ソフトウェア会社

サイバーレジリエンス法の主な焦点は、企業が開発・事業化する非組込みソフトウェアのサイバーセキュリティリスクを軽減することにあります。

一方、フリーでオープンソースのソフトウェアや純粋なSaaSソフトウェアは、CRAの対象ではありません。 ただし、欧州市場で販売されているハードウェア製品によって生成されたデータを遠隔処理するために使用される純粋なSaaSソフトウェアは、CRAの対象となります。 これは、これらのSaaSソフトウェアがハードウェア製品のセキュリティ機能に依存しているためです。

さらに、他のEU法(医療用や民間航空用ソフトウェアなど)の対象となっているソフトウェアは、サイバーレジリエンス法に準拠する必要はありません。 ただし、対象となる要件は、他の法律で既にカバーされているものに限定されます。

サイバーレジリエンス法は、ソフトウェア企業が以下の目標を達成できるように支援することを目的としています。

  • セキュリティ機能の強化: ソフトウェアアプリケーションに適切なセキュリティ対策を導入することにより、サイバー攻撃に対する防御力を高めます。
  • 脆弱性への迅速な対応: 脆弱性が発見された場合、迅速かつ効果的に修正パッチをリリースすることで、悪用されるリスクを軽減します。
    • これらの目標を達成することで、ソフトウェア企業は自社の製品をサイバー脅威から守り、ユーザーの安全を確保することができます。

    詳細については、総合ガイドをご覧ください!

    クイックリンク

    前提条件
    ドキュメンテーション
    報告要件

    前提条件

    Software developers must ensure cybersecurity compliance by:

    1. Risk-Based Design: Implement state-of-the-art security measures and best practices throughout development to address identified risks.
    2. Secure Configuration: Deliver products with secure default settings, allowing users to reset to a secure state if needed.
    3. Exploitation Mitigation: Eliminate known vulnerabilities and limit attack surfaces to reduce incident impact.
    4. Timely Security Updates: Address vulnerabilities through automatic or user-notified updates, with opt-out options.
    5. Access Control: Prevent unauthorized access via authentication and identity management systems, and report breaches.
    6. Data Minimization and Security: Process only necessary data, safeguarding confidentiality with encryption and secure mechanisms.
    7. Integrity and Monitoring: Protect data integrity, monitor internal activities, and enable user opt-outs for monitoring.
    8. Availability and Resilience: Ensure essential functions remain operational after incidents, mitigating risks like denial-of-service attacks.
    9. Data Removal and Portability: Provide secure options for data deletion and transfer between products or systems.

     

    These measures enhance security throughout the product lifecycle and supply chain.

    法的根拠

    (1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks.

    (2) 第 13 条(2)で言及されるサイバーセキュリティリスク評価に基づき、該当する場合、デジタル 要素を有する製品は、以下の事項を満たさなければならない:

    (a)悪用可能な既知の脆弱性がない状態で市場に提供されること;

    (b) 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメード製品に関して製造業者と企業ユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること;

    (c) ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic security updates that are installed within an appropriate timeframe enabled as a default setting, with a clear and easy-to-use optout mechanism, through the notification of available updates to users, and the option to temporarily postpone them;

    (d) 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムにより、不正アクセスからの保護を確保し、不正アクセスの可能性について報告する;

    (e) 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護すること。例えば、最新のメカニズムにより、保存中または転送中の関連データを暗号化し、その他の技術的手段を使用すること;

    (f)保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の完全性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること;

    (g) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended purpose of the product with digital elements (data minimisation);

    (h) protect the availability of essential and basic functions, also after an incident, including through resilience and mitigation measures against denial-of-service attacks;

    (i)製品自体または接続デバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること;

    (j) 外部インタフェースを含む攻撃面を制限するように設計、開発、製造されること;

    (k)適切な搾取緩和の仕組みと技術を用いて、事故の影響を軽減するように設計、開発、製造されること;

    (l) データ、サービスまたは機能へのアクセスまたは変更を含む、関連する内部活動を記録および監視することにより、セキュリティ関連情報を提供すること;

    (m) 利用者がすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること。

    ドキュメンテーション

    サイバーレジリエンス法に基づき、ソフトウェア開発者は特定の必須文書を維持する必要があります。 これらの文書には、以下が含まれます。

    • ソフトウェア部品表(SBOM)は、製品に含まれるすべてのソフトウェアコンポーネントとそのバージョンをリストしたものです。SBOM は、セキュリティ上の脆弱性を特定し、修正するために役立ちます。 SBOM が利用可能な場合は、製品とともに提供する必要があります。
    • EU適合宣言書は、ユーザーが容易にアクセスできる場所に設置し、製品がCRAに適合していることを証明する情報を含める必要があります。宣言書には、アクセスできるWebサイトのアドレス、製造者が提供する技術的なセキュリティサポートの詳細など、関連情報が記載されている必要があります。

    法的根拠

    (1) 製品に含まれる脆弱性とコンポーネントを特定し、文書化する。
    デジタル要素を使って、ソフトウェア部品表を作成することも含まれる。
    一般的に使用され、機械が読み取り可能なフォーマットで、少なくとも以下の項目を網羅している。
    製品のトップレベルの依存関係;

    第28条のEU適合宣言書には、以下のすべての情報を記載しなければならない:

    1.製品の名称、タイプ、およびデジタル要素による製品の一意な識別を可能にする追加情報;

    2.製造者またはその指定代理店の名称および住所;

    3.EU 適合宣言は、提供者の単独の責任の下で発行される旨の記述;

    4.宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;)

    5.上記の宣言の対象が、関連する欧州連合の整合化法令に適合している旨の声明;

    6.適合性が宣言されている関連する整合規格、その他の共通仕様、またはサイバーセキュリティ認証への言及;

    7.該当する場合、ノーティファイドボディの名称と番号、実施された適合性評価手順の説明、発行された証明書の識別;

    8.追加情報

    (発行地と発行日):

    (名前, 関数)

    (署名):

    報告要件

    サイバーレジリエンス法に基づき、ソフトウェア開発者は以下の報告義務を負います。

    • 市場監視当局およびその他の所轄当局に対して、必要な情報を提供し、調査に積極的に協力し、規制要件の遵守を徹底することにより、全面的な協力を提供します。
    • 市場監視当局からの要請があった場合、デジタル要素を含む製品を供給した経済事業者の名前と住所を速やかに提供します。
    • Retain the information referred to in the previous point for a period of ten years after being supplied with the product and for ten years after supplying the product with digital elements.

     

    Although the CRA has been adopted in October 2024, there will be a transitional period until 2027 before the reporting requirements become mandatory and subject to penalties for non-compliance.

    法的根拠

    1. Internal control is the conformity assessment procedure whereby the manufacturer fulfils the obligations set out in points 2, 3 and 4 of this Part, and ensures and declares on its sole responsibility that the products with digital elements satisfy all the essential cybersecurity requirements set out in Part I of Annex I and the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I.

    European flag

    サイバーセキュリティ・ニュースとイベント

    サイバーセキュリティとサイバーレジリエンス法に関する最新情報をチェックしましょう。

    イベントカレンダーへ