欧州CRAの対象製品
第一回では、欧州CRAの概要と制定の背景を中心に解説しました。第二回は、欧州CRAの対象となる製品の種類、及び適合性評価について説明します。
欧州CRAの規制対象製品は、「市場で入手可能なデジタル要素を組み込んだ製品で、使用時にデバイスやネットワークと直接または間接的にデータをやり取りするもの」と定義されています。
具体的には、既に専用規程が存在する自動車、航空、医療分野などを除いた、「デジタル要素を持ちEU圏内で販売されるすべての製品」が適用対象です。
EU圏内で販売される製品は、市場投入から販売後の5年間、もしくは使用期間が5年未満のものは製品寿命まで、セキュリティ・脆弱性対応が義務付けられます。
対象となるデジタル製品は、「重要なデジタル製品以外」、「重要なデジタル製品:クラスⅠ(低リスク)」、「重要なデジタル製品:クラスⅡ(高リスク) 」の3つに区分され、それぞれに取得必要な認証が定められています。
【CRA適用対象となるデジタル製品の分類】
| 対象製品分類 | 重要なデジタル製品以外 | 重要なデジタル製品クラスⅠ(低リスク) | 重要なデジタル製品クラスⅡ(高リスク) |
|---|---|---|---|
| 特徴 | クラスⅠ・Ⅱ以外 | 認証管理システムやVPNなどの基本的なセキュリティ機能を持つデジタル製品が対象 | ファイアウォールや侵入防止システムなど、サイバー攻撃による重大な影響を防ぐデジタル製品が対象 |
| 主な対象製品 | 原文の中には、具体的な製品の記載はないが、一般的な解釈として以下の製品が挙げられる ・スマート家電(例:冷蔵庫、洗濯機) ・エンターテイメント製品(例:テレビ、ゲーム機) など |
・ID管理システム ・VPN製品 ・ネットワーク管理ツール ・セキュリティ情報およびイベント管理(SIEM)システム ・ルータ、スイッチ ・セキュリティ機能を備えたスマートホーム製品 ・オペレーティングシステム(OS) など |
・ハイパーバイザー、コンテナランタイムシステム ・ファイアウォール ・侵入検知/防御システム(IDS/IPS) ・耐タンパー性マイクロプロセッサーやマイクロコントローラ など |
適合性評価と罰則
製造事業者は、欧州CRA附属書Ⅰに定める必須要件である「セキュリティ特性要件」および「脆弱性処理要件」を満たしていることを証明するために、製品の設計、開発、製造、および脆弱性の対応プロセスについて技術文書を作成し、市場投入前に第三者機関から適合性評価を受ける必要があります。
下記の通り、欧州CRAにより分類されているデジタル製品の重要性、リスクの度合いによって、自己適合宣言か第三者機関による認証を必要とするかが決定されます。
- 「重要なデジタル製品」以外は、自己適合性宣言か第三者認証かを選択可能
- 「重要なデジタル製品」は、クラスII(高リスク)は第三者認証、クラスI(低リスク)かつサイバーセキュリティ認証制度(EUCC)や欧州整合規格(EN規格)に準拠していない場合は第三者認証の取得が必要
【適合性評価】
前述の附属書Ⅰに規定されたサイバーセキュリティの必須要件、および規定された義務に違反した場合、罰金として最大1,500万ユーロ(約24億円)またはグローバル年間売上高の2.5%のいずれか高い方を科される可能性があります。
第二回では、欧州CRAの対象及び適合性評価について解説いたしました。第三回では、欧州CRAの適用対象製品に求められるセキュリティ特性要件/脆弱性対応の詳細について、解説予定です。
※本内容は記事作成時点での最新の欧州CRA法を参照していますが、今後法案が修正され内容が変更、もしくは新たな記載が追加される可能性があります。また、法律の専門家ではないため、法の解釈が誤っている可能性もあります。本法の内容について参照する際は必ずご自身で内容をご確認ください。