EUサイバーレジリエンス法への対応に向けて

有償無償を問わず、デジタル要素を含む製品を開発、製造、販売する個人または企業

EU域外の自然人または企業の名称または商標を付したデジタル要素を含む製品を市場に出すEU域内の個人または企業

製造業者および輸入業者を除く、デジタル要素を含む製品を、その特性を変更することなくEU市場に供給する個人または企業

商業目的のオープンソースソフトウェアとみなされるデジタル要素を持つ特定の製品の開発を組織的に支援する製造業者以外の企業

デジタルデータを処理、保存、伝送する物理的な電子システム（システムのコンポーネントも含む）

統合ソフトウェア（組み込みソフトウェア）、スタンドアロンソフトウェア、商用ソフトウェアソリューション

遠隔操作可能なスマート家電メーカーが提供する、クラウドサービスなどの遠隔データ処理ソリューション

サイバーセキュリティは政府、企業、個人にとってかつてないほど重要なものとなっています。これを受けて、EUは9月、2024年3月12日に欧州議会で採択されたサイバーレジリエンス法（CRA）を公表しました。その目的は、2027年から「デジタル要素を含む製品」に対して拘束力のあるサイバーセキュリティ要件を導入し、EUにおけるサイバー攻撃に対する回復力を高め、デジタルサービスの信頼性を確保することです。

第一に、CRAは、デジタル要素を含む製品の脆弱性と弱点を減らし、ユーザーとサプライチェーン全体に対するサイバー攻撃とそれに関連する危険のリスクを最小限に抑えることを目的としています。

第二に、「サイバーレジリエンス法」は、製造業者や供給業者の責任強化を促すものです。製造業者や供給業者は、欧州市場に製品が出回る前に、その設計と流通が安全であることを保証することが求められるようになりました。これにより、製品のライフサイクル全体にわたるセキュリティが強化されています。

そして最後に、サイバーレジリエンス法は、デジタル製品のセキュリティ機能と潜在的リスクに関する明確な情報を提供することで、ユーザーの透明性を高めることを目的としています。これにより、消費者は、デジタル製品を安全に使用する方法について、十分な知識を得た上で意思決定を行うことができるようになります。

サイバーレジリエンス法（CRA）と NIS2指令は 、EUにおけるサイバーセキュリティの強化という同じ目標を掲げていますが、それぞれの焦点は異なります。

CRAが、EU域内で販売されるハードウェアやソフトウェアに対する拘束力のある基準を設定することで、デジタル製品のセキュリティに重点を置いているのに対し、NIS2指令は、重要なインフラや重要なサービスに不可欠なネットワークや情報システムのセキュリティに重点を置いています。

この2つの規制を合わせると、EUにおける製品だけでなくインフラも対象とした包括的なサイバーセキュリティ戦略となります。製品を製造し、重要なサービスを提供する企業は、両規制の要件を考慮し、それに応じてセキュリティ対策を調整しなければなりません。

違反した場合、最高1,500万ユーロまたは影響を受けた企業の世界年間売上高の2.5％のいずれか高い方の金額が罰金として科されます。また、CRAの要求事項が施行された後、それに準拠しないデジタル要素を含む製品は市場に出回らない可能性があります。サプライチェーンや入札から排除されるリスクもあります。

製造業者は、セキュリティ面の継続的な特定と文書化、脆弱性の迅速な除去を含む包括的なサイバーセキュリティ要件に準拠することが求められます。また、製品の適合性評価を受け、必要な情報や通知を当局に提供しなければなりません。

オープンソースソフトウェア（OSS）の管理者も、サイバーセキュリティ戦略を策定し、技術文書の提供などの管理業務を行う重要な責任を負っています。輸入業者は、EU市場に投入する製品がCRAの要件に準拠していることを確認する責任があります。製造者が義務を果たしていることを確認し、違反があった場合には必要な是正措置を取らなければなりません。

流通業者と輸入業者はともに、製造業者がCRAの要件を満たしていることを確認し、検証する義務を負います。これら2つの経済主体のいずれかが製品に重大な変更を加えた場合、流通業者と輸入業者はCRAにおける製造業者とみなされます（製造業者の義務を負うだけでなく、CRAに関して厳密には法的にも製造業者となります）。「正規代理店」は、製造業者の一定の管理上の義務を負うのみ（輸入者の義務ではありません）。

EUサイバーレジリエンス法の要件を満たし、欧州市場での製品の安全性を確保するために、企業は包括的なサイバーセキュリティ戦略を実施すべきです。この戦略には、脆弱性の継続的な特定と是正、データの暗号化、攻撃対象の最小化が含まれるべきです。特定の要件を特定し、的を絞った対策を講じるためには、徹底した製品分類とリスク評価が必要です。

さらに、企業は製品のコンプライアンス評価を定期的に実施し、CRAのコンプライアンスを証明するための最新の技術文書を提供することが極めて重要です。また、製品のライフサイクル全体を通じて、セキュリティの更新と継続的なメンテナンスも重要です。従業員への教育や、外部の専門家と協力により、企業はサイバーセキュリティ対策が新規則に準拠していることを確認することができ、それによって欧州市場での地位を強化することができます。