欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)
こんにちは、丸山満彦です。
脆弱性報告義務、IoTセキュリティの認証制度とか話題のサイバーレジリエンス法ですが、2024.10.10に欧州理事会で採択され、2024.11.20にEur-Lexに掲載されたので、20日後の2024.12.10に発効ということですかね...
全面適用は36ヶ月後なので、2027.12.10ということになりますね...ただし、脆弱性報告義務は21ヶ月後ですから、2026.09.20ということですかね...
| CHAPTER I GENERAL PROVISIONS | 第1章 一般規定 |
| Article 1 Subject matter | 第1条 対象 |
| Article 2 Scope | 第2条 適用範囲 |
| Article 3 Definitions | 第3条 定義 |
| Article 4 Free movement | 第4条 自由な移動 |
| Article 5 Procurement or use of products with digital elements | 第5条 デジタル要素を含む製品の調達または使用 |
| Article 6 Requirements for products with digital elements | 第6条 デジタル要素を含む製品の要件 |
| Article 7 Important products with digital elements | 第7条 デジタル要素を含む重要な製品 |
| Article 8 Critical products with digital elements | 第8条 デジタル要素を含む重要製品 |
| Article 9 Stakeholder consultation | 第9条 利害関係者の協議 |
| Article 10 Enhancing skills in a cyber resilient digital environment | 第10条 サイバーレジリエンスデジタル環境における技能の向上 |
| Article 11 General product safety | 第11条 一般的な製品安全 |
| Article 12 High-risk AI systems | 第12条 ハイリスクAIシステム |
| CHAPTER II OBLIGATIONS OF ECONOMIC OPERATORS AND PROVISIONS IN RELATION TO FREE AND OPEN-SOURCE SOFTWARE | 第2章 経済的事業者の義務およびフリーソフトウェアおよびオープンソースソフトウェアに関する規定 |
| Article 13 Obligations of manufacturers | 第13条 製造事業者の義務 |
| Article 14 Reporting obligations of manufacturers | 第14条 製造事業者の報告義務 |
| Article 15 Voluntary reporting | 第15条 自主報告 |
| Article 16 Establishment of a single reporting platform | 第16条 単一通報プラットフォームの設立 |
| Article 17 Other provisions related to reporting | 第17条 報告に関するその他の規定 |
| Article 18 Authorised representatives | 第18条 認定代表者 |
| Article 19 Obligations of importers | 第19条 輸入事業者の義務 |
| Article 20 Obligations of distributors | 第20条 頒布事業者の義務 |
| Article 21 Cases in which obligations of manufacturers apply to importers and distributors | 第21条 製造事業者の義務が輸入事業者及び頒布事業者に適用される場合 |
| Article 22 Other cases in which obligations of manufacturers apply | 第22条 製造事業者の義務が適用されるその他の場合 |
| Article 23 Identification of economic operators | 第23条 経済的事業者の特定 |
| Article 24 Obligations of open-source software stewards | 第24条 オープンソースソフトウェアのスチュワードの義務 |
| Article 25 Security attestation of free and open-source software | 第25条 フリー・オープンソースソフトウェアのセキュリティ認証 |
| Article 26 Guidance | 第26条 ガイダンス |
| CHAPTER III CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS | 第3章 デジタル要素を含む製品の適合性 |
| Article 27 Presumption of conformity | 第27条 適合の推定 |
| Article 28 EU declaration of conformity | 第28条 EU適合宣言 |
| Article 29 General principles of the CE marking | 第29条 CEマーキングの一般原則 |
| Article 30 Rules and conditions for affixing the CE marking | 第30条 CEマーキングの貼付に関する規則及び条件 |
| Article 31 Technical documentation | 第31条 技術文書 |
| Article 32 Conformity assessment procedures for products with digital elements | 第32条 デジタル要素を含む製品の適合性評価手続き |
| Article 33 Support measures for microenterprises and small and medium-sized enterprises, including start-ups | 第33条 新興企業を含む零細企業及び中小企業に対する支援措置 |
| CHAPTER IV NOTIFICATION OF CONFORMITY ASSESSMENT BODIES | 第4章 適合性評価団体の届出 |
| Article 35 Notification | 第35条 届出 |
| Article 36 Notifying authorities | 第36条 認定機関 |
| Article 37 Requirements relating to notifying authorities | 第37条 認定機関に関する要件 |
| Article 38 Information obligation on notifying authorities | 第38条 認定機関の情報義務 |
| Article 39 Requirements relating to notified bodies | 第39条 被認証団体に関する要求事項 |
| Article 40 Presumption of conformity of notified bodies | 第40条 被認定団体の適合性の推定 |
| Article 41 Subsidiaries of and subcontracting by notified bodies | 第41条 被認定団体の子会社及び被認定団体による下請け業務 |
| Article 42 Application for notification | 第42条 届出の申請 |
| Article 43 Notification procedure | 第43条 通知手続き |
| Article 44 Identification numbers and lists of notified bodies | 第44条 被認定団体の識別番号及びリスト |
| Article 45 Changes to notifications | 第45条 届出の変更 |
| Article 46 Challenge of the competence of notified bodies | 第46条 被認定団体の権限の挑戦 |
| Article 47 Operational obligations of notified bodies | 第47条 被認定団体の運営上の義務 |
| Article 48 Appeal against decisions of notified bodies | 第48条 被認定団体の決定に対する異議申し立て |
| Article 49 Information obligation on notified bodies | 第49条 被認証団体に対する情報義務 |
| Article 50 Exchange of experience | 第50条 経験の交換 |
| Article 51 Coordination of notified bodies | 第51条 被認定団体の調整 |
| CHAPTER V MARKET SURVEILLANCE AND ENFORCEMENT | 第5章 市場監視及び執行 |
| Article 52 Market surveillance and control of products with digital elements in the Union market | 第52条 組合市場におけるデジタル要素を含む製品の市場監視および管理 |
| Article 53 Access to data and documentation | 第53条 データおよび文書へのアクセス |
| Article 54 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk | 第54条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関する国レベルでの手続 |
| Article 55 Union safeguard procedure | 第55条 連邦セーフガード手続 |
| Article 56 Procedure at Union level concerning products with digital elements presenting a significant cybersecurity risk | 第56条 サイバーセキュリティ上の重大なリスクをもたらすデジタル要素を含む製品に関する欧州連合レベルでの手続 |
| Article 57 Compliant products with digital elements which present a significant cybersecurity risk | 第57条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品の準拠 |
| Article 58 Formal non-compliance | 第58条 正式な不遵守 |
| Article 59 Joint activities of market surveillance authorities | 第59条 市場監視当局の共同活動 |
| Article 60 Sweeps | 第60条 掃討 |
| CHAPTER VI DELEGATED POWERS AND COMMITTEE PROCEDURE | 第6章 委任された権限および委員会の手続き |
| Article 61 Exercise of the delegation | 第61条 委任の行使 |
| Article 62 Committee procedure | 第62条 委員会の手続き |
| CHAPTER VII CONFIDENTIALITY AND PENALTIES | 第7章 守秘義務と罰則 |
| Article 63 Confidentiality | 第63条 守秘義務 |
| Article 64 Penalties | 第64条 罰則 |
| Article 65 Representative actions | 第65条 代表者行動 |
| CHAPTER VIII TRANSITIONAL AND FINAL PROVISIONS | 第8章 経過措置および最終規定 |
| Article 66 Amendment to Regulation (EU) 2019/1020 | 第66条 規則(EU)2019/1020の改正 |
| Article 67 Amendment to Directive (EU) 2020/1828 | 第67条 指令(EU)2020/1828の改正 |
| Article 68 Amendment to Regulation (EU) No 168/2013 | 第68条 規則(EU)No 168/2013の改正 |
| Article 69 Transitional provisions | 第69条 経過規定 |
| Article 70 Evaluation and review | 第70条 評価および審査 |
| Article 71 Entry into force and application | 第71条 発効及び適用 |
| ANNEX | 附属書 |
| ANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTS | 附属書 I サイバーセキュリティに関する必須要件 |
| Part I Cybersecurity requirements relating to the properties of products with digital elements | 第 I 部 デジタル要素を含む製品の特性に関するサイバーセキュリティ要件 |
| Part II Vulnerability handling requirements | 第 II 部 脆弱性ハンドリング要件 |
| ANNEX II INFORMATION AND INSTRUCTIONS TO THE USER | 附属書 II 使用者に対する情報及び指示 |
| ANNEX III IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS | 附属書 III デジタル要素を含む重要な製品 |
| ANNEX IV CRITICAL PRODUCTS WITH DIGITAL ELEMENTS | 附属書 IV デジタル要素を含む重要製品 |
| ANNEX VI SIMPLIFIED EU DECLARATION OF CONFORMITY | 附属書 VI 簡易 EU 適合宣言書 |
| ANNEX VII CONTENT OF THE TECHNICAL DOCUMENTATION | 附属書 VII 技術文書の内容 |
| ANNEX VIII CONFORMITY ASSESSMENT PROCEDURES | 附属書 VIII 適合性評価手順 |
| Part I Conformity assessment procedure based on internal control (based on module A) | 第 I 部 内部統制に基づく適合性評価手順(モジュール A に基づく) |
| Part II EU-type examination (based on module B) | 第 Ⅱ 部 EUタイプ審査(モジュールBに基づく) |
| Part III Conformity to type based on internal production control (based on module C) | 第 III 部 内部製造管理に基づく型式への適合(モジュール C に基づく) |
| Part IV Conformity based on full quality assurance (based on module H) | 第 IV 部 完全な品質保証に基づく適合性(モジュール H に基づく) |
全文の対比は、こちら...
● まるちゃんの情報セキュリティ気まぐれ日記
サイバーレジリエンス法、セッキュリティ認証...
・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)
・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
SBOMなど...
・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)
・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)
・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)
・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期
・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...
・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践
・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表
・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
| 2024/2847 20.11.2024 | 2024/2847 20.11.2024 |
| REGULATION (EU) 2024/2847 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | 2024年10月23日付欧州議会および欧州理事会規則(EU)2024/2847号 |
| of 23 October 2024 | 2024年10月23日 |
| on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) No 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act) | デジタル要素を含む製品に対するサイバーセキュリティの水平的要件に関する規則(EU)No 168/2013および(EU)No 2019/1020、ならびに指令(EU)2020/1828(サイバーレジリエンス法)を改正する。 |
| (Text with EEA relevance) | (EEA関連文書) |
| THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | 欧州議会および欧州連合理事会 |
| Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof, | 欧州連合の機能に関する条約、特にその第114条に留意する、 |
| Having regard to the proposal from the European Commission, | 欧州委員会の提案を考慮する、 |
| After transmission of the draft legislative act to the national parliaments, | 立法草案が各国議会に送付された後、欧州委員会の意見を考慮する、 |
| Having regard to the opinion of the European Economic and Social Committee (1), | 欧州経済社会委員会(1)の意見を考慮する、 |
| After consulting the Committee of the Regions, | 地域委員会に諮った後、 |
| Acting in accordance with the ordinary legislative procedure (2), | 通常の立法手続き(2)に従って行動する、 |
| Whereas: | 以下の通りである: |
| (1) Cybersecurity is one of the key challenges for the Union. The number and variety of connected devices will rise exponentially in the coming years. Cyberattacks represent a matter of public interest as they have a critical impact not only on the Union’s economy, but also on democracy as well as consumer safety and health. It is therefore necessary to strengthen the Union’s approach to cybersecurity, address cyber resilience at Union level and improve the functioning of the internal market by laying down a uniform legal framework for essential cybersecurity requirements for placing products with digital elements on the Union market. Two major problems adding costs for users and society should be addressed: a low level of cybersecurity of products with digital elements, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner. | (1) サイバーセキュリティは欧州連合にとって重要な課題のひとつである。今後数年間で、接続される機器の数と種類は飛躍的に増加する。サイバー攻撃は、連邦経済だけでなく、民主主義や消費者の安全や健康にも重大な影響を及ぼすため、公共の関心事である。したがって、サイバーセキュリティに対するEUのアプローチを強化し、EUレベルでサイバーレジリエンスに対処し、デジタル要素を含む製品を上市する際のサイバーセキュリティの必須要件について統一的な法的枠組みを定めることによって域内市場の機能を改善することが必要である。すなわち、デジタル要素を含む製品のサイバーセキュリティレベルが低く、脆弱性が蔓延し、それに対処するためのセキュリティアップデートが不十分かつ一貫して提供されていないこと、および、利用者の理解や情報へのアクセスが不十分で、適切なサイバーセキュリティ特性を持つ製品を選択したり、安全な方法で製品を使用したりすることを妨げていることである。 |
| (2) This Regulation aims to set the boundary conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and that manufacturers take security seriously throughout a product’s lifecycle. It also aims to create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements, for example by improving transparency with regard to the support period for products with digital elements made available on the market. | (2) 本規則は、ハードウェアおよびソフトウェア製品が脆弱性の少ない状態で上市され、製造事業者が製品のライフサイクルを通じてセキュリティに真剣に取り組むことを保証することにより、デジタル要素を含む安全な製品開発のための境界条件を設定することを目的としている。また、市場で入手可能なデジタル要素を含む製品のサポート期間に関する透明性を改善するなど、ユーザーがデジタル要素を含む製品を選択・使用する際にサイバーセキュリティを考慮できるような条件を整備することも目的としている。 |
| (3) Relevant Union law in force comprises several sets of horizontal rules that address certain aspects linked to cybersecurity from different angles, including measures to improve the security of the digital supply chain. However, existing Union law related to cybersecurity, including Regulation (EU) 2019/881 of the European Parliament and of the Council (3) and Directive (EU) 2022/2555 of the European Parliament and of the Council (4), does not directly cover mandatory requirements for the security of products with digital elements. | (3) 現在施行されている関連EU法には、デジタルサプライチェーンのセキュリティを改善するための措置など、サイバーセキュリティに関連する特定の側面をさまざまな角度から取り上げた水平的な規則がいくつかある。しかし、欧州議会及び理事会規則(EU) 2019/881(3)や欧州議会及び理事会指令(EU) 2022/2555(4)を含むサイバーセキュリティに関連する既存のEU法は、デジタル要素を含む製品のセキュリティに関する義務的要件を直接対象としていない。 |
| (4) While existing Union law applies to certain products with digital elements, there is no horizontal Union regulatory framework establishing comprehensive cybersecurity requirements for all products with digital elements. The various acts and initiatives taken thus far at Union and national levels only partially address the identified cybersecurity-related problems and risks, creating a legislative patchwork within the internal market, increasing legal uncertainty for both manufacturers and users of those products and adding an unnecessary burden on businesses and organisations to comply with a number of requirements and obligations for similar types of products. The cybersecurity of those products has a particularly strong cross-border dimension, as products with digital elements manufactured in one Member State or third country are often used by organisations and consumers across the entire internal market. This makes it necessary to regulate the field at Union level to ensure a harmonised regulatory framework and legal certainty for users, organisations and businesses, including microenterprises and small and medium-sized enterprises as defined in the Annex to Commission Recommendation 2003/361/EC (5). The Union regulatory landscape should be harmonised by introducing horizontal cybersecurity requirements for products with digital elements. In addition, legal certainty for economic operators and users, as well as a better harmonisation of the internal market and proportionality for microenterprises and small and medium-sized enterprises, creating more viable conditions for economic operators aiming to enter that market, should be ensured across the Union. | (4) 既存の連邦法はデジタル要素を含む特定の製品に適用されるが、デジタル要素を含むすべての製品に対する包括的なサイバーセキュリティ要件を確立する水平的な連邦規制の枠組みは存在しない。これまで連邦レベルや各国レベルで取られてきた様々な法律や取り組みは、特定されたサイバーセキュリティ関連の問題やリスクに部分的にしか対処しておらず、域内市場内で法律のつぎはぎ状態を作り出し、これらの製品の製造事業者と使用者の双方にとって法的不確実性を増大させ、企業や組織が類似の種類の製品に関する多くの要件や義務を遵守することに不必要な負担を強いている。加盟国や第三国で製造されたデジタル要素を含む製品は、域内市場全体で組織や消費者に使用されることが多いため、こうした製品のサイバーセキュリティは特に国境を越えた側面が強い。このため、欧州委員会勧告2003/361/ECの附属書(5)に定義されているように、零細企業や中小企業を含むユーザー、組織、企業にとって、調和のとれた規制枠組みと法的確実性を確保するために、この分野をEUレベルで規制する必要がある。デジタル要素を含む製品にサイバーセキュリティに関する水平的な要件を導入することで、EUの規制状況を調和させるべきである。さらに、経済的事業者および利用者にとっての法的確実性、域内市場の調和と零細企業および中小企業にとっての比例性を高め、域内市場への参入を目指す経済的事業者にとってより実行可能な条件を創出することが、EU全体で確保されるべきである。 |
| (5) As regards microenterprises and small and medium-sized enterprises, when determining the category an enterprise falls into, the provisions of the Annex to Recommendation 2003/361/EC should be applied in their entirety. Therefore, when calculating the staff headcount and financial ceilings determining the enterprise categories, the provisions of Article 6 of the Annex to Recommendation 2003/361/EC on establishing the data of an enterprise in consideration of specific types of enterprises, such as partner enterprises or linked enterprises, should also be applied. | (5) 零細企業および中小企業に関しては、エンタープライズのカテゴリーを決定する際、勧告2003/361/ECの附属書の規定を全面的に適用すべきである。したがって、企業カテゴリーを決定する従業員数と財務上の天井を計算する際には、パートナー企業やリンク企業といった特定のタイプの企業を考慮した企業データの確立に関する勧告2003/361/ECの附属書第6条のカテゴリーも適用すべきである。 |
