今からでも遅くない 新たな法規制「欧州サイバーレジリエンス法」入門

　CRA違反を起こすと、多大なキャッシュアウトを余儀なくされる可能性が高い。製品のサイバーセキュリティ対応は、今や製品開発現場だけの問題ではなく、経営課題として取り組むべき内容だと言える。

●CRAが適用される機器と認証の必要有無

　CRAが適用される機器は非常に幅広く「デジタル要素を含む」製品に広く適用されることになる。CEマーキング取得の基準には、製品のリスクに応じて差が生じる見通しで、ハイリスクな製品は第三者認証機関による認証（CoC, Certificate of Conformity）が必須となり、比較的リスクの低い製品は自己宣言（DoC, Declaration of Conformity）でのCEマーキング取得が可能になる。

　市場に出回る大半の製品は、自発的な宣言でCEマーキングを取得できる見込みだが、まれに低リスク製品の場合であっても、製品をOEM（相手先ブランドによる生産）供給する場合や、輸入販売業者からの要求でCoCが要求される場合もあるので、事前に確認することを推奨する。

　なお、デジタル要素を含む製品であっても、以下の法規による認証対象製品は、CRAの対象外となる。

　これらの機器にトラブルが起きると、人間の生命と安全に直接的な影響を与えるため、既に個別のサイバーセキュリティ要求が実施されており、CRAの対象からは外されている。

　一方、これらの機器を「制御する製品」はCRAの対象となる場合があるので注意が必要だ。例えば、医療機器と医療機器を制御するデバイスがあり、医療機器としての認証を取るデバイスは、欧州医療機器規則（MDR）に準拠しての対応が当然必要になる。

　医療機器を制御するデバイスは「医療機器ではない」ためMDRに対応する必要はなくなるが、CRAとしての対応は必要になるというケースが考えられる。自社が開発する製品が準拠すべき法令については、なるべく早く専門家に相談し、確認することが望ましい。

　次回は、CRAで要求されるサイバーセキュリティの技術的要求事項（整合規格）について、現時点でわかっていること、および推測されること、開発にあたり組織的に対応すべき事項について解説する。

●著者プロフィール：Koeksal Sahin（ケックサル・シャーヒン、KPMGコンサルティング　Sustainability Transformationマネジャー、ドイツ弁護士）

ドイツ出身。ドイツ弁護士資格を持つ。大学卒業後、日本の法律に関する修士と博士を取得し、17年以上の職務経験を持つ。グローバルに活動するITとソフトウエアの日系企業おいて欧州事業法務部・コンプライアンスを担当。2017年にKPMGドイツ法律事務所に入社し、日系企業向けに欧州規則に関するコンプライアンス、欧州の紛争に特化した支援業務に従事。2022年にKPMGジャパンに出向。欧州規則に関する日系企業の法務部の支援強化、ビジネスソリューションも含めた法的手段以外の紛争戦略の提言及び支援業務に従事。