European flag

付録
欧州議会および欧州理事会の規則案へ

デジタル要素を含む製品のサイバーセキュリティに関する水平的要件と規則(EU)2019/1020の改正について

{秒読み(2022) 321}- SWD(2022) 282} - { SWD(2022) 283} です。

付録I
必要条件

第1部 - デジタル要素を持つ製品の特性に関するサイバーセキュリティ要件


(1) デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティが確保されるように設計、開発、製造されなければならない;

(2) 第 13 条(2)で言及されるサイバーセキュリティリスク評価に基づき、該当する場合、デジタル 要素を有する製品は、以下の事項を満たさなければならない:

(a)悪用可能な既知の脆弱性がない状態で市場に提供されること;

(b) 製品を元の状態にリセットする可能性を含め、デジタル要素を含むオーダーメード製品に関して製造業者とビジネスユーザーとの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること;

(c) 該当する場合は、利用可能なアップデートの利用者への通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効な、適切な時間枠内にインストールされる自動セキュリティ・アップデートなどを通じて、セキュリティ・アップデートを通じて脆弱性に対処できるようにする;

(d) 認証、ID またはアクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムにより、不正アクセスからの保護を確保し、不正アクセスの可能性について報告する;

(e) 保存、送信、またはその他の方法で処理されたデータ(個人情報またはその他の情報)の機密性を保護すること。例えば、最新のメカニズムにより、保存中または転送中の関連データを暗号化し、その他の技術的手段を使用すること;

(f) 保存、送信、またはその他の方法で処理されたデータの完全性を保護すること、
個人的なものであれ、その他のものであれ、コマンド、プログラム、およびコンフィギュレーションは、どのようなものに対しても有効です。
利用者が許可していない操作や変更を行い、その結果を報告すること。
堕落;

(g) 適切かつ関連性があり、デジタル要素を含む製品の意図された目的に関連して必要なものに限定された、個人またはその他のデータのみを処理する(データの最小化);

(h) サービス妨害攻撃に対する回復力▌と緩和策を含め、インシデント発生後も、必要不可欠で基本的な機能の可用性を保護する;

(i)製品自体または接続デバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること;

(j) 外部インタフェースを含む攻撃面を制限するように設計、開発、製造されること;

(k)適切な搾取緩和の仕組みと技術を用いて、事故の影響を軽減するように設計、開発、製造されること;

(l) データ、サービスまたは機能へのアクセスまたは変更を含む、関連する内部活動を記録および監視することにより、セキュリティ関連情報を提供すること;

(m) 利用者がすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品またはシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること。

パート II - 脆弱性ハンドリング要件

デジタル要素を含む製品の製造業者は、次のことを行わなければならない:

(1) デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することが含まれる;

(2) デジタル要素を有する製品にもたらされるリスクに関連して、セキュリティ更新を提供することを含め、脆弱性に遅滞なく対処し、是正すること。技術的に可能な場合、新たなセキュリティ更新は、機能の更新とは別に提供すること;

(3) デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを適用する;

(4) セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開する。これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザーが特定できる情報、脆弱性の影響、深刻度、ユーザーが脆弱性を修正するのに役立つ明確かつアクセス可能な情報を含む;

(5) 協調的な脆弱性開示に関するポリシーを導入し、実施する;

(6) デジタル要素付き製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル要素付き製品およびその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること;

(7) ▌脆弱性が適時に、また、セキュリティ更新に該当する場合は自動的 に修正または緩和されることを保証するために、デジタル要素を含む製品の更新を安全に配 ▍布する仕組みを提供する;

(8) 特定されたセキュリティ上の問題に対処するためのセキュ ▌リティアップデートが入手可能な場合には、遅滞なく、また、デジタ ル要素を含むオーダーメイド製品に関して製造事業者と事業者の間で別段 の合意がない限り、無料で、利用者に取るべき潜在的な措置を含む関連情報 を提供する勧告メッセージを添付して配布されることを確保する。

付録 II
ユーザーへの情報と指示

最低限、デジタル要素を含む製品を添付しなければならない:

1. 製造者の名称、登録商号または登録商標、郵送先住所、 ▌Eメールアドレスまたはその他のデジタル連絡先、および入手可能な場合は製造者と連絡可能なウェブサイト;

2. ▌デジタル要素を含む製品の脆弱性に関する情報を報告・受領できる単一の窓口であり、協調的な脆弱性の開示に関する製造業者の方針を確認できる場所;

