価機関が認定証明書を提供できない場合,当該適合性評価機関は,第 39 条に定 める要求事項への適合の検証,承認及び定期的な監視に必要なすべての証拠書類を通知機関に提供しなけ ればならない。
第43条 - 通知手続き
1.通知当局は,第 29 条に規定する要件を満たした適合性評価機関だけを通知することができる。
2.届出機関は、欧州委員会が開発・管理するニュー・アプローチ届出・指定機関(NANDO)情報システムを用いて、欧州委員会および他の加盟国に通知しなければならない。
3.通知には,適合性評価活動の完全な詳細,適合性評価モジュール及びモジュール並びに当該デジタル要素を備えた製品及び製品並びに関連する能力の証明を含まなければならない。
4.届出が第42条(2)にいう認定証明書に基づくものでない場合、届出機関は、適合性評価機関の能力及び当該機関が定期的に監視され、第39条に定める要件を引き続き満たすことを確保するための取決めを証する証拠書類を欧州委員会及び他の加盟国に提出しなければならない。
5.当該機関は、認定証明書を使用する場合は届出から2週間以内に、認定証明書を使用しない場合は届出から2ヶ月以内に、欧州委員会または他の加盟国から異議の申し立てがない場合に限り、ノーティファイド・ボディの活動を行うことができる。
このような団体のみが、本規則における届出団体とみなされる。
6.欧州委員会および他の加盟国は、その後、通達に関連する変更があった場合、その旨を通達されるものとする。
第44条-識別番号およびノーティファイド・ボディのリスト
1.委員会は、ノーティファイド・ボディに識別番号を付与する。
複数の連邦法に基づいて通告された機関であっても、単一の番号を割り当てるものとする。
2.欧州委員会は、この規則に基づいて通告された団体のリストを、その団体に割り当てられた識別番号および通告された活動を含めて、一般に公開する。
委員会は、そのリストが常に最新の状態に保たれるようにしなければならない。
第45条 - 届出の変更
1.届出機関が第39条に規定された要件をもはや満たしていないこと、又はその義務を履行していないことを確認した場合、又はその旨の通知を受けた場合、届出機関は、その要件を満たしていないこと又はその義務を履行していないことの重大性に応じて、適宜、届出を制限、一時停止又は撤回しなければならない。また、それに応じて、欧州委員会および他の加盟国に直ちに通知しなければならない。
2.届出が制限、一時停止、撤回された場合、又は届出機関がその活動を停止した場合、届出加盟国は、その機関のファイルが他の届出機関によって処理されるか、又は担当の届出及び市場監視当局の要請に応じて利用可能な状態に保たれることを確保するために適切な措置を講じなければならない。
第46条 - 届出機関の能力への挑戦
1.欧州委員会は、ノーティファイド・ボディがその対象となる要件及び責任を満たす能力があるかどうか、または、ノーティファイド・ボディがその要件及び責任を継続的に満たしているかどうかについて疑義がある場合、または、疑義が生じた場合には、すべて調査を行うものとする。
2.通告を行う加盟国は、要求があれば、欧州委員会に対し、通告の根拠または関係機関の権限の維持に関するすべての情報を提供しなければならない。
3.委員会は、調査の過程で入手したすべての機密情報の機密扱いを徹底する。
4.欧州委員会は、届出機関が届出の要件を満たしていない、または満たさなくなったことを確認した場合、その旨を届出加盟国に通知し、必要であれば届出の廃止を含め、必要な是正措置をとるよう要請するものとする。
第47条 - 届出機関の運営義務
1.ノーティファイド機関は,第32条及び附属書VIIIに規定する適合性評価手順に従って適合性評価を実施しなければならない。
2.適合性審査は、経済事業者の不必要な負担を避け、適切な方法で実施されなければならない。適合性評価機関は、事業者の規模、特に零細企業や中小企業、事業を行っている部門、その構造、複雑さの程度、問題のデジタル要素や技術を含む製品のサイバーセキュリティリスクレベル、生産プロセスの大量生産または連続生産の性質を十分に考慮して、その活動を実施しなければならない。
3.ただし、ノーティファイドボディ(Notified Body)は、デジタル要素を含む製品が規則 の規定に適合するために要求される厳格さの程度および保護レベルを尊重するものとする。
4.通知機関が,附属書Ⅰ若しくは対応する整合規格又は第 27 条にいう共通仕様に定める要件が製造事業 者によって満たされていないと認める場合,その製造事業者に対し,適切な是正措置を講じるよう要求 し,適合証明書を発行してはならない。
5.認証書発行後の適合性監視の過程において、デジタル要素を備えた製品が本規則に規定された要件に適合しなくなったことを通知機関が発見した場合、通知機関は製造者に対し適切な是正措置を講じるよう要求し、必要に応じて認証書を一時停止又は撤回しなければならない。
6.是正措置が講じられない場合、又は要求される効果が得られない場合、届出機関は、適宜、認証の 制限、一時停止又は取消しを行うものとする。
