欧州におけるサイバーセキュリティ法制の現状
06/25/2024
The National Office for Cyber and Information Security (NÚKIB) announced the initiation of preparatory measures for the implementation of the Cyber Resilience Act (CRA), including the adoption of an implementing regulation. NÚKIB indicated that this regulation is expected to be adopted in autumn 2024, with enforcement set to begin after a three-year transitional period in the latter half of 2027.
The regulation will impose CRA obligations on manufacturers of products with digital elements, encompassing both hardware and software, to enhance cybersecurity throughout the products’ life cycles.
Additionally, NÚKIB revealed plans to hold consultations with manufacturers of products categorized as significant and critical under the regulation. The consultations aim to develop a technical specification for these products, gather feedback on the most suitable definitions for these categories, and identify potential product-specific issues.
These consultations will take place from June 25, 2024, to July 17, 2024.
03/26/2024
3月12日、欧州議会はサイバー・レジリエンス法(CRA)を公布し、EU市場に導入される「デジタル要素を含む製品」(PDEs)に対するサイバーセキュリティの要件を規定した。PDEには、ウイルス対策ソフト、VPN、スマートホームデバイス、コネクテッドトイ、ウェアラブルなど、さまざまなハードウェアやソフトウェアが含まれる。承認された文書は、2023年12月からの欧州議会とEU理事会の妥協案を反映したものである。
CRAに基づく主な義務はPDEメーカーに課せられ、サイバーセキュリティに関する必須要件の実施、適合性評価の実施、特定された脆弱性や重大なサイバーセキュリティインシデントに関する所轄当局への速やかな通知を義務付けている。コンプライアンス違反は、1500万ユーロまたは世界売上高の2.5%のいずれか高い方の金額を上限とする多額の制裁金を科される可能性がある。
今後数ヶ月のうちに、私たちはCRAの複雑さを掘り下げ、本質的なサイバーセキュリティ対策の実施、脆弱性の報告、適合性評価の受審といった義務を解明する予定である。
CRAは、2024年4月に予定されている理事会での正式採択を待っている。その後、最終版がEU官報に掲載される。CRA規定の大半は公表から3年後に完全発効し、脆弱性報告義務はその21ヵ月後に適用される。
12/04/2023
重要な節目として、欧州委員会、欧州理事会、欧州議会は共同で、サイバーレジリエンス法(CRA)の条文をめぐる交渉が成功裏に終了したことを宣言した。この発表は、来年初頭に予定されているCRAのEU立法プロセスの完了に向けた重要な一歩となる。欧州委員会の提案に関する前回のコミュニケーションで詳述したように、CRAは、欧州市場で流通する多様なデジタル製品に先駆的なサイバーセキュリティ義務を導入することを目的としている。合意された条文の包括的な概要は、最終決定と公表の際に提供される予定であるが、本稿では、主要な条項とその意味するところを簡潔に要約する。
タイムラインと移行
CRAは段階的に導入され、施行は2025年後半に予定されている。この段階的な移行期間により、関係者は来るべき規制状況に効果的に適応することができる。
デジタル製品関係者の義務
