欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)
こんにちは、丸山満彦です。
欧州理事会がサイバーレジリエンス法を採択しましたね...
この後、欧州理事会と欧州議会の議長が署名をし、数週間で官報に公示され、その公示から20日後に発効され、36ヶ月後に適用開始...
2021年9月に欧州委員会で発表されて3年ですかね。。。
その間にIoT認証制度という意味では、
英国では、PTSI法に基づく家庭用IoT製品の認証
米国では、サイバートラストマーク(Cyber Trust) 制度がスタートすることになり、
日本でも、JC-STAR制度が始まることになりましたね...
● European Council / Council of the European Union
・2024.10.10 Cyber resilience act: Council adopts new law on security requirements for digital products
| Cyber resilience act: Council adopts new law on security requirements for digital products | サイバーレジリエンス法: 欧州理事会、デジタル製品のセキュリティ要件に関する新法を採択 |
| The Council adopted today a new law on cybersecurity requirements for products with digital elements with a view to ensuring that products, such as connected home cameras, fridges, TVs, and toys, are safe before they are placed on the market (cyber resilience act). The new regulation aims to fill the gaps, clarify the links, and make the existing cybersecurity legislative framework more coherent, ensuring that products with digital components, for example ‘Internet of Things’ (IoT) products, are made secure throughout the supply chain and throughout their lifecycle. | 欧州理事会は本日、コネクテッド・ホーム・カメラ、冷蔵庫、テレビ、玩具などの製品が上市される前に安全であることを保証するため、デジタル要素を含む製品のサイバーセキュリティ要件に関する新法(サイバーレジリエンス法)を採択した。 新規制は、ギャップを埋め、つながりを明確にし、既存のサイバーセキュリティの法的枠組みをより首尾一貫したものにすることで、例えば「モノのインターネット(IoT)」製品など、デジタルコンポーネントを持つ製品が、サプライチェーン全体およびライフサイクル全体を通じて安全であることを保証することを目的としている。 |
| Key elements of the new regulation | 新規制の主な要素 |
| The new law introduces EU-wide cybersecurity requirements for the design, development, production and making available on the market of hardware and software products, to avoid overlapping requirements stemming from different pieces of legislation in EU member states. For example, software and hardware products will bear the CE marking to indicate that they comply with the regulation's requirements. The letters ‘CE’ appear on many products traded on the extended single market in the European Economic Area (EEA). They signify that products sold in the EEA have been assessed to meet high safety, health, and environmental protection requirements. | 新法は、EU加盟国の異なる法律に由来する要件の重複を避けるため、ハードウェアおよびソフトウェア製品の設計、開発、生産、市場での入手可能性に関して、EU全体のサイバーセキュリティ要件を導入する。例えば、ソフトウェアやハードウェア製品には、規制の要件に適合していることを示すCEマーキングが付けられる。CE」の文字は、欧州経済領域(EEA)の拡大単一市場で取引される多くの製品に表示されている。これは、EEAで販売される製品が高い安全性、健康、環境保護要件を満たしているとアセスメントされたことを示すものである。 |
| The regulation will apply to all products that are connected either directly or indirectly to another device or to a network. There are some exceptions for products for which cybersecurity requirements are already set out in existing EU rules, for example medical devices, aeronautical products, and cars. | この規制は、他の機器やネットワークに直接または間接的に接続されるすべての製品に適用される。ただし、医療機器、航空製品、自動車など、既存のEU規則でサイバーセキュリティ要件がすでに定められている製品については例外がある。 |
| Finally, the new law will allow consumers to take cybersecurity into account when selecting and using products that contain digital elements, making it easier for them to identify hardware and software products with the proper cybersecurity features. | 最後に、新法により、消費者はデジタル要素を含む製品を選択・使用する際にサイバーセキュリティを考慮することができるようになり、適切なサイバーセキュリティ機能を備えたハードウェアやソフトウェア製品を特定しやすくなる。 |
| Next steps | 次のステップ |
| Following today’s adoption, the legislative act will be signed by the presidents of the Council and of the European Parliament and published in the EU’s official journal in the coming weeks. The new regulation will enter into force twenty days after this publication and will apply 36 months after its entry into force with some provisions to apply at an earlier stage. | 本日の採択後、EU理事会の議長および欧州議会の議長が署名し、数週間以内にEUの機関誌に掲載される。新規則は、この公示から20日後に発効し、発効から36カ月後に適用される。一部の条項はより早い段階で適用される。 |
| Background | 背景 |
| First announced by Commission President von der Leyen in her State of the Union address in September 2021, the cyber resilience act was mentioned in the Council conclusions of 23 May 2022 on the development of the European Union’s cyber posture, which called upon the Commission to submit its proposal by the end of 2022. | 2021年9月にフォン・デル・ライエン欧州委員会委員長が一般教書演説で初めて発表したサイバーレジリエンス法は、EUのサイバー態勢の整備に関する2022年5月23日の理事会結論で言及され、2022年末までに提案書を提出するよう欧州委員会に求めた。 |
