EU理事会、デジタル製品のセキュリティー要件に関する規則を採択（EU）

EU理事会（閣僚理事会）は、デジタル要素を備えた製品のサイバーセキュリティー要件に関する新しい規則となるサイバーレジリエンス法を10月10日に採択した（プレスリリース）。新規則は、既存のサイバーセキュリティー法的枠組みをより一貫性のあるものにし、デジタルコンポーネントを備えた製品、例えばIoT（モノのインターネット）製品の安全性をライフサイクル全体およびサプライチェーン全体にわたって確保することを目的とする（2023年12月8日記事参照）。

新規則では、EU加盟国のさまざまな法令への重複を避けるために、ハードウエア製品とソフトウエア製品の設計、開発、製造、市場での提供に関する EU 全体のサイバーセキュリティー要件が導入される。ソフトウエアおよびハードウエア製品には、規則の要件に準拠していることを示すCEマークの添付が求められることになる。CEマークは欧州経済領域（EEA）で取引される多くの製品に表示され、その安全性、健康、環境保護の高度な要件を満たしていると評価されていることを示す。

この規則は、別のデバイスまたはネットワークに直接的または間接的に接続されている全ての製品に適用される。製造事業者が提供するサポート期間に関しては5年以上の必要がある。ただし、製品の寿命が5年未満の場合は、その有効期間中の脆弱（ぜいじゃく）性の処理を保証する必要があり、製品の予想寿命と同等の期間、サポートを提供することが原則となる。なお、医療機器、航空製品、自動車など、既存のEU法令でサイバーセキュリティー要件がすでに定められている製品には、いくつかの例外がある。

EU理事会によれば新規則により、消費者はデジタル要素を含む製品を選択および使用する際にサイバーセキュリティーを考慮できるようになり、適切なサイバーセキュリティー機能を備えたハードウエアおよびソフトウエア製品を容易に識別できるようになる。

同日の採択を受けて、この立法はEU理事会と欧州議会の署名を経て、数週間以内にEU官報に掲載される予定。新しい規則は、掲載から20日後に施行し、発効後36カ月後から適用されるが、一部の規定はより早期に適用開始となる。

（坂本裕司）

（EU）