欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
こんにちは、丸山満彦です。
欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意をしたと報道されていますね。。。
2024年に確定する可能性が高いですね。。。3年以内に施行が見込まれるので、2027年は新しい世界という感じですかね。。。
欧州委員会
・2023.12.01 Commission welcomes political agreement on Cyber Resilience Act
Commission welcomes political agreement on Cyber Resilience Act | 欧州委員会、サイバー・レジリエンス法に関する政治合意を歓迎する |
The Commission welcomes the political agreement reached last night between the European Parliament and the Council on the Cyber Resilience Act, proposed by the Commission in September 2022. | 欧州委員会は、欧州委員会が2022年9月に提案した「サイバーレジリエンス法」に関する欧州議会と理事会の政治的合意が昨夜成立したことを歓迎する。 |
The Cyber Resilience Act is the first legislation of its kind in the world. It will improve the level of cybersecurity of digital products to the benefit of consumers and businesses across the EU, as it introduces proportionate mandatory cybersecurity requirements for all hardware and software, ranging from baby monitors, smart watches and computer games to firewalls and routers. Products with different levels of risk associated will have different security requirements. Less than 10% of products will be subject to third-party assessments. | サイバーレジリエンス法は、この種の法律としては世界初のものである。ベビーモニター、スマートウォッチ、コンピューターゲームからファイアウォールやルーターに至るまで、すべてのハードウェアとソフトウェアに比例した義務的サイバーセキュリティ要件が導入される。 関連するリスクのレベルが異なる製品は、セキュリティ要件も異なる。サードパーティ評価の対象となる製品は全体の10%未満である。 |
With this new Regulation, all products put on the EU market will need to be cyber secure. This is a crucial step in the fight against the growing threat from cyber criminals and other malicious actors. | この新規制により、EU市場に投入されるすべての製品はサイバーセキュアである必要がある。これは、サイバー犯罪者やその他の悪意ある行為者から増大する脅威との戦いにおける重要なステップである。 |
Once the Cyber Resilience Act is in place, manufacturers of hardware and software will have to implement cybersecurity measures across the entire lifecycle of the product, from the design and development, to after the product is placed on the market. Software and hardware products will bear the CE marking to indicate that they comply with the Regulation's requirements and therefore can be sold in the EU. | サイバーレジリエンス法が施行されると、ハードウェアとソフトウェアのメーカーは、設計・開発から製品が市場に投入された後まで、製品のライフサイクル全体にわたってサイバーセキュリティ対策を実施しなければならなくなる。ソフトウェアおよびハードウェア製品には、同規則の要件に適合していることを示すCEマーキングが付され、EU域内で販売できるようになる。 |
The Act will also introduce a legal obligation for manufacturers to provide consumers with timely security updates during several years after the purchase. This period has to reflect the time products are expected to be used. | 同法はまた、購入後数年間、消費者にタイムリーなセキュリティアップデートを提供する製造業者の法的義務を導入する。この期間は、製品が使用されると予想される期間を反映したものでなければならない。 |
Through these measures, the new Act will empower users to make better informed and more secure choices, as manufacturers will have to become more transparent and responsible about the security of their products. | これらの措置により、新法は、メーカーが自社製品のセキュリティについてより透明性を高め、責任を持たなければならなくなるため、ユーザーがより十分な情報を得た上で、より安全な選択をすることができるようになる。 |
Next Steps | 次のステップ |
The agreement reached is now subject to formal approval by both the European Parliament and the Council. Once adopted, the Cyber Resilience Act will enter into force on the 20th day following its publication in the Official Journal. | 今回の合意は、欧州議会と欧州理事会の正式な承認が必要となる。採択されれば、サイバーレジリエンス法は官報に掲載されてから20日目に発効する。 |
Upon entry into force, manufacturers, importers and distributors of hardware and software products will have 36 months to adapt to the new requirements, with the exception of a more limited 21-month grace period in relation to the reporting obligation of manufacturers for incidents and vulnerabilities. | 発効後、ハードウェアおよびソフトウェア製品の製造業者、輸入業者、販売業者は、インシデントや脆弱性に関する製造業者の報告義務に関する21ヶ月という限定的な猶予期間を除き、新しい要件に適応するために36ヶ月の猶予期間が与えられる。 |