第48条 - 通知機関の決定に対する不服申し立て
加盟国は、通告された機関の決定に対する異議申し立て手続きを確保しなければならない。
第49条 - 届出団体に対する情報義務
1.届出機関は、以下の事項を届出機関に通知しなければならない:
(a) 証明書の拒否、制限、一時停止または撤回;
(b) 届出の範囲および条件に影響を与える状況;
(c) 適合性評価活動に関して市場監視当局から受けた情報提供の要請
(d) 要請があれば,その届出の範囲内で実施された適合性評価活動及び国境を越えた活動及び下請け を含めて実施されたその他の活動。
2.ノーティファイド機関は,デジタル要素を有する同一の製品を対象とする類似の適合性評価活動を実施する本規則に基づきノーティファイドされた他の機関に対し,否定的な適合性評価結果及び要求に応じて肯定的な適合性評価結果に関連する問題に関する関連情報を提供しなければならない。
第50条 - 経験の交換
欧州委員会は、通達政策を担当する加盟国の国内当局間の経験交流の組織化を規定する。
第51条 通知機関の調整
1.欧州委員会は、通知機関間の適切な調整と協力が、分野横断的な通知機関グループという形で行われ、適切に運営されることを確保しなければならない。
2.加盟国は、自国から通知された機関が、直接又は指名された代表によって、当該グループの作業に参加することを確保するものとする。
第五章
市場の監視と執行
第52条-連合市場におけるデジタル要素を含む製品の市場監視および管理
1.規則(EU)2019/1020は、本規則の適用範囲に含まれるデジタル要素を有する製品に適用される。
2.各加盟国は、本規則の効果的な実施を確保する目的で、1つまたは複数の市場監視当局を指定しなければならない。加盟国は、既存または新規の当局を、本規則の市場監視当局として指定することができる。
3.本条第 2 項に基づいて指定された市場監視当局は、本規則第 124 条においてオープンソースソフトウェアのスチュワードに課された義務に関連して市場監視活動を実施する責任も負うものとする。市場監視当局は、オープンソース・ソフトウェア・スチュワードが同条に定める義務を遵守していないことを発見した場合、当該オープンソース・ソフトウェア・スチュワードに対し、すべての適切な是正措置が講じられることを確保するよう求めるものとする。オープンソース・ソフトウェア・スチュワードは、本規則に基づく義務に関して、すべての適切な是正措置が取られるようにしなければならない。
4.関連する場合、市場監視当局は、規則(EU)2019/881の第58条に従って指定された各国のサイバーセキュリティ認証当局と協力し、定期的に情報交換を行うものとする。本規則第14条に基づく報告義務の履行の監督に関して、指定市場監視当局は、調整役として指定されたCSIRT及びENISAと定期的に協力し、情報交換を行うものとする。
5.市場監視当局は、調整者として指定された CSIRT または ENISA に対し、本規則の実施および施行に関連する事項に関する技術的助言を要請することができる。第 54 条に基づく調査を実施する場合、市場監視当局は、調整者として指定された CSIRT または ENISA に対し、デジタル要素を含む製品の適合性評価を支援するための分析を提供するよう要請することができる。
6.関連する場合、市場監視当局は、本規則以外の欧州連合調和法に基づき指定された他の市場監視当局と協力し、定期的に情報交換を行うものとする。
7.市場監視当局は、連邦データ保護法を監督する当局と適宜協力しなければならない。このような協力には、第 10 項に従って指導及び助言を行う際、当該指導及び助言が個人データの処 理に関するものである場合を含め、当該当局の権限の履行に関連する発見を当該当局に通知することを含む。
欧州連合のデータ保護法を監督する当局は、この規則に基づいて作成または維持された文書へのアクセスがその任務の遂行に必要な場合、その文書へのアクセスを要求し、アクセスする権限を有する。当局は、そのような要求があった場合、当該加盟国の指定市場監視当局に通知するものとする。
8.加盟国は、指定された市場監視当局が、適切な場合には自動処理ツールを含む適切な財政的及び技術的資源、並びに本規則に基づく業務を遂行するために必要なサイバーセキュリティのスキルを有する人的資源を提供されることを確保しなければならない。
9.欧州委員会は、指定市場監視当局間の経験交流を奨励し、促進する。
8.市場監視当局は、欧州委員会および必要に応じてCSIRTsおよびENISAの支援を得て、本規則の実施に関するガイダンスおよび助言を経済事業者に提供することができる。
11.市場監視当局は、規則2019/1020の第11条に従い、本規則の不遵守を示す可能性のある苦情の提出先を消費者に通知し、また、以下の場所および方法に関する情報を消費者に提供しなければならない。
デジタル要素を含む製品に影響を及ぼす可能性のある脆弱性、インシデント、サイバー脅威の報告を促進するメカニズムにアクセスすること。
