製造者向けCRAガイド
サイバーレジリエンス法がデジタル要素を含む製品の製造者に課す義務。リスクアセスメントからCEマーキング、上市後の義務まで。
コンプライアンスの手順
適用範囲および分類を確認する
Art. 2 · 6 · 7製品が適用範囲に含まれることを判定し、そのクラスを確定します。これが以降のすべてのステップを左右します。
- ✓製品がデジタル要素を有し、EU市場での存在があることを確認する
- ✓デフォルト、重要または重大に分類する
- ✓附属書III/IVのカテゴリーリストを確認する
サイバーセキュリティリスクアセスメントを実施する
Art. 13(2)製品の設計を、サイバーセキュリティリスクの文書化された評価に基づくものとします。
- ✓脅威および該当するリスクを特定する
- ✓どの必須要件が適用されるかを判定する
- ✓評価を文書とともに保管する
リスクアセスメントは、監査人および市場監視が最初に提示を求める基盤です。
必須要件を満たす
Annex I · I附属書Iのセキュリティ特性を満たすように製品を設計・製造します。
- ✓既定で安全な構成
- ✓機密性および完全性の保護
- ✓必須機能のレジリエンスおよび可用性
- ✓最小化された攻撃対象領域
脆弱性対応を運用する
Annex I · IIサポート期間全体にわたって脆弱性対応プロセスを運用します。
- ✓SBOMを維持する
- ✓脆弱性を是正し開示する
- ✓無償のセキュリティ更新を提供する
技術文書を編集する
附属書VII製品を上市する前に、完全な技術ファイルを編集し維持します。
- ✓製品の説明およびリスクアセスメント
- ✓設計および製造の情報
- ✓EU適合宣言
適合性評価ルートを選択する
Art. 32お客様の製品クラスに合致する評価手続きを選択します。
- ✓デフォルト製品向けのモジュールA自己評価
- ✓重要製品には規格ベースまたは第三者
- ✓重大製品向けの欧州認証
適合を宣言しCEを貼付する
Art. 28 · 30宣言を完成させ、適合を示すマーキングを貼付します。
- ✓EU適合宣言を作成・署名する
- ✓CEマーキングを見やすく貼付する
- ✓利用者向けの情報および指示を提供する
上市後の義務を果たす
Art. 13(8) · 14製品を監視し、必要に応じて報告し、そのサポート期間全体にわたって安全に維持します。
- ✓実際に悪用されている脆弱性および重大なインシデントを報告する
- ✓不適合製品に対する是正措置を取る
- ✓市場監視当局と協力する
サポート期間は、EU市場に上市された時点から起算して、少なくとも5年(またはそれより長い場合は製品の想定される寿命)でなければなりません。その全期間を通じて、お客様は脆弱性に対応し無償のセキュリティ更新を提供しなければなりません。各更新はその後10年間利用可能な状態を保たなければならず、技術ファイルおよびEU宣言も10年間保管されなければなりません。
以下の各ツールは無償で利用でき、ここでサイドパネルとして開くため、現在の位置を見失うことがありません。
本法が適用されるかどうか、およびお客様の想定されるクラスを確認します。
ここで開く →無償コンプライアンスマトリクスすべての附属書IおよびVIIの義務をマッピングし、完了まで追跡します。
ここで開く →無償費用計算ツールコンプライアンスの一回限りおよび年間の費用を見積もります。
ここで開く →無償脆弱性アナライザーお客様のSBOMをNVDおよびEUVDと相互参照し、使用終了(End-of-Life)の構成要素を追跡します。
ここで開く →無償DoCジェネレーターお客様の製品向けにEU適合宣言(附属書V)を生成します。
ここで開く →無償分類検索ツールお客様の製品がデフォルト、重要または重大のいずれであるかを、名称により確定します。
ここで開く →無償サポート期間プランナー最低サポート期間を設定し、早期に使用終了(End-of-Life)に達する構成要素にフラグを付与します。
ここで開く →