Background | 背景 |
Cybersecurity is one of the top priorities of the European Commission. We must take strong action to secure our digital products, both software and hardware. | サイバーセキュリティは欧州委員会の最優先課題のひとつである。われわれは、ソフトウェア、ハードウェアを問わず、デジタル製品の安全性を確保するために強力な行動を起こさなければならない。 |
The Cyber Resilience Act builds on the 2020 EU Cybersecurity Strategy and the 2020 EU Security Union Strategy, and was announced in the 2021 State of the European Union address as part of the plan to build a Europe fit for the Digital age. It will complement existing legislation, specifically the NIS2 Framework, adopted in 2022. | サイバー・レジリエンス法は、2020年EUサイバーセキュリティ戦略と2020年EU安全保障連合戦略に基づくもので、デジタル時代に適合した欧州を構築する計画の一環として、2021年の欧州連合演説で発表された。これは既存の法律、特に2022年に採択されたNIS2フレームワークを補完するものである。 |
In the last year, the number of software supply chain attacks have tripled, and every day, small businesses and critical institutions like hospitals are targeted by cyber criminals. Every 11 seconds, an organisation is hit by a ransomware attack, to the cost of an estimated €20 billion annually. And, in 2021 alone, cyber criminals were able to hack devices and launch around 10 million distributed denial of service (DDoS) attacks worldwide, making websites and online services inaccessible to their users. | 昨年、ソフトウェアサプライチェーン攻撃の件数は3倍に増加し、毎日、中小企業や病院のような重要機構がサイバー犯罪者に狙われている。11秒に1つの組織がランサムウェア攻撃を受けており、その被害額は年間200億ユーロに上ると推定されている。また、2021年だけでも、サイバー犯罪者はデバイスをハッキングし、世界中で約1,000万件の分散型サービス妨害(DDoS)攻撃を仕掛け、ウェブサイトやオンライン・サービスを利用できなくすることができた。 |
For More Information | 詳細はこちら |
Cyber Resilience Act | サイバーレジリエンス法 |
Proposal for a Cyber Resilience Act | サイバーレジリエンス法の提案 |
Cyber Resilience Act - Questions and Answers (updated) | サイバーレジリエンス法 - 質問と回答(更新版) |
Factsheet: Cyber Resilience Act | ファクトシート サイバーレジリエンス法 |
Impact assessment: Cyber Resilience Act | 影響評価 サイバーレジリエンス法 |
Quote(s) | 引用 |
Consumers need to feel safe with the products available on the EU market. The Cyber Resilience Act agreed today will ensure the digital products we use at home and at work comply with strong cybersecurity standards. Those that place these products on the market must be held responsible for their safety. | 消費者は、EU市場で入手可能な製品を安心して使用する必要がある。本日合意されたサイバーレジリエンス法は、我々が家庭や職場で使用するデジタル製品が強力なサイバーセキュリティ標準に準拠することを保証するものである。これらの製品を市場に出す者は、その安全性について責任を負わなければならない。 |
Věra Jourová, Vice-President for Values and Transparency - 01/12/2023 | ヴィエラ・ジュロヴァー副会長(価値・透明性担当) - 01/12/2023 |
The safety of all products circulating in the EU has always been a priority and a success story. With the Cyber Resilience Act, we are filling a gap by completing the safety rules so that security by design applies to all products that reach EU consumers and users. The new rules require every interconnected product sold in the EU to be cybersecure and make sure that our businesses and homes become more secure. | EUで流通するすべての製品の安全性は、常に優先事項であり、成功事例である。サイバーレジリエンス法では、EUの消費者やユーザーの手に渡るすべての製品にデザインによるセキュリティが適用されるよう、安全規則を完成させることでギャップを埋めようとしている。この新しい規則は、EU域内で販売されるすべての相互接続製品にサイバーセキュリティを要求するものであり、私たちのビジネスと家庭がより安全になることを確実にするものである。 |
Margaritis Schinas, Vice-President for Promoting our European Way of Life - 01/12/2023 | マルガリーテス・シナス副委員長(欧州生活促進担当) - 01/12/2023 |