12.市場監視当局は、関連する場合、科学者、研究者及び消費者団体を含む関係ステークホルダーとの協力を促進しなければならない。
13.市場監視当局は,関連する市場監視活動の結果を,年1回,欧州委員会に報告しなければならない。指定市場監視当局は,市場監視活動の過程で確認された,EU競争法の適用に潜在的な関心を持ちうる情報を,遅滞なく,欧州委員会及び関連する各国競争当局に報告しなければならない。
14.規則[AI規則]の[第6条]に従って高リスクのAIシステムとして分類される、本規則の適用範囲に含まれるデジタル要素を有する製品については、規則[AI規則]の目的のために指定された市場監視当局が、本規則に基づき要求される市場監視活動に責任を負う当局となる。AI規則]に従って指定された市場監視当局は、必要に応じて、本規則に従って指定された市場監視当局と、また、本規則第14条に基づく報告義務の実施の監督に関しては、調整役として指定されたCSIRTおよびENISAと協力しなければならない。規則...[AI規則]に従って指定された市場監視当局は、特に、本規則に従って指定された市場監視当局に対し、本規則の実施に関連する任務の遂行に関連する発見を通知しなければならない。
15.規則(EU)2019/1020 の第 30 条(2)に従い、本規則の統一的な適用のために ADCO を設置する。ADCO は、指定市場監視当局の代表者及び適切な場合には単一リエゾンオフィスの代表者で構成されるものとする。ADCOはまた、オープンソースソフトウェアのスチュワードに課された義務に関連する市場監視活動に関連する特定の事項を取り扱うものとする。
16.市場監視当局は、製造業者がデジタル要素を有する製品のサポート期間を決定する際に、第 13 条(8)で言及される基準をどのように適用したかを監視しなければならない。
ADCOは、平均サポート期間を含め、デジタル要素を有する製品のカテゴリーに関する関連統計を、一般にアクセス可能かつ利用しやすい方法で公表するものとする、
また、第10条(10a)に従って製造者が指定する、デジタル技術を使用する製品のカテゴリーに応じたサポート期間の目安を含むガイダンスを提供する。
要素がある。
特定のカテゴリーに対するサポート期間が不十分であることを示唆するデータがある場合
デジタル要素を含む製品について、ADCOは市場に対して勧告を行う場合がある。
監視当局は、このような製品カテゴリーに重点を置いた活動を行う。
デジタル要素。
第53条 データおよび文書へのアクセス
デジタル要素を有する製品及びその製造者が実施するプロセスが附属書Ⅰに規定する必須要件に適合していることを評価するために必要な場合、市場監視当局は、合理的な要求があれば、関連する経済事業者の関連する内部文書を含む、当該製品の設計、開発、製造及び脆弱性の取り扱いを評価するために必要なデータへの、当局が容易に理解できる言語によるアクセスを認められるものとする。
第54条-重大なサイバーセキュリティリスクをもたらすデジタル要素を有する製品に関する国家レベルでの手続き
1.加盟国の市場監視当局は、デジタル要素を有する製品が、その脆弱性の取り扱いを含め、重大なサイバーセキュリティリスクをもたらすとみなす十分な理由がある場合、過度の遅滞なく、かつ、適切な場合には、関連する CSIRT と協力して、当該デジタル要素を有する製品について、本規則に定める全ての要件への適合性に関する評価を実施するものとする。関連する経済事業者は、必要に応じて市場監視当局と協力するものとする。当該評価の過程において、市場監視当局が、デジタル要素付き製品が本規則に定める要件に適合していないと認める場合、市場監視当局は、遅滞なく、関連する経済事業者に対し、当該デジタル要素付き製品を当該要件に適合させるためのあらゆる適切な是正措置を講じること、当該デジタル要素付き製品を市場から撤去すること、または、市場監視当局が定めるサイバーセキュリティリスクの性質に見合った合理的な期間内に当該デジタル要素付き製品を回収することを求めるものとする。市場監視当局は、関連する届出団体にその旨を通知しなければならない。規則(EU)2019/1020の第18条は、▌是正措置に適用されるものとする。
2.本条第 1 項に言及されるサイバーセキュリティリスクの重大性を判断する際、市場監視当局は、非技術的リスク要因、特に指令(EU)2022/2555 第 22 条に従って実施された重要サプライチェーンの連合レベルの協調的セキュリティリスク評価の結果として確立された要因も考慮するものとする。市場監視当局が、デジタル要素を含む製品が非技術的リスク要因に照らして重大なサイバーセキュリティリスクを提示すると考える十分な理由を有する場合、指令(EU)2022/2555の第8条に従って指定または設置された管轄当局に通知し、必要に応じてこれらの当局と協力するものとする。
3.市場監視当局が、コンプライアンス違反が自国の領域に限定されないとみなす場合、同当局は、欧州委員会および他の加盟国に、評価の結果および経済事業者に求めた措置を通知しなければならない。