| (6) The Commission should provide guidance to assist economic operators, in particular microenterprises and small and medium-sized enterprises, in the application of this Regulation. Such guidance should cover, inter alia, the scope of this Regulation, in particular remote data processing and its implications for free and open-source software developers, the application of the criteria used to determine support periods for products with digital elements, the interplay between this Regulation and other Union law and the concept of substantial modification. | (6) 欧州委員会は、経済的事業者、特に零細企業および中小企業が本規則を適用するのを支援するためのガイダンスを提供すべきである。このような指針は、特に、本規則の適用範囲、特に遠隔データ処理とフリーソフトウェアおよびオープンソースソフトウェアの開発者に対するその影響、デジタル要素を含む製品のサポート期間を決定するために使用される規準の適用、本規則と他のEU法との相互関係、および実質的改変の概念を対象とすべきである。 |
| (7) At Union level, various programmatic and political documents, such as the Joint communication of the Commission and the High Representative of the Union for Foreign Affairs and Security Policy of 16 December 2020, entitled ‘The EU’s Cybersecurity Strategy for the Digital Decade’, the Council Conclusions of 2 December 2020 on the cybersecurity of connected devices and of 23 May 2022 on the development of the European Union’s cyber posture and the European Parliament resolution of 10 June 2021 on the EU’s Cybersecurity Strategy for the Digital Decade (6), have called for specific Union cybersecurity requirements for digital or connected products, with several third countries introducing measures to address this issue on their own initiative. In the final report of the Conference on the Future of Europe, citizens called for ‘a stronger role for the EU in countering cybersecurity threats’. In order for the Union to play a leading international role in the field of cybersecurity, it is important to establish an ambitious regulatory framework. | (7) 欧州連合レベルでは、2020年12月16日の欧州委員会と外交・安全保障政策担当上級代表の共同コミュニケーション「デジタルの10年に向けたEUのサイバーセキュリティ戦略」など、さまざまなプログラムおよび政治文書がある、 コネクテッドデバイスのサイバーセキュリティに関する2020年12月2日およびEUのサイバー態勢の整備に関する2022年5月23日付の理事会結論、「デジタルの10年に向けたEUのサイバーセキュリティ戦略」に関する2021年6月10日付の欧州議会決議(6)などにより、デジタル製品やコネクテッド製品に対するEUのサイバーセキュリティに関する具体的な要件が求められており、いくつかの第三国はこの問題に対処するための措置を独自に導入している。欧州の未来に関する会議の最終報告書では、市民が「サイバーセキュリティの脅威に対抗するEUの役割強化」を求めた。サイバーセキュリティの分野でEUが国際的に主導的な役割を果たすためには、野心的な規制の枠組みを確立することが重要である。 |
| (8) To increase the overall level of cybersecurity of all products with digital elements placed on the internal market, it is necessary to introduce objective-oriented and technology-neutral essential cybersecurity requirements for those products that apply horizontally. | (8) 上市されるデジタル要素を含むすべての製品のサイバーセキュリティのレベルを全体として向上させるためには、水平的に適用される製品に対して、目的志向的かつ技術中立的なサイバーセキュリティの必須要件を導入する必要がある。 |
| (9) Under certain conditions, all products with digital elements integrated in or connected to a larger electronic information system can serve as an attack vector for malicious actors. As a result, even hardware and software considered to be less critical can facilitate the initial compromise of a device or network, enabling malicious actors to gain privileged access to a system or to move laterally across systems. Manufacturers should therefore ensure that all products with digital elements are designed and developed in accordance with the essential cybersecurity requirements laid down in this Regulation. That obligation relates to both products that can be connected physically via hardware interfaces and products that are connected logically, such as via network sockets, pipes, files, application programming interfaces or any other types of software interface. As cyber threats can propagate through various products with digital elements before reaching a certain target, for example by chaining together multiple vulnerability exploits, manufacturers should also ensure the cybersecurity of products with digital elements that are only indirectly connected to other devices or networks. | (9) 特定の条件下では、大規模な電子情報システムに統合された、あるいは接続されたデジタル要素を含む製品はすべて、悪意のある行為者にとって攻撃のベクトルとなり得る。その結果、重要性が低いと考えられているハードウェアやソフトウェアでさえ、デバイスやネットワークの最初の侵害を容易にし、悪意のある行為者が特権的なアクセス権を得てシステムに侵入したり、システム間で横方向に移動したりすることを可能にする可能性がある。したがって製造事業者は、デジタル要素を含むすべての製品が、本規則に規定されたサイバーセキュリティの必須要件に従って設計・開発されていることを保証しなければならない。この義務は、ハードウェア・インターフェースを介して物理的に接続される製品と、ネットワーク・ソケット、パイプ、ファイル、アプリケーション・プログラミング・インターフェース、その他あらゆる種類のソフトウェア・インターフェースを介して論理的に接続される製品の両方に関係する。サイバー脅威は、デジタル要素を含む様々な製品を通じて伝播し、例えば、複数の脆弱性を悪用することで連鎖的に特定のターゲットに到達する可能性があるため、製造事業者は、他の機器やネットワークと間接的にしか接続されていないデジタル要素を含む製品のサイバーセキュリティも確保する必要がある。 |
| (10) By laying down cybersecurity requirements for placing on the market products with digital elements, it is intended that the cybersecurity of those products for consumers and businesses alike be enhanced. Those requirements will also ensure that cybersecurity is taken into account throughout supply chains, making final products with digital elements and their components more secure. This also includes requirements for placing on the market consumer products with digital elements intended for vulnerable consumers, such as toys and baby monitoring systems. Consumer products with digital elements categorised in this Regulation as important products with digital elements present a higher cybersecurity risk by performing a function which carries a significant risk of adverse effects in terms of its intensity and ability to damage the health, security or safety of users of such products, and should undergo a stricter conformity assessment procedure. This applies to such products as smart home products with security functionalities, including smart door locks, baby monitoring systems and alarm systems, connected toys and personal wearable health technology. Furthermore, the stricter conformity assessment procedures that other products with digital elements categorised in this Regulation as important or critical products with digital elements are required to undergo, will contribute to preventing potential negative impacts on consumers of the exploitation of vulnerabilities. | (10) デジタル要素を含む製品を上市する際のサイバーセキュリティ要件を定めることで、消費者にとっても企業にとっても、それらの製品のサイバーセキュリティが強化されることを意図している。また、これらの要件により、サプライチェーン全体でサイバーセキュリティが考慮され、デジタル要素を含む最終製品とその構成部品の安全性が高まることが保証される。これには、玩具やベビーモニタリングシステムなど、脆弱性のある消費者向けのデジタル要素を含む製品を上市する際の要件も含まれる。この規則でデジタル要素を含む重要な製品に分類されるデジタル要素を含む消費者向け製品は、その強度や製品の使用者の健康、セキュリティ、安全性を損なう可能性といった点で重大な悪影響を及ぼすリスクを伴う機能を実行することにより、より高いサイバーセキュリティリスクを有しており、より厳格な適合性アセスメント手続きを経る必要がある。これは、スマートドアロックを含むセキュリティ機能を備えたスマートホーム製品、ベビーモニタリングシステム、アラームシステム、コネクテッドトイ、個人用ウェアラブルヘルス技術などに適用される。さらに、本規則でデジタル要素を含む重要な製品に分類されているその他の製品についても、より厳格な適合性評価手続が要求され、脆弱性の悪用による消費者への潜在的な悪影響を防止することに貢献する。 |
| (11) The purpose of this Regulation is to ensure a high level of cybersecurity of products with digital elements and their integrated remote data processing solutions. Such remote data processing solutions should be defined as data processing at a distance for which the software is designed and developed by or on behalf of the manufacturer of the product with digital elements concerned, the absence of which would prevent the product with digital elements from performing one of its functions. That approach ensures that such products are adequately secured in their entirety by their manufacturers, irrespective of whether data is processed or stored locally on the user’s device or remotely by the manufacturer. At the same time, processing or storage at a distance falls within the scope of this Regulation only in so far as it is necessary for a product with digital elements to perform its functions. Such processing or storage at a distance includes the situation where a mobile application requires access to an application programming interface or to a database provided by means of a service developed by the manufacturer. In such a case, the service falls within the scope of this Regulation as a remote data processing solution. The requirements concerning the remote data processing solutions falling within the scope of this Regulation do therefore not entail technical, operational or organisational measures aiming to manage the risks posed to the security of a manufacturer’s network and information systems as a whole. | (11) 本規則の目的は、デジタル要素を含む製品およびその統合された遠隔データ処理ソリューションの高水準のサイバーセキュリティを確保することである。このような遠隔データ処理ソリューションは、当該デジタル要素を含む製品の製造事業者により、または製造事業者に代わって、ソフトウェアが設計・開発された遠隔データ処理と定義されるべきであり、そのソフトウェアが存在しない場合、デジタル要素を含む製品はその機能の一つを実行できなくなる。このようなアプローチは、データがユーザーの機器上でローカルに処理または保存されるか、製造事業者によりリモートで処理または保存されるかにかかわらず、そのような製品が製造事業者により全体として適切に保護されていることを保証するものである。同時に、遠隔地での処理または保存は、デジタル要素を含む製品がその機能を果たすために必要である限りにおいてのみ、本規則の範囲に含まれる。このような遠隔地での処理または保存には、製造事業者が開発したサービスによって提供されるアプリケーション・プログラミング・インターフェースまたはデータベースへのアクセスをモバイル・アプリケーションが必要とする状況が含まれる。このような場合、サービスは遠隔データ処理ソリューションとして本規則の適用範囲に含まれる。したがって、本規則の適用範囲に入る遠隔データ処理ソリューションに関する要件は、製造事業者のネットワークと情報システムのセキュリティにもたらされるリスクを全体としてマネジメントすることを目的とした技術的、運用的、組織的な措置を伴うものではない。 |
| (12) Cloud solutions constitute remote data processing solutions within the meaning of this Regulation only if they meet the definition laid down in this Regulation. For example, cloud enabled functionalities provided by a manufacturer of smart home devices that enable users to control the device at a distance fall within the scope of this Regulation. On the other hand, websites that do not support the functionality of a product with digital elements, or cloud services designed and developed outside the responsibility of a manufacturer of a product with digital elements do not fall within the scope of this Regulation. Directive (EU) 2022/2555 applies to cloud computing services and cloud service models, such as Software as a Service (SaaS), Platform as a Service (PaaS) or Infrastructure as a Service (IaaS). Entities providing cloud computing services in the Union which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, fall within the scope of that Directive. | (12) クラウド・ソリューションは、本規則に定める定義を満たす場合に限り、本規則の意味における遠隔データ処理ソリューションに該当する。例えば、スマートホームデバイスの製造事業者が提供するクラウド対応機能で、ユーザが遠隔地からデバイスを制御できるものは、本規則の範囲に含まれる。一方、デジタル要素を含む製品の機能をサポートしないウェブサイトや、デジタル要素を含む製品の製造事業者の責任外で設計・開発されたクラウドサービスは、本規則の範囲に含まれない。指令(EU)2022/2555は、クラウドコンピューティング・サービスおよびSaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などのクラウドサービスモデルに適用される。欧州連合内でクラウドコンピューティング・サービスを提供する事業体で、勧告 2003/361/EC の附属書第 2 条に基づき中堅企業に該当するもの、または同条第 1 項に規定される中堅企業の上限を超えるものは、当該指令の適用範囲に含まれる。 |
| (13) In line with the objective of this Regulation to remove obstacles to the free movement of products with digital elements, Member States should not impede, for the matters covered by this Regulation, the making available on the market of products with digital elements which comply with this Regulation. Therefore, for matters harmonised by this Regulation, Member States cannot impose additional cybersecurity requirements for the making available on the market of products with digital elements. Any entity, public or private, can however establish additional requirements to those laid down in this Regulation for the procurement or use of products with digital elements for its specific purposes, and can therefore choose to use products with digital elements that meet stricter or more specific cybersecurity requirements than those applicable for the making available on the market under this Regulation. Without prejudice to Directives 2014/24/EU (7) and 2014/25/EU (8) of the European Parliament and of the Council, when procuring products with digital elements, which must comply with the essential cybersecurity requirements laid down in this Regulation, including those relating to vulnerability handling, Member States should ensure that such requirements are taken into consideration in the procurement process and that the manufacturers’ ability to effectively apply cybersecurity measures and manage cyber threats are also taken into consideration. Furthermore, Directive (EU) 2022/2555 sets out cybersecurity risk-management measures for essential and important entities as referred to in Article 3 of that Directive that could entail supply chain security measures that require the use by such entities of products with digital elements meeting stricter cybersecurity requirements than those laid down in this Regulation. In accordance with Directive (EU) 2022/2555 and in line with its minimum harmonisation principle, Member States can therefore impose additional cybersecurity requirements for the use of information and communications technology (ICT) products by essential or important entities pursuant to that Directive in order to ensure a higher level of cybersecurity, provided that such requirements are consistent with Member States’ obligations laid down in Union law. Matters not covered by this Regulation can include non-technical factors relating to products with digital elements and the manufacturers thereof. Member States can therefore lay down national measures, including restrictions on products with digital elements or suppliers of such products that take account of non-technical factors. National measures relating to such factors are required to comply with Union law. | (13) デジタル要素を含む製品の自由な移動に対する障害を除去するという本規則の目的に沿って、加盟国は、本規則が対象とする事項について、本規則に適合するデジタル要素を含む製品の市場での入手可能性を妨げてはならない。したがって、本規則によって調和される事項について、加盟国は、デジタル要素を含む製品の市場での入手可能性について、追加のサイバーセキュリティ要件を課すことはできない。しかし、官民を問わず、いかなる事業体も、その特定の目的のためにデジタル要素を含む製品を調達または使用するために、本規則に規定されている要件に追加的な要件を定めることができ、したがって、本規則に基づく市場での入手可能性に適用される要件よりも厳しい、またはより具体的なサイバーセキュリティ要件を満たすデジタル要素を含む製品を使用することを選択することができる。欧州議会および理事会指令2014/24/EU (7)および2014/25/EU (8)を害することなく、脆弱性処理に関するものを含め、本規則に規定されたサイバーセキュリティの必須要件に適合しなければならないデジタル要素を含む製品を調達する場合、加盟国は、調達プロセスにおいて当該要件が考慮され、製造事業者がサイバーセキュリティ対策を効果的に適用し、サイバー脅威を管理する能力も考慮されるようにしなければならない。さらに、指令(EU)2022/2555は、当該指令の第3条で言及されている必須事業体および重要事業体に対するサイバーセキュリティリスクマネジメント対策を定めており、当該事業体による、本規則で規定されているものより厳しいサイバーセキュリティ要件を満たすデジタル要素を含む製品の使用を必要とするサプライチェーンセキュリティ対策を伴う可能性がある。したがって、指令(EU)2022/2555に従い、その最小調和原則に沿って、加盟国は、より高いレベルのサイバーセキュリティを確保するために、当該指令に基づき、必須または重要な事業体による情報通信技術(ICT)製品の使用に対して追加のサイバーセキュリティ要件を課すことができる。本規則が対象としていない事項には、デジタル要素を含む製品やその製造事業者に関する非技術的要素を含めることができる。したがって加盟国は、非技術的要素を考慮したデジタル要素を含む製品または当該製品の供給者に対する制限を含む国内措置を定めることができる。このような要因に関する国内措置は、EU法を遵守することが求められる。 |
| (14) This Regulation should be without prejudice to the Member States’ responsibility for safeguarding national security, in compliance with Union law. Member States should be able to subject products with digital elements that are procured or used for national security or defence purposes to additional measures, provided that such measures are consistent with Member States’ obligations laid down in Union law. | (14) 本規則は、加盟国が連邦法に従って国家安全保障を保護する責任を負うことを妨げるものであってはならない。加盟国は、国家安全保障または防衛の目的で調達または使用されるデジタル要素を含む製品について、追加的な措置を講じることができるものとする。ただし、かかる措置が、EU法に定められた加盟国の義務に合致することを条件とする。 |
| (15) This Regulation applies to economic operators only in relation to products with digital elements made available on the market, hence supplied for distribution or use on the Union market in the course of a commercial activity. Supply in the course of a commercial activity might be characterised not only by charging a price for a product with digital elements, but also by charging a price for technical support services where this does not serve only the recuperation of actual costs, by an intention to monetise, for instance by providing a software platform through which the manufacturer monetises other services, by requiring as a condition for use the processing of personal data for reasons other than exclusively for improving the security, compatibility or interoperability of the software, or by accepting donations exceeding the costs associated with the design, development and provision of a product with digital elements. Accepting donations without the intention of making a profit should not be considered to be a commercial activity. | (15) 本規則は、市場で入手可能なデジタル要素を含む製品、すなわち、商業活動の過程において連合市場で頒布または使用するために供給される製品に関してのみ、経済的事業者に適用される。商業活動の過程における供給は、デジタル要素を含む製品に価格を課すだけでなく、技術サポートサービスに価格を課し、それが実際のコストの回収にしか役立たない場合、製造事業者が他のサービスを収益化するソフトウェアプラットフォームを提供するなど収益化の意図がある場合、専らソフトウェアのセキュリティ、互換性、相互運用性を向上させるため以外の理由でパーソナルデータの処理を使用条件として要求する場合、デジタル要素を含む製品の設計、開発、提供に関連するコストを超える寄付を受け入れる場合にも特徴付けられる。営利を目的としない寄付の受け入れは、営利活動とみなされるべきではない。 |
