EUサイバーレジリエンス法とは?日本企業の対応は?
EUサイバーレジリエンス法とは?
EUサイバーレジリエンス法(Cyber Resilience Act、以下CRA)」とは、2022年9月に欧州委員会が提案したデジタル要素を含む製品のライフサイクル全体に対するサイバーセキュリティ要件を定めた法律のことです。
簡単に言うと、EC内で使用されるデジタル製品をもっと安全にするための法律です。
CRA施行の背景
CRAを知る為に、欧州員会がCRAの提案に至った背景について、まとめておきます。
1. デジタル化の加速とサイバー攻撃の高度化・多様化
- IoT (モノのインターネット) の普及や、クラウドサービスの利用拡大などにより、私たちの生活はデジタル製品に依存する度合いをますます強めています。
- 一方で、サイバー攻撃はより巧妙化・多様化し、個人情報漏洩、ランサムウェアによる被害、重要インフラへの攻撃など、その影響は甚大なものとなっています。
- 特に、近年はサプライチェーン攻撃(製品やサービスの供給網を介した攻撃)が増加しており、一つの脆弱性が社会全体に波及するリスクが高まっています。
2. 既存の法規制の限界
- 従来の法規制は、製品の安全性や品質に関するものが中心で、サイバーセキュリティに関する具体的な要件は十分ではありませんでした。
- また、グローバルなサプライチェーンの中で、製品のセキュリティ責任の所在が曖昧になるケースも問題となっていました。
3. EUの戦略的自律性の追求
- デジタル技術におけるEUの競争力強化と、域内の安全保障確保のため、EUは技術的な主権の確立を目指しています。
- CRAは、EU域内で流通する製品のセキュリティ水準を引き上げ、域内産業の競争力強化と、域外からのサイバー攻撃に対する防御力の向上に寄与すると期待されています。
4. 市民の安全と信頼の確保
- デジタル社会において、市民が安心してデジタル製品を利用できる環境を整備することは、EUの重要な責務です。
- CRAは、製品のセキュリティに関する透明性を高め、消費者の信頼を確保する役割も担っています。
これらの背景から、CRAを制定し、デジタル製品のセキュリティ確保に包括的に取り組む必要に迫られたと言えます。
CRA法(草案)
CRAの草案をわかりやすくまとめた資料を経済産業省のサイバーセキュリティ課がまとめてくれてますので、以下にそのまとめを紹介しておきます。
引用元:chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.jasa.or.jp/dl/gov/20220926.pdf(外部リンク)
- 2022年9⽉に草案提出。2023年後半の発効、2025年後半の適⽤を⽬指す。
- 例外を除き、デジタル要素を備えた全ての製品が対象。SBOM作成や更新プログラム提供等セキュリティ要件への適合(⾃⼰適合宣⾔/第三者認証)が求められる。
- 重要なデジタル製品について、低リスク製品でEUCCやEN規格対象外の製品は第三者認証を、⾼リスク製品には第三者認証を求める。(中⼩企業の認証⼿続き減額)
- 適合性評価証明書にはEU適合宣⾔書(CEマーク)/EUCC証明書を⽤いる。
- 脆弱性の悪⽤やインシデント発⾒後24時間以内にENISAへの報告を義務化。
- 罰則あり。(最⾼1,500万ユーロ⼜は当該企業の全世界売上⾼の2.5%以内)
CRAの対象は?