CRAの影響範囲は、ハードウェア製品とソフトウェア製品の両方を含む「デジタル要素を含む製品」(PDEs)の製造業者および輸入業者に及ぶ。最終文書の公表は未定だが、事前合意草案と関連報告書から予想される義務は以下の通り:
(1) サイバーセキュリティ・バイ・デザイン:製造業者は、既知の脆弱性を軽減するためのリスク評価手法を採用し、特定の本質的なサイバーセキュリティ要件を遵守するようにPDEを構成しなければならない。
(2) 適合性評価:PDEは、確立されたサイバーセキュリティ基準への準拠を確保するために適合性評価を受ける。
(3) タイムリーな脆弱性通知:脆弱性の特定は、関連する国のサイバーセキュリティ当局、脆弱なPDEの保守に責任を負う事業体、そして可能性として欧州連合サイバーセキュリティ機関(ENISA)に速やかに(24時間以内に)報告されなければならない。
(4) セキュリティ・インシデントの公表:深刻なセキュリティインシデントが発生した場合、利害関係者は、ENISA、関連する国のサイバーセキュリティ当局、および影響を受けるPDEのユーザーに、そのような事象を開示しなければならない。
(5) 輸入に関するデュー・ディリジェンス:国境を越えたサイバーセキュリティへの取り組みを強化するため、輸入PDEに対して厳格なデューデリジェンス手続きを実施する。
前途
最終文書の正式な批准と公表を待っている間、合意された条項のより詳細な要約を提供することに、我々のコミットメントは揺るぎない。サイバー・レジリエンス法は、欧州連合(EU)がサイバーセキュリティ対策を強化し、関係者すべてにとって安全なデジタル環境を育成することに全力を注いでいることの証しである。欧州におけるデジタル製品ガバナンスの将来を形成する規制の状況について、さらなる洞察にご期待ください。
07/24/2023
加盟国の代表は、このサイバー・レジリエンス法案について共通の立場に達した。
同規則は、報告義務、重要度の高い製品カテゴリー、製品寿命に関する調整を経て、大使レベルの承認を得た。
報告義務 サイバーセキュリティ規制が導入され、製造業者はサイバーセキュリティインシデントや悪用された脆弱性を所轄官庁に報告することが義務づけられた。この報告の責任は、ENISAから各国のコンピュータ・セキュリティ・インシデント対応チーム(CSIRT)に移され、加盟国は報告のための単一の国内エントリー・ポイントを設置するよう奨励されている。
報告を受けた CSIRT は、サイバーセキュリティに関連する正当な理由で報告を遅延させる場合 を除き、単一の報告プラットフォームを通じて仲間と共有しなければならない。ENISAは、CSIRTの仕様に基づいて汎欧州的なプラットフォームを構築し、プラットフォームに関連するサイバーセキュリティインシデントが発生した場合、速やかに通知する。
これまでメーカーに追加されていた報告期限の柔軟性は削除された。
そして、次のように述べた。 極めて重要な製品しかし最新版では、この用語への明確な言及は削除された。その代わりに、欧州委員会はこの問題に関する裁量を縮小し、特定の製品カテゴリーについて強制認証を要請する前に影響評価を実施しなければならなくなる。
期待値の概念 製品寿命 も含まれ、製造者はセキュリティ更新のために予想される製品寿命を示すことが求められる。この計算のために考慮される要素は前文に移され、市場監視当局が製品寿命の計算の正当性を要求する権利は削除された。
サイバーセキュリティ法を遵守する責任は、接続機器に大幅な変更を加える経済事業者に移ります。ただし、製品の意図された目的を変更しないセキュリティパッチについては、この責任は免除される。また、公的機関が独占的に使用するために開発または修正したデジタル要素を持つ製品も免除される。
この規制の施行には、EUの市場監視当局がガイダンス文書を発行し、各国レベルでの施行を促進することが含まれる。コネクテッドデバイスの同一コンポーネントを置き換えるためにのみ製造されるスペアパーツは、規制の対象から除外され、オリジナル製品と同じ開発・製造工程に従うことが特別に要求されている。
12/04/2023
重要な節目として、欧州委員会、欧州理事会、欧州議会は共同で、サイバーレジリエンス法(CRA)の条文をめぐる交渉が成功裏に終了したことを宣言した。この発表は、来年初頭に予定されているCRAのEU立法プロセスの完了に向けた重要な一歩となる。欧州委員会の提案に関する前回のコミュニケーションで詳述したように、CRAは、欧州市場で流通する多様なデジタル製品に先駆的なサイバーセキュリティ義務を導入することを目的としている。合意された条文の包括的な概要は、最終決定と公表の際に提供される予定であるが、本稿では、主要な条項とその意味するところを簡潔に要約する。
タイムラインと移行