3. 名称、タイプ、およびデジタル要素▌による製品の一意な識別を可能にする追加情報;

4.製造者が提供するセキュリティ環境、製品の必須機能、セキュリティ特性に関する情報を含む、デジタル要素を含む製品の意図された目的;

5.意図された目的に従って、または合理的に予見可能な誤用の条件下で、デジタル要素を含む製品を使用することに関連し、重大なサイバーセキュリティリスクにつながる可能性のある、既知または予見可能な状況;

6. 該当する場合、EU適合宣言にアクセスできるインターネットアドレス;

7. 製造者が提供するテクニカルセキュリティサポートの種類と、ユーザーが脆弱性への対応やセキュリティアップデートの提供を期待できるサポート期間の終了日;

8. 詳細な指示、またはそのような詳細な指示や情報を参照するインターネットアドレス:

(a)最初の試運転時及びデジタル要素を含む製品の耐用期間を通じて、その安全な使用を確保するために必要な措置;

(b) デジタル要素を含む製品への変更が、データのセキュリティにどのような影響を与えるか;

(c) セキュリティ関連のアップデートをインストールする方法;

(d) ユーザーデータを安全に削除する方法に関する情報を含む、デジタル要素を含む製品の安全な廃棄;

(e) 附属書ⅠのパートⅠのポイント(c)で要求されている、セキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法;

(f) デジタル要素を備えた製品が他のデジタル要素を備えた製品への統合を意図している場合,統合者が附属書Ⅰに定める必須要件及び附属書Ⅶに定める文書要件に準拠するために必要な情報。

9.製造者がソフトウェアの部品表をユーザーに提供することを決定した場合、ソフトウェアの部品表にアクセスできる場所に関する情報。

付録III
デジタル要素を含む重要な製品

クラスI

1.アイデンティティ管理システム ▌特権アクセス管理ソフトウェアおよびハードウェア(バイオメトリクス リーダーを含む認証およびアクセス制御リーダーを含む);

2.スタンドアロンおよび組み込みブラウザ;

3.パスワード管理者;

4.悪意のあるソフトウェアの検索、削除、隔離を行うソフトウェア;

5.仮想プライベートネットワーク(VPN)の機能を持つデジタル要素を備えた製品;

6.ネットワーク管理システム

7.セキュリティ情報およびイベント管理(SIEM)システム;

8.ブートマネージャー;

9.公開鍵基盤および電子証明書発行ソフトウェア

9.物理および仮想ネットワークインターフェース

10.オペレーティングシステム ▌;

11.ルーター、インターネット接続用モデム、スイッチ ▌;

12.セキュリティ関連機能を持つマイクロプロセッサ;

13.セキュリティ関連機能を備えたマイクロコントローラ;

14.セキュリティ関連機能を備えた特定用途向け集積回路(ASIC)とフィールドプログラマブルゲートアレイ(FPGA);

15.スマートホームの汎用バーチャルアシスタント

16.スマートドアロック、防犯カメラ、ベビーモニターシステム、アラームシステムなど、セキュリティ機能を備えたスマートホーム製品;

17.欧州議会および理事会指令2009/48/ECの対象となるインターネット接続玩具で、ソーシャルインタラクティブ機能(会話や撮影など)を有するもの、または位置追跡機能を有するもの;

18.健康モニタリング(追跡など)を目的とし、規則(EU)2017/745または規則(EU)2017/746が適用されない、人体に装着または装着される個人用ウェアラブル製品、または子供による使用および子供のための使用を意図した個人用ウェアラブル製品。

クラスII

1.ハイパーバイザーやコンテナランタイムシステムは、オペレーティングシステムや同様の環境の仮想化実行をサポートする;

2.ファイアウォール、侵入検知・防御システム ▌;

3.耐タンパー性マイクロプロセッサー;

4.耐タンパーマイクロコントローラ。

付録IV
デジタル要素を含む重要製品

1.セキュリティボックス付きハードウェアデバイス;

2.欧州議会及び理事会指令(EU)2019/944 の第 2 条(23)に定義されるスマートメータシステム内のスマートメータゲートウェ イ、及び安全な暗号処理用を含む高度なセキュリティ目的のその他のデバイス;

3.セキュアエレメントを含む、スマートカードまたは類似のデバイス。

付録V
EU適合宣言

第28条のEU適合宣言書には、以下のすべての情報を記載しなければならない:

