EUサイバーレジリエンス法とは

　EUサイバーレジリエンス法（以下、CRA）とは、サイバーセキュリティを確保し、より安全なハードウェアとソフトウェアを保証するためのEUの新たな規則です。

　現在、デジタルコンポーネントを含むIoTデバイスやソフトウェアが我々の日常生活に遍在しています。そうした中で、新規制となるCRAを定めることで、デジタルコンポーネントを含む製品・ソフトウェアを購入・使用するユーザーを保護する目的があります。

　具体的には、このような製品を提供する製造業者や輸入・販売業者に対してサイバーセキュリティに関する義務的な要件を課すことになります。それにより、セキュリティ機能の確保と、ユーザーの保護を製品ライフサイクル全体にわたって拡大していく狙いがあります。

　近年、IoTデバイスが急増し、定期的なアップデートや継続的なサポートの提供が、サイバーセキュリティにおいて重要になってきています。そうした時代で、デジタル部品を含むハードウェア・ソフトウェア製品の製造業者に適用される、一連のサイバーセキュリティ要件を定めた画期的な法令と言えるのです。

製造業者に求められるアセスメント

　CRAは、製造業者に対し、デジタルコンポーネントを含む製品に関連するサイバーセキュリティリスクのアセスメントを実施し、サイバーセキュリティリスクの最小化、セキュリティインシデントの防止、当該インシデントの影響の最小化を目指すことを課しています。

　製造業者は、デジタルプロダクトを含む製品の企画、設計、開発、製造、引き渡し、保守の各段階において、当該アセスメントの結果を考慮に入れなければなりません。

　また、製品は重要度に応じて3段階に分類されており、重要なデジタル製品に該当するものは、第三者によるアセスメントが必要になります。下記が製品の分類になります。

CRAが対象とする2つの問題

　CRAが対象とする問題は2つあります。

　1つ目は、多くの製品に内在するサイバーセキュリティのレベルが不十分であることや、製品やソフトウェアのセキュリティ更新が不十分であることです。

　2つ目は、消費者や企業が現在、どの製品がセキュアであるかを判断できないことです。また、サイバーセキュリティが確実に担保されるように製品を必ずしも設定できないことです。

　これに対し、CRAが提供しようとしていることは以下になります。

■2つの課題に対するCRAの解決の方向性

• デジタルコンポーネントを含む製品やソフトウェアを市場に投入する際の、調和のとれたルール
• それらの製品の企画・設計・開発・保守を統制するサイバーセキュリティ要件の枠組み
• それらの製品のライフサイクル全体、サプライチェーン全体に対する注意義務の提供

　CRAという新制度が発効されることで、インターネットに直接または間接的に接続されるすべての製品・ソフトウェアには、CRAに適合していることを示す「CEマーク」が付けられることになります。

　製造業者や輸入・販売業者にサイバーセキュリティの確保を求めることで、消費者や企業はCEマークに基づく製品やソフトウェアの選択ができるようになるのです。

　また、提供するサポート期間に関しては5年または製品寿命のうち短い方の期間とすることが求められています。 【次ページ】事業者に求められる「報告義務」とは