第四回までは、主に製造業者に関係する義務について説明しました。今回は欧州CRA法において製造業者以外に適用される制限や義務について解説します。
「輸入業者」と「販売業者」と「オープンソースソフトウェア(OSS)の管理者」それぞれに課せられる義務について詳しく見ていきます。
1.輸入業者に対する要求事項( 第19条)
- EUのサイバーセキュリティ基準に適合した製品のみを輸入すること
- 製品に関する技術文書を準備し、市場監視当局の要求に応じて提出すること
- 製品に問題が見つかった場合、製造業者に通知し、必要であれば市場監視当局にも報告すること
- 製品に関する書類を一定期間保存すること
- 市場監視当局への協力: 輸入者と販売業者は、市場監視当局(EU加盟国指定の行政当局)の調査に協力
- 使用者への通知: 製品に重大な問題がある場合、輸入者と販売業者は、使用者にその旨を通知
2.販売業者に対する要求事項(第20条)
- 販売する製品がEUの基準に適合しているかを確認すること
- 製造業者や輸入者が義務を履行しているかを確認すること。
- 製品に問題が見つかった場合、製造業者に通知し、必要であれば市場監視当局にも報告すること
- 製品に関する書類を保存すること
- 市場監視当局への協力: 輸入者と販売業者は、市場監視当局の調査に協力
- 使用者への通知: 製品に重大な問題がある場合、輸入者と販売業者は、使用者にその旨を通知
3.オープンソースソフトウェア管理者に対する義務(第24条)
- OSSの開発において、脆弱性に対する適切な対応や、コミュニティへの情報共有を促進するためのサイバーセキュリティポリシーを作成し、文書化する義務
- 市場監視当局からの要請があれば、OSSがもたらすサイバーセキュリティ上のリスクを軽減するために協力し、必要な情報提供の義務
- OSSの開発に関わる範囲において、製品の安全性確保やインシデント対応に関して製造業者の報告義務に協力する義務
4.製造業者とみなされる条件(第21条、第22条)
輸入業者、販売業者、OSS管理者であっても、下記条件を満たせば製造業者とみなされ、第四回までで説明した義務が課せられます。
① 自らの名前やブランドで製品を販売する場合
② 既存の製品を大幅に改変する場合
③ 製品を大幅に改変して市場に出す場合
以上、製造業者以外に課せられる義務について説明させていただきました。
第一回から今回まで、シリーズ掲載として欧州CRAについて一通り解説を行いました。本投稿をもって本シリーズは最終回となります。長らくのご愛読、誠にありがとうございました。
※本内容は記事作成時点での最新の欧州CRA法を参照していますが、今後法案が修正され内容が変更、もしくは新たな記載が追加される可能性があります。また、法律の専門家ではないため、本法の解釈が正確でない場合もございます。詳細については、必ず最新の情報をご確認いただき、専門家にご相談ください。