IoTメーカー

デジタル化が進む中、製造業者はサイバー攻撃という新たな脅威に直面しています。

サイバーレジリエンス法に積極的に取り組み、必要な対策を講じる製造業者は、複雑化するサイバーセキュリティ環境を効果的に乗り切り、自社の事業を守り、安全で強靭な製造エコシステムの構築に貢献することができます。

メーカーによるコンプライアンスガイドをご覧ください!

クイックリンク

前提条件
ドキュメンテーション
報告要件

前提条件

デジタル要素を含む製品をEU市場に出す前に、製造業者は以下のステップを完了する必要があります。

  • 使用目的、予見可能な条件、予想される寿命に基づいて、製品が抱える潜在的なサイバーセキュリティリスクを分析します。
  • コンポーネントを安全に統合する:オープンソースソフトウェアを含むサードパーティからコンポーネントを調達する際には、製品のサイバーセキュリティを損なわないよう、十分な注意を払う。
  • 製品で脆弱性が発見された場合、内部または外部ソースから報告された脆弱性に対処するためのポリシーと手順 (調整された開示ポリシーを含む) を設け、迅速かつ適切な対応を行います。
  • 製品仕様、設計、製造過程に関する詳細な技術文書を作成します。
  • 該当するEU指令に基づいて、製品の適合性評価手順を選択し、実施します。
  • 製品がEU指令に適合していることを宣言するEU適合宣言書を発行し、製品にCEマーキングを貼付します。
  • 製品、包装、または添付文書に製品の識別マーク (タイプ、バッチ、シリアル番号) を記載します。
  • メーカー名、連絡先、ウェブサイトを製品、包装、添付文書に明記します。
  • 製品を販売している間、少なくとも5年間、または製品寿命が5年未満の場合は製品寿命の間、製品サポートを提供します。
  • サポート期間中にリリースされたセキュリティアップデートは、少なくとも10年間または残りのサポート期間のいずれか長い方の期間利用可能であることを確認します。

法的根拠

For the purpose of complying with paragraph 1, manufacturers shall undertake an assessment of the cybersecurity risks associated with a product with digital elements and take the outcome of that assessment into account during the planning, design, development, production, delivery and maintenance phases of the product with digital elements with a view to minimising cybersecurity risks, preventing incidents and minimising their impact, including in relation to the health and safety of users.

For the purpose of complying with paragraph 1, manufacturers shall exercise due diligence when integrating components sourced from third parties so that those components do not compromise the cybersecurity of the product with digital elements, including when integrating components of free and open-source software that have not been made available on the market in the course of a commercial activity.

Manufacturers shall ensure, when placing a product with digital elements on the market, and for the support period, that vulnerabilities of that product, including its components, are handled effectively and in accordance with the essential cybersecurity requirements set out in Part II of Annex I. Manufacturers shall determine the support period so that it reflects the length of time during which the product is expected to be in use, taking into account, in particular, reasonable user expectations, the nature of the product, including its intended purpose, as well as relevant Union law determining the lifetime of products with digital elements.

When determining the support period, manufacturers may also take into account the support periods of products with digital elements offering a similar functionality placed on the market by other manufacturers, the availability of the operating environment, the support periods of integrated components that provide core functions and are sourced from third parties as well as relevant guidance provided by the dedicated administrative cooperation group (ADCO) established pursuant to Article 52(15) and the Commission. The matters to be taken into account in order to determine the support period shall be considered in a manner that ensures proportionality.

第2号を損なうことなく、サポート期間は少なくとも5年間とする。デジタル要素を含む製品の使用期間が5年未満であると予想される場合、サポート期間は予想される使用期間に対応するものとする。 

Taking into account ADCO recommendations as referred to in Article 52(16), the Commission may adopt delegated acts in accordance with Article 61 to supplement this Regulation by specifying the minimum support period for specific product categories where the market surveillance data suggests inadequate support periods.

Manufacturers shall include the information that was taken into account to determine the support period of a product with digital elements in the technical documentation as set out in Annex VII.

Manufacturers shall have appropriate policies and procedures, including coordinated vulnerability disclosure policies, referred to in Part II, point (5), of Annex I to process and remediate potential vulnerabilities in the product with digital elements reported from internal or external sources.