I welcome the agreement reached by the Parliament and the Council on this important regulation my services tabled. This Act guarantees that digital devices within the EU embody robust cybersecurity from their conception throughout their lifecycle. This cybersecurity by design is essential for the security of both consumers and society at large. | 私が提出したこの重要な規則について、議会と理事会が合意に達したことを歓迎する。この法律は、EU域内のデジタル機器が、その構想段階からライフサイクルを通じて強固なサイバーセキュリティを具現化することを保証するものである。このサイバーセキュリティ・バイ・デザインは、消費者と社会全体の安全にとって不可欠である。 |
Thierry Breton, Commissioner for Internal Market - 01/12/2023 | ティエリー・ブルトン域内市場担当委員 - 2023年12月1日 |
欧州議会
・2023.12.01 Cyber Resilience Act: agreement with Council to boost digital products’ security
Cyber Resilience Act: agreement with Council to boost digital products’ security | サイバーレジリエンス法:デジタル製品のセキュリティ強化に向けた理事会との合意 |
・More robust cybersecurity for all products with digital elements | ・デジタル要素を含むすべての製品に対して、より強固なサイバーセキュリティを提供する。 |
・Covers everyday products, such as connected doorbells, baby monitors and Wi-Fi routers | ・コネクテッド・ドアベル、ベビーモニター、Wi-Fiルーターなど、日常的に使用される製品を対象とする。 |
・Security updates to be applied automatically when technically feasible | ・技術的に可能な場合、セキュリティアップデートを自動的に適用する。 |
On Thursday night, MEPs reached a deal with the Presidency of the Council on new cyber resilience rules to protect all digital products in the EU from cyber threats. | 木曜日夜、欧州議会議員は、EU域内のすべてのデジタル製品をサイバー脅威から保護するための新しいサイバーレジリエンス規則について、理事会議長国と合意に達した。 |
Parliament and Council negotiators reached an informal agreement on the Cyber Resilience Act, which aims to ensure that products with digital features are secure to use, resilient against cyber threats and provide enough information about their security properties. | 欧州議会と理事会の交渉担当者は、サイバーレジリエンス法について非公式合意に達した。この法律は、デジタル機能を備えた製品が安全に使用され、サイバー脅威に対してレジリエンス(回復力)を持ち、セキュリティ特性について十分な情報を提供することを保証することを目的としている。 |
The rules will put important and critical products into different lists based on their criticality and the level of cybersecurity risk they pose. Two lists will be proposed and updated by the European Commission. During negotiations, MEPs secured an expansion of the list of covered devices with products such as identity management systems software, password managers, biometric readers, smart home assistants and private security cameras. Products should also have security updates installed automatically and separately from functionality ones. | この規則では、重要かつクリティカルな製品を、その重要性とサイバーセキュリティリスクのレベルに応じて異なるリストに分類する。つのリストが欧州委員会によって提案され、更新される。交渉中、欧州議会議員らは、ID管理システムソフトウェア、パスワード管理者、生体認証リーダー、スマートホームアシスタント、個人用セキュリティカメラなどの製品を対象とする対象機器リストの拡大を確保した。また、機能とは別にセキュリティアップデートが自動的にインストールされるようにすべきである。 |
MEPs also pushed for the European Union Agency for Cybersecurity (ENISA) to be more closely involved when vulnerabilities and incidents occur. The agency will be notified by the member state concerned and receive information so it can assess the situation and, if it estimates that the risk is systemic, will inform other member states so they are able to take the necessary steps. | 欧州議会議員はまた、脆弱性やインシデントが発生した場合、欧州連合サイバーセキュリティ機関(ENISA)がより密接に関与するよう求めた。ENISAは関係加盟国から通知を受け、情報を受け取ることで状況を評価し、リスクがシステミックであると判断した場合には、他の加盟国に通知し、必要な措置を講じることができるようにする。 |
To emphasise the importance of professional skills in the cybersecurity field, MEPs also managed to introduce education and training programmes, collaboration initiatives, and strategies to enhance workforce mobility. | また、サイバーセキュリティ分野における専門スキルの重要性を強調するため、欧州議会議員は、教育・訓練プログラム、協力イニシアティブ、労働力の流動性を高める戦略の導入にも取り組んだ。 |
Quote | 引用 |