CRAは段階的に導入され、施行は2025年後半に予定されている。この段階的な移行期間により、関係者は来るべき規制状況に効果的に適応することができる。
デジタル製品関係者の義務
CRAの影響範囲は、ハードウェア製品とソフトウェア製品の両方を含む「デジタル要素を含む製品」(PDEs)の製造業者および輸入業者に及ぶ。最終文書の公表は未定だが、事前合意草案と関連報告書から予想される義務は以下の通り:
(1) サイバーセキュリティ・バイ・デザイン:製造業者は、既知の脆弱性を軽減するためのリスク評価手法を採用し、特定の本質的なサイバーセキュリティ要件を遵守するようにPDEを構成しなければならない。
(2) 適合性評価:PDEは、確立されたサイバーセキュリティ基準への準拠を確保するために適合性評価を受ける。
(3) タイムリーな脆弱性通知:脆弱性の特定は、関連する国のサイバーセキュリティ当局、脆弱なPDEの保守に責任を負う事業体、そして可能性として欧州連合サイバーセキュリティ機関(ENISA)に速やかに(24時間以内に)報告されなければならない。
(4) セキュリティ・インシデントの公表:深刻なセキュリティインシデントが発生した場合、利害関係者は、ENISA、関連する国のサイバーセキュリティ当局、および影響を受けるPDEのユーザーに、そのような事象を開示しなければならない。
(5) 輸入に関するデュー・ディリジェンス:国境を越えたサイバーセキュリティへの取り組みを強化するため、輸入PDEに対して厳格なデューデリジェンス手続きを実施する。
前途
最終文書の正式な批准と公表を待っている間、合意された条項のより詳細な要約を提供することに、我々のコミットメントは揺るぎない。サイバー・レジリエンス法は、欧州連合(EU)がサイバーセキュリティ対策を強化し、関係者すべてにとって安全なデジタル環境を育成することに全力を注いでいることの証しである。欧州におけるデジタル製品ガバナンスの将来を形成する規制の状況について、さらなる洞察にご期待ください。
07/24/2023
加盟国の代表は、このサイバー・レジリエンス法案について共通の立場に達した。
同規則は、報告義務、重要度の高い製品カテゴリー、製品寿命に関する調整を経て、大使レベルの承認を得た。
報告義務 サイバーセキュリティ規制が導入され、製造業者はサイバーセキュリティインシデントや悪用された脆弱性を所轄官庁に報告することが義務づけられた。この報告の責任は、ENISAから各国のコンピュータ・セキュリティ・インシデント対応チーム(CSIRT)に移され、加盟国は報告のための単一の国内エントリー・ポイントを設置するよう奨励されている。
報告を受けた CSIRT は、サイバーセキュリティに関連する正当な理由で報告を遅延させる場合 を除き、単一の報告プラットフォームを通じて仲間と共有しなければならない。ENISAは、CSIRTの仕様に基づいて汎欧州的なプラットフォームを構築し、プラットフォームに関連するサイバーセキュリティインシデントが発生した場合、速やかに通知する。
これまでメーカーに追加されていた報告期限の柔軟性は削除された。
そして、次のように述べた。 極めて重要な製品しかし最新版では、この用語への明確な言及は削除された。その代わりに、欧州委員会はこの問題に関する裁量を縮小し、特定の製品カテゴリーについて強制認証を要請する前に影響評価を実施しなければならなくなる。
期待値の概念 製品寿命 も含まれ、製造者はセキュリティ更新のために予想される製品寿命を示すことが求められる。この計算のために考慮される要素は前文に移され、市場監視当局が製品寿命の計算の正当性を要求する権利は削除された。
サイバーセキュリティ法を遵守する責任は、接続機器に大幅な変更を加える経済事業者に移ります。ただし、製品の意図された目的を変更しないセキュリティパッチについては、この責任は免除される。また、公的機関が独占的に使用するために開発または修正したデジタル要素を持つ製品も免除される。
この規制の施行には、EUの市場監視当局がガイダンス文書を発行し、各国レベルでの施行を促進することが含まれる。コネクテッドデバイスの同一コンポーネントを置き換えるためにのみ製造されるスペアパーツは、規制の対象から除外され、オリジナル製品と同じ開発・製造工程に従うことが特別に要求されている。
07/13/2023
欧州連合(EU)理事会議長国スペインは、特定の規制に準拠しなければならない製品カテゴリーの数を大幅に削減するサイバーレジリエンス法の草案の準最終版を発表した。この法律案では、認定監査人による外部審査を必要とする特定の製品カテゴリーを除き、製品メーカーはそのコンプライアンスを自己評価しなければならないと規定されている。改正された特定製品分類のリストには、クラスIおよびII製品が含まれ、これらは他の製品のサイバーセキュリティに不可欠であるか、または操作された場合に悪影響を及ぼす危険性が高い。