Before placing a product with digital elements on the market, manufacturers shall draw up the technical documentation referred to in Article 31.

They shall carry out the chosen conformity assessment procedures as referred to in Article 32 or have them carried out.

Where compliance of the product with digital elements with the essential cybersecurity requirements set out in Part I of Annex I and of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Part II of Annex I has been demonstrated by that conformity assessment procedure, manufacturers shall draw up the EU declaration of conformity in accordance with Article 28 and affix the CE marking in accordance with Article 30.

製造者は、そのデジタル要素付き製品に、型式、バッチ番号、シリアル番号、又は識別を可能にするその他の要素が付されていること、又はそれが不可能な場合には、その情報が包装上又はデジタル要素付き製品に添付された文書に記載されていることを保証しなければならない。

Manufacturers shall indicate the name, registered trade name or registered trademark of the manufacturer, and the postal address, email address or other digital contact details, as well as, where applicable, the website where the manufacturer can be contacted, on the product with digital elements, on its packaging or in a document accompanying the product with digital elements. That information shall also be included in the information and instructions to the user set out in Annex II. The contact details shall be in a language which can be easily understood by users and market surveillance authorities.

European flag

ドキュメンテーション

製造業者は、以下の必須文書要件を満たさなければなりません。

    • 1. 技術文書 • 技術文書には、製品のサイバーセキュリティに関連する情報が記載されている必要があります。具体的には、以下の情報を含める必要があります。特定された脆弱性 • サードパーティの情報 •リスク評価の更新。 技術文書は、製品が市場に出回ってから10年間またはサポート期間(いずれか長い方)の間、保管する必要があります。
    • 2. EU適合宣言 • EU適合宣言は、製品がEU指令の必須要件を満たしていることを証明する文書です。製造業者は、以下のいずれかの方法でEU適合宣言を提供することができます。完全版をオンラインで提供する • 完全版へのリンクをオンラインで提供する。 どちらの方法を選択する場合でも、EU適合宣言は、10年間またはサポート期間中、アクセス可能な状態にしておく必要があります。
    • 3. ユーザー情報と説明書 • ユーザー情報と説明書は、ユーザーが製品を安全かつ適切に設置、操作、使用できるようにするためのガイドです。これらのガイドには、以下の情報を含める必要があります。製品の特徴と機能 • 製品の使用に関する指示 • 製品に関する安全上の注意事項 • 故障排除の手順 • サポート情報 • ユーザー情報と説明書は、明確で理解しやすい言語で書かれている必要があります。また、ユーザーや当局が容易に理解できる言語で提供する必要があります。 これらのガイドは、オンラインまたは物理的に、10年間またはサポート期間中、アクセス可能な状態に保たれていなければなりません。

法的根拠

When placing a product with digital elements on the market, the manufacturer shall include the cybersecurity risk assessment referred to in paragraph 3 of this Article in the technical documentation required pursuant to Article 31 and Annex VII. For products with digital elements as referred to in Article 12, which are also subject to other Union legal acts, the cybersecurity risk assessment may be part of the risk assessment required by those Union legal acts. Where certain essential cybersecurity requirements are not applicable to the product with digital elements, the manufacturer shall include a clear justification to that effect in that technical documentation.

The manufacturers shall systematically document, in a manner that is proportionate to the nature and the cybersecurity risks, relevant cybersecurity aspects concerning the products with digital elements, including vulnerabilities of which they become aware and any relevant information provided by third parties, and shall, where applicable, update the cybersecurity risk assessment of the products.

Manufacturers shall keep the technical documentation and the EU declaration of conformity at the disposal of the market surveillance authorities for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer.

製造者は、そのデジタル要素付き製品に、型式、バッチ番号、シリアル番号、又は識別を可能にするその他の要素が付されていること、又はそれが不可能な場合には、その情報が包装上又はデジタル要素付き製品に添付された文書に記載されていることを保証しなければならない。

Manufacturers shall indicate the name, registered trade name or registered trademark of the manufacturer, and the postal address, email address or other digital contact details, as well as, where applicable, the website where the manufacturer can be contacted, on the product with digital elements, on its packaging or in a document accompanying the product with digital elements. That information shall also be included in the information and instructions to the user set out in Annex II. The contact details shall be in a language which can be easily understood by users and market surveillance authorities.