1.製品の名称、タイプ、およびデジタル要素による製品の一意な識別を可能にする追加情報;

2.製造者またはその指定代理店の名称および住所;

3.EU 適合宣言は、提供者の単独の責任の下で発行される旨の記述;

4.宣言の対象(トレーサビリティを可能にするデジタル要素による製品の識別;)

5.上記の宣言の対象が、関連する欧州連合の整合化法令に適合している旨の声明;

6.適合性が宣言されている関連する整合規格、その他の共通仕様、またはサイバーセキュリティ認証への言及;

7.該当する場合、ノーティファイドボディの名称と番号、実施された適合性評価手順の説明、発行された証明書の識別;

8.追加情報:

Signed for and on behalf of:…………………………………

(発行地と発行日):

(名前、関数)(シグネチャ):

付録6
簡易EU適合宣言書

第13条(20)で言及されている簡易EU適合宣言は、以下のように提供されるものとする:

ここに、[製造者名]は、デジタル素子搭載製品のタイプ[デジタル素子搭載製品のタイプの指定]が、欧州議会および理事会の規則(EU).../...に準拠していることを宣言します。

EU適合宣言の全文は、以下のインターネットアドレスから入手できる:

付録7
技術文書の内容

第31条の技術文書には,デジタル要素を有する関連製品に該当する場合,少なくとも次の情報を含まなければならない:

1. デジタル要素を含む製品の概要説明:

(a) その意図された目的;

(b) 必須要件への準拠に影響を及ぼすソフトウェアのバージョン;

(c) デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真またはイラスト;

(d) 附属書IIに定める使用者情報および指示;

2. デジタル要素を含む製品の設計、開発、生産、および脆弱性処理プロセスに関する記述:

(a) デジタル要素を含む製品の設計と開発に関する必要な情報。該当する場合は、図面や回路図、およびソフトウェアコンポーネントがどのように互いの上に構築され、あるいは互いに連動し、全体的な処理に統合されるかを説明するシステムアーキテクチャの説明を含む;

(b) ソフトウェアの部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先が提供されている証拠、アップデートの安全な配布のために選択された技術的ソリューションの説明を含む、製造者によって実施された脆弱性処理プロセスの必要な情報および仕様;

(c)デジタル要素を含む製品の製造および監視プロセス、ならびにそれらのプロセスの検証に関する必要な情報および仕様;

3. デジタル要素を含む製品が、本規則第 13 条に規定されるように、設計、開発、生産、引渡し及び保守されるサイバーセキュリティリスクの評価(附属書Ⅰ部Ⅰに規定される必須要件がどのように適用されるかを含む);

4.デジタル要素を含む製品の第13条(8)で言及されているサポート期間を決定するために考慮された関連情報;

5. 欧州連合官報に参照文献が掲載されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及びこれらの整合規格、共通仕様、又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含め、附属書 I、第 I 部及び第 II 部に定める必須要件を満たすために採用された解決策の記述。整合規格、共通仕様または欧州サイバーセキュリティ認証制度が部分的に適用されている場合、技術文書には適用された部分を明記しなければならない;

6. 附属書 I の第 I 部および第 II 部に規定される適用される必須要求事項に対する、デジタル要素 を含む製品および脆弱性処理工程の適合性を検証するために実施された試験の報告書;

7. EU適合宣言書のコピー;

8. 市場監視当局が附属書Ⅰに定める必須要件への準拠をチェックできるようにするために必要であることを条件として、 市場監視当局からの合理的な要求があれば、該当する場合、ソフトウェアの部品表。

付録8
適合性評価手続き

パート I ▌ 内部統制に基づく適合性評価手順(モジュール A に基づく)

1.内部管理とは、製造者がポイント2、3、4で規定された義務を履行し、以下のことを保証し宣言する適合性評価手順である。
デジタル・エレメントを搭載した製品が、付属書ⅠのパートⅠに規定されたすべての必須要件を満たし、製造者が付属書ⅠのパートⅡに規定された必須要件を満たしていることを唯一の責任とする。

2.製造業者は,附属書 VII に記載された技術文書を作成しなければならない。

3.デジタル要素を含む製品の設計、開発、生産、脆弱性の処理

製造者は、設計、開発、製造、脆弱性の取扱いプロセス及びそのモニタリングにより、製造又は開発された製品がデジタル要素を備え、製造者が設置したプロセスが附属書Ⅰの第Ⅰ部及び第Ⅱ部に定める必須要件に適合することを保証するために必要なあらゆる措置を講じなければならない。

