欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
こんにちは、丸山満彦です。
欧州委員会 (Euopean Commission) から不十分なセキュリティ機能を備えた製品から消費者と企業を保護するためのサイバーレジリエンス法(Cyber Resilience Act)案が公開されていますね。。。医療機器、自動車、航空機等については、別途規則があるので、それらは対象外です。。。
この法案は、
(a) デジタル要素を含む製品のサイバーセキュリティを確保するための製品の上市に関する規則、
(b) デジタル要素を含む製品の設計、開発、製造に関する必須要件、およびこれらの製品に関連するサイバーセキュリティに関する経済事業者の義務、
(c) デジタル要素を含む製品のサイバーセキュリティを全ライフサイクルにわたって確保するために製造者が実施する脆弱性処理プロセスに関する必須要件、及びこれらのプロセスに関連する経済事業者の義務
(d) 上記の規則及び要件の市場監視及び執行に関する規則
を定めているとのことです。。。
デジタル要素を含む製品を販売しようとする製造者は、事実上PSIRTを組成しないといけないことになりますね。。。
第11条第1項に積極的に悪用される脆弱性に気づいたら24時間以内にENISAに報告しなければならないとありますね。。。ちなみに積極的に悪用される脆弱性 (actively exploited vulnerability) とは「悪意のあるコードの実行が、システム所有者の許可なく、行為者によってシステム上で行われたという信頼できる証拠がある脆弱性」と定義されています。。。
さらに、第2項では、事故が発生した場合も24時間以内にENISAに報告しなければならないとありますね。。。そして、第4項では、製品の使用者にも事故と影響を軽減できる措置の仕方を通知しないといけないとなっていますね。。。
● European Commission
・2022.09.15 Cyber Resilience Act
Cyber Resilience Act | サイバーレジリエンス法 |
The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products. | サイバーレジリエンス法として、デジタル要素を含む製品のサイバーセキュリティ要件に関する規制の提案は、より安全なハードウェアおよびソフトウェア製品を保証するためにサイバーセキュリティの規則を強化するものである。 |
Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021. | ハードウェアおよびソフトウェア製品がサイバー攻撃の標的となるケースが増加しており、2021年までに全世界のサイバー犯罪の年間コストは5.5兆ユーロに達すると推定されている。 |
Such products suffer from two major problems adding costs for users and the society: | このような製品は、ユーザーと社会にコストをもたらす2つの大きな問題を抱えている。 |
1. a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and | 1. サイバーセキュリティのレベルが低く、脆弱性が蔓延し、それに対応するためのセキュリティアップデートが不十分で一貫性がないこと。 |
2. an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner. | 2. ユーザーによる理解と情報へのアクセスが不十分で、適切なサイバーセキュリティ特性を持つ製品を選択したり、安全な方法で製品を使用したりすることを妨げていること。 |
While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs. | 既存の域内市場法は、デジタル要素を持つ一部の製品に適用されますが、ハードウェアおよびソフトウェア製品のほとんどは、現在、そのサイバーセキュリティに取り組むEU法の対象にはなっていません。特に、非組込み型ソフトウェアのサイバーセキュリティについては、サイバーセキュリティ攻撃がこれらの製品の脆弱性を狙うようになってきており、社会的・経済的に大きな損失をもたらしているにもかかわらず、現在のEUの法的枠組みでは対処されていない。 |
Two main objectives were identified aiming to ensure the proper functioning of the internal market: | EU域内市場の適切な機能を確保するために、以下の2つの主要な目的が確認されました。 |
create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and | ハードウェアおよびソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造者が製品のライフサイクルを通じてセキュリティに真剣に取り組むことを保証することにより、デジタル要素を含む安全な製品を開発するための条件を整備すること。 |
create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements. | ユーザーがデジタル製品を選択・使用する際に、サイバーセキュリティを考慮できるような環境を整える。 |
Four specific objectives were set out: | 具体的な目標としては、以下の4点が設定されました。 |
1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle; | 1. 製造者が設計・開発段階からライフサイクル全体を通じて、デジタル要素を含む製品のセキュリティを向上させること。 |
2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers; | 2. 一貫したサイバーセキュリティの枠組みを確保し、ハードウェアとソフトウェアの製造者のコンプライアンスを促進する。 |
3. enhance the transparency of security properties of products with digital elements, and | 3. デジタル要素を含む製品のセキュリティ特性の透明性を向上させる。 |
4. enable businesses and consumers to use products with digital elements securely. | 4. 企業や消費者がデジタル製品を安全に使用できるようにする。 |
法案
・[DOCX] 仮訳
条文構成...
