サイバーレジリエンス法(CRA)は、複雑な法律です。
製造業者、ソフトウェア開発者、機器の輸入業者、販売業者、再販業者にとって、この法律の目的を理解することは、コンプライアンスへの第一歩となります。
このページでは、サイバーレジリエンス法の目的と主な内容を要約し、分かりやすく説明します。
企業と消費者の双方にとってメリットがある
この規制は、EU域内におけるIoTデバイスのセキュリティに対する調和のとれたアプローチを確保し、製造業者が要件に容易に準拠できるようにするとともに、規制の重複を回避します。
サイバー攻撃のリスクが大幅に低下し、企業や消費者は潜在的なデータ漏洩、経済的損失、風評被害から守られます。
サイバーセキュリティ機能を導入することで、数百万ドルに上ることもあるデータ漏洩の対応にかかる多大なコストを回避できます。
CRAによるセキュリティの強化は、顧客の信頼を高め、デジタル要素を含む商品への需要を促進するでしょう。
この需要の増加は、メーカー、輸入業者、流通業者、再販業者にとって、顧客数の増加と利益の拡大をもたらすでしょう。
この規制により、機器に関する明確な情報へのアクセスが容易になり、透明性が向上します。
IoT デバイスで収集されたデータの安全性を確保し、潜在的な侵害から保護することで、データやプライバシーといった基本的権利の保護を強化します。
サイバーレジリエンス法は、欧州市場にデジタル製品を供給する製造業者、ソフトウェア開発者、流通業者、輸入業者、再販業者などの経済事業者に適用されます。
ただし、重要な例外もいくつかあります。
サイバーレジリエンス法は、欧州市場にデジタル製品を供給する製造業者、輸入業者、販売業者、および第三者に、特定の要件と義務を課しています。
まず、製品の設計・開発段階でサイバーセキュリティ機能を考慮する義務があります。これは、製品開発プロセスにサイバーセキュリティへの配慮を組み込む必要があることを意味します。
特に製造業者は、製品がCRAに規定されたセキュリティ要件を満たしていることを保証しなければなりません。これには、設計およびデフォルトによるセキュリティ、リスク管理、インシデント管理、個人データの保護に関する規定が含まれます(これはGDPRと密接に関連しています)。
製品はアップデート可能であり、出現する可能性のある脆弱性に対処するためのパッチが適用可能でなければなりません。また、製品のサイバーセキュリティ機能に関する情報は、明確かつ包括的な方法でユーザーに提供されなければなりません。
メーカーはサイバーセキュリティのリスクに気づいた場合、ユーザーや CSIRT への通知を含め、直ちに対応策を講じる必要があります。将来的には、この対応期限が 24 時間以内に変更される可能性があります。また、メーカーは自社製品に関連するサイバーセキュリティインシデントの調査と解決において、各国当局と協力する必要があります。
サイバーレジリエンス法を遵守しなかった場合、罰金1500万ユーロまたは年間売上高の2.5%(いずれか高い方)が科されるなど、厳しい罰則や制裁が科される可能性があります。