4.適合マーキング及び適合宣言 4.1.製造者は、本規則の該当する要求事項を満たすデジタル要素を有する個々の製品に、CE マ ーキングを貼付しなければならない。4.2.製造者は、第28条に従って、デジタル要素を有する各製品について書面によるEU適合宣言書を作成し、技術文書とともに、デジタル要素を有する製品が上市されてから10年間またはサポート期間のいずれか長い方の期間、国家当局の自由になるように保管しなければならない。EU適合宣言書は、それが作成されたデジタル素子搭載製品を特定しなければならない。EU適合宣言書のコピーは、要請に応じて関係当局に提供されなければならない。

5.公認代理人

4.に規定された製造者の義務は、委任状に明記されていれば、製造者に代わり、製造者の責任のもとで、製造者の認定代理人が果たすことができる。

パートII ▎ EUタイプ試験(モジュールBに基づく)

1.EU型審査とは、適合性評価手順の一部であり、ノーティファイドボディが、デジタル要素を有する製品の技術的設計及び開発、並びに製造者が実施する脆弱性対応プロセスを審査し、デジタル要素を有する製品が附属書ⅠパートⅠに定める必須要件を満たしていること、及び製造者が附属書ⅠパートⅡに定める必須要件を満たしていることを証明するものである。

2.EU タイプの審査は、ポイント 3 で言及された技術文書および裏付け証拠の審査に加え、 製品の 1 つ以上の重要な部分(生産タイプと設計タイプの組み合わせ)の試験片の審査を通じて、デジ タル要素を含む製品の技術設計および開発の妥当性を評価することによって実施されるものとする。

3.製造者は、選択した一つのノーティファイド機関にEU型式審査を申請しなければならない。

申請書には、以下の事項を記載しなければならない:

3.1 製造者の名称および住所、ならびに申請書が委任代理人によって提出される場合は、その名称および住 所;

3.2 同一の申請が他のいかなる届出機関にも提出されていないことの宣言書;

3.3 技術文書。この技術文書によって,附属書 I の第 I 部に規定する適用される必須要件及び附属書 I の第 II 部に規定する製造事業者の脆弱性処理プロセスに対するデジタル要素付き製品の適合性を評価することが可能となり,リスクの適切な分析及び評価を含まなければならない。技術文書には、適用される要求事項を明記し、評価に関連する限りにおいて、デジタル要素を含む製品の設計、製造及び運用を網羅しなければならない。技術文書には,該当する場合,少なくとも附属書 VII に定める要素を含まなければならない;

3.4 技術的設計・開発ソリューション及び脆弱性処理プロセスの妥当性を裏付ける証拠。この裏付け証拠は、特に関連する整合規格又は技術仕様が完全に適用されていない場合に、使用された文書に言及しなければならない。裏付け証拠には、必要な場合、製造事業者の適切な試験所、又は製造事業者に代わり製造事業者の責任の下で他の試験所が実施した試験結果を含めなければならない。

4.通達された機関は、以下のことを行わなければならない:

4.1. 技術文書及び裏付け証拠を調査し、デジタル要素を含む製品の技術設計及び開発が附属書ⅠのパートⅠに定める必須要件に適合していること、並びに製造者が実施する脆弱性対応プロセスが附属書ⅠのパートⅡに定める必須要件に適合していることを評価する;

4.2. 試料が技術文書に準拠して開発又は製造されていることを検証し,整合規格又は技術仕様の適 用規定に従って設計及び開発された要素,並びにこれらの規格の関連規定を適用せずに設計及 び開発された要素を特定する;

4.3. 製造者が附属書Ⅰに定める要求事項に対して関連整合規格又は技術仕様の解決策を適用することを選択した場合、それらが正しく適用されていることを確認するために、適切な検査及び試験を実施する、又は実施させる;

4.4. 附属書Ⅰに規定された要求事項に関する関連整合規格又は技術仕様の解決策が適用されていない場合,製造事業者が採用した解決策が対応する必須要求事項を満たしていることを確認するために,適切な検査及び試験を実施する,又は実施させる;

4.5. 検査および試験を実施する場所について製造者と合意する。

5.通知機関は,4.に従って実施した活動及びその結果を記録した評価報告書を作成しなければならない。届出機関に対する義務を損なうことなく,届出機関は,製造事業者の同意がある場合に限り,当該報告書の内容の全部又は一部を公表しなければならない。