製造事業者は,デジタル要素を含む製品に,附属書Ⅱに定める使用者に対する情報及び指示を紙又は電子形式で添付することを確実にしなければならない。このような情報及び指示は,使用者及び市場監視当局が容易に理解できる言語で提供しなければならない。それらは,明確で,理解可能で,明瞭で,判読可能でなければならない。それらは、デジタル要素を持つ製品の安全な設置、操作及び使用を可能にするものでなければならない。製造事業者は、附属書Ⅱに定める使用者に対する情報及び指示を、デジタル要素付き製品の上市後少なくとも10年間又はサポート期間のいずれか長い方の期間、使用者及び市場監視当局が自由に利用できるよう保管しなければならない。このような情報及び指示がオンラインで提供される場合、製造者は、デジタル要素を含む製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い方の期間、アクセス可能で、使い勝手がよく、オンラインで利用可能であることを確保しなければならない。

製造者は、EU適合宣言書の写し、またはデジタル要素を含む簡易EU適合宣言書を製品とともに提供しなければならない。簡易EU適合宣言書を提供する場合、完全なEU適合宣言書にアクセスできる正確なインターネットアドレスを記載しなければならない。

Manufacturers shall, upon a reasoned request from a market surveillance authority, provide that authority, in a language which can be easily understood by that authority, with all the information and documentation, in paper or electronic form, necessary to demonstrate the conformity of the product with digital elements and of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Annex I. Manufacturers shall cooperate with that authority, at its request, on any measures taken to eliminate the cybersecurity risks posed by the product with digital elements which they have placed on the market.

報告要件

これらの報告要件は、製品のサイバーセキュリティ対策を強化し、脆弱性やインシデントへの迅速かつ協調的な対応を可能にすることを目的としています。 具体的には、製造業者は以下の義務を負います。

  • 製品セキュリティに影響を与えるインシデントが発生した場合、24時間以内にCSIRTに通知する必要があります。通知には、インシデントの重大性、影響範囲、および違法行為の疑いに関する情報を含める必要があります。該当する場合は、市場監視当局にも通知する必要があります。
  • 製品セキュリティに影響を与えるインシデントが発生した場合、24 時間以内に CSIRT に通知する。重大性、影響、及び違法行為の疑いに関する情報を含めるべきである。市場監視当局に通知する。
  • インシデントについてユーザーに迅速に通知し、必要に応じて緩和策を提供する必要があります。
  • 製品に統合されているコンポーネントで脆弱性を発見した場合、各コンポーネントのメンテナに報告する必要があります。
 

While the Cyber Resilience Act has been adopted, the reporting requirements will only become mandatory and enforceable in 2027, following a transitional period.

法的根拠

A manufacturer shall notify any actively exploited vulnerability contained in the product with digital elements that it becomes aware of simultaneously to the CSIRT designated as coordinator, in accordance with paragraph 7 of this Article, and to ENISA. The manufacturer shall notify that actively exploited vulnerability via the single reporting platform established pursuant to Article 16.

第1項の届出のために、製造者は以下の書類を提出しなければならない:

(a) 活発に悪用されている脆弱性について、過度の遅滞なく、いかなる場合でも製造者がそれを認識してから24時間以内に、早期警告通知を行うこと;

(b) unless the relevant information has already been provided, a vulnerability notification, without undue delay and in any event within 72 hours of the manufacturer becoming aware of the actively exploited vulnerability, which shall provide general information, as available, about the product with digital elements concerned, the general nature of the exploit and of the vulnerability concerned as well as any corrective or mitigating measures taken, and corrective or mitigating measures that users can take, and which shall also indicate, where applicable, how sensitive the manufacturer considers the notified information to be;

(c) 関連情報がすでに提供されている場合を除き、是正措置または緩和措置が利用可能になってから14日以内に、少なくとも以下を含む最終報告書を提出する:

(i) 脆弱性の説明(その重大性と影響を含む);

(ii) 利用可能な場合、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報;

(iii) 脆弱性を是正するために提供されたセキュリティアップデートまたはその他の是正措置の詳細。

A manufacturer shall notify any severe incident having an impact on the security of the product with digital elements that it becomes aware of simultaneously to the CSIRT designated as coordinator, in accordance with paragraph 7 of this Article, and to ENISA. The manufacturer shall notify that incident via the single reporting platform established pursuant to Article 16.

