新たなセキュリティー規則、サイバーレジリエンス法施行（EU）

EUの新しいサイバーセキュリティーに関する規則のサイバーレジリエンス法（CRA）が12月10日に施行された（プレスリリース）。CRAは、デジタルコンポーネントを含むソフトウエアやハードウエア製品を購入する消費者や企業を保護することを目的とする。その施行により、他のデバイスやネットワークに直接または間接的に接続される全ての製品に、サイバーセキュリティー要件が適用されることになる（特定の除外項目を除く）。これらの要件は製造業者と小売業者に課され、2027年12月11日からCRAの主要な義務が適用開始となる（2024年10月17日記事参照）。同法は次を義務化する。

デジタルコンポーネントを含む製品やソフトウエアを市場に投入する際のルール
製品の企画、設計、開発、保守を管理するサイバーセキュリティー要件の枠組みの導入と、バリューチェーンの各段階における義務
製品のライフサイクル全体に対する注意義務

なお、サイバーセキュリティーに特に関連する重要な製品の一部は、EU市場で販売される前に、認証機関による第三者評価を受ける必要もある。

製造業者は2027年までに適合製品をEU市場に投入しなければならなくなり、これらの製品には、新基準に適合していることを示すCEマークが付けられる。これにより、顧客や企業は、適切なサイバーセキュリティー機能を備えたハードウエアやソフトウエア製品を特定することがより容易になる。

EUはサイバーレジリエンスを促進するためにさまざまな面で取り組んでおり、この活動を支えるのが、2020年末に発表された「EUサイバーセキュリティー戦略」だ。この戦略では、病院、エネルギー網、鉄道などの重要なサービスや、家庭、オフィス、工場で接続される製品も対象としている。また、欧州全体で高い共通レベルのサイバーセキュリティーを実現するために、EU機関の欧州サイバーセキュリティー庁（ENISA）が設置されている。

欧州委員会は医療システムを守るため、病院や医療提供者のサイバーセキュリティーに関する欧州行動計画を近く提案する予定だ。

（坂本裕司）

（EU）