| On 15 September 2022, the Commission submitted the proposal for a cyber resilience act, which will complement the existing EU cybersecurity framework: the directive on the security of network and information systems (NIS directive), the directive on measures for a high level of cybersecurity across the Union (NIS 2 directive) and the EU cybersecurity act. Following interinstitutional negotiations (‘trilogues’), a provisional agreement was reached between the co-legislators on 30 November 2023. | 2022年9月15日、欧州委員会は、ネットワークと情報システムのセキュリティに関する指令(NIS指令)、EU全域における高水準のサイバーセキュリティ対策に関する指令(NIS 2指令)、EUサイバーセキュリティ法といった既存のEUサイバーセキュリティの枠組みを補完するサイバーレジリエンス法の提案を提出した。機関間交渉(「三部会」)を経て、2023年11月30日に共同立法者間で暫定合意に達した。 |
| Regulation on horizontal cybersecurity requirements for products with digital elements (Cyber resilience act), 10 October 2024 | デジタル要素を含む製品に対するサイバーセキュリティの水平的要件に関する規則(サイバーレジリエンス法)、2024年10月10日 |
| Cyber resilience act, Council’s negotiating mandate, 19 July 2023 | サイバーレジリエンス法、理事会の交渉指令、2023年7月19日 |
| Regulation on horizontal cybersecurity requirements for products with digital elements (cyber resilience act), Commission proposal, 15 September 2022 | デジタル要素を含む製品に対するサイバーセキュリティの水平的要件に関する規則(サイバーレジリエンス法)、欧州委員会提案、2022年9月15日 |
| Your life online: How the EU is making it easier and safer for you (feature story) | Your life online: EUはいかにしてオンラインをより簡単で安全なものにしようとしているのか(特集記事) |
| Visit the meeting page | 会議のページを見る |
採択されたサイバーレジリエンス法...
・2024.10.10 [PDF] Regulation on horizontal cybersecurity requirements for products with digital elements (Cyber resilience act)
条文の見出しだけでも...
| Chapter I General provisions | 第I章 総則 |
| Article 1 Subject matter | 第1条 対象 |
| Article 2 Scope | 第2条 適用範囲 |
| Article 3 Definitions | 第3条 定義 |
| Article 4 Free movement |
第4条 自由な移動 |
| Article 5 Procurement or use of products with digital elements | 第5条 デジタル要素を含む製品の調達または使用 |
| Article 6 Requirements for products with digital elements | 第6条 デジタル要素を含む製品に対する要件 |
| Article 7 Important products with digital elements | 第7条 デジタル要素を含む重要な製品 |
| Article 8 Critical products with digital elements | 第8条 デジタル要素を含む非常に重要な製品 |
| Article 9 Stakeholder consultation | 第9条 利害関係者による協議 |
| Article 10 Enhancing skills in a cyber resilient digital environment | 第10条 サイバーレジリエントなデジタル環境における技能の強化 |
| Article 11 General product safety | 第11条 一般製品安全 |
| Article 12 High-risk AI systems | 第12条 高リスクAIシステム |
| Chapter II Obligations of economic operators and provisions in relation to free and open-source software | 第II章 経済的事業者の義務およびフリー・オープンソースソフトウェアに関連する規定 |
| Article 13 Obligations of manufacturers | 第13条 製造事業者の義務 |
| Article 14 Reporting obligations of manufacturers | 第14条 製造事業者の報告義務 |
| Article 15 Voluntary reporting | 第15条 自主的報告 |
| Article 16 Establishment of a single reporting platform | 第16条 単一報告プラットフォームの設立 |
| Article 17 Other provisions related to reporting | 第17条 報告に関するその他の規定 |
| Article 18 Authorised representatives | 第18条 公認代表者 |
| Article 19 Obligations of importers | 第19条 輸入事業者の義務 |
| Article 20 Obligations of distributors | 第20条 流通事業者の義務 |
| Article 21 Cases in which obligations of manufacturers apply to importers and distributors | 第21 条 製造事業者の義務が輸入事業者及び流通事業者に適用される場合 |
| Article 22 Other cases in which obligations of manufacturers apply | 第22条 製造事業者の義務が適用されるその他の場合 |
| Article 23 Identification of economic operators | 第23条 経済的事業者の識別 |
| Article 24 Obligations of open-source software stewards | 第24条 オープンソース・ソフトウェアのスチュワードの義務 |
| Article 25 Security attestation of free and open-source software | 第25条 フリーソフトウェアおよびオープンソースソフトウェアのセキュリティ認証 |
| Article 26 Guidance | 第26条 ガイダンス |
| Chapter III Conformity of the product with digital elements | 第 III 章 デジタル要素を含む製品の適合性 |
| Article 27 Presumption of conformity | 第27条 適合の推定 |
| Article 28 EU declaration of conformity | 第28条 EU 適合宣言 |
| Article 29 General principles of the CE marking | 第29条 CE マーキングの一般原則 |
| Article 30 Rules and conditions for affixing the CE marking | 第30条 CE マーキング貼付の規則および条件 |
