今からでも遅くない 新たな法規制「欧州サイバーレジリエンス法」入門
ITmedia NEWS / 2024年7月29日 16時58分
CRA発効後のタイムラインについては、今まで何度か変更があり、特に発効時期については今後も変動が予想されている。図2はあくまで今年7月1日時点での情報をもとに、今後の見通しをまとめたものであることに留意いただきたい。
CRAに関してしばしば聞かれる質問に、認証取得の要求事項(整合規格)がいつ発表されるかというものがある。実は7月1日時点で、正式な整合規格の公表日時は明確になっていない。
現時点では欧州電気通信標準化機構(ETSI)が発行した、民生品IoT機器用のサイバーセキュリティベースライン要件である「ETSI EN 303 645」および、国際電気標準会議(IEC)が発行した、産業用オートメーション及び制御システムに使われるコンポーネントに対する技術的なセキュリティ要求事項の「IEC 62443-4-2」という2つの規格をベースに準備を進め、正式な整合規格が発行された段階で、差分に対応することが推奨される。
製品開発にあたり、組織的に対応すべきことについてはIEC62443-4-1(安全な製品開発ライフサイクル要求事項)をベースに準備をすることが有効と思われる。この背景については連載第2回で詳しく解説する。
●CRA違反時の罰則・損失
CRAに違反した際には、主に2つの罰則が課される可能性がある。第一に製品の販売禁止だ。CRAは製品を欧州市場で販売するために必要な「CEマーキング」の要件となる予定で、CRAの要求事項を満たさないということは、製品にCEマークを貼付できないということになるうえ、場合によっては製品回収命令が出ることも想定される。
販売機会の喪失だけでなく、ユーザーに対しての補償にかかる費用も莫大になることが予想され、製品の回収にかかる送料、製品の保管費用、不具合製品の改修、廃棄費用、消費者からの問い合わせに対応するコールセンターの運用費用、フリーダイヤルの電話代、購入金額の払い戻しなど、ありとあらゆる想定外のコストがかかる可能性がある。
第二に監督機関からの罰金である。CRAに違反した場合、最大1500万ユーロ(約26億円、1ユーロ173円換算)もしくは前年度全世界売上高の2.5%、どちらか高いほうが課される可能性がある。
ポイントは、罰金の計算根拠にあり、近年制定された欧州のデジタル・サイバーセキュリティ法は、いずれも全世界の売り上げを基準に罰金額を算定している。EU一般データ保護規則(GDPR)、欧州データ法、欧州AI規制法などは算出割合こそ違うが、全て全世界の売り上げをベースに罰金を算出することになっているため、欧州での売上高が大きくない会社も、思わぬ高額な罰金を課されかねない点に注意が必要だ。
この記事に関連するニュース
-
サイバートラストがAlmaLinuxのSBOMを活用しサイバー攻撃対策を強化
PR TIMES / 2024年7月23日 18時15分
-
監視すべきアウトソースベンダーにまつわるリスク 8選
マイナビニュース / 2024年7月11日 11時31分
-
サイバートラストが製品出荷後の脆弱性対応を支援する組込み機器向け脆弱性調査サービスを提供開始
PR TIMES / 2024年7月10日 17時45分
-
NECとNECセキュリティ、軽量プログラム改ざん検知ソフトの適用対象を拡充、自動車や医療機器に採用されている組み込みOS(QNX)に対応
PR TIMES / 2024年7月9日 12時45分
-
製品ライフサイクル全体でセキュリティソリューションを提供
@Press / 2024年7月1日 11時0分
ランキング
-
1Google Chromeのパスワード管理に障害、保存していたパスワードが消える
マイナビニュース / 2024年7月29日 8時59分
-
2夏の車内にニンテンドースイッチの放置は厳禁!任天堂が注意喚起、破損に繋がるケースも
インサイド / 2024年7月29日 17時30分
-
3USB 3.2 Gen 1対応で本当に330円!? ダイソーで330円の「USB Type-C充電・転送ケーブル」に“死角”はないのか?
ITmedia Mobile / 2024年7月29日 6時0分
-
47NOWでPayPay決済すると最大30%のPayPayポイントが戻ってくるキャンペーン実施
ポイ探ニュース / 2024年7月29日 10時32分
-
5号泣する3歳次男に困惑するデカワンコ、その理由は…… 巻き込まれ事故が1490万再生「一番の被害者で草」「そらそんな顔なるてw」
ねとらぼ / 2024年7月29日 8時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください