Posted: 02 Dec. 2022 3 min. read

第1回:欧州サイバーレジリエンス法案(Cyber Resilience Act)の概要

<シリーズ>経営agendaとして取り組むべきEUのサイバーセキュリティ法規制動向 ~ 欧州サイバーレジリエンス法案(Cyber Resilience Act)

テクノロジーの進化に伴い、人々の生活のあらゆる側面で様々なデジタル機器やサービスが利用されており、今や「デジタル」はわれわれにとって必要不可欠な存在です。重要性の高まりとともにデジタル機器やサービスを対象としたサイバー攻撃も加速度的に増加しており、常にサイバー脅威に晒されている状態であると言えます。一方で、多くの利用者(ユーザー)は、デジタル機器やサービスに関連するセキュリティリスクやリスクがもたらす影響を適切に理解できていない可能性があります。

このような状況下において、各国では自国の市場で流通または使用されるデジタル製品やサービスに係る安全の担保、一般消費者や企業の保護を目的とした取組みを強化しています。その一例として、サイバーセキュリティ関連の法規制化が挙げられます。

EUにおけるサイバーセキュリティ政策の動向

EUでは、近年のサイバー空間を取り巻く情勢を踏まえ、2020年12月に新たな「EUサイバーセキュリティ戦略」を策定しました。戦略に沿うかたちで、セキュリティ関連の法規制化の検討・推進も加速しています。

  • NIS 2 Directive(2021年12月策定):
    2016年に策定されたNIS Directive(ネットワーク・情報システムの安全に関する指令)を強化する目的で、適用対象事業者を拡充のうえ、要件も厳格化
  • EUサイバーセキュリティ認証スキーム:
    2019年6月に制定されたEUサイバーセキュリティ法に基づき、ENISA[1]を中心に、ICT製品・サービス・プロセスを対象に「適合性評価(認証)」の取得を要求するEUCC等の制度化を検討中

[1] ENISA:欧州ネットワーク・情報セキュリティ機関

欧州サイバーレジリエンス法案(CRA: Cyber Resilience Act)の概要

上記に加え、EUは2022年9月に、EU市場での事業展開を実施あるいは実施を目指している幅広い企業に影響を与えうる「欧州サイバーレジリエンス法案(CRA)」を発表しました。

CRAの主な目的は、EU域内におけるデジタル製品の透明性の確保や安全性の保証による「EUデジタル単一市場への信頼性の向上」であり、既存の枠組みにおける課題であった「製品ライフサイクルにおけるソフトウェア更新に関して対応できない懸念」や「適用対象の製品・サービスのカバー範囲が限定的」という点等を解消することを狙いとしています。

主に次の5点がCRAのポイントであり、CRAへの対応が求められる企業では、適切な法的解釈に基づく製品ライフサイクル全体における組織面および技術面双方でのセキュリティの取組みが求められます。

【CRAのポイント】

広範な適用スコープ:一部の例外を除き、デジタル要素を備えた全ての製品が対象
適合性評価の必要性:デジタル製品のセキュリティ観点での品質・安全等に係るお墨付きが必要
セキュリティ要件への適合の義務化:SBOM作成や更新プログラム提供等を含む、製品ライフサイクル全体でのセキュリティ対応が求められている
当局への報告の義務化:脆弱性発見時やインシデント識別時は、24時間以内にENISAへの報告が必要
他のサイバー規制との相互補完:他規制(e.g. AI法案、機械規則)とは排他関係でないため、双方の規制の適切な解釈が求められる

 

欧州サイバーレジリエンス法案(CRA)とは
欧州サイバーレジリエンス法案への対応に係る主要な論点

以降のCRAに係る第2回から第6回のブログでは、CRAの5つのポイントごとに要求事項や対応に係るポイント等を解説していきます。

プロフェッショナル

岩本 高明/Takaaki Iwamoto

岩本 高明/Takaaki Iwamoto

デロイト トーマツ サイバー合同会社 執行役員

大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。        

北町 任/Takashi Kitamachi

北町 任/Takashi Kitamachi

デロイト トーマツ グループ シニアマネジャー

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。