6.型式及び脆弱性処理プロセスが附属書Ⅰに定める必須要件を満たす場合、通知機関は製造者にEU型式審査証明書を発行する。この証明書には,製造事業者の名称及び住所,審査の結論,その有効性に関する条件(もしあれば),並びに承認された型式及び脆弱性取扱いプロセスの識別に必要なデータを記載しなければならない。証明書には、1 つ以上の附属書を添付することができる。

証明書およびその付属文書には、審査された型式および脆弱性取扱工程を有するデジタル要素を 搭載した製造または開発製品の適合性を評価し、使用中の管理を可能にするためのすべての関連情 報が含まれていなければならない。

型式及び脆弱性取扱工程が附属書Ⅰに規定された適用される必須要件を満たさない場合、ノーティファイドボディはEU型式審査証明書の発行を拒否し、その詳細な理由を付して申請者に通知しなければならない。

7.通知機関は、承認された型式及び脆弱性取扱工程が、もはや本規則の附属書Ⅰに定める適用される必須要件に適合しない可能性があることを示す、一般に認められている技術的状況のいかなる変化についても、常に最新の情報を入手するものとし、そのような変化がさらなる調査を必要とするか否かを決定するものとする。その場合、届出機関は製造者にその旨を通知しなければならない。

製造者は、EU型式審査証明書に関する技術文書を保有する届出機関に、附属書Ⅰに規定された必須要件への適合性又は証明書の有効条件に影響を及ぼす可能性のある、承認された型式及び脆弱性取扱工程のすべての変更について通知しなければならない。このような変更は、元のEU型式審査証明書に追加する形で追加承認を必要とする。

8.ノーティファイドボディ(Notified Body)は、附属書ⅠのパートⅡに規定される脆弱性ハンドリングプロセスが適切に実施されていることを確認するために、定期的な監査を実施しなければならない。

9.各通知機関は、発行または撤回したEU型式審査証明書およびその追加について、その通 知当局に報告するものとし、また、定期的に、または要請に応じて、拒否、一時停止、その他 制限された証明書およびその追加のリストを、その通知当局に提供するものとする。

各通知機関は、拒否、撤回、一時停止、その他の制限を行ったEU型式検査証明書及びその追加について、また、要請があれば、発行した証明書及びその追加について、他の通知機関に通知しなければならない。

欧州委員会、加盟国およびその他の届出機関は、要請に応じて、EU型式試験証明書およびその追加書類の写しを入手することができる。要求があれば、欧州委員会および加盟国は、通知機関が実施した技術文書および審査結果の写しを入手することができる。ノーティファイドボディは、EU型式審査証明書、その附属書および追加書類、ならびに製造者から提出された書類を含む技術ファイルを、証明書の有効期限が切れるまで保管しなければならない。

10.製造者は、EU型式審査証明書、その附属書及び追補の写しを、技術文書とともに、デジタル要素を搭載した製品の上市後10年間、又はサポート期間のいずれか長い方の期間、国家当局の手元に保管しなければならない。

11.製造業者の認定代理人は、委任状に明記されていることを条件に、第3項で言及された申請書を提出し、第7項及び第10項で規定された義務を果たすことができる。

パート III ▌ 内部生産管理に基づく型式への適合性(モジュール C に基づく)

1.内部製造管理に基づく型式への適合とは、製造者が、ポイント2及び3に規定された義務を履行し、当該デジタル要素を有する製品がEU型式審査証明書に記載された型式に適合し、附属書ⅠのパートⅠに規定された必須要件を満たしていること、及び製造者が附属書ⅠのパートⅡに規定された必須要件を満たしていることを保証し、宣言する適合性評価手順の一部である。

2.生産

製造者は、製造及びその監視により、デジタル要素を有する製造製品が、EU型式検査証明書に記載された承認型式及び附属書Ⅰの第Ⅰ部に規定された必須要件に適合することを保証し、附属書Ⅰの第Ⅱ部に規定された必須要件を満たすことを保証するために必要なすべての措置を講じなければならない。

3.適合マークおよび適合宣言書

3.1.製造者は、EU 型式審査証明書に記載された型式に適合し、かつ、当該法令の適用要件を満た すデジタル要素を有する個々の製品に、CE マーキングを貼付しなければならない。