Lead MEP Nicola Danti (Renew, IT) said: “The Cyber Resilience Act will strengthen the cybersecurity of connected products, tackling vulnerabilities in hardware and software alike, making the EU a safer and more resilient continent. Parliament has protected supply chains ensuring that key products such as routers and antiviruses are identified as a priority for cybersecurity. We have ensured support for micro and small enterprises and better involvement of stakeholders, and addressed the concerns of the open-source community, while keeping an ambitious European dimension. Only together will we be able to tackle successfully the cybersecurity emergency that awaits us in the coming years.” | ニコラ・ダンチ欧州議会議員(刷新、IT)は次のように述べた: 「サイバーレジリエンス法は、コネクテッド製品のサイバーセキュリティを強化し、ハードウェアとソフトウェアの脆弱性に取り組むことで、EUをより安全でレジリエンスに優れた大陸にする。議会は、ルーターやアンチウイルスなどの主要製品がサイバーセキュリティの優先事項として特定されるよう、サプライチェーンを保護してきた。また、欧州という野心的な次元を保ちつつ、零細・小規模エンタープライズへの支援と利害関係者のより良い参加を確保し、オープンソースコミュニティの懸念に対処してきた。今後数年間に待ち受けるサイバーセキュリティの緊急事態に成功裏に取り組むことができるのは、われわれの協力があってこそである」。 |
Next steps | 次のステップ |
The agreed text will now have to be formally adopted by both Parliament and Council in order to come into law. The Industry, Research and Energy Committee will hold a vote on the file in a forthcoming meeting. | 合意された文書は今後、国会と理事会の双方で正式に採択され、法制化される必要がある。産業・研究・エネルギー委員会は、近々開催される会議でこの法案に関する採決を行う予定である。 |
Background | 背景 |
New technologies come with new risks, and the impact of cyber-attacks through digital products has increased dramatically in recent years. Consumers have fallen victim to security flaws linked to digital products such as baby monitors, robot-vacuum cleaners, Wi-Fi routers and alarm systems. For businesses, the importance of ensuring that digital products in the supply chain are secure has become pivotal, considering three in five vendors have already lost money due to product security gaps. | 新しい技術には新しいリスクがつきものであり、デジタル製品を介したサイバー攻撃の影響は近年劇的に増加している。消費者は、ベビーモニター、ロボット掃除機、Wi-Fiルーター、警報システムなどのデジタル製品に関連したセキュリティ欠陥の犠牲になっている。企業にとっても、サプライチェーンにおけるデジタル製品の安全性を確保することの重要性は、製品のセキュリティ・ギャップのためにすでに5社に3社が損失を被っていることを考えると、極めて重要になっている。 |
欧州理事会
・2023.11.30 Cyber resilience act: Council and Parliament strike a deal on security requirements for digital products
Cyber resilience act: Council and Parliament strike a deal on security requirements for digital products | サイバーレジリエンス法: 欧州理事会と欧州議会がデジタル製品のセキュリティ要件で合意 |
The Council presidency and the European Parliament’s negotiators have reached a provisional agreement on the proposed legislation regarding cybersecurity requirements for products with digital elements, which aims to ensure that products such as connected home cameras, fridges, TVs and toys are safe before they are placed on the market (cyber resilience act). | 欧州理事会議長国と欧州議会の交渉担当者は、コネクテッドホームカメラ、冷蔵庫、テレビ、玩具などの製品が市場に出回る前に安全であることを保証することを目的とした、デジタル要素を含む製品のサイバーセキュリティ要件に関する法律案(サイバー・レジリエンス法)について暫定合意に達した。 |
Today’s agreement is a milestone towards a safe and secure digital single market in Europe. Connected devices need a basic level of cybersecurity when sold in the EU, ensuring that businesses and consumers are properly protected against cyber threats. This is exactly what the cyber resilience act will achieve once it enters into force. | 「本日の合意は、欧州における安全でセキュアなデジタル単一市場に向けた一里塚である。コネクテッドデバイスがEUで販売される際には、基本的なレベルのサイバーセキュリティが必要であり、企業や消費者がサイバー脅威から適切に保護されることが保証される。サイバー・レジリエンス法が発効されれば、まさにこれが実現されることになる」。 |
José Luis Escrivá, Spanish minister of digital transformation | ホセ・ルイス・エスクリバ、スペインのデジタル変革担当大臣 |
Main objectives of the new regulation | 新規則の主な目的 |