第3項の届出のために、製造者は以下を提出しなければならない:

(a) an early warning notification of a severe incident having an impact on the security of the product with digital elements, without undue delay and in any event within 24 hours of the manufacturer becoming aware of it, including at least whether the incident is suspected of being caused by unlawful or malicious acts, which shall also indicate, where applicable, the Member States on the territory of which the manufacturer is aware that their product with digital elements has been made available;

(b) unless the relevant information has already been provided, an incident notification, without undue delay and in any event within 72 hours of the manufacturer becoming aware of the incident, which shall provide general information, where available, about the nature of the incident, an initial assessment of the incident, as well as any corrective or mitigating measures taken, and corrective or mitigating measures that users can take, and which shall also indicate, where applicable, how sensitive the manufacturer considers the notified information to be;

(c) 関連情報が既に提供されている場合を除き、(b)に基づく事故通知書の提出後1ヶ月以内に、少なくとも以下を含む最終報告書を提出すること:

(i)その重大性と影響を含む、事故の詳細な説明;

(ii) インシデントの引き金となったと思われる脅威の種類または根本原因;

(iii) 適用済みおよび継続中の緩和策。

The notifications referred to in paragraphs 1 and 3 of this Article shall be submitted via the single reporting platform referred to in Article 16 using one of the electronic notification end-points referred to in Article 16(1). The notification shall be submitted using the electronic notification end-point of the CSIRT designated as coordinator of the Member State where the manufacturers have their main establishment in the Union and shall be simultaneously accessible to ENISA.

For the purposes of this Regulation, a manufacturer shall be considered to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity of its products with digital elements are predominantly taken. If such a Member State cannot be determined, the main establishment shall be considered to be in the Member State where the manufacturer concerned has the establishment with the highest number of employees in the Union.

Where a manufacturer has no main establishment in the Union, it shall submit the notifications referred to in paragraphs 1 and 3 using the electronic notification end-point of the CSIRT designated as coordinator in the Member State determined pursuant to the following order and based on the information available to the manufacturer:

(a) 当該製造事業者のデジタル要素を搭載した製品の数が最も多い製造事業者を代理する公認代理人が設立されている加盟国;

(b) 当該製造業者のデジタル要素を搭載した製品を最も多く市場に出している輸入業者が設立されている加盟国;

(c) 当該製造業者のデジタル・エレメントを搭載した製品を最も多く市販している販売業者が設立されている加盟国;

(d) the Member State in which the highest number of users of products with digital elements of that manufacturer are located. In relation to the third subparagraph, point (d), a manufacturer may submit notifications related to any subsequent actively exploited vulnerability or severe incident having an impact on the security of the product with digital elements to the same CSIRT designated as coordinator to which it first reported.

After becoming aware of an actively exploited vulnerability or a severe incident having an impact on the security of the product with digital elements, the manufacturer shall inform the impacted users of the product with digital elements, and where appropriate all users, of that vulnerability or incident and, where necessary, of any risk mitigation and corrective measures that the users can deploy to mitigate the impact of that vulnerability or incident, where appropriate in a structured, machine-readable format that is easily automatically processable. Where the manufacturer fails to inform the users of the product with digital elements in a timely manner, the notified CSIRTs designated as coordinators may provide such information to the users when considered to be proportionate and necessary for preventing or mitigating the impact of that vulnerability or incident.

製造業者だけでなく、その他の自然人または法人も、デジタル要素を含む製品に含まれる脆弱性、およびデジタル要素を含む製品のリスクプロファイルに影響を与える可能性のあるサイバー脅威を、コーディネーターとして指定されたCSIRTまたはENISAに任意で通知することができる。

製造者だけでなく、その他の自然人または法人も、デジタル要素を含む製品のセキュリティに影響を及ぼすインシデントや、そのようなインシデントにつながる可能性があったニアミスを、コーディネーターとして指定されたCSIRTまたはENISAに任意で通知することができる。

サイバーセキュリティ・ニュースとイベント

サイバーセキュリティとサイバーレジリエンス法に関する最新情報をチェックしましょう。

イベントカレンダーへ