« 中国 意見募集 ネットワークセキュリティ法の改正案 | Main | 研究開発戦略センター デジタル社会における新たなトラスト形成 »

2022.09.17

欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

こんにちは、丸山満彦です。

欧州委員会 (Euopean Commission) から不十分なセキュリティ機能を備えた製品から消費者と企業を保護するためのサイバーレジリエンス法(Cyber Resilience Act)案が公開されていますね。。。医療機器、自動車、航空機等については、別途規則があるので、それらは対象外です。。。

この法案は、

(a) デジタル要素を含む製品のサイバーセキュリティを確保するための製品の上市に関する規則、

(b) デジタル要素を含む製品の設計、開発、製造に関する必須要件、およびこれらの製品に関連するサイバーセキュリティに関する経済事業者の義務、

(c) デジタル要素を含む製品のサイバーセキュリティを全ライフサイクルにわたって確保するために製造者が実施する脆弱性処理プロセスに関する必須要件、及びこれらのプロセスに関連する経済事業者の義務

(d) 上記の規則及び要件の市場監視及び執行に関する規則

を定めているとのことです。。。

デジタル要素を含む製品を販売しようとする製造者は、事実上PSIRTを組成しないといけないことになりますね。。。

第11条第1項に積極的に悪用される脆弱性に気づいたら24時間以内にENISAに報告しなければならないとありますね。。。ちなみに積極的に悪用される脆弱性 (actively exploited vulnerability) とは「悪意のあるコードの実行が、システム所有者の許可なく、行為者によってシステム上で行われたという信頼できる証拠がある脆弱性」と定義されています。。。

さらに、第2項では、事故が発生した場合も24時間以内にENISAに報告しなければならないとありますね。。。そして、第4項では、製品の使用者にも事故と影響を軽減できる措置の仕方を通知しないといけないとなっていますね。。。

 

European Commission

・2022.09.15 Cyber Resilience Act

 

Cyber Resilience Act サイバーレジリエンス法
The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products. サイバーレジリエンス法として、デジタル要素を含む製品のサイバーセキュリティ要件に関する規制の提案は、より安全なハードウェアおよびソフトウェア製品を保証するためにサイバーセキュリティの規則を強化するものである。
Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021. ハードウェアおよびソフトウェア製品がサイバー攻撃の標的となるケースが増加しており、2021年までに全世界のサイバー犯罪の年間コストは5.5兆ユーロに達すると推定されている。
Such products suffer from two major problems adding costs for users and the society: このような製品は、ユーザーと社会にコストをもたらす2つの大きな問題を抱えている。
1. a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and 1. サイバーセキュリティのレベルが低く、脆弱性が蔓延し、それに対応するためのセキュリティアップデートが不十分で一貫性がないこと。
2. an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.  2. ユーザーによる理解と情報へのアクセスが不十分で、適切なサイバーセキュリティ特性を持つ製品を選択したり、安全な方法で製品を使用したりすることを妨げていること。 
While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs. 既存の域内市場法は、デジタル要素を持つ一部の製品に適用されますが、ハードウェアおよびソフトウェア製品のほとんどは、現在、そのサイバーセキュリティに取り組むEU法の対象にはなっていません。特に、非組込み型ソフトウェアのサイバーセキュリティについては、サイバーセキュリティ攻撃がこれらの製品の脆弱性を狙うようになってきており、社会的・経済的に大きな損失をもたらしているにもかかわらず、現在のEUの法的枠組みでは対処されていない。
Two main objectives were identified aiming to ensure the proper functioning of the internal market:  EU域内市場の適切な機能を確保するために、以下の2つの主要な目的が確認されました。 
create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and ハードウェアおよびソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造者が製品のライフサイクルを通じてセキュリティに真剣に取り組むことを保証することにより、デジタル要素を含む安全な製品を開発するための条件を整備すること。
create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements. ユーザーがデジタル製品を選択・使用する際に、サイバーセキュリティを考慮できるような環境を整える。
Four specific objectives were set out: 具体的な目標としては、以下の4点が設定されました。
1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle; 1. 製造者が設計・開発段階からライフサイクル全体を通じて、デジタル要素を含む製品のセキュリティを向上させること。
2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers; 2. 一貫したサイバーセキュリティの枠組みを確保し、ハードウェアとソフトウェアの製造者のコンプライアンスを促進する。
3. enhance the transparency of security properties of products with digital elements, and 3. デジタル要素を含む製品のセキュリティ特性の透明性を向上させる。
4. enable businesses and consumers to use products with digital elements securely. 4. 企業や消費者がデジタル製品を安全に使用できるようにする。

 

法案

・[PDF]  Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act

20220916-161849

・[DOCX] 仮訳

条文構成...