| (16) Products with digital elements provided as part of the delivery of a service for which a fee is charged solely to recover the actual costs directly related to the operation of that service, such as may be the case with certain products with digital elements provided by public administration entities, should not be considered on those grounds alone to be a commercial activity for the purposes of this Regulation. Furthermore, products with digital elements which are developed or modified by a public administration entity exclusively for its own use should not be considered to be made available on the market within the meaning of this Regulation. | (16) 公共行政機関が提供するデジタル要素を含む製品のように、当該サービスの運営に直接関連する実際の費用を回収するためにのみ料金が課されるサービスの提供の一環として提供されるデジタル要素を含む製品は、その理由だけでは、本規則の目的上、営利活動とみなされるべきではない。さらに、公共行政機関が専ら自己使用のために開発又は修正したデジタル要素を含む製品は、この規則の意味において市場で入手可能とみなされるべきではない。 |
| (17) Software and data that are openly shared and where users can freely access, use, modify and redistribute them or modified versions thereof, can contribute to research and innovation in the market. To foster the development and deployment of free and open-source software, in particular by microenterprises and small and medium-sized enterprises, including start-ups, individuals, not-for-profit organisations, and academic research organisations, the application of this Regulation to products with digital elements qualifying as free and open-source software supplied for distribution or use in the course of a commercial activity should take into account the nature of the different development models of software distributed and developed under free and open-source software licences. | (17)オープンに共有され、利用者が自由にアクセス、使用、修正、再配布できるソフトウェアとデータ、またはその修正版は、市場における研究とイノベーションに貢献することができる。特に、新興企業を含む零細企業や中小企業、個人、非営利団体、学術研究機関によるフリー・オープンソースソフトウェアの開発・展開を促進するために、商業活動の過程で頒布または使用するために供給されるフリー・オープンソースソフトウェアとして適格なデジタル要素を含む製品への本規則の適用は、フリー・オープンソースソフトウェア・ライセンスの下で頒布・開発されるソフトウェアのさまざまな開発モデルの性質を考慮に入れるべきである。 |
| (18) Free and open-source software is understood as software the source code of which is openly shared and the licensing of which provides for all rights to make it freely accessible, usable, modifiable and redistributable. Free and open-source software is developed, maintained and distributed openly, including via online platforms. In relation to economic operators that fall within the scope of this Regulation, only free and open-source software made available on the market, and therefore supplied for distribution or use in the course of a commercial activity, should fall within the scope of this Regulation. The mere circumstances under which the product with digital elements has been developed, or how the development has been financed, should therefore not be taken into account when determining the commercial or non-commercial nature of that activity. More specifically, for the purposes of this Regulation and in relation to the economic operators that fall within its scope, to ensure that there is a clear distinction between the development and supply phases, the provision of products with digital elements qualifying as free and open-source software that are not monetised by their manufacturers should not be considered to be a commercial activity. Furthermore, the supply of products with digital elements qualifying as free and open-source software components intended for integration by other manufacturers into their own products with digital elements should be considered to be making available on the market only if the component is monetised by its original manufacturer. For instance, the mere fact that an open-source software product with digital elements receives financial support from manufacturers or that manufacturers contribute to the development of such a product should not in itself determine that the activity is of commercial nature. In addition, the mere presence of regular releases should not in itself lead to the conclusion that a product with digital elements is supplied in the course of a commercial activity. Finally, for the purposes of this Regulation, the development of products with digital elements qualifying as free and open-source software by not-for-profit organisations should not be considered to be a commercial activity provided that the organisation is set up in such a way that ensures that all earnings after costs are used to achieve not-for-profit objectives. This Regulation does not apply to natural or legal persons who contribute with source code to products with digital elements qualifying as free and open-source software that are not under their responsibility. | (18) フリー・オープンソースソフトウェアとは、ソースコードがオープンに 共有され、ライセンスが自由にアクセス、使用、変更、再配布できるようにす るためのすべての権利を提供するソフトウェアと理解される。オープンソースソフトウェアは、オンラインプラットフォームを含め、オープンに開発、保守、配布される。本規則の適用範囲に含まれる経済的事業者との関係では、市場で入手可能であり、したがって商業活動の過程で配布または使用するために提供されるフリーおよびオープンソースソフトウェアのみが、本規則の適用範囲に含まれるべきである。したがって、デジタル要素を含む製品が開発された単なる状況や、開発の資金調達方法は、その活動の商業的または非商業的性質を決定する際に考慮されるべきではない。より具体的には、本規則の目的のため、また、本規則の適用範囲に含まれる経済的事業者との関係において、開発段階と供給段階の明確な区別を確保するため、製造事業者によって収益化されていないフリーソフトウェアおよびオープンソースソフトウェアとして適格なデジタル要素を含む製品の提供は、商業活動とはみなされるべきではない。さらに、他の製造事業者がデジタル要素を含む自社製品に組み込むことを意図した、フリーでオープンソースソフトウェアのコンポーネントとして適格なデジタル要素を含む製品の供給は、そのコンポーネントが元の製造事業者によって収益化されている場合に限り、市場で入手可能とみなされるべきである。例えば、デジタル要素を含むオープンソースソフトウェア製品が製造事業者から資金援助を受けている、あるいは製造事業者がそのような製品の開発に貢献しているという事実だけでは、その活動が商業的な性質を持つとは判断されないはずである。さらに、定期的なリリースが存在するだけで、デジタル要素を含む製品が商業活動の過程で供給されているという結論に至ることはないはずである。最後に、本規則の目的上、非営利組織によるフリー・オープンソースソフトウェアとして適格なデジタル要素を含む製品の開発は、その組織が、費用控除後のすべての収益が非営利の目的を達成するために使用されることを保証するような方法で設立されている限り、商業活動とはみなされるべきではない。本規則は、フリー・オープンソースソフトウェアとして適格なデジタル要素を含む製品であって、自己の責任によらないものにソースコードを提供する自然人または法人には適用されない。 |
| (19) Taking into account the importance for cybersecurity of many products with digital elements qualifying as free and open-source software that are published, but not made available on the market within the meaning of this Regulation, legal persons who provide support on a sustained basis for the development of such products which are intended for commercial activities, and who play a main role in ensuring the viability of those products (open-source software stewards), should be subject to a light-touch and tailor-made regulatory regime. Open-source software stewards include certain foundations as well as entities that develop and publish free and open-source software in a business context, including not-for-profit entities. The regulatory regime should take account of their specific nature and compatibility with the type of obligations imposed. It should only cover products with digital elements qualifying as free and open-source software that are ultimately intended for commercial activities, such as for integration into commercial services or into monetised products with digital elements. For the purposes of that regulatory regime, an intention for integration into monetised products with digital elements includes cases where manufacturers that integrate a component into their own products with digital elements either contribute to the development of that component in a regular manner or provide regular financial assistance to ensure the continuity of a software product. The provision of sustained support to the development of a product with digital elements includes but is not limited to the hosting and managing of software development collaboration platforms, the hosting of source code or software, the governing or managing of products with digital elements qualifying as free and open-source software as well as the steering of the development of such products. Given that the light-touch and tailor-made regulatory regime does not subject those acting as open-source software stewards to the same obligations as those acting as manufacturers under this Regulation, they should not be permitted to affix the CE marking to the products with digital elements whose development they support. | (19) フリーでオープンソースソフトウェアとして適格なデジタル要素を含む製品の多くが、公開されてはいるが、本規則の意味において市場で入手可能ではないことがサイバーセキュリティにとって重要であることを考慮し、商業活動を目的とするそのような製品の開発を持続的に支援し、それらの製品の実行可能性を確保する上で主要な役割を果たす法人(オープンソースソフトウェアのスチュワード)は、ライトタッチでオーダーメイドの規制体制に従うべきである。オープンソースソフトウェアのスチュワードには、特定の財団や、非営利団体を含む、ビジネスの文脈でフリーでオープンソースなソフトウェアを開発・公開する事業体が含まれる。規制体制は、その具体的な性質と、課される義務の種類との適合性を考慮すべきである。規制の対象となるのは、フリー・オープンソースソフトウェアとして適格なデジタル要素を含む製品のうち、商業サービスへの統合やデジタル要素を含む収益化製品など、最終的に商業活動を目的とするものに限られるべきである。デジタル要素を含む収益化された製品への統合を意図したものには、デジタル要素を含む自社製品にコンポーネントを統合する製造事業者が、そのコンポーネントの開発に定期的に貢献するか、ソフトウェア製品の継続性を確保するために定期的な資金援助を提供する場合が含まれる。デジタル要素を含む製品の開発に対する持続的な支援の提供には、ソフトウェア開発コラボレーションプラットフォームのホスティングや管理、ソースコードやソフトウェアのホスティング、フリーソフトウェアやオープンソースソフトウェアとして適格なデジタル要素を含む製品のガバナンスや管理、またそのような製品の開発の舵取りなどが含まれるが、これらに限定されるものではない。オープンソースソフトウェアのスチュワードとして活動する者は、本規則の下で製造事業者として活動する者と同様の義務を負わないため、軽微でオーダーメイドの規制体制であることを考慮すると、彼らが開発を支援するデジタル要素を含む製品にCEマークを貼付することは許可されるべきではない。 |
| (20) The sole act of hosting products with digital elements on open repositories, including through package managers or on collaboration platforms, does not in itself constitute the making available on the market of a product with digital elements. Providers of such services should be considered to be distributors only if they make such software available on the market and hence supply it for distribution or use on the Union market in the course of a commercial activity. | (20) パッケージマネージャやコラボレーションプラットフォームなど、オープンリポジトリ上でデジタル要素を含む製品をホスティングする行為のみは、それ自体でデジタル要素を含む製品を市場で入手可能にすることにはならない。そのようなサービスのプロバイダが頒布事業者とみなされるのは、そのようなソフトウェアを市場で入手可能にし、したがって商業活動の過程で連合市場において頒布または使用するために供給する場合に限られる。 |
| (21) In order to support and facilitate the due diligence of manufacturers that integrate free and open-source software components that are not subject to the essential cybersecurity requirements set out in this Regulation into their products with digital elements, the Commission should be able to establish voluntary security attestation programmes, either by a delegated act supplementing this Regulation or by requesting a European cybersecurity certification scheme pursuant to Article 48 of Regulation (EU) 2019/881 that takes into account the specificities of the free and open-source software development models. The security attestation programmes should be conceived in such a way that not only natural or legal persons developing or contributing to the development of a product with digital elements qualifying as free and open-source software can initiate or finance a security attestation but also third parties, such as manufacturers that integrate such products into their own products with digital elements, users, or Union and national public administrations. | (21) デジタル要素を含む製品に、本規則に定めるサイバーセキュリティの必須要件が適用されないフリー・オープンソースソフトウェア・コンポーネントを統合する製造事業者のデューディリジェンスを支援し、促進するために、欧州委員会は、本規則を補完する委任法、またはフリー・オープンソースソフトウェア開発モデルの特殊性を考慮した規則(EU)2019/881第48条に基づく欧州サイバーセキュリティ認証スキームを要求することにより、自主的なセキュリティ認証プログラムを確立できるようにすべきである。セキュリティ認証制度は、フリー・オープンソースソフトウェアとして適格なデジタル要素を含む製品を開発または開発に貢献する自然人または法人だけでなく、当該製品をデジタル要素を含む自社製品に統合する製造事業者、ユーザー、連邦および各国の行政機関などの第三者もセキュリティ認証を開始または資金提供できるように構想されるべきである。 |
| (22) In view of the public cybersecurity objectives of this Regulation and in order to improve the situational awareness of Member States as regards the Union’s dependency on software components and in particular on potentially free and open-source software components, a dedicated administrative cooperation group (ADCO) established by this Regulation should be able to decide to jointly undertake a Union dependency assessment. Market surveillance authorities should be able to request manufacturers of categories of products with digital elements established by ADCO to submit the software bills of materials (SBOMs) that they have generated pursuant to this Regulation. In order to protect the confidentiality of SBOMs, market surveillance authorities should submit relevant information about dependencies to ADCO in an anonymised and aggregated manner. | (22) 本規則の公共サイバーセキュリティの目的に鑑み、また、ソフトウェア・コンポーネント、特に潜在的にフリーでオープンソースのソフトウェア・コンポーネントへの加盟国の依存に関する加盟国の状況認識を改善するため、本規則により設置される専用の行政協力グループ(ADCO)は、加盟国の依存性評価を共同で実施することを決定できるようにすべきである。市場監視当局は、ADCOが設立したデジタル要素を含む製品カテゴリーの製造事業者に対し、本規則に従って生成したソフトウェア部品表(SBOM)の提出を求めることができるようにすべきである。SBOM の機密性を保護するため、市場監視当局は、依存関係に関する関連情報を、匿名化され集計された形で ADCO に提出すべきである。 |
| (23) The effectiveness of the implementation of this Regulation will also depend on the availability of adequate cybersecurity skills. At Union level, various programmatic and political documents, including the Commission communication of 18 April 2023 on Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience and the Council Conclusions of 22 May 2023 on the EU Policy on Cyber Defence acknowledged the cybersecurity skills gap in the Union and the need to address such challenges as a matter of priority, in both the public and private sectors. With a view to ensuring an effective implementation of this Regulation, Member States should ensure that adequate resources are available for the appropriate staffing of the market surveillance authorities and conformity assessment bodies to perform their tasks as laid down in this Regulation. Those measures should enhance workforce mobility in the cybersecurity field and their associated career pathways. They should also contribute to making the cybersecurity workforce more resilient and inclusive, also in terms of gender. Member States should therefore take measures to ensure that those tasks are carried out by adequately trained professionals, with the necessary cybersecurity skills. Similarly, manufacturers should ensure that their staff has the necessary skills to comply with their obligations as laid down in this Regulation. Member States and the Commission, in line with their prerogatives and competences and the specific tasks conferred upon them by this Regulation, should take measures to support manufacturers and in particular microenterprises and small and medium-sized enterprises, including start-ups, also in areas such as skill development, for the purposes of compliance with their obligations as laid down in this Regulation. Furthermore, as Directive (EU) 2022/2555 requires Member States to adopt policies promoting and developing training on cybersecurity and cybersecurity skills as part of their national cybersecurity strategies, Member States may also consider, when adopting such strategies, addressing the cybersecurity skills needs resulting from this Regulation, including those relating to re-skilling and up-skilling. | (23) 本規則の実効性は、適切なサイバーセキュリティ技能の有無にも依存する。EUレベルでは、2023年4月18日の欧州委員会コミュニケーション「Closing the cybersecurity talent gap to boost the EU's competitiveness, growth and resilience(EUの競争力、成長、レジリエンスを高めるためのサイバーセキュリティ人材の格差是正)」や、2023年5月22日のEUサイバー防衛政策に関する理事会結論など、さまざまなプログラムおよび政治的文書が、EUにおけるサイバーセキュリティ技能の格差と、官民双方においてそのような課題に優先的に取り組む必要性を認めている。本規則の効果的な実施を確保する観点から、加盟国は、市場監視当局および適合性評価団体が本規則に規定された業務を遂行するための適切な人員を確保するために、十分な資源を確保すべきである。これらの措置は、サイバーセキュリティ分野における労働力の流動性とそれに関連するキャリアパスを強化すべきである。また、サイバーセキュリティの労働力をよりレジリエンスに富ませ、ジェンダーの観点からも包括的なものとすることにも貢献すべきである。したがって、加盟国は、必要なサイバーセキュリティスキルを持ち、十分な訓練を受けた専門家がこれらの業務を遂行することを確保するための措置を講じるべきである。同様に、製造事業者は、この規則で規定されている義務を遵守するために必要なスキルを従業員に持たせるべきである。加盟国および欧州委員会は、その特権と権限および本規則により与えられた特定の任務に従い、製造事業者、特に新興企業を含む零細企業および中小企業を、技能開発などの領域においても、本規則に定められた義務を遵守する目的で支援するための措置を講じるべきである。さらに、指令(EU) 2022/2555は、加盟国に対し、国家サイバーセキュリティ戦略の一環として、サイバーセキュリティおよびサイバーセキュリティスキルに関する訓練を促進・発展させる政策を採用することを求めているため、加盟国は、かかる戦略を採用する際に、再教育およびスキルアップに関するものを含め、本規則の結果として生じるサイバーセキュリティスキルのニーズへの対応も検討することができる。 |