The new law introduces EU-wide cybersecurity requirements for the design, development, production and making available on the market of hardware and software products, to avoid overlapping requirements stemming from different pieces of legislation in EU member states. | 新法は、EU加盟国の異なる法律に由来する要件の重複を避けるため、ハードウェアおよびソフトウェア製品の設計、開発、生産、市場投入に関するEU全体のサイバーセキュリティ要件を導入する。 |
The regulation will apply to all products that are connected either directly or indirectly to another device or to a network. There are some exceptions for products for which cybersecurity requirements are already set out in existing EU rules, for example medical devices, aeronautical products and cars. | この規制は、他の機器やネットワークに直接または間接的に接続されるすべての製品に適用される。ただし、医療機器、航空製品、自動車など、既存のEU規則でサイバーセキュリティ要件がすでに定められている製品については例外がある。 |
The proposal aims to fill the gaps, clarify the links, and make the existing cybersecurity legislation more coherent, ensuring that products with digital components, for example ‘Internet of Things’ (IoT) products, are made secure throughout the supply chain and throughout their lifecycle. | この提案は、ギャップを埋め、つながりを明確にし、既存のサイバーセキュリティ法制をより首尾一貫したものにすることで、例えば「モノのインターネット」(IoT)製品のようなデジタルコンポーネントを持つ製品が、サプライチェーン全体およびライフサイクル全体を通じて安全であることを保証することを目的としている。 |
Finally, the regulation will allow consumers to take cybersecurity into account when selecting and using products that contain digital elements, making it easier for them to identify hardware and software products with the proper cybersecurity features. | 最後に、同規制は、消費者がデジタル要素を含む製品を選択・使用する際にサイバーセキュリティを考慮できるようにし、適切なサイバーセキュリティ機能を備えたハードウェア製品やソフトウェア製品を特定しやすくする。 |
Main thrust of the Commission proposal retained | 欧州委員会提案の主な内容は維持される |
The provisionally agreed text maintains the general thrust of the Commission’s proposal, namely as regards: | 暫定的に合意された文書は、欧州委員会の提案の一般的な主旨、すなわち、以下の点を維持している: |
・rules to rebalance responsibility for compliance towards manufacturers, who must meet certain obligations such as providing cybersecurity risk assessments, issuing declarations of conformity, and cooperating with the competent authorities | ・製造業者は、サイバーセキュリティのリスクアセスメントのプロバイダ、適合宣言書の発行、所轄当局との協力といった一定の義務を果たさなければならない。 |
・vulnerability handling processes for manufacturers to ensure the cybersecurity of digital products, and obligations for economic operators, such as importers or distributors, in relation to those processes | ・製造業者がデジタル製品のサイバーセキュリティを確保するための脆弱性対応プロセス、およびそれらのプロセスに関連する輸入業者や販売業者などの経済事業者の義務 |
・measures to improve transparency on the security of hardware and software products for consumers and business users | ・消費者および企業ユーザー向けに、ハードウェアおよびソフトウェア製品のセキュリティに関する透明性を改善するための措置 |
・a market surveillance framework to enforce the rules. | ・規則を実施するための市場監視の枠組み |
Co-legislators’ main amendments | 共同議員の主な修正案 |
However, the co-legislators propose various adjustments to parts of the Commission’s proposal, mainly with regard to: | しかし、共同議員団は、欧州委員会の提案の一部について、主に以下の点でさまざまな修正を提案している: |
・the scope of the proposed legislation, with a simpler methodology for the classification of digital products to be covered by the new regulation | ・新規制の対象となるデジタル製品の分類をより単純化した方法論とする。 |
・the determination of the expected product lifetime by manufacturers: while the principle remains that the support period for a digital product corresponds to its expected lifetime, a support period of at least five years is indicated, except for products which are expected to be in use for a shorter period of time | ・製造者による製品の予想耐用年数の決定: デジタル製品のサポート期間は、その製品の予想耐用年数に対応するという原則は変わらないが、より短い期間しか使用されないと予想される製品を除き、少なくとも5年間のサポート期間が示される。 |