CHAPTER I  GENERAL PROVISIONS  第1章 総則 
Article 1 Subject matter  第1条 主題 
Article 2  Scope  第2条 対象範囲 
Article 3  Definitions  第3条 定義 
Article 4  Free movement  第4条 自由行動 
Article 5  Requirements for products with digital elements  第5条 デジタル要素を含む製品への要求事項 
Article 6  Critical products with digital elements  第6条 デジタル技術を駆使した重要な製品 
Article 7  General product safety  第7条 一般製品安全
Article 8  High-risk AI systems  第8条 高リスクのAIシステム 
Article 9  Machinery products  第9条 機械製品 
CHAPTER II  OBLIGATIONS OF ECONOMIC OPERATORS  第2章 経済事業者の義務 
Article 10  Obligations of manufacturers  第10条 製造者の義務 
Article 11  Reporting obligations of manufacturers  第11条 製造者の通知義務 
Article 12  Authorised representatives  第12条 正規代理店 
Article 13  Obligations of importers  第13条 輸入者の義務 
Article 14  Obligations of distributors  第14条 販売代理店の義務 
Article 15  Cases in which obligations of manufacturers apply to importers and distributors  第15条 製造者の義務が輸入者・販売者に適用されるケース 
Article 16  Other cases in which obligations of manufacturers apply  第16条 その他、製造者の義務が適用される場合 
Article 17  Identification of economic operators  第17条 経済事業者の特定 
CHAPTER III  CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS  第3章 製品のデジタル要素への適合性 
Article 18  Presumption of conformity  第18条 適合性の推定 
Article 19  Common specifications  第19条 共通仕様 
Article 20  EU declaration of conformity  第20条 EU適合性宣言 
Article 21  General principles of the CE marking  第21条 CEマークの一般原則 
Article 22  Rules and conditions for affixing the CE marking  第22条 CEマークの貼付に関する規定と条件 
Article 23  Technical documentation  第23条 技術文書 
Article 24 Conformity assessment procedures for products with digital elements  第24条 デジタル要素を含む製品の適合性評価手順 
CHAPTER IV  NOTIFICATION OF CONFORMITY ASSESSMENT BODIES  第4章 適合性評価機関の通知 
Article 25  Notification  第25条 通知 
Article 26  Notifying authorities  第26条 通知当局 
Article 27  Requirements relating to notifying authorities  第27条 通知当局に関する要求事項 
Article 28  Information obligation on notifying authorities  第28条 通知当局の情報義務 
Article 29 Requirements relating to notified bodies  第29条 通知機関に関する要求事項 
Article 30 Presumption of conformity of notified bodies  第30条 通知機関の適合性の推定 
Article 31  Subsidiaries of and subcontracting by notified bodies  第31条 通知機関の子会社および下請け業者 
Article 32  Application for notification  第32条 通知申請 
Article 33  Notification procedure  第33条 通知手順 
Article 34  Identification numbers and lists of notified bodies  第34条 識別番号と通知機関のリスト 
Article 35  Changes to notifications  第35条 通知事項の変更 
Article 36  Challenge of the competence of notified bodies  第36条 通知機関のコンピテンスへの挑戦 
Article 37  Operational obligations of notified bodies  第37条 通知機関の運用義務 
Article 38  Information obligation on notified bodies  第38条 通知機関への情報提供義務 
Article 39  Exchange of experience  第39条 経験交流 
Article 40  Coordination of notified bodies  第40条 通知機関のコーディネーション 
CHAPTER V  MARKET SURVEILLANCE AND ENFORCEMENT  第5章  市場監視と執行 
Article 41  Market surveillance and control of products with digital elements in the Union market  第41条 連合市場におけるデジタル技術を用いた製品の市場監視と管理 
Article 42  Access to data and documentation  第42条 データ・資料へのアクセス 
Article 43  Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk  第43条 重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ製品に関する国家レベルでの手続き
Article 44  Union safeguard procedure  第44条 ユニオン・セーフガード手続 
Article 45  Procedure at EU level concerning products with digital elements presenting a significant cybersecurity risk  第45条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き 
Article 46  Compliant products with digital elements which present a significant cybersecurity risk  第46条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含むコンプライアンス製品 
Article 47  Formal non-compliance  第47条 形式的なコンプライアンス違反 
Article 48  Joint activities of market surveillance authorities  第48条 市場監視当局の共同活動 
Article 49  Sweeps  第49条 スイープ 
CHAPTER VI  DELEGATED POWERS AND COMMITTEE PROCEDURE  第6章 委任された権限と委員会の手続き 
Article 50  Exercise of the delegation  第50条 委任事項の行使 
Article 51  Committee procedure  第51条 委員会の手続き 
CHAPTER VII  CONFIDENTIALITY AND PENALTIES  第7章 守秘義務と罰則 
Article 52  Confidentiality  第52条 守秘義務 
Article 53  Penalties  第53条 罰則 
CHAPTER VIII  TRANSITIONAL AND FINAL PROVISIONS  第8章 経過措置と最終規定 
Article 54  Amendment to Regulation (EU) 2019/1020  第54条 規則(EU)2019/1020の改正
Article 55  Transitional provisions  第55条 経過措置 
Article 56  Evaluation and review  第56条 評価・レビュー 
Article 57  Entry into force and application  第57条 発効と適用 

 

 

附属書 

・[PDF] Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act

20220916-162052

・[DOCX] 仮訳

 

 

 

|

« 中国 意見募集 ネットワークセキュリティ法の改正案 | Main | 研究開発戦略センター デジタル社会における新たなトラスト形成 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 意見募集 ネットワークセキュリティ法の改正案 | Main | 研究開発戦略センター デジタル社会における新たなトラスト形成 »