4.経済事業者は、当該経済事業者が域内全域で市販しているデジタル要素を含むすべての製品について、すべての適切な是正措置が講じられることを確保しなければならない。
5.経済事業者が第1項第2号に掲げる期間内に適切な是正措置を講じない場合、市場監視当局は、デジタル要素を有する当該製品が自国の市場で入手可能となることを禁止又は制限し、当該市場から撤去し、又は当該製品を回収するためのあらゆる適切な暫定措置を講じなければならない。
同当局は、欧州委員会および他の加盟国に対し、遅滞なくその措置を通知しなければならない。
6.第 5 項にいう情報には,利用可能なすべての詳細,特に,デジタル要素を有する不適合製品の特定に必要なデータ,当該デジタル要素を有する製品の出所,申し立てられた不適合の性質及び関係するリスク,講じられた国内措置の性質及び期間並びに関連する経済事業者が提出した論拠を含まなければならない。特に、市場監視当局は、不遵守が以下の1つ以上によるものであるかどうかを示さなければならない:
(a) デジタル要素を含む製品、または製造者が実施したプロセスが、附属書Ⅰに定める必須要件を満たしていないこと;
(b) 第 27 条で言及されている整合規格、欧州サイバーセキュリティ認証制度、または共通仕様の欠点。
7.手続を開始した加盟国の市場監視当局以外の加盟国の市場監視当局は、遅滞なく、採択された措置および当該製品のデジタル要素への不適合に関連する追加情報を欧州委員会および他の加盟国に通知し、通知された国内措置に不服がある場合は、異議申し立てを行うものとする。
8.本条第5項にいう通告を受領してから3ヶ月以内に、加盟国がとった暫定措置に関して加盟国または欧州委員会のいずれからも異議が出されなかった場合、当該措置は正当なものとみなされる。これは、規則(EU)2019/1020の第18条に基づく当該経済事業者の手続き上の権利を損なうものではない。
9.すべての加盟国の市場監視当局は、当該デジタル要素を有する製品に関して、当該製品の市場からの撤去など、適切な制限措置が遅滞なく講じられることを確保しなければならない。
第55条 組合のセーフガード手続き
1.第54条(5)の通告を受けてから3ヶ月以内に、他の加盟国がとった措置に対して加盟国から異議が提起された場合、または、欧州委員会がその措置を同盟法に反するとみなす場合、欧州委員会は、遅滞なく、当該加盟国および経済事業者と協議に入り、国内措置を評価する。その評価結果に基づき、欧州委員会は、第54条(5)に規定する通知から9ヶ月以内に、国内措置が正当であるか否かを決定し、その決定を関係加盟国に通知する。
2.国内措置が正当であるとみなされた場合、すべての加盟国は、デジタル要素を含む非適合製品が自国の市場から撤去されることを保証するために必要な措置を講じ、それに従って欧州委員会に通知しなければならない。国内措置が正当でないとみなされた場合、当該加盟国はその措置を撤回しなければならない。
3.国内措置が正当であり、製品のデジタル要素への不適合が整合規格の欠点に起因すると考えられる場合、欧州委員会は、規則(EU)No 1025/2012の第11条に規定される手続きを適用する。
4.国内措置が正当化され、製品のデジタル要素への不適合が第27条にいう欧州のサイバーセキュリティ認証制度の欠点に起因すると考えられる場合、欧州委員会は、当該認証制度に関する適合の推定を規定する第27条9項に従って採択された委任法を改正または廃止するかどうかを検討するものとする。
5.国内措置が正当化され、製品のデジタル要素への不適合が第27条にいう共通仕様の欠点に起因すると考えられる場合、欧州委員会は、第27条2項に従って採択された共通仕様を定める実施法を改正または廃止するかどうかを検討しなければならない。
第56条-重大なサイバーセキュリティリスクをもたらすデジタル要素を有する製品に関するEUレベルでの手続き
1.欧州委員会が、ENISAから提供された情報に基づく場合を含め、重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を備えた製品が本規則に規定された要件に適合していないと考える十分な理由を有する場合、欧州委員会は、関連する市場監視当局にその旨を通知する。市場監視当局が、重大なサイバーセキュリティ・リスクをもたらす可能性のあるデジタル要素を有する製品について、本規則に規定された要件への準拠に関する評価を実施する場合、第54条および第55条に言及される手続が適用されるものとする。
2.欧州委員会は、デジタル要素を含む製品が、非技術的なリスク要因に照らして重大なサイバーセキュリティリスクをもたらすと考える十分な理由がある場合、関連する市場監視当局、および必要に応じて指令(EU)2022/2555の第8条に従って指定または設置された管轄当局に通知し、必要に応じてこれらの当局と協力するものとする。また、欧州委員会は、指令(EU)2022/2555の第22条に規定されている重要なサプライチェーンの連合レベルの協調的なセキュリティリスク評価に関する業務に鑑み、デジタル要素を含む当該製品について特定されたリスクの関連性を検討し、必要に応じて、指令(EU)2022/2555の第14条およびENISAに従って設立された協力グループと協議するものとする。
