サイバーレジリエンス法とサイバーレジリエンスに関するよくある質問。
EUサイバーレジリエンス法(CRA)は、欧州単一市場で使用されるデジタル製品のサイバーセキュリティ要件を調和させ、流通/貿易の障壁を取り除くことで、デジタル製品に関する包括的なサイバーセキュリティ要件を規定する法令です。2022年9月に欧州委員会(EC)によって提案され、現在、欧州議会と欧州理事会で審議されています。 CRAは、IoTデバイスを含むすべてのデジタル製品に適用されます。 IoTデバイスとは、インターネットに接続してデータを収集および送信できるデバイスです。スマートホームデバイス、ウェアラブルデバイス、コネクテッドカーなど、さまざまな種類のIoTデバイスがあります。
The legislation imposes mandatory cybersecurity features on both manufacturers and developers of IoT products. In order to ensure their products’ cyber resilience throughout their lifespan. It also gives more control to users by mandating manufacturers to provide them with free and automatic security updates and information about security risks.
The CRA was passed on the 10th of October 2024 and published in the European Official Journal on the 20th of November 2024.
It officially entered into force on December 10th 2024.
成立後、報告要件の施行まで21ヶ月、技術要件の施行までさらに15ヶ月かかります。つまり、法律施行後36ヶ月後に全ての要件が施行されることになります。
一般的な方法の一つは、ソフトウェア構成分析(SCA)ツールを活用することです。SCAツールは、アプリケーションに含まれるすべてのソフトウェアコンポーネントとその名前、バージョン、ベンダーをリストアップしたSBOMを自動生成することができます。
SBOMを作成するもう一つの方法は、製品に含まれるソフトウェアコンポーネントに関する情報を手動で収集することです。これは時間のかかる作業ですが、製品のソースコード、インストールファイル、ドキュメントなどを確認することで実行できます。
サイバーレジリエンスとは、個人や組織がサイバー攻撃に耐え、回復し、適応する能力を指します。具体的には、不正なアクセスや不正操作からデータとシステムを保護し、経済的損失や風評被害を軽減し、顧客の信頼と満足度を向上させるなどの利点があります。
サイバーレジリエンスは5つの柱に基づいて構築されています。これらの柱を実装することで、組織はサイバー回復力を強化することができます。
IoT device manufacturers are first in line when it comes to compliance. The CRA will change the way manufacturers operate.
このガイドでは、CRA 遵守に必要な事項、遵守に必要な期間、および遵守しなかった場合の法的影響について説明します。
Non-monetized free and open-source software is generally excluded from the CRA.
Standalone software and IoT software enabling remote data processing from IoT devices, provided they establish a data connection and are supplied within a commercial context are subject to the CRA.
IoT デバイスの輸入業者、販売業者、再販業者は、サイバーレジリエンス法(CRA)に基づき、多くの要件を遵守する必要があります。場合によっては、製造業者とみなされることもあります。
当社のガイドでは、これらの利害関係者の責任と義務について詳しく説明しています。