CRAは、その名の通り、サイバーセキュリティの強化を目的とした法規制ですが、その対象範囲は非常に広範です。
基本的な対象
- EU域内で販売される全てのデジタル製品:ハードウェア、ソフトウェア、組み込みソフトウェア、そしてそれらに付随するサービスが含まれます。
- デジタル要素を持つ製品:IoT機器、スマート家電、産業用制御システム、医療機器、自動車など、デジタル技術が組み込まれた製品も含まれます。
具体的な例
- スマートフォン、パソコン、タブレット
- スマートテレビ、スマートスピーカー、スマート家電
- ルーター、ネットワーク機器
- 産業用ロボット、制御システム
- 医療機器、ウェアラブルデバイス
- 自動運転車、コネクテッドカー
例外
以下の製品は、既に他の法規制でカバーされているため、サイバーレジリエンス法の対象外となります。
- 医療機器(医療機器規則でカバー)
- 自動車(自動車型式認証制度でカバー)
- 航空機(航空安全規則でカバー)
- 特定の国家安全保障に関わる製品
CRAの重要なポイント
- オープンソースソフトウェアも対象に含まれる。
- クラウドサービス(SaaSなど)も対象となる。
- 製品だけでなく、製品に付随するサービス(遠隔データ処理ソリューションなど)も対象となる。
- 市場に個別に投入されるコンポーネントも対象となる。
サイバーレジリエンス法は、特定の製品や業界に限定されず、デジタル要素を持つほぼ全ての製品を対象としています。これは、現代社会におけるデジタル技術の普及と、それに伴うサイバー攻撃のリスクの高まりを反映したものです。EU域内で製品を販売する企業は、この法規制への対応が必須となります。
CRAの最新状況
欧州委員会(European Commission)のホームページを確認してみましたが、2023年12月1日に”欧州委員会はサイバーレジリエンス法に関する政治的合意を歓迎する”とのコメントがでていることを確認することができましたが、それ以外の最新情報は本記事執筆時点で確認することはできませんでした。
2022年9月15日に発表された「State of the Union: New EU cybersecurity rules ensure more secure hardware and software products」には、
It is now for the European Parliament and the Council to examine the draft Cyber Resilience Act. Once adopted, economic operators and Member States will have two years to adapt to the new requirements.(訳:サイバーレジリエンス法の草案は、現在、欧州議会と欧州理事会で審議中です。採択されると、事業者と加盟国は 2 年間で新しい要件に適応することになります。)
と記載されています。上記のページの通り、2023年12月1日に合意したと記載されている通りであれば、2025年には全面的に適用しなければならないことになります。しかし、(エビデンスとなる情報が欧州委員会(European Commission)のホームページで見つけることができていないだけかもしれませんが、、)ネットでCRAを検索すると、”移行期間 として18 ヶ月後から一部の適用が開始され、36 ヶ月後には全面的に適用する”といった情報といった情報もでてきます。。
情報が少なすぎて、確定した日付がいつとは言えない状況ではありますが、おそくとも2025年後半には施行されることは間違いなさそうな状況でありますので、EUを商圏としている企業はCRAの最新状況と対象となる製品の準備だけは今のうちから準備を進めておく必要がありそうです。
CRAの影響は思いのほか大きい状況ですので、欧州委員会(European Commission)からの情報発信の確認は今後もマメに続けていきたいと思います。
システム開発にお困りではありませんか?
もしも今現在、
- どのように開発を依頼したらよいかわからない
- どのように開発を依頼したらよいかわからない
- 企画や要件定義の段階から依頼できるのか知りたい
- システム開発費用がどれくらいかかるのか知りたい
- 見積りがほしい
など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやR&D部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。
この記事を書いた人
株式会社APPSWINGBY マーケティング
APPSWINGBY(アップスイングバイ)は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。
ご支援業種
情報・通信、医療、製造、金融(銀行・証券・保険・決済)、メディア、流通・EC・運輸 など多数
監修
株式会社APPSWINGBY
CTO 川嶋秀一
動画系スタートアップ、東証プライム R&D部門を経験した後に2019年5月に株式会社APPSWINGBY 取締役兼CTOに就任。
Webシステム開発からアプリ開発、AI、リアーキテクチャ、リファクタリングプロジェクトを担当。C,C++,C#,JavaScript,TypeScript,Go,Python,PHP,Vue.js,React,Angular,Flutter,Ember,Backboneを中心に開発。お気に入りはGo。