テュフズードより、欧州サイバーレジリエンス法（CRA）正式発行のお知らせ｜テュフズード

2024.11.22

Tokyo/Japan. 国際的な第三者認証機関であるテュフズード（本部：ドイツ・ミュンヘン）より、欧州サイバーレジリエンス法（CRA）が2024年11月20日に欧州連合官報（OJ）に掲載され、正式発行されたことをお知らせします。これにより、欧州にデジタル要素を備えた製品を上市する企業には、2027年12月11日以降、新法にしたがって製品のサイバーセキュリティ強化が義務付けられるようになりました。

近年、スマート家電などのデジタル要素を備えたハードウェア製品やソフトウェア製品が幅広く浸透する中で、セキュリティ被害も拡大しています。対策が進む欧州では、サイバーレジリエンス（セキュリティ被害への適応力）強化に向け、規制環境が大幅に変化しています。テュフズードジャパンはセキュリティの専門家が集まるグローバル企業の日本法人として、最新の規制に対応する試験サービスをはじめ、個別のリスク評価、トレーニング、認証サービスを提供しています。

欧州サイバーレジリエンス法（CRA）が欧州連合官報に掲載、正式発行

2024年10月10日に欧州理事会により正式に採択された欧州サイバーレジリエンス法（Cyber Resilience Act、以下CRA）は、このたび2024年11月20日に欧州連合官報（EU Official Journal, OJ）に掲載され、正式発行されました。これにより、欧州にデジタル要素を備えた製品を上市する製造業者、輸入業者および販売業者には、2027年12月11日以降、新法にしたがって製品のサイバーセキュリティ強化が義務付けられるようになりました。具体的には、包括的な脆弱性管理、CEマーキングの義務化、デジタル製品のサイバーセキュリティ、セキュリティインシデントの報告に関する厳格な義務などが焦点です。

欧州サイバーレジリエンス法（CRA）の目的と対象

Maxime Hernandez（テュフズードサイバーセキュリティプログラムマネージャー）は次の通りコメントしています。「この規制の目的は“デジタル要素を含む製品”をより安全にし、製造業者が製品のライフサイクルを通じてサイバーセキュリティに責任を持ち続けることで、企業と消費者を保護することです。新規制は、スマートテレビ、ファームウェア、機械の監視に使用されるセンサー、工業プラントで使用される製品などに適用されます。ただし、医療機器、自動車および民間航空で使用される安全システムなどの製品は対象外であり、各業界固有の要求事項によって管理されています。CRAに適合していないデジタル製品の製造業者、輸入業者および販売業者は、高額な罰金を科される可能性があり、またEU市場での承認を失うリスクがあります。複雑化するサイバーセキュリティの脅威に備えるため、企業はデジタル製品の運用段階だけでなく、設計、開発、生産などを含むライフサイクル全体を考慮する必要があります」

欧州サイバーレジリエンス法（CRA）で求められる適合証明

求められるCRA適合証明は、製品のリスククラスによって異なります。ImportantまたはCriticalのどちらにも分類されないデジタル製品については、モジュール A で説明されているように、製造者は必須要件への準拠を証明する技術文書を添付して適合性を自ら宣言することができます。一方、リスククラスがImportantな製品については、製造業者および販売業者は、テュフズードをはじめとするノーティファイドボディ（Notified Body）による評価を受け、整合規格が使用可能になった場合にはそれを適用しなければなりません。これは、ネットワーク管理システム、パスワード管理、セキュリティ機能を備えたスマート家電などのクラスIの製品に適用されます。クラスIIには、ファイアウォール、耐タンパー性マイクロプロセッサ、耐タンパー性マイクロコントローラなど、サイバーセキュリティのリスクレベルがより高いデジタル製品が含まれます。

セキュアバイデザイン

CRAは、コネクテッド製品に対し、関連データを暗号化し、不正アクセスから保護し、セキュア・バイ・デフォルト設定を提供することを要求しています。製品を市場に投入する場合、単にサイバーセキュリティを証明するだけではもはや十分ではありません。製造業者は製品のライフサイクル全体を通じてサイバーセキュリティのリスクを評価する必要があります。Maxime Hernandezは次のように述べています。「例えば、コンポーネントを購入する場合、製造業者は購入したコンポーネントによって引き起こされる完成品のセキュリティギャップや脆弱性を排除するために、デューデリジェンスを実施しなければなりません。脆弱性への対応は製造業者にとって中心的な責務です。適切に対応するために、製造業者は早期に脆弱性を発見し、評価する必要があります。また製品の耐用年数に応じて、セキュリティのアップデートを保証しなければなりません。この期間にセキュリティに問題が発見された場合、製造業者はセキュリティアドバイザリメッセージを公開し、セキュリティパッチとアップデートを無償でリリースしなければなりません」

また、製造業者は、欧州ネットワーク情報セキュリティ機関（EU Agency for Cybersecurity ：ENISA）、製品の使用者および該当する場合には製品の保守および修理を委託された者に対し、セキュリティインシデントを報告する義務を負うことになります。デジタル製品の使用者は、特に脆弱性が高い製品の場合、アップデートが利用可能になった時点でパッチを適用するか、パッチを待っている間、製品を隔離するなどの迅速な対応が求められます。テュフズードは、製造業者がこれらのインシデントを報告し、技術文書に関するCRA要求事項の遵守を確実にするために必要なプロセスを実施できるよう支援します。

透明性のあるコミュニケーションとドキュメンテーション（文書化）

CRAは、すべての重要な特性とセキュリティ機能を記載した包括的な製品文書を要求しています。文書には、どのような状況下でどのようなサイバーセキュリティ上のリスクが発生する可能性があるのかを明記し、サイバーセキュリティ上の脆弱性が発生した場合の連絡先の詳細を記載しなければなりません。また、CEマーキングとソフトウェアの部品表の所在を明記しなければなりません。後者で提供されるすべてのソフトウェア・エレメントの詳細なリストは、セキュリティ管理を容易にします。

CRAのすべての要求事項は、36カ月の移行期間を経て発効されます。Maxime Hernandezは次のようにコメントしています。「ただし、製造業者、販売業者および輸入業者は、ユーザーのセキュリティを確保し、後々の競争上の不利益を避けるためにも、早い段階からCRAへの対応を開始すべきです。製造業者各社は、製品の改善に向けて新たな旅に出る必要がありますが、それは一夜にしてできることではありません」。このような状況を踏まえ、テュフズードはすでにサイバーレジリエンスに関する包括的なトレーニングおよび試験プログラムの提供を開始しています。