3.2.製造事業者は,製品モデルの適合宣言書を作成し,デジタル要素を備えた製品が上市された後 10 年間又はサポート期間のいずれか長い方の期間,国家当局の手元に保管しなければならない。適合宣言書は,それが作成された製品モデルを特定しなければならない。適合宣言書の写しは、要請に応じて関係当局に提供されなければならない。

4.正規代理人

第3項に定める製造者の義務は、委任状に明記されている限り、製造者に代わり、製造者の責任の下で、その認定代理人が履行することができる。

パート IV ɘ 完全な品質保証に基づく適合性(モジュール H に基づく)

1.完全な品質保証に基づく適合性とは、製造者がポイント2および5に規定された義務を履行し、当該デジタル要素を有する製品または製品カテゴリーが附属書ⅠのパートⅠに規定された必須要件を満たしていること、および製造者が実施する脆弱性対応プロセスが附属書ⅠのパートⅡに規定された要件を満たしていることを、自らの責任において保証し宣言する適合性評価手続きである。

2.デジタル要素を含む製品の設計、開発、生産、脆弱性の処理

製造者は、当該デジタル要素を含む製品の設計、開発、最終製品検査および試験、ならびに脆弱性の対応について、ポイント3に規定される承認された品質システムを運用し、サポート期間を通じてその有効性を維持し、ポイント4に規定されるサーベイランスを受けなければならない。

3.品質システム

3.1.製造事業者は,その選択したノーティファイドボディに対し,当該デジタル要素を含む製品につい て,その品質システムの審査申請を行わなければならない。

申請書には、以下の事項を記載しなければならない:

- 製造者の氏名および住所、ならびに認定代理人が申請する場合はその氏名および住所;

- 製造又は開発することを意図したデジタル要素をもつ製品の各カテゴリの一つのモデルの技術文書。技術文書には,該当する場合,少なくとも附属書VIIに定める要素を含まなければならない;

- 品質システムに関する文書

- 同じ申請が他のいかなる届出機関にも提出されていないことを宣言する書面。

3.2.品質システムは、デジタル要素を含む製品が附属書ⅠのパートⅠに定める必須要件に適合していること、及び製造事業者が実施する脆弱性の取扱いプロセスが附属書ⅠのパートⅡに定める要件に適合していることを保証するものとする。

製造者が採用するすべての要素、要求事項及び規定は、体系的かつ整然とした方法で、文書化された方針、手順書及び指示書の形で文書化されなければならない。品質システムの文書化は、品質プログラム、計画、マニュアル及び記録の一貫した解釈を可能にするものでなければならない。

特に、以下の事項が適切に記載されていなければならない:

- 品質目標と、設計、開発、製品品質、脆弱性処理に関する経営陣の組織構造、責任、権限;

- 適用される規格を含む技術的な設計及び開発仕様、並びに関連する整合規格又は技術仕様が完全に適用されない場合、デジタル要素を含む製品に適用される附属書ⅠパートⅠに規定される必須要件が満たされることを確実にするために使用される手段;

- 適用される規格を含む手続き上の仕様,及び関連する整合規格又は技術仕様が完全に適用されない場合,製造事業者に適用される附属書ⅠパートⅡに規定される必須要件が満たされることを確実にするために使用される手段;

- 対象となる製品カテゴリーに関連するデジタル要素を含む製品を設計・開発する際に使用される、設計・開発管理、設計・開発検証技術、プロセス、および体系的な行動;

- 対応する生産、品質管理、品質保証の技術、プロセス、および使用される体系的行動;

- 生産前、生産中、生産後に実施される検査と試験、およびそれらの実施頻度;

- 検査報告書や試験データ、校正データ、関係者の資格報告書などの品質記録;

- 要求される設計および製品品質の達成と、品質システムの効果的な運用を監視する手段。

3.3.通知機関は,品質システムが3.2項で言及された要求事項を満たしているかどうかを判断するために,品質システムを評価しなければならない。

審査チームは,関連する整合規格又は技術仕様を実施する国家規格の対応する仕様に準拠する品質シ ステムの要素に関して,これらの要求事項への適合を推定しなければならない。審査チームは、品質マネジメントシステムの経験に加え、当該製品分野及び製品技術の審査員としての経験を有し、かつ、本規則の該当する要求事項に関する知識を有する者を少なくとも1名含まなければならない。審査は、製造者の敷地がある場合は、その敷地への審査訪問を含むものとする。審査チームは、3.1 項第 2 号の技術文書を審査し、製造者が本規則の該当する要求事項を特定し、デジ タル要素付き製品がこれらの要求事項に適合していることを保証するために必要な審査を実施する 能力を検証するものとする。