| (24) A secure internet is indispensable for the functioning of critical infrastructures and for society as a whole. Directive (EU) 2022/2555 aims at ensuring a high level of cybersecurity of services provided by essential and important entities as referred to in Article 3 of that Directive, including digital infrastructure providers that support core functions of the open internet, ensure internet access and provide internet services. It is therefore important that the products with digital elements necessary for digital infrastructure providers to ensure the functioning of the internet are developed in a secure manner and that they comply with well-established internet security standards. This Regulation, which applies to all connectable hardware and software products, also aims at facilitating the compliance of digital infrastructure providers with the supply chain requirements under Directive (EU) 2022/2555 by ensuring that the products with digital elements that they use for the provision of their services are developed in a secure manner and that they have access to timely security updates for such products. | (24) 安全なインターネットは、重要インフラの機能および社会全体にとって不可欠である。指令(EU)2022/2555は、オープンインターネットの中核機能を支え、インターネットアクセスを確保し、インターネットサービスを提供するデジタルインフラプロバイダを含む、同指令の第3条で言及されている必須事業体および重要事業体によって提供されるサービスのサイバーセキュリティを高いレベルで確保することを目的としている。したがって、デジタルインフラプロバイダーがインターネットの機能を確保するために必要なデジタル要素を含む製品が安全な方法で開発され、確立されたインターネットセキュリティ標準に準拠することが重要である。接続可能なすべてのハードウェアおよびソフトウェア製品に適用される本規則は、デジタルインフラプロバイダがサービスの提供に使用するデジタル要素を含む製品が安全な方法で開発され、そのような製品のセキュリティアップデートを適時に利用できるようにすることで、指令(EU)2022/2555に基づくサプライチェーン要件への準拠を促進することも目的としている。 |
| (25) Regulation (EU) 2017/745 of the European Parliament and of the Council (9) lays down rules on medical devices and Regulation (EU) 2017/746 of the European Parliament and of the Council (10) lays down rules on in vitro diagnostic medical devices. Those Regulations address cybersecurity risks and follow particular approaches that are also addressed in this Regulation. More specifically, Regulations (EU) 2017/745 and (EU) No 2017/746 lay down essential requirements for medical devices that function through an electronic system or that are software themselves. Certain non-embedded software and the whole lifecycle approach are also covered by those Regulations. Those requirements mandate manufacturers to develop and build their products by applying risk management principles and by setting out requirements concerning IT security measures, as well as corresponding conformity assessment procedures. Furthermore, specific guidance on cybersecurity for medical devices is in place since December 2019, providing manufacturers of medical devices, including in vitro diagnostic devices, with guidance on how to fulfil all the relevant essential requirements set out in Annex I to those Regulations with regard to cybersecurity. Products with digital elements to which either of those Regulations apply should not therefore be subject to this Regulation. | (25) 欧州議会および理事会規則(EU)2017/745(9)は医療機器に関する規則を定め、欧州議会および理事会規則(EU)2017/746(10)は体外診断用医療機器に関する規則を定めている。これらの規則はサイバーセキュリティリスクを扱っており、本規則でも扱われている特定のアプローチに従っている。具体的には、規則(EU)2017/745および(EU)No 2017/746は、電子システムを介して機能する医療機器、またはソフトウェアそのものである医療機器に対する必須要件を定めている。特定の非組込みソフトウェアとライフサイクル全体のアプローチも、これらの規則の対象となる。これらの要求事項は、製造事業者に対して、リスクマネジメントの原則を適用し、ITセキュリティ対策に関する要求事項や対応する適合性アセスメント手順を定めて、製品を開発・構築することを義務付けている。さらに、2019年12月以降、医療機器のサイバーセキュリティに関する特定のガイダンスが実施されており、体外診断用医療機器を含む医療機器の製造事業者に対し、サイバーセキュリティに関して同規則の附属書Ⅰに定める関連するすべての必須要件を満たす方法に関するガイダンスを提供している。従って、これらの規則のいずれかが適用されるデジタル要素を含む製品は、本規則の対象とはならない。 |
| (26) Products with digital elements that are developed or modified exclusively for national security or defence purposes or products that are specifically designed to process classified information fall outside the scope of this Regulation. Member States are encouraged to ensure the same or a higher level of protection for those products as for those falling within the scope of this Regulation. | (26) 国家安全保障または防衛の目的のみに開発または修正されたデジタル要素を含む製品、または機密情報を処理するために特別に設計された製品は、本規則の適用範囲外となる。加盟国は、これらの製品についても、本規則の適用範囲に含まれる製品と同等またはそれ以上の保護レベルを確保することが奨励される。 |
| (27) Regulation (EU) 2019/2144 of the European Parliament and of the Council (11) establishes requirements for the type-approval of vehicles, and of their systems and components, introducing certain cybersecurity requirements, including on the operation of a certified cybersecurity management system, on software updates, covering organisations’ policies and processes for cybersecurity risks related to the entire lifecycle of vehicles, equipment and services in compliance with the applicable United Nations regulations on technical specifications and cybersecurity, in particular UN Regulation No 155 – Uniform provisions concerning the approval of vehicles with regards to cybersecurity and cybersecurity management system (12) and providing for specific conformity assessment procedures. In the area of aviation, the principal objective of Regulation (EU) 2018/1139 of the European Parliament and of the Council (13) is to establish and maintain a high uniform level of civil aviation safety in the Union. It creates a framework for essential requirements for airworthiness for aeronautical products, parts and equipment, including software, that includes obligations to protect against information security threats. The certification process under Regulation (EU) 2018/1139 ensures the level of assurance aimed for by this Regulation. Products with digital elements to which Regulation (EU) 2019/2144 applies and products certified in accordance with Regulation (EU) 2018/1139 should not therefore be subject to the essential cybersecurity requirements and conformity assessment procedures set out in this Regulation. | (27) 欧州議会および理事会規則(EU)2019/2144(11)は、車両、そのシステムおよびコンポーネントの型式承認に関する要件を定めており、認証されたサイバーセキュリティマネジメントシステムの運用、ソフトウェアの更新、車両のライフサイクル全体に関連するサイバーセキュリティリスクに関する組織の方針およびプロセスを対象とするなど、一定のサイバーセキュリティ要件を導入している、 技術仕様とサイバーセキュリティに関する適用可能な国連規則、特に国連規則第155号「サイバーセキュリティおよびサイバーセキュリティ管理システムに関する自動車の承認に関する統一規定」(12)に準拠し、特定の適合性評価手順を規定する。航空分野では、欧州議会および理事会規則(EU)2018/1139(13)の主な目的は、連邦における高い統一レベルの民間航空安全を確立し、維持することである。同規則は、ソフトウェアを含む航空製品、部品、機器の耐空性に関する必須要件の枠組みを構築するもので、情報セキュリティの脅威から保護する義務を含んでいる。規則(EU)2018/1139に基づく認証プロセスは、この規則が目指す保証レベルを保証する。したがって、規則(EU)2019/2144が適用されるデジタル要素を含む製品、および規則(EU)2018/1139に従って認証された製品は、本規則に定めるサイバーセキュリティ必須要件および適合性評価手続の対象とすべきではない。 |
| (28) This Regulation lays down horizontal cybersecurity rules which are not specific to sectors or to certain products with digital elements. Nevertheless, sectoral or product-specific Union rules could be introduced, laying down requirements that address all or some of the risks covered by the essential cybersecurity requirements set out in this Regulation. In such cases, the application of this Regulation to products with digital elements covered by other Union rules laying down requirements that address all or some of the risks covered by the essential cybersecurity requirements set out in this Regulation may be limited or excluded where such limitation or exclusion is consistent with the overall regulatory framework applying to those products and where the sectoral rules achieve at least the same level of protection as the one provided for by this Regulation. The Commission should be empowered to adopt delegated acts to supplement this Regulation by identifying such products and rules. For existing Union law where such limitation or exclusion should apply, this Regulation contains specific provisions to clarify its relation with that Union law. | (28) 本規則は、セクターやデジタル要素を含む特定の製品に特定されない水平的なサイバーセキュリティ規則を定めている。とはいえ、本規則に定めるサイバーセキュリティの必須要件が対象とするリスクの全部または一部に対応する要件を定めた、分野別または製品別の連邦規則を導入することは可能である。このような場合、本規則に定めるサイバーセキュリティの必須要件が対象とするリスクの全部または一部に対処する要件を定めた他の連邦規則が適用されるデジタル要素を含む製品への本規則の適用は、当該制限または除外が当該製品に適用される全体的な規制の枠組みと整合し、かつ、当該分野別規則が少なくとも本規則が定めるものと同程度の保護を実現する場合には、制限または除外することができる。欧州委員会は、そのような製品および規則を特定することにより、本規則を補完する委任法を採択する権限を与えられるべきである。そのような制限または除外が適用されるべき既存のEU法については、本規則は、当該EU法との関係を明確にするための具体的な規定を含んでいる。 |
| (29) In order to ensure that products with digital elements made available on the market can be repaired effectively and their durability extended, an exemption should be provided for spare parts. That exemption should cover both spare parts that have the purpose of repairing legacy products made available before the date of application of this Regulation and spare parts that have already undergone a conformity assessment procedure pursuant to this Regulation. | (29) 市場で入手可能なデジタル要素を含む製品が効果的に修理され、その耐久性が延長されることを保証するために、スペアパーツに対する免除を設けるべきである。その免除は、本規則の適用日以前に入手可能となった旧製品の修理を目的とするスペアパーツと、本規則に基づく適合性アセスメント手続きを既に経たスペアパーツの両方を対象とすべきである。 |
| (30) Commission Delegated Regulation (EU) 2022/30 (14) specifies that a number of essential requirements set out in Article 3(3), points (d), (e) and (f), of Directive 2014/53/EU of the European Parliament and of the Council (15), relating to network harm and misuse of network resources, personal data and privacy, and fraud, apply to certain radio equipment. Commission Implementing Decision C(2022) 5637 of 5 August 2022 on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation lays down requirements for the development of specific standards further specifying how those essential requirements should be addressed. The essential cybersecurity requirements set out in this Regulation include all the elements of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of Directive 2014/53/EU. Furthermore, the essential cybersecurity requirements set out in this Regulation are aligned with the objectives of the requirements for specific standards included in that standardisation request. Therefore, when the Commission repeals or amends Delegated Regulation (EU) 2022/30 with the consequence that it ceases to apply to certain products subject to this Regulation, the Commission and the European standardisation organisations should take into account the standardisation work carried out in the context of Implementing Decision C(2022) 5637 in the preparation and development of harmonised standards to facilitate the implementation of this Regulation. During the transitional period for the application of this Regulation, the Commission should provide guidance to manufacturers subject to this Regulation that are also subject to Delegated Regulation (EU) 2022/30 to facilitate the demonstration of compliance with the two Regulations. | (30) 欧州委員会委任規則(EU)2022/30 (14)は、欧州議会および理事会指令2014/53/EU (15)の第3条(3)の(d)、(e)、(f)に規定されている、ネットワークへの危害およびネットワーク資源の悪用、個人データ・プライバシー、詐欺に関する多くの必須要件が、特定の無線機器に適用されることを規定している。欧州標準化委員会および欧州電気標準化委員会への標準化要請に関する2022年8月5日付の欧州委員会実施決定C(2022) 5637は、これらの必須要件にどのように対処すべきかをさらに明記し、特定の標準を開発するための要件を定めている。本規則に規定されるサイバーセキュリティの必須要件には、指令2014/53/EUの第3条(3)のポイント(d)、(e)および(f)に言及される必須要件のすべての要素が含まれる。さらに、本規則に規定されているサイバーセキュリティの必須要件は、当該標準化要求に含まれている特定標準の要件の目的と一致している。したがって、欧州委員会が委任規則(EU)2022/30を廃止または改正し、その結果、同規則が本規則の対象となる特定の製品に適用されなくなる場合、欧州委員会および欧州の標準化機関は、本規則の実施を促進するための整合規格の準備および開発において、実施決定C(2022)5637に関連して実施された標準化作業を考慮すべきである。本規則の適用に関する経過措置期間中、欧州委員会は、委任規則(EU)2022/30も適用される本規則の対象である製造事業者に対し、両規則への適合の実証を容易にするためのガイダンスを提供すべきである。 |
| (31) Directive (EU) 2024/2853 of the European Parliament and of the Council (16) is complementary to this Regulation. That Directive sets out liability rules for defective products so that injured persons can claim compensation when a damage has been caused by defective products. It establishes the principle that the manufacturer of a product is liable for damages caused by a lack of safety in their product irrespective of fault (strict liability). Where such a lack of safety consists in a lack of security updates after the placing on the market of the product, and this causes damage, the liability of the manufacturer could be triggered. Obligations for manufacturers that concern the provision of such security updates should be laid down in this Regulation. | (31) 欧州議会および理事会の指令(EU) 2024/2853(16)は、本規則を補完するものである。同指令は、欠陥製品によって損害が発生した場合に負傷者が補償を請求できるよう、欠陥製品の責任規定を定めている。同指令は、過失の有無にかかわらず、製品の安全性の欠如によって生じた損害については、製造事業者が責任を負うという原則を定めている(厳格責任)。このような安全性の欠如が、製品の上市後のセキュリティ更新の欠如に起因し、それが損害を引き起こした場合、製造事業者の責任が発生する可能性がある。このようなセキュリティ更新プログラムの提供に関する製造事業者の義務は、本規則に規定すべきである。 |
| (32) This Regulation should be without prejudice to Regulation (EU) 2016/679 of the European Parliament and of the Council (17), including to provisions relating to the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance of processing operations by controllers and processors with that Regulation. Such operations could be embedded in a product with digital elements. Data protection by design and by default, and cybersecurity in general, are key elements of Regulation (EU) 2016/679. By protecting consumers and organisations from cybersecurity risks, the essential cybersecurity requirements laid down in this Regulation are also to contribute to enhancing the protection of personal data and privacy of individuals. Synergies on both standardisation and certification of cybersecurity aspects should be considered through the cooperation between the Commission, the European standardisation organisations, the European Union Agency for Cybersecurity (ENISA), the European Data Protection Board established by Regulation (EU) 2016/679, and the national data protection supervisory authorities. Synergies between this Regulation and Union data protection law should also be created in the area of market surveillance and enforcement. To that end, national market surveillance authorities designated under this Regulation should cooperate with authorities supervising the application of Union data protection law. The latter should also have access to information relevant for accomplishing their tasks. | (32) 本規則は、データ管理者及びデータ処理者による処理業務が同規則に準拠していることを実証することを目的とした、データ保護認証メカニズム及びデータ保護シール・マークの確立に関する規定を含む、欧州議会及び理事会規則(EU)2016/679(17)を妨げるものであってはならない。このような処理は、デジタル要素を含む製品に組み込まれる可能性がある。デザインおよびデフォルトによるデータ保護、そして一般的なサイバーセキュリティは、規則(EU)2016/679の重要な要素である。消費者と組織をサイバーセキュリティのリスクから保護することで、この規則が定めるサイバーセキュリティの必須要件は、個人データとプライバシーの保護強化にも貢献する。欧州委員会、欧州標準化機関、欧州連合サイバーセキュリティ機関(ENISA)、規則(EU)2016/679により設立された欧州データ保護委員会、および各国のデータ保護監督当局の協力を通じて、サイバーセキュリティ面の標準化と認証の両面における相乗効果を検討すべきである。本規則と欧州連合データ保護法との間の相乗効果は、市場監視および執行の分野においても創出されるべきである。そのために、本規則に基づいて指定された各国の市場監視当局は、EUデータ保護法の適用を監督する当局と協力すべきである。後者はまた、その任務遂行のために関連する情報へのアクセス権を有するべきである。 |
