2024年11月掲載「サイバーレジリエンス法:EU評議会がデジタル製品のセキュリティ要件に関する新法を採択」を読む
本稿では
サイバーレジリエンス法が適用される製品の範囲と
適用除外、事業者の範囲まで解説します。
1. サイバーレジリエンス法が適用される製品の範囲
(1) デジタル製品(“products with digital elements”)
サイバーレジリエンス法は、
EU市場に上市されたデジタル要素を含む製品であって
意図された目的又は合理的に予見可能な使用方法に、
デバイス又はネットワークへの直接又は間接の
論理的又は物理的なデータ接続が含まれるものに適用されます(2条1項)。
デジタル要素を含む製品(以下「デジタル製品」といいます。)とは、
ソフトウェア又はハードウェア製品、
及びその遠隔データ処理(※)ソリューションをいい、
別個に上市されるソフトウェア・ハードウェアコンポーネントも含む
とされています(3条1号)。
つまり、IoT機器、スマートデバイス、通信機器の他、
商用のSaaSやオープンソースソフトウェアなど、
幅広い製品が対象となります。
※「遠隔データ処理」とは、
製造業者によって設計・開発され
又は製造業者の責任の下に行われる遠隔でのデータ処理をいい、
当該データ処理がない場合、デジタル製品がその機能の1つを
実行することができなくなるものをいいます(3条2号)。
なお、デジタル製品は、
①クリティカルなデジタル製品
②重要なデジタル製品
③通常のデジタル製品
に分かれており、これらの分類に応じてサイバーセキュリティ要件への
適合性評価の手続が異なります(後記3.(1)①参照)。
| 分類 | 該当し得る製品の例 | |
|---|---|---|
| ①クリティカルなデジタル製品 (critical products) |
1.セキュリティボックス付きハードウェアデバイス 2. Directive (EU) 2019/944 of the European Parliament and of the Councilの2条23号に定義されるスマート・メーター・システム内のスマート・メーター・ゲートウェイ、及び安全な暗号処理を含む高度なセキュリティ目的のためのその他のデバイス 3. セキュアエレメントを含むスマートカード又は類似デバイス |
|
| ②重要なデジタル製品 (important products) |
ANNEX IIIに定めるカテゴリ(下記クラスI及びII)に当たり、次のいずれかを満たすもの(7条2項) ① デジタル製品が、他の製品、ネットワーク、又はサービスのサイバーセキュリティにとって重要な機能(認証とアクセスの保護、侵入防止と検知、エンドポイントセキュリティ、ネットワーク保護等)を主に実行すること ② デジタル製品が、ネットワーク管理、構成制御、仮想化又は個人データの処理を含む中央システム機能等の直接的な操作を通じて、他の多数の製品又はそのユーザの健康、セキュリティ、若しくは安全性に関して、混乱を生じさせ、支配し、又は損害を与える、その強度及び能力の点で悪影響を生じさせる重大なリスクを有する機能を実行すること |
|
| 【クラスI】 1. 生体認証リーダーを含む認証及びアクセス制御リーダーを含むID管理システム並びに特権アクセス管理ソフトウェア及びハードウェア 2. スタンドアロン及び組み込みブラウザ 3. パスワードマネージャ 4. マルウェアの検知、削除、隔離を行うソフトウェア 5. VPN機能を持つデジタル製品 6. ネットワーク管理システム 7. セキュリティ情報・イベント管理(SIEM)システム 8. ブートマネージャ 9. 公開鍵基盤及び電子証明書発行ソフトウェア 10. 物理的及び仮想的なネットワークインターフェース 11. オペレーティングシステム(OS) 12. ルーター、インターネット接続用モデム、スイッチ 13. セキュリティ関連機能を持つマイクロプロセッサ 14. セキュリティ関連機能を持つマイクロコントローラ 15. セキュリティ関連機能を持つ特定用途向け集積回路(ASIC)及びフィールドプログラマブルゲートアレイ(FPGA) 16. 汎用スマートホームバーチャルアシスタント 17. スマートドアロック、防犯カメラ、ベビーモニタリングシステム、警報システム等、セキュリティ機能を備えたスマートホーム製品 18. Directive 2009/48/EC of the European Parliament and of the Councilの対象となるインターネットに接続された玩具で、ソーシャルインタラクティブ機能(会話や撮影等)を有するもの、又は位置追跡機能を有するもの。 19. 健康監視(トラッキング等)を目的とし、Regulation (EU) 2017/745 又は (EU) No 2017/746が適用されない、人体に装着又は装着される個人用ウェアラブル製品、又は子供による使用及び子供のための使用を意図した個人用ウェアラブル製品 |
