製造業者は、自社製品に関係する脆弱性を発見した場合や、重大なインシデントが発生した場合などは、速やかに関係当局に報告することが義務付けられています。第四回は、この製造業者に求められる報告義務について説明します。
【第14条「製造業者の報告義務」】
製造者は、デジタル要素を有する製品に含まれる積極的に悪用される脆弱性を認識した場合、製造者は、報告プラットフォームを通じて、当該積極的に悪用された脆弱性を通知するものと定められています。
■報告先
コーディネータとして指定された CSIRT 及び ENISA に同時に通知する必要があります。製造者は、プラットフォームを通じて、当該インシデントを通知する必要があります。
■要求事項
(1)製品の脆弱性情報
製造業者は、自社デジタル要素を持つ製品に深刻な脆弱性を見つけた場合、報告義務が発生する
- 24時間以内の脆弱性の早期警告通知の実施
- 72時間以内に以下を通知
- 当該デジタル要素を有する製品に関する一般的な情報
- 悪用の一般的な性質及び当該脆弱性の情報
- ユーザが講じることができる是正措置緩和措置
- 是正措置または緩和措置が利用可能になってから14日以内に、以下を含む最終報告書を提出
- 脆弱性の重大性及び影響を含む脆弱性の説明
- 脆弱性を悪用した、または悪用している悪意のある行為者に関する情報
- 脆弱性を是正するために提供されたセキュリティ更新またはその他の是正措置の詳細
(2)製品がかかわるインシデント情報
製造業者は、自社デジタル要素を持つ製品が関わる深刻なセキュリティインシデントが発生した場合、先に述べた報告先に報告をしなければならい。
- 24時間以内の脆弱性の早期警告通知の実施(違法行為の疑いを含む)
- 72時間以内に以下を通知(インシデントの性質、是正措置の概要を含む)
- 当該デジタル要素を有する製品に関する一般的な情報
- 悪用の一般的な性質及び当該脆弱性の情報
- ユーザが講じることができる是正措置緩和措置
- 是正措置または緩和措置が利用可能になってから1ヵ月以内に、以下を含む最終報告書を提出
- 脆弱性の重大性及び影響を含む脆弱性の説明
- 脆弱性を悪用した、または悪用している悪意のある行為者に関する情報
- 脆弱性を是正するために提供されたセキュリティ更新またはその他の是正措置の詳細
今回の投稿まで製造業者の義務について一通りの説明をさせて頂きました。次回は、最終回として製造業者以外の対象(輸入者の義務など)の義務について説明する予定です。
※本内容は記事作成時点での最新の欧州CRA法を参照していますが、今後法案が修正され内容が変更、もしくは新たな記載が追加される可能性があります。また、法律の専門家ではないため、法の解釈が誤っている可能性もあります。本法の内容について参照する際は必ずご自身で内容をご確認ください。