日本の製造業にも影響大？ 新たな法規制「欧州サイバーレジリエンス法」対応に必要な要件は 先行する規制から考える

　実際に、2024年8月15日時点ではCRAについての整合規格は発表されていない。製品のサイバーセキュリティ対策には最低でも1年、長ければ2～3年の時間を要することも少なくないので、開発現場としては指をくわえて待っているわけにはいかないはずだ。

　そこで本稿ではCRAと類似点が多いREDの整合規格案を参考に、製造事業者が参照すべき規格についてみていく。

●CRAのサイバーセキュリティ要件、REDを参考に考える

　REDは欧州で販売される無線を利用した機器に対する法令だ。従来、主に電磁波試験、電気安全試験、無線試験が要求されていたが、2025年8月からはインターネットに接続される無線機器についてはサイバーセキュリティの要求事項が追加されることになった。CRAは無線・有線を問わず、デジタル要素を持つ全ての製品が対象になるため、将来的にREDのサイバーセキュリティに関する要求事項は、CRAのスコープに包含される見込みだ。

　サイバーセキュリティの義務化についてはRED（2025年8月から適用予定）が先で、その後にCRA（適用時期は未定）という順序になる。CRAのサイバーセキュリティの法規制要件がREDよりも緩和されるというのは考えづらく、REDの整合規格について理解しておくことは有益だと考えられる。

　当初REDの整合規格として有力だったのは、ETSIによるサイバーセキュリティベースライン要件である「ETSI EN 303 645」だった。しかし民生品IoT機器向けの要求事項の性格が強く、産業機器などを対象に含むREDの整合規格としては単独で役割を果たせないと判断された。

　内容を補完するために産業用機器のサイバーセキュリティ規格である「IEC62443-4-2」と組み合わせて使うことが考えられたものの、両規格で重複する内容があるという問題があった。そのため両規格の要求事項（ETSI EN 303 645では5.1～5.13の項目、IEC62443-4-2はFoundational Requirements 1～7の項目）から、どの項目を評価に用いるかを関連付けるマッピング文章「ETSI TS 103 929」が発行された。

　ETSI TS 103 929では、ETSI EN 303 645およびIEC62443-4-2の具体的要求項目について、「項番ごとに評価の対象として用いる（Y）」「評価の対象としない（N）」「一部評価の対象にする（P）」という形でマッピングを行った。（P）についてはどの程度評価の対象にするかが明確になっていなかったため、これらを整理し「prEN18031シリーズ」という規格がまとめられた。