今からでも遅くない 新たな法規制「欧州サイバーレジリエンス法」入門

　CRA発効後のタイムラインについては、今まで何度か変更があり、特に発効時期については今後も変動が予想されている。図2はあくまで今年7月1日時点での情報をもとに、今後の見通しをまとめたものであることに留意いただきたい。

　CRAに関してしばしば聞かれる質問に、認証取得の要求事項（整合規格）がいつ発表されるかというものがある。実は7月1日時点で、正式な整合規格の公表日時は明確になっていない。

　現時点では欧州電気通信標準化機構（ETSI）が発行した、民生品IoT機器用のサイバーセキュリティベースライン要件である「ETSI EN 303 645」および、国際電気標準会議（IEC）が発行した、産業用オートメーション及び制御システムに使われるコンポーネントに対する技術的なセキュリティ要求事項の「IEC 62443-4-2」という2つの規格をベースに準備を進め、正式な整合規格が発行された段階で、差分に対応することが推奨される。

　製品開発にあたり、組織的に対応すべきことについてはIEC62443-4-1（安全な製品開発ライフサイクル要求事項）をベースに準備をすることが有効と思われる。この背景については連載第2回で詳しく解説する。

●CRA違反時の罰則・損失

　CRAに違反した際には、主に2つの罰則が課される可能性がある。第一に製品の販売禁止だ。CRAは製品を欧州市場で販売するために必要な「CEマーキング」の要件となる予定で、CRAの要求事項を満たさないということは、製品にCEマークを貼付できないということになるうえ、場合によっては製品回収命令が出ることも想定される。

　販売機会の喪失だけでなく、ユーザーに対しての補償にかかる費用も莫大になることが予想され、製品の回収にかかる送料、製品の保管費用、不具合製品の改修、廃棄費用、消費者からの問い合わせに対応するコールセンターの運用費用、フリーダイヤルの電話代、購入金額の払い戻しなど、ありとあらゆる想定外のコストがかかる可能性がある。

　第二に監督機関からの罰金である。CRAに違反した場合、最大1500万ユーロ（約26億円、1ユーロ173円換算）もしくは前年度全世界売上高の2.5％、どちらか高いほうが課される可能性がある。

　ポイントは、罰金の計算根拠にあり、近年制定された欧州のデジタル・サイバーセキュリティ法は、いずれも全世界の売り上げを基準に罰金額を算定している。EU一般データ保護規則（GDPR）、欧州データ法、欧州AI規制法などは算出割合こそ違うが、全て全世界の売り上げをベースに罰金を算出することになっているため、欧州での売上高が大きくない会社も、思わぬ高額な罰金を課されかねない点に注意が必要だ。