クラスI製品のリスト改訂
クラスI製品には現在、アンチウイルス・ソフトウェア、ブート・マネージャー、デジタル証明書発行ソフトウェア、オペレーティング・システム、ネットワーク・インターフェース、インターネット・ルーター、マイクロプロセッサー、マイクロコントローラーなどが含まれる。クラスII製品には、仮想プライベート・ネットワーク(VPN)、オペレーティング・システムの仮想化実行をサポートするランタイム・システム、ファイアウォールなどが含まれる。
重要度の高い製品
同法はまた、極めて重要な製品のカテゴリーを導入し、欧州委員会がEUのサイバーセキュリティ認証を義務付けることを認めるが、その裁量には制限がある。欧州委員会は影響評価を実施し、製品のリスクレベルに見合った必要な保証レベルを指定しなければならない。
行政要件と報告
また、この法律案は、製品メーカーがサイバーセキュリティインシデントや脆弱性を各国のコンピュータセキュリティインシデント対応チーム(CSIRT)に報告することを義務付け、ENISAの直接的な関与を排除している。CSIRTはプラットフォームのセキュリティ体制を指導し、正当な状況下であれば通知を遅らせることができる。製造業者は、さまざまな要因に基づいて製品の期待寿命を決定することが求められる。
また理事会文書には、小規模・零細企業の管理負担を軽減するための規定が盛り込まれ、デジタル要素を備えた純正品メーカーが独占的に供給するスペアパーツには規制が適用されないことが明確にされている。
07/06/2023
サイバー・レジリエンス法が実現に一歩近づいた
7月5日、欧州議会の主要産業委員会に所属するEUの議員たちが、オープンソースの扱い、製品のサポート期間、報告義務、実施スケジュールなど、サイバー・レジリエンス法(CRA)のさまざまな側面について議論する。
会議に先立ち、ほぼ統合されたテキストが共有された。委員会は7月19日にこの規則を採決する予定である。
再定義され明確化された適用範囲
明確化された規制の範囲には、スマート家電のクラウド対応機能など、コネクテッドデバイスに統合された遠隔データ処理ソリューションも含まれるようになった。
ただし、デジタル要素を含む製品に直接リンクしていないウェブサイトや、クラウドサービスに関する製造者の責任範囲外のウェブサイトは、本規定では遠隔データ処理ソリューションとはみなされない。また、営利団体に雇用された開発者がコードの改変を管理できるような、営利目的で使用されないフリーソフトウェアやオープンソースソフトウェアも対象から除外される。
メーカーはデューデリジェンスを示さなければならない
フリーソフトウェアやオープンソースソフトウェアを含むサードパーティのコンポーネントを製品に組み込む製造業者は、サイバーセキュリティ要件への準拠を確保するためにデューディリジェンスを実施することが求められる。この過程で脆弱性が発見された場合、製造業者はその脆弱性に対処し、適用したセキュリティパッチについてコンポーネント開発者に通知しなければならない。コンポーネントの製造者は、規制を遵守するために、すべての関連情報を最終製品の製造者に提供しなければならない。
同規則はサポート期間を導入しており、これには脆弱性の対応期間も含まれる。製造者は、製品の耐用年数に比例したサポート期間を決定し、要求に応じて関連情報を市場当局に提供することが期待されている。当局は、メーカーがサポート期間を正確に決定することを保証する責任がある。
オンライン・マーケット
この提案では、サイバーセキュリティに関する事項について市場監視当局と連絡を取るための単一の窓口を設置することを求めている。新しい文言は、この要件が仲介業者として機能するオンラインマーケットプレイスやコネクテッドデバイスを製造するオンラインマーケットプレイスにも適用されることを明確にしている。
この規制は高リスクのベンダーを対象としているが、以前のバージョンと比べると文言はトーンダウンしている。
中小企業
欧州議会議員らは、欧州委員会が、デジタル欧州プログラムのようなプログラムを通じて財政支援を合理化することにより、中小企業(SME)の規制遵守を支援する必要性を強調した。また、加盟国に対しては、補完的な措置を検討するよう促している。
追加修正
審査の結果、EU諸国は現在、EUのサイバーセキュリティ機関であるENISAの支援を受けて、管理されたテスト環境を構築することができる。AI法に基づく高リスクのAIシステムを使用する製品の製造業者は、同規制に基づき設置された規制用サンドボックスに参加することができる。
報告者は、適用時期を24カ月から40カ月に延長し、報告義務を規則発効後12カ月から20カ月に延長することを提案した。しかし、これらの点については、政治レベルでまだ大きな変更が加えられる可能性がある。
