欧州CRA制定の背景
近年、サプライチェーンを狙ったサイバー攻撃が急増しており、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」でも第2位にランクインするほど、その脅威は深刻です。これらの攻撃は、セキュリティ対策が不十分な関連企業や取引先を足がかりにして、ターゲット企業へ不正侵入を図るという厄介な手法を取ります。
このようなサプライチェーン攻撃に対応するためには、サプライチェーン全体のセキュリティ対策を強化することが不可欠です。EUにおいては、国境を越えたサプライチェーンを構築している企業が多数存在するため、欧州ネットワーク・情報セキュリティ機関(ENISA)が中心となり、欧州サイバーレジリエンス法案(EU Cyber Resilience Act、CRA)が制定されました。
日本企業への影響
「欧州の法律だから日本企業には関係ない」と考えがちですが、実際にはこの法律の影響を受ける日本企業は少なくありません。対象範囲は広く、施行までの期間も限られており、罰金規定もあるため、影響を受ける企業は自社への影響を早急に調査し、対応策を検討する必要があります。
対象となるのは、自動車、航空、医療分野などの明確にCRAの対象外と定義されたデジタル製品以外の「EU圏内で販売されるデジタル要素を持つ製品」です。これに該当するEU向け製品を製造・輸出・販売している企業は、CRAの規制対象となる可能性があります。
CRAは2024年中に成立予定であり、施行後は法案で要求される各種要件の履行が義務付けられます。違反した場合、罰金が課される可能性があり、その規制は非常に厳しいものとなるでしょう。
欧州CRAで義務化される主要ポイント
欧州CRAは、主に製造業者に対して以下の要件を義務付ける予定です。
-
適合性評価の実施
デジタル要素を含む製品を市場に投入する際、必須要件に従って設計・開発・製造されていることを保証する。 -
セキュリティ特性要件への適合義務
サイバーセキュリティリスクのアセスメントを実施し、技術文書を作成、適合性評価手続きを実施する。 -
当局への報告義務
脆弱性が発見された場合やインシデントが発生した場合には、定められた期間内に報告することが義務付けられる。
今回の投稿では、欧州CRAの概要とその制定背景について簡潔に解説いたしました。Regrit Partnersのサイバーセキュリティサービスチームは、今後、欧州CRAが日本企業に与える影響や、対応すべき事項について解説をシリーズ化して解説してまいります。
※本内容は記事作成時点での最新の欧州CRA法を参照していますが、今後法案が修正され内容が変更、もしくは新たな記載が追加される可能性があります。また、法律の専門家ではないため、法の解釈が誤っている可能性もあります。本法の内容について参照する際は必ずご自身で内容をご確認ください。