3.域内市場の適切な機能を維持するために直ちに介入することが正当化される状況であって、欧州委員会が、第1項に言及されたデジタル要素を含む製品が依然として本規則に規定された要件に準拠しておらず、かつ、関連市場監視当局が有効な措置を講じていないとみなす十分な理由がある場合、欧州委員会は、準拠状況の評価を実施し、その裏付けとなる分析を提供するようENISAに要請することができる。欧州委員会は、関連する市場監視当局にその旨を通知する。関連する経済事業者は、必要に応じてENISAに協力しなければならない。
4.第3項の評価に基づき、欧州委員会は、EUレベルで是正措置または制限措置が必要であると決定することができる。そのために、欧州委員会は、遅滞なく、関係加盟国および関連する経済事業者に協議しなければならない。
5.本条第3項の協議に基づき、欧州委員会は、リスクの性質に見合った合理的な期間内に、デジタル要素を有する関連製品を市場から撤去するか、リコールすることを要求することを含む、欧州連合レベルでの是正措置または制限措置を規定する実施法を採択することができる。これらの実施措置は、第62条第2項にいう審査手続に従って採択されるものとする。
6.欧州委員会は、第5項で言及された実施法を直ちに関連する経済事業者または事業者に伝達する。加盟国は、遅滞なくこれらの実施法を施行し、それに従って欧州委員会に通知しなければならない。
7.第3項から第6項までの規定は、欧州委員会の介入を正当化した例外的状況の期間中、当該デジタル要素を含む製品が本規則に適合しない場合に限り適用されるものとする。
第57条-重大なサイバーセキュリティリスクをもたらすデジタル要素を有する適合製品
1.▌ 加盟国の市場監視当局は、第 54 条に基づく評価を実施した結果、デジタル要素を含む製品および製造者が実施したプロセスが本規則を遵守しているにもかかわらず、重大なサイバーセキュリティリスクおよび以下のリスクをもたらすと判断した場合、経済事業者に対し、あらゆる適切な措置を講じるよう求めるものとする:
(a) 人の健康または安全;
(b)基本的権利の保護を意図した、連邦法または国内法に基づく義務の遵守;
(c) 指令(EU)2022/2555の第3条(1)に言及される必須エンティティが電子情報システムを使用して提供するサービスの可用性、真正性、完全性、または機密性。
(d) その他の公益保護の側面。
第1号にいう措置には、当該デジタル要素を有する製品及び製造者が実施したプロセスが、市場で入手可能となった時点でもはや関連するリスクを示さないことを確保するための措置、当該デジタル要素を有する製品の市場からの撤去又は回収を含むことができ、かつ、当該リスクの性質に見合ったものでなければならない。
2.製造者またはその他の関連する経済事業者は、第1項で言及された加盟国の市場監視当局が定めた期限内に、当該デジタル要素を有する製品であって、域内全域で市販されているものに関して、是正措置が講じられることを確保しなければならない。
3.加盟国は、第1項に従って講じた措置について、欧州委員会および他の加盟国に直ちに報告しなければならない。その情報には、入手可能なすべての詳細、特に、関係するデジタル要素を有する製品の特定に必要なデータ、デジタル要素を有する製品の原産地およびサプライチェーン、関係するリスクの性質、講じられた国内措置の性質および期間を含めるものとする。
4.欧州委員会は、遅滞なく加盟国および関連する経済事業者と協議に入り、採られた国内措置を評価する。その評価結果に基づき、欧州委員会は、その措置が正当であるか否かを決定し、必要な場合には、適切な措置を提案する。
5.欧州委員会は、第4項の決定を加盟国に送付する。
6.欧州委員会が、ENISAから提供された情報に基づく場合を含め、デジタル要素を搭載した製品が、本規則に適合しているにもかかわらず、本条第1項に言及するリスクを有すると考える十分な理由がある場合、欧州委員会は、関連する市場監視当局または当局にその旨を通知し、評価を実施するよう要請することができる。
7.域内市場の適切な機能を維持するために直ちに介入することが正当化される状況であって、欧州委員会が、第6項に言及されたデジタル要素を含む製品が引き続き第1項に言及されたリスクを提示していると考える十分な理由があり、かつ、関連する各国の市場監視当局が有効な措置を講じていない場合、欧州委員会は、デジタル要素を含む製品が提示するリスクの評価を実施し、その評価を裏付ける分析を提供するようENISAに要請することができ、また、関連する市場監視当局にその旨を通知するものとする。関連する経済事業者は、必要に応じてENISAに協力するものとする。
8.第7項の評価に基づき、欧州委員会は、EUレベルで是正措置または制限措置が必要であると判断することができる。そのために、欧州委員会は、遅滞なく、関係加盟国および関連する経済事業者と協議しなければならない。
