Posted: 16 Dec. 2022 3 min. read

第3回:欧州サイバーレジリエンス法案(Cyber Resilience Act)の適合性評価

<シリーズ>経営agendaとして取り組むべきEUのサイバーセキュリティ法規制動向 ~ 欧州サイバーレジリエンス法案(Cyber Resilience Act)

本ブログでは、全6回構成にて、2022年9月に発表された「欧州サイバーレジリエンス法案(CRA)」の解説を行います。

第3回では、CRAのポイント②「適合性評価の必要性」について説明します。

欧州サイバーレジリエンス法案(CRA)の適合性評価について今回は紹介する

CRAの適合性評価

CRAでは、適用対象となるすべてのデジタル製品に対して、セキュリティ要件への適合を求めています。CRAにおける適合性評価の形式としては、「自己認証」・「第三者認証(型式認証)」・「第三者認証(実地検査)」の3パターンがあります。

ポイントは、適用対象製品の分類に応じて、「適合性評価」の形式が定義されているということです。CRAにおける適用対象製品は「重要なデジタル製品([クラスⅠ(低リスク)]・[クラスⅡ(高リスク)])」と「重要なデジタル製品以外」に分類されています。

重要なデジタル製品以外では自己認証による適合性評価が認められているものの、重要なデジタル製品では第三者認証による適合性評価が必須とされています。
 

【分類ごとに選択可能な適合性評価形式】

■重要なデジタル製品以外:
自己認証 or 第三者認証(型式認証) or 第三者認証(実地検査)

■重要なデジタル製品(クラスⅠ(低リスク)):
第三者認証(型式認証) or 第三者認証(実地検査)
※EUCCやUN規格など他の規格等への準拠に基づく適合宣言も認められている

■重要なデジタル製品(クラスⅡ(高リスク)):
第三者認証(型式認証) or 第三者認証(実地検査)

CRAでは重要なデジタル製品(クラスⅠ/クラスⅡ)、重要なデジタル製品以外の3分類が定義されており、分類により要求される適合性評価の方法が異なる

各評価形式における評価内容

「自己認証」の場合は、製造業者が自らの責任において、適用対象製品がCRAにて定義されたセキュリティ要件に準拠していることを保証・宣言します。

一方で、「第三者評価」の場合は、適用対象製品がCRAにて定義されたセキュリティ要件に準拠していることに対する適合性評価機関によるお墨付きが必要です。

第三者認証(型式認証)では、評価対象の製品に係る1つ以上の重要な部品の検査が求められ、第三者認証(実地検査)では、評価対象の製品に係る製造プロセス及び品質システム文書・記録の実地検査が求められます。

CRAでは重要なデジタル製品(クラスⅠ/クラスⅡ)、重要なデジタル製品以外の3分類が定義されており、分類により要求される適合性評価の方法が異なる

第4回では、CRAの適用対象製品に要求される「セキュリティ要件」や対応に係るポイント等を解説していきます。

執筆者

北町 任/Takashi Kitamachi
デロイト トーマツ サイバー合同会社

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。
 

※所属などの情報は執筆当時のものです。

プロフェッショナル

岩本 高明/Takaaki Iwamoto

岩本 高明/Takaaki Iwamoto

デロイト トーマツ サイバー合同会社 執行役員

大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。