CHAPTER I GENERAL PROVISIONS | 第1章 総則 |
Article 1 Subject matter | 第1条 主題 |
Article 2 Scope | 第2条 対象範囲 |
Article 3 Definitions | 第3条 定義 |
Article 4 Free movement | 第4条 自由行動 |
Article 5 Requirements for products with digital elements | 第5条 デジタル要素を含む製品への要求事項 |
Article 6 Critical products with digital elements | 第6条 デジタル技術を駆使した重要な製品 |
Article 7 General product safety | 第7条 一般製品安全 |
Article 8 High-risk AI systems | 第8条 高リスクのAIシステム |
Article 9 Machinery products | 第9条 機械製品 |
CHAPTER II OBLIGATIONS OF ECONOMIC OPERATORS | 第2章 経済事業者の義務 |
Article 10 Obligations of manufacturers | 第10条 製造者の義務 |
Article 11 Reporting obligations of manufacturers | 第11条 製造者の通知義務 |
Article 12 Authorised representatives | 第12条 正規代理店 |
Article 13 Obligations of importers | 第13条 輸入者の義務 |
Article 14 Obligations of distributors | 第14条 販売代理店の義務 |
Article 15 Cases in which obligations of manufacturers apply to importers and distributors | 第15条 製造者の義務が輸入者・販売者に適用されるケース |
Article 16 Other cases in which obligations of manufacturers apply | 第16条 その他、製造者の義務が適用される場合 |
Article 17 Identification of economic operators | 第17条 経済事業者の特定 |
CHAPTER III CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS | 第3章 製品のデジタル要素への適合性 |
Article 18 Presumption of conformity | 第18条 適合性の推定 |
Article 19 Common specifications | 第19条 共通仕様 |
Article 20 EU declaration of conformity | 第20条 EU適合性宣言 |
Article 21 General principles of the CE marking | 第21条 CEマークの一般原則 |
Article 22 Rules and conditions for affixing the CE marking | 第22条 CEマークの貼付に関する規定と条件 |
Article 23 Technical documentation | 第23条 技術文書 |
Article 24 Conformity assessment procedures for products with digital elements | 第24条 デジタル要素を含む製品の適合性評価手順 |
CHAPTER IV NOTIFICATION OF CONFORMITY ASSESSMENT BODIES | 第4章 適合性評価機関の通知 |
Article 25 Notification | 第25条 通知 |
Article 26 Notifying authorities | 第26条 通知当局 |
Article 27 Requirements relating to notifying authorities | 第27条 通知当局に関する要求事項 |
Article 28 Information obligation on notifying authorities | 第28条 通知当局の情報義務 |
Article 29 Requirements relating to notified bodies | 第29条 通知機関に関する要求事項 |
Article 30 Presumption of conformity of notified bodies | 第30条 通知機関の適合性の推定 |
Article 31 Subsidiaries of and subcontracting by notified bodies | 第31条 通知機関の子会社および下請け業者 |
Article 32 Application for notification | 第32条 通知申請 |
Article 33 Notification procedure | 第33条 通知手順 |
Article 34 Identification numbers and lists of notified bodies | 第34条 識別番号と通知機関のリスト |
Article 35 Changes to notifications | 第35条 通知事項の変更 |
Article 36 Challenge of the competence of notified bodies | 第36条 通知機関のコンピテンスへの挑戦 |
Article 37 Operational obligations of notified bodies | 第37条 通知機関の運用義務 |
Article 38 Information obligation on notified bodies | 第38条 通知機関への情報提供義務 |
Article 39 Exchange of experience | 第39条 経験交流 |
Article 40 Coordination of notified bodies | 第40条 通知機関のコーディネーション |
CHAPTER V MARKET SURVEILLANCE AND ENFORCEMENT | 第5章 市場監視と執行 |
Article 41 Market surveillance and control of products with digital elements in the Union market | 第41条 連合市場におけるデジタル技術を用いた製品の市場監視と管理 |
Article 42 Access to data and documentation | 第42条 データ・資料へのアクセス |
Article 43 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk | 第43条 重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ製品に関する国家レベルでの手続き |
Article 44 Union safeguard procedure | 第44条 ユニオン・セーフガード手続 |
Article 45 Procedure at EU level concerning products with digital elements presenting a significant cybersecurity risk | 第45条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き |
Article 46 Compliant products with digital elements which present a significant cybersecurity risk | 第46条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含むコンプライアンス製品 |
Article 47 Formal non-compliance | 第47条 形式的なコンプライアンス違反 |
Article 48 Joint activities of market surveillance authorities | 第48条 市場監視当局の共同活動 |
Article 49 Sweeps | 第49条 スイープ |
CHAPTER VI DELEGATED POWERS AND COMMITTEE PROCEDURE | 第6章 委任された権限と委員会の手続き |
Article 50 Exercise of the delegation | 第50条 委任事項の行使 |
Article 51 Committee procedure | 第51条 委員会の手続き |
CHAPTER VII CONFIDENTIALITY AND PENALTIES | 第7章 守秘義務と罰則 |
Article 52 Confidentiality | 第52条 守秘義務 |
Article 53 Penalties | 第53条 罰則 |
CHAPTER VIII TRANSITIONAL AND FINAL PROVISIONS | 第8章 経過措置と最終規定 |
Article 54 Amendment to Regulation (EU) 2019/1020 | 第54条 規則(EU)2019/1020の改正 |
Article 55 Transitional provisions | 第55条 経過措置 |
Article 56 Evaluation and review | 第56条 評価・レビュー |
Article 57 Entry into force and application | 第57条 発効と適用 |
附属書
・[DOCX] 仮訳
Comments