| (33) To the extent that their products fall within the scope of this Regulation, providers of European Digital Identity Wallets as referred to in Article 5a(2) of Regulation (EU) No 910/2014 of the European Parliament and of the Council (18), should comply with both the horizontal essential cybersecurity requirements set out in this Regulation and the specific security requirements set out in Article 5a of Regulation (EU) No 910/2014. In order to facilitate compliance, wallet providers should be able to demonstrate the compliance of European Digital Identity Wallets with the requirements set out in this Regulation and in Regulation (EU) No 910/2014, respectively, by certifying their products under a European cybersecurity certification scheme established under Regulation (EU) 2019/881 and for which the Commission has specified, by means of delegated acts, a presumption of conformity with this Regulation, in so far as the certificate, or parts thereof, covers those requirements. | (33) 欧州議会および理事会規則(EU)No 910/2014(18)の第 5a(2)条で言及されている欧州デジタル ID ウォレットのプロバイダは、その製品が本規則の範囲に入る限り、本規則で規定されているサイバーセキュリティの水平的な必須要件と、規則(EU)No 910/2014 の第 5a条で規定されている特定のセキュリティ要件の両方を遵守する必要がある。準拠を促進するために、ウォレットプロバイダは、規則(EU)2019/881 に基づいて設立され、欧州委員会が委任行為によって、証明書またはその一部がこれらの要件をカバーしている限りにおいて本規則への準拠を推定することを規定した欧州サイバーセキュリティ認証スキームの下で製品を認証することにより、欧州デジタル ID ウォレットが本規則および規則(EU)No 910/2014 に規定された要件に準拠していることをそれぞれ証明できるようにすべきである。 |
| (34) When integrating components sourced from third parties in products with digital elements during the design and development phase, manufacturers should, in order to ensure that the products are designed, developed and produced in accordance with the essential cybersecurity requirements set out in this Regulation, exercise due diligence with regard to those components, including free and open-source software components that have not been made available on the market. The appropriate level of due diligence depends on the nature and the level of cybersecurity risk associated with a given component, and should, for that purpose, take into account one or more of the following actions: verifying, as applicable, that the manufacturer of a component has demonstrated conformity with this Regulation, including by checking if the component already bears the CE marking; verifying that a component receives regular security updates, such as by checking its security updates history; verifying that a component is free from vulnerabilities registered in the European vulnerability database established pursuant to Article 12(2) of Directive (EU) 2022/2555 or other publicly accessible vulnerability databases; or carrying out additional security tests. The vulnerability handling obligations set out in this Regulation, which manufacturers have to comply with when placing a product with digital elements on the market and for the support period, apply to products with digital elements in their entirety, including to all integrated components. Where, in the exercise of due diligence, the manufacturer of the product with digital elements identifies a vulnerability in a component, including in a free and open-source component, it should inform the person or entity manufacturing or maintaining the component, address and remediate the vulnerability, and, where applicable, provide the person or entity with the applied security fix. | (34) 設計・開発段階において、デジタル要素を含む製品に第三者から調達したコンポーネントを組み込む場合、製造事業者は、当該製品が本規則に定めるサイバーセキュリティの必須要件に従って設計・開発・製造されていることを保証するために、市場で入手可能になっていないフリーソフトウェアやオープンソースソフトウェアのコンポーネントを含め、これらのコンポーネントに関してデューディリジェンスを実施すべきである。デューディリジェンスの適切なレベルは、所与のコンポーネントに関連するサイバーセ キュリティリスクの性質とレベルに依存し、その目的のために、以下の行為の 1 つ以上を考慮に入れるべきである: 該当する場合、コンポーネントの製造事業者が、当該コンポーネントに既に CE マークが付されているかどうかを確認することを含め、本規則への適合性を実証していることを確認すること、セキュリティ更新履歴を確認することなどにより、コンポーネントが定期的にセキュリティ更新を受けていることを確認すること、指令(EU)2022/2555 の第 12 条(2)に従って設立された欧州脆弱性データベース又は一般にアクセス可能な他の脆弱性データベースに登録されている脆弱性がないことを確認すること、又は追加のセキュリティテストを実施すること。製造事業者がデジタル要素を含む製品を上市する際およびサポート期間中に遵守しなければならない、本規則に定める脆弱性対応義務は、すべての統合コンポーネントを含むデジタル要素を含む製品全体に適用される。デューディリジェンスの実施において、デジタル要素を含む製品の製造事業者が、無償のオープンソースコンポーネントを含むコンポーネントの脆弱性を特定した場合、当該コンポーネントを製造又は保守する個人又は事業体に通知し、当該脆弱性に対処し、是正し、該当する場合には、当該個人又は事業体に適用されたセキュリティ修正プログラムを提供しなければならない。 |
| (35) Immediately after the transitional period for the application of this Regulation, a manufacturer of a product with digital elements that integrates one or several components sourced from third parties which are also subject to this Regulation may not be able to verify, as part of its due diligence obligation, that the manufacturers of those components have demonstrated conformity with this Regulation by checking, for instance, if the components already bear the CE marking. This may be the case where the components have been integrated before this Regulation becomes applicable to the manufacturers of those components. In such a case, a manufacturer integrating such components should exercise due diligence through other means. | (35) 本規則の適用に関する経過措置期間の終了直後は、デジタル要素を含む製品であって、本規則の適用対象でもあるサードパーティから調達した1つ又は複数のコンポーネントを統合している製品の製造事業者は、デューディリジェンス義務の一環として、例えば、当該コンポーネントが既にCEマークを表示しているかどうかを確認することにより、当該コンポーネントの製造事業者が本規則に適合していることを実証していることを確認することができない可能性がある。これは、本規則が構成部品の製造事業者に適用される前に、構成部品が統合された場合である。このような場合、当該コンポーネントを統合する製造事業者は、他の手段によりデューディリジェンスを行うべきである。 |
| (36) Products with digital elements should bear the CE marking to visibly, legibly and indelibly indicate their conformity with this Regulation so that they can move freely within the internal market. Member States should not create unjustified obstacles to the placing on the market of products with digital elements that comply with the requirements laid down in this Regulation and bear the CE marking. Furthermore, at trade fairs, exhibitions and demonstrations or similar events, Member States should not prevent the presentation or use of a product with digital elements which does not comply with this Regulation, including its prototypes, provided that the product is presented with a visible sign clearly indicating that the product does not comply with this Regulation and that it is not to be made available on the market until it does so. | (36) デジタル要素を含む製品は、域内市場内を自由に移動できるよう、本規則に適合していることを、目に見え、読みやすく、かつ消えないように示すCEマーキングを付すべきである。加盟国は、本規則に定める要件に適合し、CEマーキングを付したデジタル要素を含む製品の上市に不当な障害を生じさせてはならない。さらに、見本市、展示会、実演会または類似の催しにおいて、加盟国は、本規則に適合しないデジタル要素を含む製品(その試作品を含む)の提示または使用を妨げてはならない。ただし、その製品が本規則に適合していないこと、および適合するまで市場で入手可能でないことを明示する標識を目に見える形で提示することを条件とする。 |
| (37) In order to ensure that manufacturers can release software for testing purposes before subjecting their products with digital elements to conformity assessment, Member States should not prevent the making available of unfinished software, such as alpha versions, beta versions or release candidates, provided that the unfinished software is made available only for the time necessary to test it and gather feedback. Manufacturers should ensure that software made available under those conditions is released only following a risk assessment and that it complies to the extent possible with the security requirements relating to the properties of products with digital elements laid down in this Regulation. Manufacturers should also implement the vulnerability handling requirements to the extent possible. Manufacturers should not force users to upgrade to versions only released for testing purposes. | (37) 加盟国は、製造事業者がデジタル要素を含む製品を適合性評価の対象とする前に、テスト目的でソフトウエアをリリースできるようにするため、アルファ版、ベータ版、リリース候補版などの未完成のソフトウエアを利用可能にすることを妨げるべきではない。製造事業者は、このような条件下で利用可能とされたソフトウェアが、リスクアセスメントを経た後にのみリリースされ、本規則に規定されたデジタル要素を含む製品の特性に関連するセキュリティ要件に可能な限り適合していることを保証しなければならない。また、製造事業者は、脆弱性ハンドリング要件を可能な限り実施すべきである。製造事業者は、テスト目的でのみリリースされるバージョンへのアップグレードをユーザに強制してはならない。 |
| (38) In order to ensure that products with digital elements, when placed on the market, do not pose cybersecurity risks to persons and organisations, essential cybersecurity requirements should be set out for such products. Those essential cybersecurity requirements, including vulnerability management handling requirements, apply to each individual product with digital elements when placed on the market, irrespective of whether the product with digital elements is manufactured as an individual unit or in series. For example, for a product type, each individual product with digital elements should have received all security patches or updates available to address relevant security issues when it is placed on the market. Where products with digital elements are subsequently modified, by physical or digital means, in a way that is not foreseen by the manufacturer in the initial risk assessment and that may imply that they no longer meet the relevant essential cybersecurity requirements, the modification should be considered to be substantial. For example, repairs could be assimilated to maintenance operations provided that they do not modify a product with digital elements already placed on the market in such a way that compliance with the applicable requirements may be affected, or that the intended purpose for which the product has been assessed may be changed. | (38) デジタル要素を含む製品が上市されたときに、人や組織にサイバーセキュリティ上のリスクを与えないことを保証するために、そのような製品に必須のサイバーセキュリティ要件を定めるべきである。脆弱性管理取扱要件を含むサイバーセキュリティの必須要件は、デジタル要素を含む製 品が個々のユニットとして製造されているか、直列に製造されているかに関係なく、上市された場 合、デジタル要素を含む個々の製品に適用される。例えば、ある製品タイプでは、デジタル要素を含む個々の製品が上市された時点で、関連するセキュリティ問題に対処するために利用可能なすべてのセキュリティパッチまたはアップデートを受け取っていなければならない。デジタル要素を含む製品が、最初のリスクアセスメントで製造事業者が予見しておらず、関連す るサイバーセキュリティの必須要件を満たさなくなることを意味するような方法で、物理的又はデジ タルな手段によって、その後修正された場合、その修正は実質的なものであると考えられるべきである。例えば、修理は、既に上市されているデジタル要素を含む製品に、適用される要件への 準拠が影響を受けるような形で変更を加えない、あるいは、製品が評価された意図された目 的が変更されないことを条件として、保守作業と同視することができる。 |
| (39) As is the case for physical repairs or modifications, a product with digital elements should be considered to be substantially modified by a software change where the software update modifies the intended purpose of that product and those changes were not foreseen by the manufacturer in the initial risk assessment, or where the nature of the hazard has changed or the level of cybersecurity risk has increased because of the software update, and the updated version of the product is made available on the market. Where a security update which is designed to decrease the level of cybersecurity risk of a product with digital elements does not modify the intended purpose of a product with digital elements, it is not considered to be a substantial modification. This usually includes situations where a security update entails only minor adjustments of the source code. For example, this could be the case where a security update addresses a known vulnerability, including by modifying functions or the performance of a product with digital elements for the sole purpose of decreasing the level of cybersecurity risk. Similarly, a minor functionality update, such as a visual enhancement or the addition of new pictograms or languages to the user interface, should not generally be considered to be a substantial modification. Conversely, where a feature update modifies the original intended functions or the type or performance of a product with digital elements and meets the above criteria, it should be considered to be a substantial modification, as the addition of new features typically leads to a broader attack surface, thereby increasing the cybersecurity risk. For example, this could be the case where a new input element is added to an application, requiring the manufacturer to ensure adequate input validation. In assessing whether a feature update is considered to be a substantial modification it is not relevant whether it is provided as a separate update or in combination with a security update. The Commission should issue guidance on how to determine what constitutes a substantial modification. | (39) 物理的な修理や変更の場合と同様に、デジタル要素を含む製品も、ソフトウェアの更新が当該製 品の意図された目的を変更し、その変更が当初のリスクアセスメントにおいて製造事業 者が予見していなかった場合、又はソフトウェアの更新によりハザードの性質が変更 され、又はサイバーセキュリティリスクのレベルが増加し、製品の更新版が市場で入手 可能となった場合には、ソフトウェアの変更により実質的に変更されたとみなされ るべきである。デジタル要素を含む製品のサイバーセキュリティリスクのレベルを低減するように設計されたセキュリティ更新が、デジタル要素を含む製品の意図された目的を変更しない場合、それは実質的な変更とは見なされない。これには通常、セキュリティ更新がソースコードの軽微な調整のみを伴う場合も含まれる。例えば、セキュリティ更新が既知の脆弱性に対処する場合であって、サイバーセキュリティリスクのレベルを低下させることのみを目的としてデジタル要素を含む製品の機能または性能を修正する場合を含む。同様に、視覚的な強化、ユーザーインターフェースへの新しいピクトグラムや言語の追加など、軽微な機能の更新は、一般に実質的な変更とはみなされないはずである。逆に、機能の更新が当初の意図した機能、またはデジタル要素を含む製品の種類や性能を変更し、上記の規準を満たす場合、新機能の追加は通常、攻撃対象領域の拡大につながり、それによってサイバーセキュリティリスクが増大するため、実質的な改変とみなされるべきである。例えば、アプリケーションに新たな入力要素が追加され、製造事業者が適切な入力妥当性確認を行う必要があるような場合である。機能アップデートが実質的な変更とみなされるかどうかをアセスメントする際、それが個別のアップデートとして提供されるか、セキュリティアップデートと組み合わせて提供されるかは関係ない。欧州委員会は、何が実質的な修正であるかを判断する方法についてガイダンスを公表すべきである。 |
| (40) Taking into account the iterative nature of software development, manufacturers that have placed subsequent versions of a software product on the market as a result of a subsequent substantial modification of that product should be able to provide security updates for the support period only for the version of the software product that they have last placed on the market. They should be able to do so only if the users of the relevant previous product versions have access to the product version last placed on the market free of charge and do not incur additional costs to adjust the hardware or software environment in which they operate the product. This could, for instance, be the case where a desktop operating system upgrade does not require new hardware, such as a faster central processing unit or more memory. Nonetheless, the manufacturer should continue to comply, for the support period, with other vulnerability-handling requirements, such as having a policy on coordinated vulnerability disclosure or measures in place to facilitate the sharing of information about potential vulnerabilities for all subsequent substantially modified versions of the software product placed on the market. Manufacturers should be able to provide minor security or functionality updates that do not constitute a substantial modification only for the latest version or sub-version of a software product that has not been substantially modified. At the same time, where a hardware product, such as a smartphone, is not compatible with the latest version of the operating system it was originally delivered with, the manufacturer should continue to provide security updates at least for the latest compatible version of the operating system for the support period. | (40) ソフトウェア開発の反復的な性質を考慮し、あるソフトウェア製品の大幅な改変の結果、その製品の後続バージョンを上市した製造事業者は、最後に上市したバージョンのソフトウェア製品に対してのみ、サポート期間中のセキュリティ更新プログラムを提供できるようにすべきである。そのようなことができるのは、該当する旧バージョンの製品のユーザーが、最後に上市された製品バージョンに無料でアクセスでき、製品を運用するハードウェアまたはソフトウェア環境を調整するための追加コストが発生しない場合に限られるべきである。例えば、デスクトップ・オペレーティング・システムのアップグレードが、より高速な中央処理装置やより多くのメモリなど、新しいハードウェアを必要としないような場合である。ただし、製造事業者は、サポート期間中、協調的な脆弱性開示に関するポリシーや、上市されたソフトウェア製品のその後のすべての大幅な変更バージョンについて、潜在的な脆弱性に関する情報の共有を促進するための措置を講じるなど、その他の脆弱性対応要件を引き続き遵守すべきである。製造事業者は、実質的な改変が行われていないソフトウェア製品の最新バージョンまたはサブバージョンに対してのみ、実質的な改変に該当しない軽微なセキュリティ更新または機能更新を提供できるようにすべきである。同時に、スマートフォンのようなハードウェア製品が、もともと搭載されていたオペレーティング・システムの最新バージョンと互換性がない場合、製造事業者は、サポート期間中、少なくとも互換性のある最新バージョンのオペレーティング・システムについては、セキュリティ・アップデートを提供し続けるべきである。 |