| Article 31 Technical documentation | 第31条 技術文書 |
| Article 32 Conformity assessment procedures for products with digital elements | 第32条 デジタル要素を含む製品の適合性評価手続き |
| Article 33 Support measures for microenterprises and small and medium-sized enterprises, including start-ups | 第33条 零細企業および中小企業に対する支援措置、 への支援措置 |
| Article 34 Mutual recognition agreements | 第34条 相互承認協定 |
| Chapter IV Notification of conformity assessment bodies | 第IV章 適合性評価機関の届出 |
| Article 35 Notification | 第35条 届出 |
| Article 36 Notifying authorities | 第36条 届出機関 |
| Article 37 Requirements relating to notifying authorities | 第37条 届出機関に関する要求事項 |
| Article 38 Information obligation on notifying authorities | 第38条 届出機関に対する情報義務 |
| Article 39 Requirements relating to notified bodies | 第39条 被認定機関に関する要求事項 |
| Article 40 Presumption of conformity of notified bodies | 第40条 被認定機関の適合性の推定 |
| Article 41 Subsidiaries of and subcontracting by notified bodies | 第41条 被認定機関の子会社及び被認定機関による下請負 |
| Article 42 Application for notification | 第42条 届出申請 |
| Article 43 Notification procedure | 第43条 届出手続 |
| Article 44 Identification numbers and lists of notified bodies | 第44条 被認定機関の識別番号及びリスト |
| Article 45 Changes to notifications | 第45条 届出の変更 |
| Article 46 Challenge of the competence of notified bodies | 第46条 被認定機関の能力への挑戦 |
| Article 47 Operational obligations of notified bodies | 第47条 被認定機関の業務上の義務 |
| Article 48 Appeal against decisions of notified bodies | 第48条 被認定団体の決定に対する異議申し立て |
| Article 49 Information obligation on notified bodies | 第49 条 届出団体に対する情報義務 |
| Article 50 Exchange of experience | 第50 条 経験の交換 |
| Article 51 Coordination of notified bodies | 第51 条 届出団体の調整 |
| Chapter V Market surveillance and enforcement | 第 V 章 市場監視及び執行 |
| Article 52 Market surveillance and control of products with digital elements in the Union market | 第52条 連合市場におけるデジタル要素を含む製品の市場監視及び管理 |
| Article 53 Access to data and documentation | 第53条 データ及び文書へのアクセス |
| Article 54 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk | 第54条 重要なサイバーセキュリティリスクを提示するデジタル要素を含む製品に関する国レベ ルの手続 |
| Article 55 Union safeguard procedure | 第55条 連合セーフガード手続 |
| Article 56 Procedure at Union level concerning products with digital elements presenting a significant cybersecurity risk | 第56条 重要なサイバーセキュリティリスクを提示するデジタル要素を含む製品に関する連合レ ベルの手続 |
| Article 57 Compliant products with digital elements which present a significant cybersecurity risk | 第57条 重要なサイバーセキュリティリスクを提示するデジタル要素を含む製品の準拠 |
| Article 58 Formal non-compliance | 第58条 形式的な非準拠 |
| Article 59 Joint activities of market surveillance authorities | 第59条 市場監視当局の共同活動 |
| Article 60 Sweeps | 第60条 スイープ(広範な調査) |
| Chapter VI Delegated powers and committee procedure | 第VI章 委任権限および委員会手続 |
| Article 61 Exercise of the delegation | 第61条 委任の行使 |
| Article 62 Committee procedure | 第62条 委員会手続 |
| Chapter VII Confidentiality and penalties | 第VII章 機密保持および罰則 |
| Article 63 Confidentiality | 第63条 機密保持 |
| Article 64 Penalties | 第64条 罰則 |
| Article 65 Representative actions | 第65条 代表者行動 |
| Chapter VIII Transitional and final provisions | 第VIII章 移行規定および最終規定 |
| Article 66 Amendment to Regulation (EU) 2019/1020 | 第66条 規則(EU)2019/1020号の改正 |
| Article 67 Amendment to Directive (EU) 2020/1828 | 第67条 指令(EU)2020/1828号の改正 |
| Article 68 Amendment to Regulation (EU) No 168/2013 | 第68条 規則(EU)No 168/2013号の改正 |
| Article 69 Transitional provisions | 第69条 移行規定 |
| Article 70 Evaluation and review | 第70条 評価および見直し |
| Article 71 Entry into force and application | 第71条 発効および適用 |
● まるちゃんの情報セキュリティ気まぐれ日記
EU
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
日本
・2024.10.01 IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR)のページを開設
・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
米国...
・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)
・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10)
・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則
・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
英国...
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
中国...
・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持
Comments