欧州委員会は先月、「サイバーレジリエンス法」(CRA)を発表し、電気・電子製品(デジタル要素を含む)のサイバーセキュリティに関する規制案を提示しました。
このような製品は一般的にサイバーセキュリティが低く、ユーザーの理解も情報へのアクセスも不十分であることがあります。
コネクテッド製品へのサイバー攻撃は、年間5兆ユーロを超えると推定されています。 また、サイバーセキュリティには地理的な国境がないため、国際的な規制の確立が不可欠です。
サイバーレジリエンス法(CRA)はEU指令ではなく、有形・非有形の幅広い製品にサイバーセキュリティの要件を課す水平的な規制となります。 ルールは、低電圧指令(LVD)や無線機器指令(RED)といった現行のCEマーク指令と同様になります。
サイバーレジリエンス法(CRA)の目的は:
医療機器、航空機器、車両など、対象外の製品もあります。
提案されている規制は、欧州無線設備指令(RED)の必須サイバーセキュリティ要件をカバーするものであるため、要件が重複しないように後に修正されることが予想されます。
要件は、製品を確保し、直面するリスクに比例したものでなければならず、不当なコストをもたらすものであってはなりません。
EU全体では、企業に影響を及ぼす事故によるコスト削減効果は、年間2,000億~3,000億ユーロに上ると推定されています。
他のCEマーキング規制と同様、欧州官報(OJ)に掲載されている整合規格に適合した製品は、適合していると推定されます。 関連規格がまだ存在しない場合、欧州委員会は共通仕様を採択することができます。
加盟国の国家当局は、高リスクに分類される製品の認証に使用する承認機関(ノーティファイド・ボディ)を指定する責任があり、該当する規格や公式仕様がない場合に使用されます。 各国当局は、市場サーベイランスの実施にも責任を負います。
CRAに関する欧州委員会のプレスリリースはこちら。
ご質問やご相談は、Nemko Japan製品認証部までお問い合わせください。