企業への影響と対応方法を解説
企業への影響と対応方法を解説
欧州サイバーレジリエンス法(Cyber Resilience Act、以下CRA)は、2024年3月に欧州議会で議決され、欧州理事会での採択とEU OJへの公布を経て、3年間の移行期間が設けられています。この法的枠組みは、EUにおけるデジタル要素を含むハードウェアおよびソフトウェア製品に対するサイバーセキュリティ要件を定めるものです。
サイバーレジリエンス法(CRA) が施行されると、EU市場におけるハードウェアおよびソフトウェア製品の製造業者、輸入業者、販売業者は、36カ月以内にその要件に適合し、遵守する必要があります。このページ、サイバーレジリエンス法(CRA) に備えるために知っておくべきことを解説しています。
目次 |
サイバーレジリエンス法(CRA)は、ハードウェアおよびソフトウェア製品のライフサイクル全体に対して、EUのサイバーセキュリティに関する必須要件を導入する法的枠組みです。ノートパソコン、モバイル機器、センサー、カメラ、ルーター、ファームウェア、アプリ、ビデオゲーム、ビデオカード、コンピューター処理装置など、EU内で製造、輸入、流通されるPDE(Product Digital Elements)またはハードウェアおよびソフトウェア製品に適用されます。
サイバーレジリエンス法(CRA)の最終的なゴールは、デジタルコンポーネントを含む製品やソフトウェアをEU市場に投入する際に、統合的なサイバーセキュリティガイドラインを保証することです。また、サイバーレジリエンス法(CRA)は、デジタル製品に新基準への適合を示すCEマーキングを強制します。
サイバーレジリエンス法(CRA)の主な目的は、デジタル要素を含む製品にセキュリティ上の脆弱性が少なく、製造業者、輸入業者、販売業者が製品のライフサイクルを通じてサイバーセキュリティを適切に管理できるようにすることです。サイバーレジリエンス法(CRA)は、ハードウェアおよびソフトウェア製品のセキュリティと信頼性に関する透明性を向上させることで、ユーザーの信頼と保護を強化することを目的としています。
サイバーレジリエンス法(CRA)は、EUの国家、企業、重要インフラのサイバーセキュリティ態勢 を強化する包括的なアプローチです。サイバー攻撃が増加し続けるなか、製造業の企業へのサイ バーセキュリティ対策への責任が求められています。欧州においてはサイバーセキュリティ対策の 強化が進められていますが、欧州委員会の推計によると、市場に流入している60%もの製品に脆弱 性があると言われています。このような背景から、サイバーレジリエンス法(CRA)取得のための 体制を構築し、開発から納品、保守までのライフサイクル全体でのサイバーセキュリティにおける 安全性を確保する必要があるのです。
サイバーレジリエンス法(CRA)は、EU市場におけるハードウェア およびソフトウェア製品の製造業者、輸入業者、販売業者に影響を 与えます。サイバーレジリエンス法(CRA)の要件に適切に準拠す るためには、自社の製品がサイバーレジリエンス法(CRA)の対象 製品かどうかを確認し、対応方法を正しく理解する必要があります。
サイバーレジリエンス法(CRA)は、EU市場におけるハードウェア およびソフトウェア製品の製造業者、輸入業者、販売業者に影響を 与えます。サイバーレジリエンス法(CRA)の要件に適切に準拠す るためには、自社の製品がサイバーレジリエンス法(CRA)の対象 製品かどうかを確認し、対応方法を正しく理解する必要があります:
|
サイバーレジリエンス法(CRA) の適用範囲は広いものの、以下のものには適用されません:
自社製品がサイバーレジリエンス法(CRA)に適合していない場合、何が生じるか
クラスIおよびクラスII製品のサイバーレジリエンス法(CRA) への不適合は、罰金の賦課につながる可能性があり、最も厳しい罰則は最高1,500万ユーロまたは違反者の全世界年間売上高の2.5%です。
さらに規制当局は、非適合製品の市場からの撤去命令や、流通制限の権限を持ちます。また市場監視当局は、サイバーレジリエンス法(CRA) の規制に対する違反行為を発見するために「sweeps スイープ」を実施します。
低リスクのクラスIカテゴリーに属する製品を含め、すべてのデジタル製品にとって最も重要なことは、サイバーレジリエンス法(CRA) の本質的なサイバーセキュリティ要件と脆弱性対応要件を遵守することです。これは、厳しい罰則を回避し、製造業者、輸入業者、販売業者がEU法規に準拠したサイバーセキュリティを維持することにつながります。
今から準備できることサイバーレジリエンス法(CRA) により、EUにおけるデジタル製品の製造業者、輸入業者、販売業者は、製品のライフサイクル全体を通じてサイバーセキュリティを考慮し、組み込むことが求められています。今からでも、コンプライアンス維持のためのアクションを取ることができます。以下に、サイバーレジリエンス法(CRA) 施行後に準備できることを挙げています:
複雑な要件に対応することは困難であり、あらゆる場面で落とし穴が待ち受けている可能性があります。承認プロセスを成功させるためには、経験豊富なスペシャリストが不可欠です。 |
製品サイバーセキュリティ試験のリーダーとして、テュフズードは製品のセキュリティと信頼性を評価するための十分な専門知識を培ってきました。テュフズードは、サイバーレジリエンス法(CRA) への準備、EUサイバーセキュリティ法への準拠、製品デジタル要素(PDEs)のデジタル製品CEマーキング取得支援など、さまざまなサイバーセキュリティサービスを提供しています:
テュフズードは製品サイバーセキュリティ試験をリードしてきました。サイバーリスク評価からセキュリティ認証プロジェクトに至るまで、テュフズードのエキスパートは、企業のサイバーセキュリティ向上を導き支援してきました。当社の専門家は、グローバルなサイバーセキュリティ規格を熟知しており、サイバーレジリエンス法(CRA)の要求事項を満たすための準備をあらゆる段階でサポートできます。
テュフズードは、数十年にわたる経験、ドメイン固有のノウハウ、規制に関する専門知識から磨かれたサイバーセキュリティに対する体系的なアプローチで、さまざまな分野の企業をサポートしています。グローバルなサイバーセキュリティ基準への準拠を支援することで、テュフズードはお客様が世界中の市場にアクセスできることを保証します。
テュフズードの日本法人テュフズードジャパン株式会社では、製品サイバーセキュリティ試験を対応するラボを2022年より東京試験所(東京都品川区)に開設。欧州をはじめとして、グローバルで高まる製品サイバーセキュリティ規制への対応を支援しています。
通常のギャップ分析や適合性試験に限らず、適合に必要なさまざまなトレーニングなども併せてご提供しています。豊富なサポート経験や専門知識、日本語による支援により、製造業者様においてサイバーセキュリティ規制への理解を深めるためのサポートを行っています。
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa