長年の議論の末、EU委員会は、IoTおよび無線製品の大半をカバーする無線機器指令(RED)にサイバーセキュリティを導入することを決定しました。このため、サイバーセキュリティが無線機器のCEマーキングの必須要件となる2024年8月まで、2022年1月1日から30カ月のカウントダウンが始まりました。これは、製造者が新規格の意味を十分に理解し、効果的に実施し、コンプライアンス・プログラムを準備するために必要な時間を提供し、消費者にも利益をもたらすため、2023年7月に12ヶ月延長されました。新しい実施日は2025年8月1日です。
サイバーセキュリティの要件は、REDの一部でありましたが、遵守の証明方法が不明確であったため、この部分はこれまで実施されていませんでした。
関連する要求事項は、REDの第3条(3) d)、e)、f)に記載されています:
(d) ネットワークに損害を与えたり悪用したりして、許容できないサービス低下を引き起こさないこと
(e) 個人情報およびプライバシーの保護
(f) 不正行為からの保護
現在のところ、これらの要求事項について規定された規格はないため、EU委員会は欧州標準化機構(
ETSI、
CEN、
CENELEC)に対し、製造者が自社製品を適切に評価できるよう、関連規格を制定するよう要請しています。
どの製品が適用範囲に含まれますか?
REDの適用範囲は、サイバーセキュリティの条文と同様に広いため、私たちが日常生活で使用するほとんどのコネクテッド製品が新しい要求事項に含まれます。
上記の参照を使用する場合、対応する適用範囲は以下の通りです:
(d) インターネット上で直接または間接的に通信するすべての無線機器。
(e) 個人データ、トラフィックデータ、位置情報を処理するすべての無線機器。
インターネットに接続された無線機器
育児用無線機器*。
玩具指令*内の無線機器
ウェアラブル無線機器
(f) インターネットに接続し、金銭の授受を可能にする無線機器。
*インターネットに接続されていないものも含みます。
特に、医療機器または体外医療規制の対象となる機器、航空、車両、道路料金システムは除外されます。
いつ、どのように準備すべきか
最終的な規格が公表されるのを待つことは、規格の完成時期が遅れる可能性がある一方、規制の実施は遅れないため、製品コンプライアンス戦略として適切ではありません。したがって、規格が発行されてから要求事項が施行されるまでの期間が非常に短くなる可能性があり、要求事項や変更を実施することが非常に難しくなります。
始めるには
私たちの経験では、多くの製造者がサイバーセキュリティ基準の導入と遵守の開始を遅らせています:
- サイバーセキュリティ規制に関する知識が乏しい。従来の製品がコネクテッド製品でなかった製造者は、サイバーセキュリティに関する経験が乏しいことが多いです。
- 正式な規格に関する知識が乏しいです。コネクテッド製品を製造した幅広い経験を持つ製造業者であっても、サイバーセキュリティ規格に関する経験が乏しい場合があり、サイバーセキュリティ規格には、従来のサイバーセキュリティの概念から外れた要件が含まれていることが多いです。
どちらのグループも、製造者の経験に応じて、技術的または形式的な部分に焦点を当て、規格の紹介から始めるべきです。
もう一つの方法は、規格に対する製品のギャップ分析を行うことです。これにより製造者は、次の製品で実施すべき必要な改善点の具体的かつ価値あるリストを手にすることができます。