今からでも遅くない 新たな法規制「欧州サイバーレジリエンス法」入門

　欧州ではIoT機器のサイバーセキュリティを強化するための法規制が相次ぎ生まれている。中でも、日本の製造業に大きな影響を及ぼすと考えられるのが、無線機器のサイバーセキュリティ強化を求める欧州無線機器指令（RED）と欧州サイバーレジリエンス法（CRA）だ。本連載ではこのうちCRAについて、製造業各社が対応するために必要な基礎知識と方法論を3回にわたって解説する。

　連載第1回の本稿では、CRAが制定された背景と、今後のタイムライン、違反時の罰則、認証制度について説明する。

●欧州サイバーレジリエンス法（CRA）制定の背景

　IoT機器の急速な普及に伴い、IoT機器を狙ったサイバー攻撃の被害がそれ以上のペースで増加している。特に、セキュリティ対策が不十分なデバイスを乗っ取り、そこを起点とした攻撃手法が目立つ。

　IoT機器の急速な普及で私たちの生活は格段に便利になり、日常に欠かせない物となったが、それゆえにIoT機器のサイバーセキュリティ対策は、経済的な被害だけでなく、国家や地域の安全保障の観点からも喫緊の課題と言える。

　ただ現実には、機器のサイバーセキュリティ対策についての法規制はこれまで、医療機器などの一部の領域を除きほとんど存在せず、対策も遅々として進まなかった。製造業各社の自主努力に任せていては、この状況を抜本的に改善することは難しく、欧州連合（EU）は世界に先駆けIoT機器のセキュリティを義務化するという、法律制定に動いた。

　EUには大きく分けて「Regulation／Act」（規則）というEU共通の法規制と「Directive」（指令）というEU加盟国に国内法制定を指示する2つの法律がある。今回のCRAは前者に当たり、EU共通の法規制として制定し、迅速な展開を図ろうとする意図があるようだ。

　IoTでは機器が設置される国と、機器を制御するクラウドサーバが異なる国・地域に置かれるなど、国境をまたいで利用されるケースが多いことから、悪意のあるハッカーが必ずしも国内にいるとは限らない。そのため、各国が個別の法律で対応するには問題が生じる可能性が高い。各国が個別のサイバーセキュリティ基準を設けると、対応にかかるコストが増大するという問題もあるため、EU単一市場としての法規制（Regulation）が採用された。

●CRAに関する重要タイムラインを整理

　CRAは2022年9月、法案が欧州委員会によって公開された後、欧州議会での議論や法案修正を経て、24年3月12日に欧州議会で承認された。24年7月1日現在、欧州委員会での正式採択を待っている状況であり、採択後に発効（EIF: Enter Into Force）することになる。