9.第8項で言及された協議に基づき、欧州委員会は、リスクの性質に見合った合理的な期間内に、デジタル要素を含む関連製品を市場から撤去するか、回収することを要求することを含む、欧州連合レベルでの是正措置または制限措置を決定するための実施法を採択することができる。これらの実施法は、第62条第2項にいう審査手続に従って採択されるものとする。
10.欧州委員会は、▌9項の実施法を直ちに関連する経済事業者に通知する。加盟国は、これらの実施法を遅滞なく実施し、それに従って欧州委員会に通知しなければならない。
11.第6項から第10項までの規定は、欧州委員会の介入を正当化した例外的状況の継続期間中、および、当該デジタル要素を含む製品が第1項で言及したリスクを引き続き有する限り、適用されるものとする。
第58条 - 正式な不遵守
1.加盟国の市場監視当局が以下のいずれかの所見を行った場合、当該製造業者に対し、当該不遵守を是正するよう求めるものとする:
(a) 第 29 条および第 30 条に違反して CE マーキングを貼付したこと;
(b) CE マーキングが貼付されていないこと;
(c) EU適合宣言書が作成されていないこと;
(d) EU適合宣言書が正しく作成されていない;
(e) 適合性評価手続に関与するノーティファイドボディの識別番号(該当する場合)が貼付されていないこと;
(f) 技術文書が入手できないか、完全でないこと。
2.第1項の不遵守が継続する場合、当該加盟国は、デジタル要素を有する製品が市場で入手可能となることを制限もしくは禁止し、または当該製品が市場から回収もしくは撤回されることを確保するためのあらゆる適切な措置を講じるものとする。
第59条-市場監視当局の共同活動
1.市場監視当局は、サイバーセキュリティの確保と消費者保護を目的とした共同活動を、市場に投入された、または市場で入手可能となったデジタル要素を含む特定の製品、特にサイバーセキュリティ上のリスクがしばしば見出されるデジタル要素を含む製品に関して実施するために、他の関連当局と合意することができる。
2.欧州委員会またはENISAは、本規則の適用範囲に含まれるデジタル要素を搭載した製品について、複数の加盟国にまたがって本規則に規定された要件に準拠していない可能性があるとの指摘または情報に基づき、市場監視当局が実施する本規則への準拠を確認するための共同活動を提案するものとする。
3.市場監視当局および▌、該当する場合、欧州委員会は、共同活動を実施する合意が経済事業者間の不公正な競争につながらないこと、および合意の当事者の客観性、独立性、公平性に悪影響を及ぼさないことを保証しなければならない。
4.市場監視当局は、実施した共同活動の結果として得られたいかなる情報も、自らが行う調査の一部として使用することができる。
5.当該市場監視当局および場合によっては欧州委員会は、関係者の氏名を含む共同活動に関する合意書を一般に公開しなければならない。
第60条 スイープ
1.市場監視当局は、デジタル要素を有する特定の製品またはそのカテゴリーについて、本規則への準拠を確認するため、または違反行為を発見するために、同時に協調的な管理措置(スイープ)を実施しなければならない。これらの掃引には、身元を隠して取得されたデジタル要素を有する製品の検査を含めることができる。
2.関係市場監視当局が別途合意しない限り、スイープは欧州委員会が調整する。スイープの調整役は、適切な場合には、集計結果を公表しなければならない。
3.第 14 条(1)及び(3)に従って受領した通知に基づく場合を含め、ENISA がその業務を遂行する中で、掃引を実施する可能性のあるデジタル要素を有する製品のカテゴリーを特定した場合、ENISA は、市場監視当局の検討のため、本条第 2 項にいう ▌ コーディネータに掃引の提案を提出するものとする。
4.スイープを実施する場合、関係する市場監視当局は、第52条から第58条に定める調査権限および国内法によって付与されたその他の権限を行使することができる。
5.市場監視当局は、欧州委員会の職員および欧州委員会が許可したその他の同行者をスイープに参加させることができる。
第六章
委任された権限と委員会の手続き
第61条 委任の行使
1.委任行為を採択する権限は、本条に定める条件に従い、欧州委員会に付与される。
2.第2条第5項第2号、第7条第3項、第8条第1項および第2項、第13条第8項第4号、第14条第9項、第25条、第27条第9項、第28条第5項および第31条第5項にいう委任行為を採択する権限は、・・・[この規則の発効日]から5年間、欧州委員会に与えられる。欧州委員会は、5年間の期間が終了する9カ月前までに、権限委譲に関する報告書を作成しなければならない。権限の委譲は、各期間の終了の3カ月前までに欧州議会または理事会がその延長に反対しない限り、同一の期間について黙示的に延長されるものとする。
