Oct 30, 2024
欧州委員会は先月、「サイバーレジリエンス法」(CRA)を発表し、電気・電子製品(デジタル要素を含む)のサイバーセキュリティに関する規制案を提示しました。
このような製品は一般的にサイバーセキュリティが低く、ユーザーの理解も情報へのアクセスも不十分であることがあります。
コネクテッド製品へのサイバー攻撃は、年間5兆ユーロを超えると推定されています。 また、サイバーセキュリティには地理的な国境がないため、国際的な規制の確立が不可欠です。
サイバーレジリエンス法(CRA)はEU指令ではなく、有形・非有形の幅広い製品にサイバーセキュリティの要件を課す水平的な規制となります。 ルールは、低電圧指令(LVD)や無線機器指令(RED)といった現行のCEマーク指令と同様になります。
サイバーレジリエンス法(CRA)の目的は:
- 製造事業者がライフサイクル全体を通じて製品のセキュリティを向上させること
- ハードウェアとソフトウェアの両製造事業者が適合するための明確なサイバーセキュリティの枠組みがあること
- 製品のセキュリティ特性をよりオープンにすること
- 企業や消費者が製品を使用できるようにすること
医療機器、航空機器、車両など、対象外の製品もあります。
提案されている規制は、欧州無線設備指令(RED)の必須サイバーセキュリティ要件をカバーするものであるため、要件が重複しないように後に修正されることが予想されます。
要件は、製品を確保し、直面するリスクに比例したものでなければならず、不当なコストをもたらすものであってはなりません。
EU全体では、企業に影響を及ぼす事故によるコスト削減効果は、年間2,000億~3,000億ユーロに上ると推定されています。
他のCEマーキング規制と同様、欧州官報(OJ)に掲載されている整合規格に適合した製品は、適合していると推定されます。 関連規格がまだ存在しない場合、欧州委員会は共通仕様を採択することができます。
加盟国の国家当局は、高リスクに分類される製品の認証に使用する承認機関(ノーティファイド・ボディ)を指定する責任があり、該当する規格や公式仕様がない場合に使用されます。 各国当局は、市場サーベイランスの実施にも責任を負います。
CRAに関する欧州委員会のプレスリリースはこちら。
ご質問やご相談は、Nemko Japan製品認証部までお問い合わせください。
