Nemko ブログで専門家の意見をすべて読む

サイバーセキュリティCEマーキング要件の2025年8月1日までの延期について: 重要な情報と影響

作成者: Nemko|Dec 25, 2023

EU委員会は2023年7月20日、サイバーセキュリティ、プライバシー、詐欺からの保護に関する無線機器指令(RED)委任規則を改正する委任規則を採択しました。後者は2025年8月1日まで延期されます。

無線機器指令(RED)サイバーセキュリティ要件は、当初2024年8月1日から適用される予定でした。今回の12ヶ月の延長は、メーカーが新基準の意味を十分に理解し、効果的に実施し、コンプライアンス・プログラムを準備するために必要な時間を提供するものであり、消費者にとっても有益です

第3.3条で規定された必須要件をサポートする整合規格の開発は現在も進行中であり、2024年6月までに規格が発行される予定です。今回の延長により、欧州標準化機構(ESOs)は、サイバーセキュリティの側面に関するRED委任規則2022/30に関連する整合規格を提供するために、さらに重要な時間を確保することになります。
 
この法律には、"トラフィック・データ AND ロケーション・データ "という表現が、"トラフィック・データ OR ロケーション・データ "という表現に修正されることも含まれています。

委任規則C(2023)4823は本日公布され、官報に掲載される前に欧州議会および理事会に提出され、精査される。

製造事業者にとっては、準備に間に合う可能性が高まったということだが、まだ着手していないのであれば、今すぐにでもこのプロセスを開始する必要があります。

これは良いニュースなのか、それとも悪いニュースなのか?

消費者にとって、これは良いニュースではありません。サイバーセキュリティはCEマーキングの一部ではないため、消費者は今日、購入する製品が十分に保護されていることを確認する良い方法がないのです。 また、CEマーキングがサイバーセキュリティを証明する日が1年延期されました。しかし、あまりに早く施行された規制は、多くのメーカーが期限に間に合わないという現実があれば、誤った安心感を与えることにもなりかねません。

製造事業者にとって、この遅延は重大な不満のひとつである整合規格の欠如に対処するものです。期限の延長は主に整合規格が完成するために与えられたもので、この期限は現在2024年6月に設定されており、製造事業者に適合を文書化する十分な時間を与えています。

肯定的な面では、規格を策定する時間が増えるということは、より強固な規格になるということであり、長期的には、デバイスの種類に応じてより優れたセキュリティを提供し、最終的には消費者のセキュリティに貢献することになります。 短期的には、まだ新規制に適合する必要のない機器もあるだろうが、規格が目的に適合していなければ(そして、公表されるべき機器の種類や規格は数多くある)、要求の目的は達成されません。

さあ、どうしますか?

この延長後の最悪の落とし穴は、何もしないことです!このCE指令の正式な実施期限は延期されましたたが、サイバーセキュリティのペースを維持する正当な理由が少なくとも4つあります:

⏳ 時間

そう、やはり時間が重要なのです。製品を確実に設計し、生産し、市場に出荷するだけでなく、実施日までに旧製品を完全に置き換えるためには、これをタイムリーに行う必要があります。 

🌏 EUだけではありません

サイバーセキュリティの要件はEUだけにあるわけではありません。これは、アジアとアメリカ大陸の両方に当てはまり、EUに近いところでは英国にも当てはまります。EUのメンバーではなくなった英国は、2024年4月29日に義務的要件を導入しました。英国の要件は、ETSI EN 303 645に準拠しています。

👾サイバーセキュリティの必要性は、指令によってコントロールされるものではありません
ブリュッセルで開催されたEUサイバーセキュリティ会議の講演者の一人に言わせれば、「ハッカーは規制を待ちません!」。コネクテッド・デバイスに対する脅威は年々高まっており、そのようなデバイスの数の増加と相まって、安全な製品に対するニーズはかつてないほど高まっています。また、サイバーセキュリティ事件によるブランドへのダメージは相当なものになる可能性があります。

✔️ コンプライアンスを実証します
関連する安全規格に準拠していない製品を売ろうとは誰も思わないでしょうし、そのような準拠を文書化できない製品を買おうと考える大口の買い手もいないでしょう。これはサイバーセキュリティの未来でもあります。受け入れられるセキュリティの最低レベルは標準によって定義され、製造事業者はこの標準に準拠することで製品を文書化します。欧州ではIECやETSIの規格、米国ではNISTの規格がそれにあたります。これらはすでに類似しており、将来的にはさらに統合される可能性が高いのです。

まとめ - 規格を重視
この延期は、サイバーセキュリティへの取り組みの必要性やスピードを大きく変えるものではありませんが、主要市場の一つであるEUの整合規格に関する混乱に対処するものです。現在進行中の規格に大きな変更が加えられたことを示すもので、来年は多くの人が、例えばETSI EN 303 645、NIST IR 8259A、IEC 62443など、他の定義された規格を使用することを選択することも予想されます。

また、大口の買い手と消費者の両方に対してサイバーセキュリティのコンプライアンスを実証し、文書化することができれば、この問題に十分に取り組んでいない製品とは一線を画すことができます。

続きを読む:サイバーセキュリティの認定を受けるべき理由