【クラスII】 1. オペレーティングシステム及び類似環境の仮想化実行をサポートするハイパーバイザー及びコンテナランタイムシステム 2. ファイヤウォール、侵入検知・防止システム 3. 耐タンパー性マイクロプロセッサ 4. 耐タンパー性マイクロコントローラ |
|
| ①クリティカルなデジタル製品 (critical products) |
1.セキュリティボックス付きハードウェアデバイス 2. Directive (EU) 2019/944 of the European Parliament and of the Councilの2条23号に定義されるスマート・メーター・システム内のスマート・メーター・ゲートウェイ、及び安全な暗号処理を含む高度なセキュリティ目的のためのその他のデバイス 3. セキュアエレメントを含むスマートカード又は類似デバイス |
|
| ③通常のデジタル製品 | 重要なデジタル製品、又はクリティカルなデジタル製品に該当しないデジタル製品 | |
(2) 適用除外
(a) 医療機器規則(EU 2017/745)の対象となる医療機器
(b) 体外診断用医療機器規則(EU 2017/746)の対象となる医療機器
(c) 国家安全保障や防衛機器(軍事用途等)
(d) 民間航空機規則(EU 2018/2139)の対象となる航空機関連機器
(e) 自動車の型式承認規則(EU 2019/2144)の対象となる自動車関連機器
(f) SaaS(Software as a Service)
序文(Whereas (12))でNIS 2指令(EU 2022/2555)など別の規制によりカバーされる旨が言及
(g) 非営利目的のオープンソースソフトウェア(OSS)
序文(Whereas (18))で非営利目的のOSSは対象外と明記
(h) GDPR(EU 2016/679)との重複はない製品
(個人情報保護規制の領域には直接影響しない)
また、デジタル製品の機能をサポートしないウェブサイトや
デジタル製品の製造者の責任外で設計・開発されたクラウドサービス、
オープンソースソフトウェア(open-source software)のうち
商業活動の過程で頒布又は使用されるために
市場に提供されたものでないものについても、
サイバーレジリエンス法の適用範囲から除外されています。
2. サイバーレジリエンス法が適用される事業者の範囲
サイバーレジリエンス法が適用される主体は、以下のとおり定められています。
| 主体 | サイバーレジリエンス法が適用される要件 |
|---|---|
| 製造業者 (manufacturer) |
デジタル製品を開発若しくは製造する、又はデジタル製品を設計、開発若しくは製造させ、有償、収益化、無償を問わず、その名称又は商標の下で販売する自然人又は法人(3条13号) |
| 輸入業者 (importer) |
EU域外で設立された自然人又は法人の名称又は商標を付したデジタル製品を市場に上市する、EU域内で設立された自然人又は法人(3条16号) |
| 流通業者 (distributor) |
製造業者又は輸入業者以外のサプライチェーンに属する自然人又は法人で、デジタル製品を、その特性に影響を与えることなくEU市場で入手可能にする者(3条17号) |
なお、以下の場合には、製造業者に当たらない場合であっても、
製造業者とみなされ、その義務が課されるとされているため注意が必要です。
(a) 輸入業者又は流通業者が、自身の名称又は商標の下で
デジタル製品を上市する場合、又は既に上市されている
デジタル製品に対して実質的な変更を行う場合(21条)
(b) 製造業者、輸入業者若しくは流通業者以外の自然人又は法人であって、
デジタル製品に実質的な変更を加え、かつその製品を上市する者
(22条。ただし、義務の対象は、実質的な改変によって影響を受けるデジタル製品の全部又は一部に限る。)
以上のとおり、サイバーレジリエンス法は
対象となるデジタル製品の範囲も広範であるため、
多くの企業がサイバーレジリエンス法の適用を受ける可能性があります。
同法に違反した場合には
高額な制裁金を課されるおそれがあるため、
同法に違反することがないよう、慎重に検討を進める必要があります。
ご不明な点がございましたら、
海外認証PRO までお気軽にお申し付けください。
ー 個別 無料 相談受付中 ー
https://tenderlove-pcb.biz/consulting/
CECECECECECECECECECECECECECECE
海外認証PRO
株式会社テンダーラビングケアサービス
Global Access 部
電話番号: 03-6267-7032
Mail:global@tenderlove.co.jp
URL:https://tenderlove-pcb.biz
CECECECECECECECECECECECECECECE
