EUで新たなサイバーレジリエンス法が施行 製造業者・小売業者の対応が急務
2025.2.21
EU(欧州連合)は2024年12月10日、新たなサイバーレジリエンス法(CRA:Cyber Resilience Act)を施行した。この法律は、デジタル要素を含む製品を購入する消費者や企業を保護することを目的に、製造業者や小売業者に新たなサイバーセキュリティ要件を義務化するものだ。これらの義務は2027年12月11日から全面適用される。
サイバーレジリエンス法は、製造業者に対して以下の項目を求めている。
| 項目 | 内容 | |
|---|---|---|
| 1 | 製品の設計・開発段階での セキュリティ確保 |
・製品は「Security by Design」(設計段階からのセキュリティ) および「Security by Default」(初期設定でのセキュリティ)を確保する。 ・製品のライフサイクルを通じたサイバーセキュリティリスクを評価し、適切な対策を講じる。 |
| 2 | 脆弱性管理 | ・製品に発見された脆弱性を特定し、適切な修正を迅速に実施。 ・脆弱性情報を収集・管理し、必要に応じて関係機関(EU当局など)に報告する。 ・製品のサポート期間中、定期的にセキュリティ更新を提供する。 |
| 3 | 適合性評価 | ・製品が市場に出る前に、規定されたセキュリティ要件を満たしていることを確認する。 ・適合性評価を行い、必要な技術文書を作成し保存する。 |
| 4 | CEマーキング※1 | ・CEマーキングを製品に付して市場に出す。 |
| 5 | 消費者への情報提供 | ・製品のセキュリティ対策や使用方法、既知のリスクに関する明確で詳細な情報を提供する。 ・製品の安全性や脆弱性に関する更新通知をユーザーに送付する。 |
(欧州委員会「Cyber Resilience Act」を参考にインターリスク総研作成。
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act)
CEマーキングのない製品は実質的にEU市場で販売不可能となるため、製造業者は2027年までに準拠製品をEU市場へ投入する必要がある。これにより顧客や企業は適切なサイバーセキュリティ対策が講じられた製品を選択できるようになる一方、製造業者は製品のライフサイクル全体にわたるセキュリティ対策の責任を負うため、徹底した準備が求められる。
【参考情報】
2024年12月10日付 欧州委員会「A safer digital future: new cyber rules become law」
https://commission.europa.eu/news/safer-digital-future-new-cyber-rules-become-law-2024-12-10_en
1)EUで販売(上市)される指定の製品がEUの基準に適合していることを表示するマーク。