| (41) In line with the commonly established concept of substantial modification for products regulated by Union harmonisation legislation, where a substantial modification occurs that may affect the compliance of a product with digital elements with this Regulation or when the intended purpose of that product changes, it is appropriate that the compliance of the product with digital elements is verified and that, where applicable, it undergoes a new conformity assessment. Where applicable, if the manufacturer undertakes a conformity assessment involving a third party, a change that might lead to a substantial modification should be notified to the third party. | (41) 組合の整合化法によって規制される製品について一般的に確立された実質的変更の概念に沿い、デジタル要素を含む製品の本規則への適合性に影響を及ぼす可能性のある実質的変更が発生した場合、または当該製品の意図される目的が変更された場合、デジタル要素を含む製品の適合性を検証し、該当する場合には、新たな適合性アセスメントを受けることが適切である。該当する場合、製造事業者がサードパーティを含む適合性アセスメントを実施する場合、大幅な変更につながる可能性のある変更は、サードパーティに通知されなければならない。 |
| (42) Where a product with digital elements is subject to ‘refurbishment’, ‘maintenance’ and ‘repair’ as defined in Article 2, points (18), (19) and (20), of Regulation (EU) 2024/1781 of the European Parliament and of the Council (19), this does not necessarily lead to a substantial modification of the product, for instance if the intended purpose and functionalities are not changed and the level of risk remains unaffected. However, an upgrade of a product with digital elements by the manufacturer might lead to changes in the design and development of that product and might therefore affect its intended purpose and compliance with the requirements set out in this Regulation. | (42) デジタル要素を含む製品が、欧州議会及び理事会規則(EU) 2024/1781(19)の第 2 条の(18)、(19)及び(20)に定義される「改修」、「保守」及び「修理」の対象となる場合、例えば、意図された目的及び機能が変更されず、リスクのレベルが影響を受けない場合、これは必ずしも製品の実質的な変更につながるものではない。ただし、製造事業者によるデジタル要素を含む製品のアップグレードは、当該製品の設計および開発の変更につながる可能性があり、したがって、その意図する目的および本規則に定める要求事項への適合に影響を及ぼす可能性がある。 |
| (43) Products with digital elements should be considered to be important if the negative impact of the exploitation of potential vulnerabilities in the product can be severe due to, inter alia, the cybersecurity-related functionality or a function carrying a significant risk of adverse effects in terms of its intensity and ability to disrupt, control or cause damage to a large number of other products with digital elements or to the health, security or safety of its users through direct manipulation, such as a central system function, including network management, configuration control, virtualisation or processing of personal data. In particular, vulnerabilities in products with digital elements that have a cybersecurity-related functionality, such as boot managers, can lead to a propagation of security issues throughout the supply chain. The severity of the impact of an incident may also increase where the product primarily performs a central system function, including network management, configuration control, virtualisation or processing of personal data. | (43) デジタル要素を含む製品は、特に、サイバーセキュリティ関連の機能、または、ネットワーク管理、 構成管理、仮想化、または個人データの処理を含む中央システム機能など、直接的な操作を通じて、 他の多数のデジタル要素を含む製品、またはその使用者の健康、セキュリティ、もしくは安全を混乱 させ、制御し、もしくは損害を与える、その強度および能力において重大な悪影響のリスクを 伴う機能により、当該製品の潜在的な脆弱性が悪用された場合の悪影響が深刻になる可能性が ある場合、重要であるとみなされるべきである。特に、ブートマネージャーなど、サイバーセキュリティに関連する機能を持つデジタル要素を含む製品の脆弱性は、サプライチェーン全体にセキュリティ問題を伝播させる可能性がある。また、ネットワーク管理、コンフィギュレーション管理、仮想化、パーソナルデータの処理など、製品が主に中央システム機能を実行する場合には、インシデントの影響の重大性が増す可能性がある。 |
| (44) Certain categories of products with digital elements should be subject to stricter conformity assessment procedures, while keeping a proportionate approach. For that purpose, important products with digital elements should be divided into two classes, reflecting the level of cybersecurity risk linked to those categories of products. An incident involving important products with digital elements that fall under class II might lead to greater negative impacts than an incident involving important products with digital elements that fall under class I, for instance due to the nature of their cybersecurity-related function or the performance of another function which carries a significant risk of adverse effects. As an indication of such greater negative impacts, products with digital elements that fall under class II could either perform a cybersecurity-related functionality or another function which carries a significant risk of adverse effects that is higher than for those listed in class I, or meet both of the aforementioned criteria. Important products with digital elements that fall under class II should therefore be subject to a stricter conformity assessment procedure. | (44)デジタル要素を含む製品の特定のカテゴリーについては、比例的なアプローチを維持しつつ、より厳格な適合性評価手続の対象とすべきである。そのために、デジタル要素を含む重要な製品は、そのカテゴリーに関連するサイバーセキュリティリスクのレベルを反映して、2つのクラスに分けられるべきである。クラスⅡに該当するデジタル要素を含む重要な製品に関わるインシデントは、例えば、そのサイバーセキュリティ関連機能の性質や、悪影響の重大なリスクを伴う別の機能の実行により、クラスⅠに該当するデジタル要素を含む重要な製品に関わるインシデントよりも大きな悪影響をもたらす可能性がある。そのようなより大きな悪影響を示すものとして、クラスⅡに該当するデジタル要素を含む製品は、クラスⅠに記載された製品よりも高いサイバーセキュリティ関連機能または重大な悪影響のリスクを伴う別の機能を実行するか、前述の規準の両方を満たす可能性がある。したがって、クラスⅡに該当するデジタル要素を含む重要な製品は、より厳格な適合性評価手続の対象とすべきである。 |
| (45) Important products with digital elements as referred to in this Regulation should be understood as products which have the core functionality of a category of important products with digital elements that is set out in this Regulation. For example, this Regulation sets out categories of important products with digital elements which are defined by their core functionality as firewalls or intrusion detection or prevention systems in class II. As a result, firewalls and intrusion detection or prevention systems are subject to mandatory third-party conformity assessment. This is not the case for other products with digital elements not categorised as important products with digital elements which may integrate firewalls or intrusion detection or prevention systems. The Commission should adopt an implementing act to specify the technical description of the categories of important products with digital elements that fall under classes I and II as set out in this Regulation. | (45)本規則でいうデジタル要素を含む重要な製品とは、本規則で定めるデジタル要素を含む重要な製品のカテゴリーの中核機能を有する製品と理解すべきである。例えば、本規則は、デジタル要素を含む重要な製品のカテゴリーを定めており、そのコア機能により、クラスⅡのファイアウォールまたは侵入検知・防止システムとして定義されている。その結果、ファイアウォールおよび侵入検知・防止システムは、強制的なサードパーティ適合性評価の対象となる。これは、ファイアウォールや侵入検知・防御システムを統合する可能性のあるデジタル要素を含む重要な製品に分類されない、その他のデジタル要素を含む製品については当てはまらない。欧州委員会は、本規則に定めるクラスIおよびIIに該当するデジタル要素を含む重要な製品のカテゴリーの技術的記述を規定するための施行法を採択すべきである。 |
| (46) The categories of critical products with digital elements set out in this Regulation have a cybersecurity-related functionality and perform a function which carries a significant risk of adverse effects in terms of its intensity and ability to disrupt, control or cause damage to a large number of other products with digital elements through direct manipulation. Furthermore, those categories of products with digital elements are considered to be critical dependencies for essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555. The categories of critical products with digital elements set out in an annex to this Regulation, due to their criticality, already widely use various forms of certification, and are also covered by the European Common Criteria-based cybersecurity certification scheme (EUCC) set out in Commission Implementing Regulation (EU) 2024/482 (20). Therefore, in order to ensure a common adequate cybersecurity protection of critical products with digital elements in the Union, it could be adequate and proportionate to subject such categories of product, by means of a delegated act, to mandatory European cybersecurity certification where a relevant European cybersecurity certification scheme covering those products is already in place and an assessment of the potential market impact of the envisaged mandatory certification has been carried out by the Commission. That assessment should consider both the supply and demand side, including whether there is sufficient demand for the products with digital elements concerned from both Member States and users for European cybersecurity certification to be required, as well as the purposes for which the products with digital elements are intended to be used, including the critical dependency on them by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555. The assessment should also analyse the potential effects of the mandatory certification on the availability of those products on the internal market and the capabilities and the readiness of the Member States for the implementation of the relevant European cybersecurity certification schemes. | (46) 本規則に定めるデジタル要素を含む重要製品のカテゴリーは、サイバーセキュリティに関連する機能を有し、その強度と、直接的な操作によってデジタル要素を含む他の多数の製品を混乱させ、制御し、または損害を与える能力という点で、重大な悪影響のリスクを伴う機能を実行する。さらに、デジタル要素を含む製品のこれらのカテゴリーは、指令(EU)2022/2555の第3条(1)で言及されているように、必須事業体にとって重要な依存関係にあると考えられる。本規則の附属書に定めるデジタル要素を含む重要製品のカテゴリーは、その重要性から、すでにさまざまな形式の認証が広く使用されており、欧州委員会施行規則(EU)2024/482(20)に定める欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)の対象にもなっている。したがって、欧州連合内でデジタル要素を含む重要な製品のサイバーセキュリティ保護を共通に十分に確保するためには、そのような製品を対象とする関連する欧州サイバーセキュリティ認証制度がすでに導入されており、想定される強制認証の潜在的な市場影響に関するアセスメントが欧州委員会によって実施されている場合、委任法によって、そのような製品カテゴリーを強制的な欧州サイバーセキュリティ認証の対象とすることが適切かつ妥当であると考えられる。そのアセスメントは、欧州サイバーセキュリティ認証が必要とされるために、加盟国とユーザーの双方から当該デジタル要素を含む製品に対する十分な需要があるかどうか、また、指令(EU)2022/2555の第3条1項に言及されている必須事業体によるデジタル要素を含む製品への重要な依存を含む、デジタル要素を含む製品の使用目的など、供給側と需要側の両方を考慮すべきである。アセスメントはまた、国内市場における当該製品の入手可能性、関連する欧州のサイバーセキュリティ認証制度の実施に向けた加盟国の能力および準備に対する強制認証の潜在的影響についても分析する必要がある。 |
| (47) Delegated acts requiring mandatory European cybersecurity certification should determine the products with digital elements that have the core functionality of a category of critical products with digital elements set out in this Regulation that are to be subject to mandatory certification, as well as the required assurance level, which should be at least ‘substantial’. The required assurance level should be proportionate to the level of cybersecurity risk associated with the product with digital elements. For instance, where the product with digital elements has the core functionality of a category of critical products with digital elements set out in this Regulation and is intended for the use in a sensitive or critical environment, such as products intended for the use of essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555, it may require the highest assurance level. | (47) 欧州サイバーセキュリティ認証の義務付けを要求する委任法は、本規則に定めるデジタル要素を含む重要製品のカテゴリーの中核機能を有するデジタル要素を含む製品であって、認証の義務付けの対象となるもの、および要求される保証レベル(少なくとも「実質的」でなければならない)を決定しなければならない。要求される保証レベルは、デジタル要素を含む製品に関連するサイバーセキュリティリスクのレベルに比例すべきである。例えば、デジタル要素を含む製品が、本規則に定めるデジタル要素を含む重要製品のカテゴリの中核機能を有し、かつ、指令(EU)2022/2555の第3条(1)にいう必須事業体の使用を意図した製品など、機密または重要な環境での使用を意図している場合、最高の保証レベルを要求することができる。 |
| (48) In order to ensure a common adequate cybersecurity protection in the Union of products with digital elements that have the core functionality of a category of critical products with digital elements set out in this Regulation, the Commission should also be empowered to adopt delegated acts to amend this Regulation by adding or withdrawing categories of critical products with digital elements for which manufacturers could be required to obtain a European cybersecurity certificate under a European cybersecurity certification scheme pursuant to Regulation (EU) 2019/881 to demonstrate conformity with this Regulation. A new category of critical products with digital elements can be added to those categories if there is a critical dependency on them by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555 or, if affected by incidents or when containing exploited vulnerabilities, this could lead to disruptions of critical supply chains. When assessing the need for adding or withdrawing categories of critical products with digital elements by means of a delegated act, the Commission should be able to take into account whether the Member States have identified at national level products with digital elements that have a critical role for the resilience of essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555 and which increasingly face supply chain cyberattacks, with potential serious disruptive effects. Furthermore, the Commission should be able to take into account the outcome of the Union level coordinated security risk assessment of critical supply chains carried out in accordance with Article 22 of Directive (EU) 2022/2555. | (48) 本規則に定めるデジタル要素を含む重要製品のカテゴリーの中核機能を有するデジタル要素を含む製品について、域内で共通の適切なサイバーセキュリティ保護を確保するため、欧州委員会は、本規則への適合を実証するために、製造事業者が規則(EU)2019/881に基づき欧州サイバーセキュリティ認証制度に基づく欧州サイバーセキュリティ証明書の取得を要求され得るデジタル要素を含む重要製品のカテゴリーを追加または廃止することにより、本規則を改正する委任法を採択する権限も付与されるべきである。指令(EU) 2022/2555の第3条(1)にいう必須事業体によるデジタル要素を含む製品への重要な依存がある場合、またはインシデントの影響を受けた場合、あるいは悪用された脆弱性が含まれる場合、重要なサプライチェーンの混乱につながる可能性がある場合、デジタル要素を含む製品の新たなカテゴリーをこれらのカテゴリーに追加することができる。委任法によってデジタル要素を含む重要製品のカテゴリーを追加または撤回する必要性をアセスメントする際、欧州委員会は、指令(EU)2022/2555の第3条1項に言及されている必須事業体のレジリエンスにとって重要な役割を持ち、深刻な破壊的影響をもたらす可能性のあるサプライチェーンサイバー攻撃にますます直面しているデジタル要素を含む製品を加盟国が国内レベルで特定したかどうかを考慮できるようにすべきである。さらに、欧州委員会は、指令(EU) 2022/2555の第22条に従って実施される、重要なサプライチェーンに関する欧州連合レベルの協調的セキュリティリスク・アセスメントの結果を考慮できるようにすべきである。 |
| (49) The Commission should ensure that a wide range of relevant stakeholders are consulted in a structured and regular manner when preparing measures for the implementation of this Regulation. This should particularly be the case where the Commission assesses the need for potential updates to the lists of categories of important or critical products with digital elements, where relevant manufacturers should be consulted and their views taken into account in order to analyse the cybersecurity risks as well as the balance of costs and benefits of designating such categories of products as important or critical. | (49) 欧州委員会は、本規則の実施のための措置を準備する際に、幅広い関係利害関係者が体系的かつ定期的に協議されるようにすべきである。特に、欧州委員会がデジタル要素を含む重要な製品または重要な製品のカテゴリーリストの更新の必要性をアセスメントする場合には、サイバーセキュリティのリスクを分析するとともに、そのような製品カテゴリーを重要または重要な製品として指定することのコストと便益のバランスを分析するために、関連する製造事業者に相談し、その意見を考慮すべきである。 |
| (50) This Regulation addresses cybersecurity risks in a targeted manner. Products with digital elements might, however, pose other safety risks, that are not always related to cybersecurity but can be a consequence of a security breach. Those risks should continue to be regulated by relevant Union harmonisation legislation other than this Regulation. If no Union harmonisation legislation other than this Regulation is applicable, they should be subject to Regulation (EU) 2023/988 of the European Parliament and of the Council (21). Therefore, in light of the targeted nature of this Regulation, as a derogation from Article 2(1), third subparagraph, point (b), of Regulation (EU) 2023/988, Chapter III, Section 1, Chapters V and VII, and Chapters IX to XI of Regulation (EU) 2023/988 should apply to products with digital elements with respect to safety risks not covered by this Regulation, if those products are not subject to specific requirements laid down in Union harmonisation legislation other than this Regulation within the meaning of Article 3, point (27), of Regulation (EU) 2023/988. | (50) 本規則は、サイバーセキュリティリスクに的を絞って対応している。しかし、デジタル要素を含む製品は、必ずしもサイバーセキュリティとは関係ないが、セキュリティ侵害の結果として、他の安全リスクをもたらす可能性がある。それらのリスクは、本規則以外の関連するEU調和法によって引き続き規制されるべきである。本規則以外の連邦調和法が適用されない場合は、欧州議会および理事会規則(EU)2023/988(21)に従うべきである。したがって、本規則の対象性を考慮し、規則(EU)2023/988の第2条第1項第3号(b)の適用除外として、規則(EU)2023/988の第III章、第1節、第V章および第VII章、第IX章から第XI章が、本規則が対象としていない安全リスクに関してデジタル要素を含む製品に適用されるべきである、 これらの製品が、規則(EU)2023/988の第3条(27)の意味において、本規則以外のEU調和法令に規定された特定の要件の対象でない場合。 |