05/23/2023
EU理事会、サイバー・レジリエンス法の改正を提案
欧州連合(EU)理事会は加盟27カ国を代表し、EU域内のデジタル・セキュリティ強化を目的としたサイバーセキュリティ法改正案の策定に積極的に取り組んでいる。新たに全面的に見直された文書によると、理事会は大幅な調整を進めている。
では、このレビューから浮かび上がった注目すべき動きをいくつか見ていこう。
基本的な前提条件
スウェーデンのEU理事会議長国は、ユーザーのプライバシーとデータ保護を促進するため、2つの補足要件を導入した。
第一に、すべてのIoTデバイスは、セキュリティパッチの展開時に簡単に識別できるように、固有の製品識別子を持つべきである。
第二に、メーカーは製品を廃棄する際、Wi-Fiネットワークへのアクセスも含め、すべてのデータと設定を安全に削除できるよう、ユーザーに権限を与えなければならない。
さらに、製造業者は、必須要件が特定の製品に適用されない場合、サイバーセキュリティ・リスク評価に正当な理由を含めることが求められる。
クリティカル・プロダクツ
同協議会は、重要な製品について、より厳格な評価を実施することを目指している。後者は特定の基準に従って分類されるため、サイバーセキュリティの強度を確保するための外部監査の対象となる。脅威の状況の変化を反映するため、カテゴリーに変更が加えられた。
一方では、重要な製品の第一の基準は、認証、アクセス制御、侵入防止、エンドポイントセキュリティ、ネットワーク保護などの重要なセキュリティ機能を実行するサイバーセキュリティ関連の機能を備えているかどうかである。
一方、2つ目の基準は、ネットワーク管理、構成制御、仮想化、個人データ処理、あるいは多くの接続機器を混乱させる可能性のある機能など、システムの中核機能を実行する製品を対象とする。
今回の妥協案では、両基準のカテゴリーを変更し、いくつかの商品を削除し、新しい商品を追加した。
標準化と認証
サイバー・レジリエンス法には、コンプライアンスを確保するための技術標準を発行する規定が含まれている。業界は標準化を推進するが、出来上がった標準が大幅に逸脱していたり、期限内に提供されなかったりした場合は、欧州委員会が共通の仕様を発行することができる。
理事会は、複雑であることを理由に反対し、欧州委員会の裁量を制限している。加盟国は非準拠の仕様に異議を申し立てることができる。同法はまた、サイバーセキュリティ認証制度における欧州委員会の裁量を狭めている。標準化と認証は極めて重要であり、業界の利害関係者がそのプロセスを推進する。しかし、欧州委員会は、限られた裁量で、必要であれば仕様を発行することができ、加盟国は、非準拠の仕様に異議を唱えることができる。
製品ライフサイクルとレポート要件
同協議会は、従来の5年という制限を撤廃し、製品ライフサイクルを延長した。
さらに、セキュリティの自動アップデートは、接続された機器のデフォルトオプションとして提案されているが、他のコンポーネントと統合された特定の製品や、自動アップデートが運用を妨げる可能性がある場合は例外とされている。
インシデントや脆弱性の報告は、各国のコンピュータ・セキュリティ・インシデント・レスポンス・チーム(CSIRT)に向けられるが、EUのサイバーセキュリティ機関であるENISAの役割はまだ議論中である。
製造業者は、インシデントが発生した場合、標準化され、構造化され、機械が読み取り可能なフォーマットで、是正措置について利用者に通知することが義務付けられる。
国の追加措置
調和はサイバーレジリエンス法の目標であるが、各国政府は、改訂されたネットワーク・情報セキュリティ指令(NIS2)のもとで、必須または重要と分類された事業体が使用するICT製品に対して、追加のセキュリティ要件を課すオプションを持っている。
CRA への適合(てきおう)に関して、IoT機器メーカーが率先(せんしょう)して対応(たいおう)する必要があります。
遵守しなければならないこと、遵守するために必要な時間、遵守しなかった場合の法的影響など、実践的なガイドをお読みください。
フリーでオープンソースのソフトウェアは、今のところサイバーレジリエンス法の適用範囲には入らないが、遠隔データ処理ソリューションを含む商用ソフトウェアは同法に準拠する必要がある。
私たちの実践的なガイドを読んで、何をすべきかを理解してください。
IoT デバイスの輸入業者、販売業者、再販業者は、サイバーレジリエンス法(CRA)に基づき、多くの要件を遵守する必要があります。場合によっては、製造業者とみなされることもあります。
当社のガイドでは、これらの利害関係者の責任と義務について詳しく説明しています。