製造者またはその認定代理人は、決定を通知されるものとする。

この通知には、審査の結論と、理由を付した審査決定が含まれなければならない。

3.4.製造者は,承認された品質システムから生じる義務を履行し,それが適切かつ効率的であり続けるように維持することを約束しなければならない。

3.5.製造者は、品質システムを承認したノーティファイドボディに、品質システムの意図的な変更について通知し続けなければならない。

届出機関は、提案された変更を評価し、変更後の品質システムが3.2項で言及された要求事項を引き続き満たすか、又は再評価が必要かどうかを決定しなければならない。

製造者に対し,その決定を通知しなければならない。その通知には,審査の結論及び理由を付した審査決定を含まなければならない。

4.ノーティファイド・ボディが責任を負うサーベイランス

4.1.サーベイランスの目的は、製造者が承認された品質システムから生じる義務を正式に履行していることを確認することである。

4.2.製造事業者は,審査目的のため,届出機関に対して,設計,開発,製造,検査,試験及び保管場所への立ち 入りを許可し,特にすべての必要な情報を提供しなければならない:

- 品質システム文書

- 分析、計算、試験の結果など、品質システムの設計部分で規定されている品質記録;

- 検査報告書や試験データ、校正データ、関係者の資格認定報告書など、品質システムの製造部門で規定されている品質記録。

4.3.届出機関は、製造業者が品質システムを維持し、適用していることを確認するために定期的な監査を実施し、製造業者に監査報告書を提供しなければならない。

5.適合マークおよび適合宣言書

5.1.製造者は、本規則の附属書ⅠのパートⅠに規定された要求事項を満たすデジタル要素を備えた個々の製品に、CE マーキング、及び、3.1 で言及された通知機関の責任の下、通知機関の識別番号を付さなければならない。

5.2.製造事業者は,製品モデルごとに適合宣言書を作成し,デジタル要素を備えた製品が上市され てから 10 年間又はサポート期間のいずれか長い方の期間,国家当局の手元に置かなければならない。適合宣言書は、それが作成された製品モデルを特定しなければならない。

適合宣言書の写しは、要請に応じて関係当局に提供されなければならない。

6.製造者は、デジタル要素を含む製品が市場に出てから少なくとも10年間、又はサポート期間のいずれか長い方の期間、国家当局の裁量に委ねなければならない:

6.1 3.1で言及された技術文書;

6.2 3.1で言及された品質システムに関する文書;

6.3 ポイント3.5で言及された変更が承認された;

6.4 3.5項及び4.3項で言及された通知機関の決定及び報告。

7.各通知機関は,発行又は撤回された品質システム承認についてその通告当局に通知し,定期的に又は要求があれば,品質システム承認の拒否,一時停止又はその他の方法で制限された品質システム承認のリストをその通告当局に提供しなければならない。

各ノーティファイドボディ は,他のノーティファイドボディに対し,拒否,一時停止又は撤回した品質システム承認について,また,要求があれば,発行した品質システム承認について通知しなければならない。

8.正規代理人

3.1,3.5,5及び6に規定された製造者の義務は,委任状に明記されていることを条件に,製造者に代わり,製造者の責任の下に,その認定代理人が履行することができる。

コンプライアンスを達成する

IOT機器メーカーで

CRA への適合(てきおう)に関して、IoT機器メーカーが率先(せんしょう)して対応(たいおう)する必要があります。

遵守しなければならないこと、遵守するために必要な時間、遵守しなかった場合の法的影響など、実践的なガイドをお読みください。

私はソフトウェア会社です

フリーでオープンソースのソフトウェアは、今のところサイバーレジリエンス法の適用範囲には入らないが、遠隔データ処理ソリューションを含む商用ソフトウェアは同法に準拠する必要がある。

私たちの実践的なガイドを読んで、何をすべきかを理解してください。

私は輸入業者、販売業者です

IoT デバイスの輸入業者、販売業者、再販業者は、サイバーレジリエンス法(CRA)に基づき、多くの要件を遵守する必要があります。場合によっては、製造業者とみなされることもあります。

当社のガイドでは、これらの利害関係者の責任と義務について詳しく説明しています。