| (51) Products with digital elements classified as high-risk AI systems pursuant to Article 6 of Regulation (EU) 2024/1689 of the European Parliament and of the Council (22) which fall within the scope of this Regulation should comply with the essential cybersecurity requirements set out in this Regulation. Where those high-risk AI systems fulfil the essential cybersecurity requirements set out in this Regulation, they should be deemed to comply with the cybersecurity requirements set out in Article 15 of Regulation (EU) 2024/1689 in so far as those requirements are covered by the EU declaration of conformity or parts thereof issued under this Regulation. For that purpose, the assessment of the cybersecurity risks associated with a product with digital elements classified as a high-risk AI system pursuant to Regulation (EU) 2024/1689 that is to be taken into account during the planning, design, development, production, delivery and maintenance phases of such product, as required under this Regulation, should take into account risks to the cyber resilience of an AI system as regards attempts by unauthorised third parties to alter its use, behaviour or performance, including AI specific vulnerabilities such as data poisoning or adversarial attacks, as well as, as relevant, risks to fundamental rights, in accordance with Regulation (EU) 2024/1689. As regards the conformity assessment procedures relating to the essential cybersecurity requirements for a product with digital elements that falls within the scope of this Regulation and that is classified as a high-risk AI system, Article 43 of Regulation (EU) 2024/1689 should apply as a rule instead of the relevant provisions of this Regulation. However, that rule should not result in a reduction of the necessary level of assurance for important or critical products with digital elements as referred to in this Regulation. Therefore, by way of derogation from that rule, high-risk AI systems that fall within the scope of Regulation (EU) 2024/1689 which are also important or critical products with digital elements as referred to in this Regulation and to which the conformity assessment procedure based on internal control referred to in Annex VI to Regulation (EU) 2024/1689 applies, should be subject to the conformity assessment procedures provided for in this Regulation in so far as the essential cybersecurity requirements set out in this Regulation are concerned. In such a case, for all the other aspects covered by Regulation (EU) 2024/1689 the relevant provisions on conformity assessment based on internal control set out in Annex VI to that Regulation should apply. | (51) 欧州議会および理事会規則(EU) 2024/1689(22)の第6条に基づき高リスクAIシステムとして分類されたデジタル要素を含む製品で、本規則の適用範囲に含まれるものは、本規則に定めるサイバーセキュリティの必須要件に準拠する必要がある。これらの高リスクAIシステムが本規則に定めるサイバーセキュリティ必須要件を満たす場合、これらの要件が本規則に基づいて発行されるEU適合宣言書またはその一部によってカバーされる限りにおいて、規則(EU)2024/1689の第15条に定めるサイバーセキュリティ要件に適合しているとみなされるべきである。そのために、本規則に基づき要求される、規則(EU)2024/1689に従って高リスクAIシステムとして分類されるデジタル要素を含む製品に関連するサイバーセキュリティリスクのアセスメントは、当該製品の計画、設計、開発、製造、引渡し、保守の段階で考慮されなければならない、 は、規則(EU)2024/1689に従い、データ・ポイズニングや敵対的攻撃といったAI特有の脆弱性だけでなく、関連するものとして基本的権利に対するリスクも含め、無許可の第三者によるAIシステムの使用、挙動、性能の改変の試みに関して、AIシステムのサイバー・レジリエンスに対するリスクを考慮しなければならない。本規則の適用範囲に含まれ、高リスクAIシステムに分類されるデジタル要素を含む製品のサイバーセキュリティ必須要件に関する適合性アセスメント手続きに関しては、本規則の関連規定の代わりに、規則として規則(EU)2024/1689の第43条を適用すべきである。ただし、この規則により、本規則でいうデジタル要素を含む重要な製品または重要な製品の必要な保証レベルが低下することがあってはならない。したがって、当該規則の適用除外として、規則(EU)2024/1689の範囲に含まれる高リスクAIシステムであって、本規則にいうデジタル要素を含む重要な製品または重要な製品でもあり、規則(EU)2024/1689の附属書VIにいう内部統制に基づく適合性アセスメント手続が適用されるものは、本規則に定めるサイバーセキュリティの必須要件に関する限り、本規則に定める適合性アセスメント手続の対象とすべきである。この場合、規則(EU)2024/1689が対象とする他のすべての側面については、同規則の附属書VIに定める内部統制に基づく適合性評価に関する関連規定が適用されるべきである。 |
| (52) In order to improve the security of products with digital elements placed on the internal market it is necessary to lay down essential cybersecurity requirements applicable to such products. Those essential cybersecurity requirements should be without prejudice to the Union level coordinated security risk assessments of critical supply chains provided for in Article 22 of Directive (EU) 2022/2555, which take into account both technical and, where relevant, non-technical risk factors, such as undue influence by a third country on suppliers. Furthermore, they should be without prejudice to the Member States’ prerogative to lay down additional requirements that take account of non-technical factors for the purpose of ensuring a high level of resilience, including those defined in Commission Recommendation (EU) 2019/534 (23), in the EU coordinated risk assessment of the cybersecurity of 5G networks and in the EU Toolbox on 5G cybersecurity agreed by the Cooperation Group established pursuant to Article 14 of Directive (EU) 2022/2555. | (52) 上市されるデジタル要素を含む製品のセキュリティを改善するためには、当該製品に適用されるサイバーセキュリティの必須要件を定める必要がある。これらの必須サイバーセキュリティ要件は、指令(EU) 2022/2555の第22条に規定されている、重要なサプライチェーンの連合レベルの協調的セキュリティリスクアセスメントを妨げるものであってはならない。さらに、欧州委員会勧告(EU)2019/534(23)、5Gネットワークのサイバーセキュリティに関するEU協調リスクアセスメント、指令(EU)2022/2555の第14条に従って設立された協力グループによって合意された5Gサイバーセキュリティに関するEUツールボックスで定義されたものを含め、高水準のレジリエンスを確保する目的で非技術的要因を考慮した追加要件を定める加盟国の特権を損なうものであってはならない。 |
| (53) Manufacturers of products falling within the scope of Regulation (EU) 2023/1230 of the European Parliament and of the Council (24) which are also products with digital elements as defined in this Regulation should comply with both the essential cybersecurity requirements set out in this Regulation and the essential health and safety requirements set out in Regulation (EU) 2023/1230. The essential cybersecurity requirements set out in this Regulation and certain essential requirements set out in Regulation (EU) 2023/1230 might address similar cybersecurity risks. Therefore, the compliance with the essential cybersecurity requirements set out in this Regulation could facilitate the compliance with the essential requirements that also cover certain cybersecurity risks as set out in Regulation (EU) 2023/1230, and in particular those regarding the protection against corruption and safety and reliability of control systems set out in sections 1.1.9 and 1.2.1 of Annex III to that Regulation. Such synergies have to be demonstrated by the manufacturer, for instance by applying, where available, harmonised standards or other technical specifications covering relevant essential cybersecurity requirements following a risk assessment covering those cybersecurity risks. The manufacturer should also follow the applicable conformity assessment procedures set out in this Regulation and in Regulation (EU) 2023/1230. The Commission and the European standardisation organisations, in the preparatory work supporting the implementation of this Regulation and of Regulation (EU) 2023/1230 and the related standardisation processes, should promote consistency in how the cybersecurity risks are to be assessed and in how those risks are to be covered by harmonised standards with regard to the relevant essential requirements. In particular, the Commission and the European standardisation organisations should take into account this Regulation in the preparation and development of harmonised standards to facilitate the implementation of Regulation (EU) 2023/1230 as regards in particular the cybersecurity aspects related to the protection against corruption and safety and reliability of control systems set out in sections 1.1.9 and 1.2.1 of Annex III to that Regulation. The Commission should provide guidance to support manufacturers subject to this Regulation that are also subject to Regulation (EU) 2023/1230, in particular to facilitate the demonstration of compliance with relevant essential requirements set out in this Regulation and in Regulation (EU) 2023/1230. | (53) 欧州議会および理事会規則(EU) 2023/1230(24)の範囲内にある製品の製造事業者であって、本規則に定義されるデジタル要素を含む製品でもある者は、本規則に規定されるサイバーセキュリティ必須要件と、規則(EU) 2023/1230に規定される安全衛生必須要件の両方を遵守する必要がある。本規則に定めるサイバーセキュリティ必須要件と規則(EU)2023/1230に定める特定の必須要件は、同様のサイバーセキュリティリスクに対処する可能性がある。したがって、本規則に定めるサイバーセキュリティの必須要件の遵守は、規則(EU)2023/1230に定める特定のサイバーセキュリティ・リスクをもカバーする必須要件、特に同規則の附属書IIIの1.1.9項および1.2.1項に定める腐敗防止、制御システムの安全性および信頼性に関する要件の遵守を促進する可能性がある。このような相乗効果は、例えば、製造事業者が、サイバーセキュリティリスクを網羅するリスクアセスメントを行った上で、関連する必須サイバーセキュリティ要件を網羅する整合規格やその他の技術仕様がある場合には、それを適用することによって実証しなければならない。また、製造事業者は、本規則および規則(EU)2023/1230に定められた適合性評価手続きに従うべきである。欧州委員会および欧州標準化機関は、本規則および規則(EU)2023/1230の実施を支援する準備作業および関連する標準化プロセスにおいて、関連する必須要件に関して、サイバーセキュリティリスクのアセスメント方法およびそれらのリスクを整合規格でカバーする方法について、一貫性を促進すべきである。特に、欧州委員会および欧州の標準化機関は、同規則の附属書IIIの1.1.9項および1.2.1項に規定されている腐敗防止および制御システムの安全性と信頼性に関連するサイバーセキュリティの側面に関して、同規則(EU)2023/1230の実施を促進するための標準の作成および開発において、同規則を考慮すべきである。欧州委員会は、本規則の対象となる製造事業者のうち、規則(EU)2023/1230の対象でもある者を支援するため、特に、本規則および規則(EU)2023/1230に規定されている関連必須要件への適合の実証を容易にするためのガイダンスを提供すべきである。 |
| (54) In order to ensure that products with digital elements are secure both at the time of their placing on the market as well as during the time the product with digital elements is expected to be in use, it is necessary to lay down essential cybersecurity requirements for vulnerability handling and essential cybersecurity requirements relating to the properties of products with digital elements. While manufacturers should comply with all essential cybersecurity requirements related to vulnerability handling throughout the support period, they should determine which other essential cybersecurity requirements related to the product properties are relevant for the type of product with digital elements concerned. For that purpose, manufacturers should undertake an assessment of the cybersecurity risks associated with a product with digital elements to identify relevant risks and relevant essential cybersecurity requirements in order to make available their products with digital elements without known exploitable vulnerabilities that might have an impact on the security of those products and to appropriately apply suitable harmonised standards, common specifications or European or international standards. | (54) デジタル要素を含む製品が上市される時点およびデジタル要素を含む製品が使用されると予想される期間の両方において安全であることを保証するためには、脆弱性の取り扱いに関するサイバーセキュリティの必須要件およびデジタル要素を含む製品の特性に関連するサイバーセキュリティの必須要件を定めることが必要である。製造事業者は、サポート期間を通じて、脆弱性ハンドリングに関連するすべての必須サイバーセキュリティ要件を遵守すべきであるが、製品の特性に関連するその他の必須サイバーセキュリティ要件のうち、当該デジタル要素を含む製品のタイプに関連するものを決定すべきである。そのために、製造事業者は、デジタル要素を含む製品に関連するサイバーセキュリティリ スクのアセスメントを実施し、製品のセキュリティに影響を及ぼす可能性のある既知の脆弱 性を悪用することなくデジタル要素を含む製品を利用できるようにするため、また、適切な整合 規格、共通仕様又は欧州規格若しくは国際規格を適切に適用するために、関連するリスク及び関 連する必須サイバーセキュリティ要件を特定すべきである。 |
| (55) Where certain essential cybersecurity requirements are not applicable to a product with digital elements, the manufacturer should include a clear justification in the cybersecurity risk assessment included in the technical documentation. This could be the case where an essential cybersecurity requirement is incompatible with the nature of a product with digital elements. For example, the intended purpose of a product with digital elements may require the manufacturer to follow widely recognised interoperability standards even if its security features are no longer considered to be state of the art. Similarly, other Union law requires manufacturers to apply specific interoperability requirements. Where an essential cybersecurity requirement is not applicable to a product with digital elements, but the manufacturer has identified cybersecurity risks in relation to that essential cybersecurity requirement, it should take measures to address those risks by other means, for instance by limiting the intended purpose of the product to trusted environments or by informing the users about those risks. | (55) デジタル要素を含む製品に特定のサイバーセキュリティ必須要件が適用されない場合、製造事業者 は、技術文書に含まれるサイバーセキュリティリスクアセスメントに明確な正当性を含めるべきである。これは、サイバーセキュリティの必須要件がデジタル要素を含む製品の性質と相容れない場合 である。例えば、デジタル要素を含む製品の意図された目的から、製造事業者は、そのセキュリティ機能がもはや最新技術ではないと考えられる場合でも、広く認知された相互運用性標準に従うことが求められる場合がある。同様に、他のEU法は、製造事業者に対し、特定の相互運用性要件を適用することを求めている。デジタル要素を含む製品にサイバーセキュリティの必須要件が適用されないが、製造事業者が当該サイ バーセキュリティの必須要件に関連するサイバーセキュリティ・リスクを特定した場合、製造事業者 は、例えば、製品の使用目的を信頼できる環境に限定したり、当該リスクについてユーザに通知 したりするなど、他の手段によって当該リスクに対処するための措置を講じるべきである。 |
| (56) One of the most important measures for users to take in order to protect their products with digital elements from cyberattacks is to install the latest available security updates as soon as possible. Manufacturers should therefore design their products and put in place processes to ensure that products with digital elements include functions that enable the notification, distribution, download and installation of security updates automatically, in particular in the case of consumer products. They should also provide the possibility to approve the download and installation of the security updates as a final step. Users should retain the ability to deactivate automatic updates, with a clear and easy-to-use mechanism, supported by clear instructions on how users can opt out. The requirements relating to automatic updates as set out in an annex to this Regulation are not applicable to products with digital elements primarily intended to be integrated as components into other products. They also do not apply to products with digital elements for which users would not reasonably expect automatic updates, including products with digital elements intended to be used in professional ICT networks, and especially in critical and industrial environments where an automatic update could cause interference with operations. Irrespective of whether a product with digital elements is designed to receive automatic updates or not, its manufacturer should inform users about vulnerabilities and make security updates available without delay. Where a product with digital elements has a user interface or similar technical means allowing direct interaction with its users, the manufacturer should make use of such features to inform users that their product with digital elements has reached the end of the support period. Notifications should be limited to what is necessary in order to ensure the effective reception of this information and should not have a negative impact on the user experience of the product with digital elements. | (56) デジタル要素を含む製品をサイバー攻撃から守るために輸入事業者がとるべき最も重要な措置の 一つは、利用可能な最新のセキュリティ更新プログラムをできるだけ早くインストールすること である。したがって、製造事業者は、デジタル要素を含む製品に、特に消費者向け製品の場合、セキュリティ更新プログラムの通知、配布、ダウンロード、インストールを自動的に行える機能が含まれるように製品を設計し、プロセスを整備すべきである。また、最終段階として、セキュリティ更新プログラムのダウンロードとインストールを承認できるようにすべきである。ユーザーが自動更新を停止できるように、明確で使いやすい仕組みを維持すべきである。本規則の附属書に定める自動更新に関する要件は、主として他の製品に部品として組み込むことを意図したデジタル要素を含む製品には適用されない。また、専門的なICTネットワークでの使用を意図したデジタル要素を含む製品、特に自動更新が運用に支障をきたす可能性のある重要環境および産業環境での使用を意図したデジタル要素を含む製品など、ユーザーが自動更新を合理的に期待しないデジタル要素を含む製品にも適用されない。デジタル要素を含む製品が自動更新を受けるように設計されているか否かにかかわらず、その製造事業者は、脆弱性についてユーザーに通知し、遅滞なくセキュリティ更新を利用できるようにすべきである。デジタル要素を含む製品が、ユーザーとの直接対話を可能にするユーザーインターフェースまたは同様の技術的手段を備えている場合、製造事業者は、そのような機能を利用して、デジタル要素を含む製品がサポート期間の終了に達したことをユーザーに通知すべきである。通知は、この情報の効果的な受信を確保するために必要なものに限定されるべきであり、デジタル要素を含む製品のユーザーエクスペリエンスに悪影響を及ぼすものであってはならない。 |
