01CRAとは何か
サイバーレジリエンス法は、以下に対する必須のサイバーセキュリティ要件を定める初のEU全域の法律です。 デジタル要素を含む製品;ハードウェアおよびソフトウェアを、その全ライフサイクルにわたって対象とします。これは、セキュリティの責任を利用者に委ねるのではなく、これらの製品を上市する組織に移すものです。 Art. 1
実際には、製品は、附属書Iに定められた必須要件を満たし、かつ製造者がそれに付随する義務を果たした場合に限り、EU市場で利用可能にすることができます。適合は以下によって示されます。 CEマーキング.
お客様の製品がデジタル要素を有しEU市場に到達する場合、それは定められたサイバーセキュリティ基準に従って設計、構築および維持されなければならず、お客様はそれを実証できなければなりません。
02誰に適用されるか
規則は、意図された使用、または合理的に予見可能な使用が直接的もしくは間接的なデータ接続を含む、デジタル要素を含む製品を対象とします。義務はサプライチェーン全体に分配されます。 Art. 13–28
- 製造者;主要な義務を負います。すなわち、設計、文書化、適合性評価および脆弱性対応です。
- 輸入者;適合製品のみを上市することができ、製造者の義務が果たされたことを検証しなければなりません。
- 流通業者;相当の注意をもって行動し、CEマーキングおよび文書が存在することを確認しなければなりません。
分野別規則の既に対象となっている製品(医療機器、自動車および民間航空など)は除外され、非商業的なオープンソースの構成要素も除外されます。
03製品クラス
求められる適合ルートは、製品がどれほど重要であるかによって異なります。ほとんどの製品は自己評価を行います。附属書に掲載された高リスクのカテゴリーは、より厳格な手続きに直面します。 Art. 6–7 · Annex III–IV
| クラス | 例 | 適合ルート |
|---|---|---|
| デフォルト | デジタル要素を含む製品の大半 | 自己評価 |
| 重要:I | パスワードマネージャー、ネットワーク管理、VPN | 規格または第三者 |
| 重要:II | オペレーティングシステム、ファイアウォール、マイクロプロセッサ | 第三者評価 |
| 重大 | スマートメーター、スマートカード、セキュアエレメント | 必須の認証 |
04主要な義務
附属書Iの必須要件は2つのグループに分かれます。すなわち、製品が備えるべき特性と、製造者が運用すべきプロセスです。 附属書I
- 設計段階から安全、既定で安全;安全な構成と最小化された攻撃対象領域を備えて提供されます。
- 既知の悪用可能な脆弱性なし;既知の悪用可能な欠陥のない状態で出荷されます。
- 脆弱性対応;問題を特定し、文書化し、是正し、開示するプロセス。
- セキュリティ更新;定められたサポート期間を通じて、無償かつ適時の更新を提供します。
- ソフトウェア部品表;製品の構成要素を網羅するSBOMを維持します。
- 報告;実際に悪用されている脆弱性および重大なインシデントを、24時間以内の早期警告とともに、ENISAおよび関連するCSIRTに通知します。
05タイムラインおよび罰則
本法は既に発効しています。その義務は以降数年間にわたって段階的に導入されます。 Art. 71
- 2024年10月採択され法律として成立しました。
- 2024年12月発効しました。
- 2026年9月報告義務が適用されます(発効後21か月)。
- 2027年12月全面適用:ほとんどの規定が適用されます(36か月)。
必須要件への不適合は、1,500万€または全世界年間総売上高の2.5%のいずれか高い方を上限とする制裁金を招く可能性があります。
06次に何をすべきか
まず、本法がお客様の製品に適用されるかどうかを確認し、次にお客様の役割に応じて書かれたガイダンスに従ってください。