3.第2条第5項第2号、第7条第3項、第8条第1項および第2項、第13条第8項第4号、第14条第9項、第25条、第27条第9項、第28条第5項および第31条第5項に規定する権限の委譲は、欧州議会または理事会によりいつでも撤回することができる。取消の決定は、その決定で指定された権限の委任を終了させる。取り消しの効力は、欧州連合官報に決定が掲載された日の翌日またはその翌日以降に指定された日に発生する。この決定は、すでに発効している委任法の効力には影響しない。
4.委任法の採択に先立ち、欧州委員会は、2016年4月13日の「より良い法づくりに関する機関間協定」に定められた原則に従い、各加盟国が指定する専門家に相談するものとする。
5.欧州委員会は、委任法を採択し次第、欧州議会および理事会に同時に通知する。
6.第2条第5項第2号、第7条第3項、第8条第1項および第2項、第13条第8項第4号、第14条第9項、第25条、第27条第9項に従って採択された委任法は、欧州議会および理事会への通知後2ヶ月以内に欧州議会または理事会のいずれからも異議が表明されなかった場合にのみ効力を発する、第28条第5項または第31条第5項の効力は、その法律が欧州議会および理事会に通知されてから2ヶ月以内に、欧州議会または理事会のいずれからも異議が表明されなかった場合、あるいは、その期間の満了前に、欧州議会および理事会の双方が欧州委員会に対して異議を申し立てない旨を通知した場合にのみ発生する。この期間は、欧州議会または理事会の発意により2ヶ月延長される。
第62条 委員会の手続き
1.委員会は、委員会の支援を受けるものとする。この委員会は、規則(EU)No 182/2011の意味における委員会とする。
2.本項に言及する場合、規則(EU)No 182/2011第5条が適用される。
3.書面手続によって委員会の意見を得る場合、意見書の提出期限内に委員長がそう決定するか、委員会委員 がそう要請した場合、その手続は結果を得ずに終了するものとする。
第七章
守秘義務と罰則
第63条 守秘義務
1.本規則の適用に関与するすべての関係者は、特に以下の事項を保護するような方法で、その任務および活動を遂行する際に入手した情報およびデータの機密性を尊重しなければならない:
(a)欧州議会及び理事会指令(EU)2016/943の第5条に言及されている場合を除き、ソースコードを含む自然人又は法人の知的財産権及び秘密営業情報又は企業秘密41;
(b) この規則の効果的な実施、特に検査、調査又は監査の目的;
(c) 公共および国家安全保障上の利益;
(d) 刑事手続または行政手続の完全性。
2.第1項を損なうことなく、市場監視当局間および市場監視当局と欧州委員会との間で秘密に基づいて交換された情報は、発信元である市場監視当局の事前の同意がない限り、開示してはならない。
3.第1項および第2項は、情報交換および警告の普及に関する欧州委員会、加盟国および通告を受けた機関の権利および義務、ならびに加盟国の刑法に基づく関係者の情報提供義務に影響を及ぼすものではない。
4.欧州委員会および加盟国は、必要に応じて、適切な保護レベルを保証する二国間または多国間の機密保持協定を締結している第三国の関連当局と、機密情報を交換することができる。
第64条 - 罰則
1.加盟国は、本規則の違反に適用される罰則に関する規則を定め、その実施を確保するために必要なすべての措置を講じるものとする。規定される罰則は、効果的、比例的、かつ説得力のあるものでなければならない。加盟国は、これらの規則および措置を遅滞なく欧州委員会に通知するものとし、また、これらの規則に影響を及ぼすその後の改正を遅滞なく欧州委員会に通知するものとする。
▌
2.附属書Ⅰに規定されたサイバーセキュリティの必須要件、および第13条と第14条に規定された義務に違反した場合、15,000,000ユーロ以下の行政罰、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の2,5 %以下の行政罰のいずれか高い方の対象となる。
3.第18条から第23条まで、第28条、第30条第1項から第4項まで、第31条第1項から第4項まで、第32条第1項、第2項および第3項、第33条第5項、第39条、第41条、第47条、第49条、第53条に定める義務に違反した場合は、1万ユーロ以下の行政罰金、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の2 %以下の行政罰金のいずれか高い方の対象となる。
4.要求に対する回答として、不正確、不完全、または誤解を招くような情報を届出機関や市場監視当局に提供した場合、5,000,000ユーロ以下の行政罰、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の1,000,000TP3T以下の行政罰のいずれか高い方の罰金に処される。
5.個々の事案における行政処分の罰金額を決定する際には、具体的な状況に関連するすべての状況を考慮し、以下の点に十分配慮しなければならない:
(a) 侵害の性質、重大性、期間、およびその結果;
(b) 同様の違反に対して、同一または他の市場監視当局が、同一の経済事業者に対して既に行政制裁金を適用しているかどうか;
