第3回:欧州サイバーレジリエンス法案(Cyber Resilience Act)の適合性評価 ブックマークが追加されました
本ブログでは、全6回構成にて、2022年9月に発表された「欧州サイバーレジリエンス法案(CRA)」の解説を行います。
第3回では、CRAのポイント②「適合性評価の必要性」について説明します。
CRAの適合性評価
CRAでは、適用対象となるすべてのデジタル製品に対して、セキュリティ要件への適合を求めています。CRAにおける適合性評価の形式としては、「自己認証」・「第三者認証(型式認証)」・「第三者認証(実地検査)」の3パターンがあります。
ポイントは、適用対象製品の分類に応じて、「適合性評価」の形式が定義されているということです。CRAにおける適用対象製品は「重要なデジタル製品([クラスⅠ(低リスク)]・[クラスⅡ(高リスク)])」と「重要なデジタル製品以外」に分類されています。
重要なデジタル製品以外では自己認証による適合性評価が認められているものの、重要なデジタル製品では第三者認証による適合性評価が必須とされています。
【分類ごとに選択可能な適合性評価形式】
■重要なデジタル製品以外:
自己認証 or 第三者認証(型式認証) or 第三者認証(実地検査)
■重要なデジタル製品(クラスⅠ(低リスク)):
第三者認証(型式認証) or 第三者認証(実地検査)
※EUCCやUN規格など他の規格等への準拠に基づく適合宣言も認められている
■重要なデジタル製品(クラスⅡ(高リスク)):
第三者認証(型式認証) or 第三者認証(実地検査)
各評価形式における評価内容
「自己認証」の場合は、製造業者が自らの責任において、適用対象製品がCRAにて定義されたセキュリティ要件に準拠していることを保証・宣言します。
一方で、「第三者評価」の場合は、適用対象製品がCRAにて定義されたセキュリティ要件に準拠していることに対する適合性評価機関によるお墨付きが必要です。
第三者認証(型式認証)では、評価対象の製品に係る1つ以上の重要な部品の検査が求められ、第三者認証(実地検査)では、評価対象の製品に係る製造プロセス及び品質システム文書・記録の実地検査が求められます。
第4回では、CRAの適用対象製品に要求される「セキュリティ要件」や対応に係るポイント等を解説していきます。
執筆者
北町 任/Takashi Kitamachi
デロイト トーマツ サイバー合同会社
デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。
※所属などの情報は執筆当時のものです。
プロフェッショナル
岩本 高明/Takaaki Iwamoto
デロイト トーマツ サイバー合同会社 執行役員
大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。
Recommended for you
Opens_in_a_new_window
