2022年2月1日以降、サイバーセキュリティは無線機器指令(RED)に含まれ、無線機能を持つCEマーク取得製品の要件となります。
2024年8月1日から義務化されるこの要求事項は、主に以下の3つの分野に分かれています。
ネットワーク利用の保護
プライバシーの保護
不正行為からの保護
REDで使用されている用語は非常に一般的なものであるため、発表後、お客様からこの話題に関する問い合わせが多数寄せられています。以下に、よくある10の質問に対する回答を掲載しました。
1. どのようなサイバーセキュリティ規格が必要になるのでしょうか?
これはまだ明確にされていませんが、ETSI/EN 303 645が近々、定義されることが予想されるので、事前評価のために推奨されます。
2. サイバーセキュリティ規格はいつ公開されるのですか??
ETSIでは2023年後半を想定しています。
3. 要求事項は新製品にのみ適用されるのでしょうか。
いいえ、2024年8月1日以降に販売されるすべての製品で対応する必要があります。
4. 産業用IoTにはどう有効なのでしょうか ?
要求事項はREDの範囲をカバーしており、現在のところ産業用のInternet of Thing(IoT)に関する例外は表明されていません。ただし、製品によっては、ETSI規格よりもIEC 62443規格の方が関連性が高い場合があります。
5. まだ統一された規格がないので、その規格ができるまでは順守する必要ないのでしょうか?
2024年8月1日に順守が義務化され、その日までに規格が発行される予定です。しかし、この日のどれくらい前に規格が発表されるかは不明であるため、メーカーが新しい規格に適合させるためのスケジュールは非常に短いものになる可能性があります。このため、最終的な規格が発行される前に、今から対策を講じることをお勧めします。
6. EU内で国ごとの差異はないのでしょうか?
いいえ、しかし、EU圏外では他の要求事項がある場合があります。
7. CEマーキングの取得には承認機関が必要ですか、それとも自己宣言が可能ですか?
無線設備指令(RED)については、整合規格を参照する限り、自己宣言が可能です。これは、サイバーセキュリティ要求が導入された後も同様です。
8. 無線・ワイヤレス機器に限ったことでしょうか?
はい。
9. いつから始めるべきですか?
Nemkoのおすすめは、今すぐ始めることです。2024年8月1日以降に販売されるすべての製品は、サイバーセキュリティ要求事項に適合する必要があるため、2023年後半まで発行される見込みのない規格を待つことは、あまりにも長い間待ち続けることになります。規格が発表される前に設計・生産された製品は、2024年8月1日になっても市場に残っており、新しい要求事項を満たすために製品を後付けすることは実質的に不可能であることが多いからです。
10. どのように始めるべきですか?
以下の事から始めることをお勧めします。
現在使用可能な規格(ETSI/EN 303 645)に基づき現在の製品の評価すること
改善が必要な箇所を特定すること
現在の製品を適合させるか、改善リストを次の製品の設計に反映させ、その製品の適合を確保するかを決定すること
Nemkoがサポートします。
Nemkoは、お客様の製品が新しいサイバーセキュリティ要求事項に適合しているかどうかを判断する際に役立つ、さまざまな関連サービスを提供しています。ワークショップやギャップ分析(ETSI/EN 303 645規格を使用)から完全な認証プログラム、脆弱性スキャン、侵入テストに至るまで、お客様のお手伝いをさせていただいております。当社はサイバーセキュリティ条項を含む無線機器指令の承認機関であるため、お客様の製品がREDに適合しているかどうかを判断する際にお役に立つことができます。
より詳細なご相談をご希望の場合は、弊社までご連絡ください。
CEマーキングとETSI/EN 303 645規格におけるサイバーセキュリティの詳細については、今年初めの2つのオンデマンドWebセミナーをご覧ください。
オンデマンドWebセミナー: CEマーキングにおけるサイバーセキュリティ
オンデマンドWebセミナー: IoTのサイバーセキュリティ新基準は何を要求するのか?