ソフトウェア会社

サイバーレジリエンス法の主な焦点は、企業が開発・事業化する非組込みソフトウェアのサイバーセキュリティリスクを軽減することにあります。

一方、フリーでオープンソースのソフトウェアや純粋なSaaSソフトウェアは、CRAの対象ではありません。 ただし、欧州市場で販売されているハードウェア製品によって生成されたデータを遠隔処理するために使用される純粋なSaaSソフトウェアは、CRAの対象となります。 これは、これらのSaaSソフトウェアがハードウェア製品のセキュリティ機能に依存しているためです。

さらに、他のEU法(医療用や民間航空用ソフトウェアなど)の対象となっているソフトウェアは、サイバーレジリエンス法に準拠する必要はありません。 ただし、対象となる要件は、他の法律で既にカバーされているものに限定されます。

サイバーレジリエンス法は、ソフトウェア企業が以下の目標を達成できるように支援することを目的としています。

  • セキュリティ機能の強化: ソフトウェアアプリケーションに適切なセキュリティ対策を導入することにより、サイバー攻撃に対する防御力を高めます。
  • 脆弱性への迅速な対応: 脆弱性が発見された場合、迅速かつ効果的に修正パッチをリリースすることで、悪用されるリスクを軽減します。
    • これらの目標を達成することで、ソフトウェア企業は自社の製品をサイバー脅威から守り、ユーザーの安全を確保することができます。

    詳細については、総合ガイドをご覧ください!

    クイックリンク

    前提条件
    ドキュメンテーション
    報告要件

    前提条件

    ソフトウェア開発者は、以下の要件を満たすことで、適切なレベルのサイバーセキュリティを確保し、サイバーレジリエンス法を遵守することができます。

    • ソフトウェアは、開発ライフサイクル全体において、セキュリティ対策とベストプラクティスを徹底することで、サイバーセキュリティレベルを保証する必要があります。
    • 製品は、出荷時にデフォルトで安全な状態に設定されており、ユーザーは必要に応じて元の安全な状態に復元できる必要があります。
    • ソフトウェアは、不正アクセスを防ぐための制御メカニズムを備える必要があります。
    • ソフトウェアは、製品の利用目的を達成するために必要なデータと関連するデータのみを処理する必要があります。
    • ソフトウェアは、必要不可欠な機能の可用性を確保し、他のデバイスやネットワークが提供するサービスへの影響を最小限に抑えるように設計する必要があります。
    • 脆弱性は、セキュリティアップデートで修正する必要があります。ソフトウェア製品の継続的なセキュリティを確保するために、利用可能なアップデートをユーザーに通知し、適用を促す必要があります。

    法的根拠

    (1) デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティが確保されるように設計、開発、製造されなければならない;

    (2) 第 13 条(2)で言及されるサイバーセキュリティリスク評価に基づき、該当する場合、デジタル 要素を有する製品は、以下の事項を満たさなければならない:

    (a)悪用可能な既知の脆弱性がない状態で市場に提供されること;

    (b) 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメード製品に関して製造業者と企業ユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること;

    (c) 該当する場合は、利用可能なアップデートの利用者への通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウトの仕組みとともに、デフォルト設定として有効になっている、適切な時間枠内にインストールされる自動セキュリティアップデートを通じて、脆弱性に対処できるようにする;

    (d) 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムにより、不正アクセスからの保護を確保し、不正アクセスの可能性について報告する;

    (e) 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護すること。例えば、最新のメカニズムにより、保存中または転送中の関連データを暗号化し、その他の技術的手段を使用すること;

    (f)保存、送信、またはその他の方法で処理されたデータ、個人またはその他のデータ、コマンド、プログラム、および設定の完全性を、ユーザーによって許可されていない操作または変更から保護し、破損について報告すること;

    (g) 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化);

    (h) サービス妨害攻撃に対する回復力▌と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する;

    (i)製品自体または接続デバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること;

    (j) 外部インタフェースを含む攻撃面を制限するように設計、開発、製造されること;

    (k)適切な搾取緩和の仕組みと技術を用いて、事故の影響を軽減するように設計、開発、製造されること;

    (l) データ、サービスまたは機能へのアクセスまたは変更を含む、関連する内部活動を記録および監視することにより、セキュリティ関連情報を提供すること;

    (m) 利用者がすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること。

    ドキュメンテーション

    サイバーレジリエンス法に基づき、ソフトウェア開発者は特定の必須文書を維持する必要があります。 これらの文書には、以下が含まれます。

    • ソフトウェア部品表(SBOM)は、製品に含まれるすべてのソフトウェアコンポーネントとそのバージョンをリストしたものです。SBOM は、セキュリティ上の脆弱性を特定し、修正するために役立ちます。 SBOM が利用可能な場合は、製品とともに提供する必要があります。
    • EU適合宣言書は、ユーザーが容易にアクセスできる場所に設置し、製品がCRAに適合していることを証明する情報を含める必要があります。宣言書には、アクセスできるWebサイトのアドレス、製造者が提供する技術的なセキュリティサポートの詳細など、関連情報が記載されている必要があります。

    法的根拠

    (1) 製品に含まれる脆弱性とコンポーネントを特定し、文書化する。
    デジタル要素を使って、ソフトウェア部品表を作成することも含まれる。
    一般的に使用され、機械が読み取り可能なフォーマットで、少なくとも以下の項目を網羅している。
    製品のトップレベルの依存関係;

    第28条のEU適合宣言書には、以下のすべての情報を記載しなければならない:

    1.製品の名称、タイプ、およびデジタル要素による製品の一意な識別を可能にする追加情報;

    2.製造者またはその指定代理店の名称および住所;

    3.EU 適合宣言は、提供者の単独の責任の下で発行される旨の記述;

    4.宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;)

    5.上記の宣言の対象が、関連する欧州連合の整合化法令に適合している旨の声明;

    6.適合性が宣言されている関連する整合規格、その他の共通仕様、またはサイバーセキュリティ認証への言及;

    7.該当する場合、ノーティファイドボディの名称と番号、実施された適合性評価手順の説明、発行された証明書の識別;

    8.追加情報

    (発行地と発行日):

    (名前, 関数)

    (署名):

    報告要件

    サイバーレジリエンス法に基づき、ソフトウェア開発者は以下の報告義務を負います。

    • 市場監視当局およびその他の所轄当局に対して、必要な情報を提供し、調査に積極的に協力し、規制要件の遵守を徹底することにより、全面的な協力を提供します。
    • 市場監視当局からの要請があった場合、デジタル要素を含む製品を供給した経済事業者の名前と住所を速やかに提供します。
    • 製品の提供後10年間、およびデジタル要素を含む製品の提供後10年間、前項の情報は保持します。

    法的根拠

    1.内部管理とは、製造者がポイント2、3、4で規定された義務を履行し、デジタルエレメントを搭載した製品が附属書ⅠのパートⅠに規定されたすべての必須要件を満たしていること、および製造者が附属書ⅠのパートⅡに規定された必須要件を満たしていることを、自らの責任において保証し宣言する適合性評価手続きである。

    European flag

    サイバーセキュリティ・ニュースとイベント

    サイバーセキュリティとサイバーレジリエンス法に関する最新情報をチェックしましょう。

    イベントカレンダーへ