・the reporting obligations regarding actively exploited vulnerabilities and incidents: the competent national authorities will be the initial recipients of such reports but the role of the EU agency for cybersecurity (ENISA) is strengthened | ・積極的に悪用された脆弱性やインシデントに関する報告義務:管轄の国家当局がそのような報告の最初の取得者となるが、EUのサイバーセキュリティ機関(ENISA)の役割は強化される。 |
・the new rules will apply three years after the law enters into force, which should give manufacturers sufficient time to adapt to the new requirements | ・新規則は法律発効から3年後に適用されるため、製造業者は新しい要件に適応するための十分な時間を確保できるはずである。 |
・additional support measures for small and micro enterprises have been agreed, including specific awareness-raising and training activities, as well as support for testing and conformity assessment procedures. | ・特定の意識向上およびトレーニング活動、試験および適合性評価手続きへの支援など、小規模・零細企業に対する追加支援措置が合意された。 |
Next steps | 次のステップ |
Following today’s provisional agreement, work will continue at technical level in the coming weeks to finalise the details of the new regulation. The Spanish presidency will submit the compromise text to the member states’ representatives (Coreper) for endorsement once this work has been concluded. | 本日の暫定合意を受けて、今後数週間、技術レベルで新規則の詳細を詰める作業が続けられる。スペインの議長国は、この作業が終了次第、妥協案を加盟国代表者(Coreper)に提出し、承認を求める。 |
The entire text will need to be confirmed by both institutions and undergo legal-linguistic revision before formal adoption by the co-legislators. | 共同立法者による正式な採択に先立ち、全文が両機構によって確認され、法文上の修正を受ける必要がある。 |
Background | 背景 |
In its conclusions of 2 December 2020 on the cybersecurity of connected devices, the Council underlined the importance of assessing the need for horizontal legislation in the long term to address all relevant aspects of cybersecurity of connected devices, such as availability, integrity and confidentiality, including specifying conditions for placement on the market. | 欧州理事会は、2020年12月2日に発表したコネクテッドデバイスのサイバーセキュリティに関する結論の中で、市場投入の条件を規定することを含め、可用性、完全性、機密性など、コネクテッドデバイスのサイバーセキュリティに関連するあらゆる側面に対応するため、長期的に水平的な法律の必要性を評価することの重要性を強調した。 |
First announced by Commission President von der Leyen in her State of the Union address in September 2021, the cyber resilience act was mentioned in the Council conclusions of 23 May 2022 on the development of the European Union’s cyber posture, which called upon the Commission to submit its proposal by the end of 2022. | フォン・デル・ライエン欧州委員会委員長が2021年9月の一般教書演説で初めて発表したサイバーレジリエンス法は、EUのサイバー態勢の整備に関する2022年5月23日の理事会結論で言及され、欧州委員会に対し2022年末までに提案書を提出するよう求めた。 |
On 15 September 2022, the Commission submitted the proposal for a cyber resilience act, which will complement the existing EU cybersecurity framework: the directive on the security of network and information systems (NIS directive), the directive on measures for a high level of cybersecurity across the Union (NIS 2 directive) and the EU cybersecurity act. | 2022年9月15日、欧州委員会は、ネットワークと情報システムのセキュリティに関する指令(NIS指令)、EU全域における高水準のサイバーセキュリティ対策に関する指令(NIS 2指令)、EUサイバーセキュリティ法といった既存のEUサイバーセキュリティの枠組みを補完するサイバー・レジリエンス法の提案を提出した。 |
・Cyber resilience act, Council’s negotiating mandate, 19 July 2023 | ・サイバーレジリエンス法、理事会の交渉委任、2023年7月19日 |
・Regulation on harmonized cybersecurity requirements for products with digital elements (cyber resilience act), Commission proposal, 15 September 2022 | ・デジタル要素を含む製品のサイバーセキュリティ要件の調和に関する規則(サイバーレジリエンス法)、欧州委員会提案、2022年9月15日 |
・Your life online: how the EU is making it easier and safer for you (feature story) | ・あなたのオンライン生活:EUはどのようにしてより簡単で安全なものにしようとしているのか(特集記事) |
Comments