EU、ハードウェアおよびソフトウェア製品に対する広範囲なサイバーセキュリティ要件を制定
2024年10月10日、EUサイバーレジリエンス法(CRA)がEU理事会で採択されました。CRAはEU市場に投入されるデジタル要素を備えたハードウェアおよびソフトウェア製品を提供する事業者に幅広いサイバーセキュリティ要件を課す初めての法律です。
コネクテッドプロダクトのサイバーセキュリティを強化し、ハードウェアとソフトウェアの脆弱性に対処し、EUをより安全で回復力のある地域にすることを目的として、CRAは以下1から5の内容を定めています。
1.製造業者に5つの主要なカテゴリの義務を課しています。これらの義務には、適合性評価、製品ドキュメンテーション、顧客サポート、サイバーセキュリティリスク評価、脆弱性報告が含まれます。とりわけ、脆弱性の報告について、製造業者は、検出後24時間以内に「積極的に悪用されている脆弱性」をEUサイバーセキュリティ機関(ENISA)に開示する必要があります。さらに、適合性評価を満たす製品には、CEマークを付ける必要があります。
2.輸入業者は、製造業者が義務を果たしていること、例えばすべての必須要件が満たされていること、適切な適合性評価が実施されていることなどを確認する必要があります。さらに、販売業者は、製品にCEマークが付いていること、および製造業者が特定の義務を遵守していることを保証する義務があります。
3.デジタル部品を含む製品を、デフォルト(Default)、インポータント(Important)、クリティカル(Critical)の3つのカテゴリに分類し、インポータントに該当する製品はさらにクラスI製品とクラスII製品に分類されます。この分類は、各製品カテゴリがもたらすリスクと潜在的な影響のレベルに合わせてセキュリティ対策を講じさせることを目的としています。
4.自動車、医療機器、in vitro製品、認定航空機器など各分野における法律の規制対象となっている特定のコネクテッドデバイスは、CRAの対象外となります。
5.加盟国に市場監視機関の設置を義務付けます。CRAの要件に準拠しなかった場合の罰金は、1,500万ユーロまたは世界の年間売上高の2.5%に達する可能性があります。
CRAは、EUの官報に掲載されてから20日後に発効し、発効から36か月後に適用されますが、一部の規定はより早い段階で適用されます。CRAの対象となる企業は、CRAがもたらす広範囲にわたる法改正に備え、早急に準備を開始することをお勧めします。
本コメンタリーは、デジタル要素を備えたハードウェアおよびソフトウェア製品をEU市場に提供する事業者に対して幅広いサイバーセキュリティ要件を定めた法規制に関する重要なトピックであり、EU市場に当該製品を投入する日本企業に大きな影響を有すると考えられることから紹介する次第です。詳細は、Jones Day Commentary “EU Enacts Broad Cybersecurity Requirements for Hardware and Software Products”(オリジナル英語版)をご参照ください。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。