(c) 特に零細企業、中小企業(新興企業を含む)の規模、および侵害を犯した経済事業者の市場占有率。
6.行政制裁金を適用する市場監視当局は、規則(EU)2019/1020の第34条で言及されている情報通信システムを通じて、その適用を他の加盟国の市場監視当局に伝達しなければならない。
7.各加盟国は、当該加盟国に設置された公的機関および公共団体に対し、行政制裁金を課すことができるかどうか、またどの程度課すことができるかについて、規則を定めるものとする。
8.加盟国の法制度によっては、行政罰に関する規則は、加盟国の国内レベルで確立された権限に従って、管轄の国内裁判所またはその他の機関が罰金を科す形で適用される場合がある。これらの加盟国における当該規則の適用は、同等の効果を有するものとする。
9.行政罰は、個々の事案の状況に応じて、同一の違反に対して市場監視当局が適用するその他の是正措置または制限措置に加えて課される場合がある。
10.第3項から第10項までの適用除外として、これらの項で言及される行政罰は、以下のものには適用されない:
(a) 第14条(2)の(a)又は第14条(4)の(a)に規定する期限を遵守しなかった製造業者;
(b) オープンソースソフトウェアのスチュワードによる本規定違反。
第65条 - 代表訴訟
指令(EU)2020/1828は、消費者の集団的利益を害する、または害する可能性のある本規則の規定の経済事業者による違反に対して提起される代表訴訟に適用されるものとする。
第8章
経過措置と最終規定
第66条-規則(EU)2019/1020の改正
規則(EU)2019/1020の附属書Iにおいて、以下の点が追加される:「71.[欧州議会および理事会規則(EU)2024/...*」を追加する。
].
第67条-指令(EU)2020/1828の改正
指令(EU)2020/1828の附属書Iに以下の点が追加された;
'67.[欧州議会および理事会規則(EU)2024/...*
]’.
第68条 規則(EU)168/2013の改正
規則(EU)168/2013の附属書IIを以下のように改正する:
パートCの表に、以下の項目を追加する:
第69条 - 経過規定
1.本規則以外のEU調和法令が適用されるデジタル要素を有する製品のサイバーセキュリティ要件に関して発行されたEUの型式検査証明書および承認決定は、...[本規則の発効日から42ヶ月]まで有効であるが、その前に失効しない限り、または、当該他のEU調和法令に別段の定めがない限り、その法令で言及されているとおり有効である。
2.本規則の発効日から 36 ヵ月]以前に上市されたデジタル要素を含む製品は、その日から大幅な 変更が加えられた場合に限り、本規則の要求事項に従うものとする。
3.第2項の適用除外により、第14条に定める義務は、本規則の適用範囲に含まれるデジタル要素を有するすべての製品であって、...[本規則の発効日から36カ月]以前に上市されたものに適用される。
第70条 - 評価と審査
1.欧州委員会は、[本規則の発効日から72カ月]および、その後4年ごとに、本規則の評価および見直しに関する報告書を欧州議会および理事会に提出する。これらの報告書は公表されるものとする。
2.欧州委員会は、ENISA及びCSIRTsネットワークと協議した後、欧州議会及び理事会に対し、第16条に定める単一報告プラットフォームの有効性、並びに、コーディネータに指名されたCSIRTsによる第16条(2)に言及するサイバーセキュリティ関連の根拠の適用が、他の関連するCSIRTsに受信した通知を適時に伝達することに関する単一報告プラットフォームの有効性に及ぼす影響を評価する報告書を提出する。
第71条 - 施行および適用
1.本規則は、欧州連合官報に掲載された翌日から20日目に発効する。
2.本規則は... [本規則の発効日から36カ月]から適用される。ただし、第14条は...[本規則の発効日から21カ月]から、第4章(第35条から第51条まで)は...[本規則の発効日から18カ月]から適用する。
本規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。
CRA への適合(てきおう)に関して、IoT機器メーカーが率先(せんしょう)して対応(たいおう)する必要があります。
遵守しなければならないこと、遵守するために必要な時間、遵守しなかった場合の法的影響など、実践的なガイドをお読みください。
フリーでオープンソースのソフトウェアは、今のところサイバーレジリエンス法の適用範囲には入らないが、遠隔データ処理ソリューションを含む商用ソフトウェアは同法に準拠する必要がある。
私たちの実践的なガイドを読んで、何をすべきかを理解してください。
IoT デバイスの輸入業者、販売業者、再販業者は、サイバーレジリエンス法(CRA)に基づき、多くの要件を遵守する必要があります。場合によっては、製造業者とみなされることもあります。
当社のガイドでは、これらの利害関係者の責任と義務について詳しく説明しています。