| (57) To improve the transparency of vulnerability handling processes and to ensure that users are not required to install new functionality updates for the sole purpose of receiving the latest security updates, manufacturers should ensure, where technically feasible, that new security updates are provided separately from functionality updates. | (57) 脆弱性対応プロセスの透明性を改善し、最新のセキュリティ更新を受けることのみを目的としてユーザが新たな機能更新のインストールを要求されないようにするため、製造事業者は、技術的に可能な場合には、新たなセキュリティ更新が機能更新とは別に提供されるようにすべきである。 |
| (58) The joint communication of the Commission and the High Representative of the Union for Foreign Affairs and Security Policy of 20 June 2023 entitled ‘European Economic Security Strategy’ stated that the Union needs to maximise the benefits of its economic openness while minimising the risks from economic dependencies on high-risk vendors, through a common strategic framework for Union economic security. Dependencies on high-risk suppliers of products with digital elements may pose a strategic risk that needs to be addressed at Union level, especially where the products with digital elements are intended for the use by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555. Such risks may be linked, but not limited, to the jurisdiction applicable to the manufacturer, the characteristics of its corporate ownership and the links of control to a third-country government where it is established, in particular where a third country engages in economic espionage or irresponsible state behaviour in cyberspace and its legislation allows arbitrary access to any kind of company operations or data, including commercially sensitive data, and can impose obligations for intelligence purposes without democratic checks and balances, oversight mechanisms, due process or the right to appeal to an independent court or tribunal. When determining the significance of a cybersecurity risk within the meaning of this Regulation, the Commission and the market surveillance authorities, as per their responsibilities as set out in this Regulation, should also consider non-technical risk factors, in particular those established as a result of Union level coordinated security risk assessments of critical supply chains carried out in accordance with Article 22 of Directive (EU) 2022/2555. | (58) 2023年6月20日付の欧州委員会とEU外務・安全保障政策上級代表の共同コミュニケーション「欧州経済安全保障戦略」は、EUの経済安全保障のための共通の戦略的枠組みを通じて、高リスク業者への経済的依存から生じるリスクを最小化しつつ、EUの経済開放のメリットを最大化する必要があると述べている。デジタル要素を含む製品の高リスク業者への依存は、特にデジタル要素を含む製品が指令(EU)2022/2555の第3条1項にいう必須事業体による使用を意図している場合、EUレベルで対処すべき戦略的リスクをもたらす可能性がある。このようなリスクは、製造者に適用される司法管轄権、その企業所有権の特徴、製造者が設立された第三国政府との管理関係に関連する可能性があるが、これに限定されるものではない。特に、第三国がサイバー空間において経済スパイ行為や無責任な国家行動を行い、その法律が商業的機密データを含むあらゆる種類の企業業務やデータへの恣意的なアクセスを許可し、民主的牽制、監視機構、適正手続き、独立した裁判所や法廷に上訴する権利なしに、諜報目的の義務を課すことができる場合である。本規則の意味におけるサイバーセキュリティリスクの重要性を判断する際、欧州委員会および市場監視当局は、本規則に定められた責務に従い、非技術的なリスク要因、特に指令(EU)2022/2555の第22条に従って実施された重要なサプライチェーンに関する連邦レベルの協調的セキュリティリスク・アセスメントの結果として確立されたリスク要因も考慮すべきである。 |
| (59) For the purpose of ensuring the security of products with digital elements after their placing on the market, manufacturers should determine the support period, which should reflect the time the product with digital elements is expected to be in use. In determining a support period, a manufacturer should take into account in particular reasonable user expectations, the nature of the product, as well as relevant Union law determining the lifetime of products with digital elements. Manufacturers should also be able to take into account other relevant factors. Criteria should be applied in a manner that ensures proportionality in the determination of the support period. Upon request, a manufacturer should provide market surveillance authorities with the information that was taken into account to determine the support period of a product with digital elements. | (59) デジタル要素を含む製品の上市後のセキュリティを確保するため、製造事業者は、デジタル要素を含む製品が使用されると予想される期間を反映したサポート期間を決定すべきである。サポート期間を決定する際、製造事業者は、特に合理的なユーザーの期待、製品の性質、デジタル要素を含む製品の耐用年数を定める関連連合法を考慮すべきである。製造事業者はまた、その他の関連要因も考慮できるものとする。規準は、サポート期間の決定における比例性を保証する方法で適用されるべきである。製造事業者は、要請があれば、デジタル要素を含む製品のサポート期間を決定するために考慮した情報を市場監視当局に提供すべきである。 |
| (60) The support period for which the manufacturer ensures the effective handling of vulnerabilities should be no less than five years, unless the lifetime of the product with digital elements is less than five years, in which case the manufacturer should ensure the vulnerability handling for that lifetime. Where the time the product with digital elements is reasonably expected to be in use is longer than five years, as is often the case for hardware components such as motherboards or microprocessors, network devices such as routers, modems or switches, as well as software, such as operating systems or video-editing tools, manufacturers should accordingly ensure longer support periods. In particular, products with digital elements intended for use in industrial settings, such as industrial control systems, are often in use for significantly longer periods of time. A manufacturer should be able to define a support period of less than five years only where this is justified by the nature of the product with digital elements concerned and where that product is expected to be in use for less than five years, in which case the support period should correspond to the expected use time. For instance, the lifetime of a contact tracing application intended for use during a pandemic could be limited to the duration of the pandemic. Moreover, some software applications can by nature only be made available on the basis of a subscription model, in particular where the application becomes unavailable to the user and is consequently not in use anymore once the subscription expires. | (60) 製造事業者が脆弱性の効果的な処理を保証するサポート期間は、デジタル要素を含む製品の寿命が5年未満である場合を除き、5年以上とすべきである。マザーボードやマイクロプロセッサーなどのハードウェア部品、ルーター、モデム、スイッチなどのネットワーク機器、オペレーティングシステムやビデオ編集ツールなどのソフトウェアによく見られるように、デジタル要素を含む製品の使用期間が5年を超えると合理的に予想される場合、製造事業者はそれに応じてより長いサポート期間を確保すべきである。特に、産業用制御システムなど、産業環境での使用を目的としたデジタル要素を含む製品は、使用期間が大幅に長くなることが多い。製造事業者は、当該デジタル要素を含む製品の性質によって正当化され、その製品の使用期間が5年未満であると予想される場合に限り、5年未満のサポート期間を定めることができるものとする。例えば、パンデミック時の使用を意図した接触者追跡アプリケーションの寿命は、パンデミックの期間に限定することができる。さらに、ソフトウェアアプリケーションの中には、本質的にサブスクリプションモデルに基づい てのみ利用可能なものもあり、特にサブスクリプションの期限が切れると、アプリケーションはユ ーザーにとって利用不可能となり、その結果利用できなくなるものもある。 |
| (61) When products with digital elements reach the end of their support periods, in order to ensure that vulnerabilities can be handled after the end of the support period, manufacturers should consider releasing the source code of such products with digital elements either to other undertakings which commit to extending the provision of vulnerability handling services or to the public. Where manufacturers release the source code to other undertakings, they should be able to protect the ownership of the product with digital elements and prevent the dissemination of the source code to the public, for example through contractual arrangements. | (61) デジタル要素を含む製品のサポート期間が終了した場合、サポート期間終了後も脆弱性を確実に処理できるようにするため、製造事業者は、脆弱性処理サービスの提供を拡大することを約束する他の事業者または一般に、当該デジタル要素を含む製品のソースコードを公開することを検討すべきである。製造事業者がソースコードを他の事業者に公開する場合、デジタル要素を含む製品の所有権を保護し、例えば契約上の取り決めを通じて、ソースコードが公衆に拡散することを防止できるようにすべきである。 |
| (62) In order to ensure that manufacturers across the Union determine similar support periods for comparable products with digital elements, ADCO should publish statistics on the average support periods determined by manufacturers for categories of products with digital elements and issue guidance indicating appropriate support periods for such categories. In addition, with a view to ensuring a harmonised approach across the internal market, the Commission should be able to adopt delegated acts to specify minimum support periods for specific product categories where the data provided by market surveillance authorities suggests that the support periods determined by manufacturers are either systematically not in line with the criteria for determining the support periods as laid down in this Regulation or that manufacturers in different Member States unjustifiably determine different support periods. | (62) 組合全体の製造事業者が、デジタル要素を含む同等の製品について同様のサ ポート期間を決定することを確保するため、ADCO は、デジタル要素を含む製 品のカテゴリーについて製造事業者が決定した平均サポート期間に関する統計 を公表し、当該カテゴリーについて適切なサポート期間を示すガイダンスを発行す べきである。さらに、域内市場全体で調和のとれたアプローチを確保する観点から、欧州委員会は、市場監視当局から提供されたデータから、製造者が決定したサポート期間が本規則に定めるサポート期間決定の規準に体系的に合致していない、または、加盟国ごとに製造者が不当に異なるサポート期間を決定していることが示唆される場合、特定の製品カテゴリーについて最低サポート期間を規定する委任法を採択できるようにすべきである。 |
| (63) Manufacturers should set up a single point of contact that enables users to communicate easily with them, including for the purpose of reporting on and receiving information about the vulnerabilities of the product with digital element. They should make the single point of contact easily accessible for users and clearly indicate its availability, keeping this information up to date. Where manufacturers choose to offer automated tools, e.g. chat boxes, they should also offer a phone number or other digital means of contact, such as an email address or a contact form. The single point of contact should not rely exclusively on automated tools. | (63) 製造事業者は、デジタル要素を含む製品の脆弱性に関する情報を報告・受領する目的も含め、 ユーザが容易にコミュニケーションできる単一の窓口を設置すべきである。製造者は、利用者が容易にアクセスできる単一窓口を設け、その利用可能性を明示し、この情報を最新の状態に保つべきである。製造事業者がチャットボックスなどの自動ツールを提供することを選択した場合、電話番号や、電子メールアドレスや問い合わせフォームなどの他のデジタル連絡手段も提供すべきである。窓口の一本化は、自動化されたツールだけに依存すべきではない。 |
| (64) Manufacturers should make their products with digital elements available on the market with a secure by default configuration and provide security updates to users free of charge. Manufacturers should only be able to deviate from the essential cybersecurity requirements in relation to tailor-made products that are fitted to a particular purpose for a particular business user and where both the manufacturer and the user have explicitly agreed to a different set of contractual terms. | (64)製造事業者は、デジタル要素を含む製品を、デフォルトでセキュアな構成で市場で入手可能とし、セキュリティアップデートを無償でユーザーに提供すべきである。製造事業者がサイバーセキュリティの必須要件から逸脱できるのは、特定の事業ユ ーザーのための特定の目的に適合したオーダーメイド製品であって、製造事業者とユーザー の双方が異なる契約条件に明示的に合意している場合に限られるべきである。 |
| (65) Manufacturers should notify simultaneously via the single reporting platform both the computer security incident response team (CSIRT) designated as coordinator as well as ENISA of actively exploited vulnerabilities contained in products with digital elements, as well as severe incidents having an impact on the security of those products. The notifications should be submitted using the electronic notification end-point of a CSIRT designated as coordinator and should be simultaneously accessible to ENISA. | (65) 製造事業者は、デジタル要素を含む製品に含まれる積極的に悪用された脆弱性、及び製品のセキュリティに影響を及ぼす重大なインシデントを、単一の報告プラットフォームを通じて、コーディネーターとして指定されたコンピュータセキュリティ・インシデントレスポンスチーム(CSIRT)及びENISAの双方に同時に通知しなければならない。通知は、コーディネータとして指定されたCSIRTの電子通知エンドポイントを使用して提出され、同時にENISAにアクセス可能でなければならない。 |
| (66) Manufacturers should notify actively exploited vulnerabilities to ensure that the CSIRTs designated as coordinators, and ENISA, have an adequate overview of such vulnerabilities and are provided with the information necessary to fulfil their tasks as set out in Directive (EU) 2022/2555 and raise the overall level of cybersecurity of essential and important entities as referred to in Article 3 of that Directive, as well as to ensure the effective functioning of market surveillance authorities. As most products with digital elements are marketed across the entire internal market, any exploited vulnerability in a product with digital elements should be considered to be a threat to the functioning of the internal market. ENISA should, in agreement with the manufacturer, disclose fixed vulnerabilities to the European vulnerability database established pursuant to Article 12(2) of Directive (EU) 2022/2555. The European vulnerability database will assist manufacturers in detecting known exploitable vulnerabilities in their products, in order to ensure that secure products are made available on the market. | (66) 製造事業者は、調整役として指定されたCSIRT及びENISAが当該脆弱性の適切な概要を把握し、指令(EU)2022/2555に規定された任務を遂行し、当該指令の第3条に言及される必須事業体及び重要事業体のサイバーセキュリティの全体的なレベルを向上させ、市場監視機関の効果的な機能を確保するために必要な情報が提供されることを確保するために、積極的に悪用された脆弱性を届け出るべきである。デジタル要素を含む製品のほとんどは域内市場全体で販売されているため、デジタル要素を含む製品の脆弱性が悪用された場合は、域内市場の機能に対する脅威と見なされるべきである。ENISAは、製造事業者と合意した上で、指令(EU)2022/2555の第12条2項に従って設立された欧州脆弱性データベースに、修正された脆弱性を開示すべきである。欧州脆弱性データベースは、安全な製品が市場で入手可能であることを保証するため、製造事業者がその製品に存在する既知の脆弱性を検知することを支援する。 |
| (67) Manufacturers should also notify any severe incident having an impact on the security of the product with digital elements to the CSIRT designated as coordinator and ENISA. In order to ensure that users can react quickly to severe incidents having an impact on the security of their products with digital elements, manufacturers should also inform their users about any such incident and, where applicable, about any corrective measures that the users can deploy to mitigate the impact of the incident, for example by publishing relevant information on their websites or, where the manufacturer is able to contact the users and where justified by the cybersecurity risks, by reaching out to the users directly. | (67) 製造事業者はまた、デジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントが発生した場合、コーディネーターとして指定されたCSIRTおよびENISAに通知する必要がある。デジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントにユーザが迅速に対応できるようにするため、製造事業者は、そのようなインシデントについて、また、該当する場合には、インシデントの影響を軽減するためにユーザが展開できる是正措置について、ユーザにも通知しなければならない。例えば、製造事業者のウェブサイトに関連情報を掲載するか、製造事業者がユーザと連絡を取ることができ、サイバーセキュリティリスクによって正当化される場合には、ユーザに直接連絡する。 |
| (68) Actively exploited vulnerabilities concern instances where a manufacturer establishes that a security breach affecting its users or any other natural or legal persons has resulted from a malicious actor making use of a flaw in one of the products with digital elements made available on the market by the manufacturer. Examples of such vulnerabilities could be weaknesses in a product’s identification and authentication functions. Vulnerabilities that are discovered with no malicious intent for purposes of good faith testing, investigation, correction or disclosure to promote the security or safety of the system owner and its users should not be subject to mandatory notification. Severe incidents having an impact on the security of the product with digital elements, on the other hand, refer to situations where a cybersecurity incident affects the development, production or maintenance processes of the manufacturer in such a way that it could result in an increased cybersecurity risk for users or other persons. Such a severe incident could include a situation where an attacker has successfully introduced malicious code into the release channel via which the manufacturer releases security updates to users. | (68) 積極的に悪用された脆弱性とは、製造事業者が、そのユーザー又はその他の自然人又は法人に影響を及ぼすセキュリ ティ侵害が、その製造事業者が市場で入手可能なデジタル要素を含む製品のいずれかの欠陥を悪意ある行為 者が利用したことによるものであることを立証する場合を指す。そのような脆弱性の例としては、製品の識別機能や認証機能の弱点が考えられる。システム所有者とその利用者のセキュリティや安全を促進するために、誠実にテスト、調査、修正、開示を行う目的で悪意なく発見された脆弱性は、義務的な通知の対象とはならない。一方、デジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントとは、サイバーセキュリティのインシデントが製造事業者の開発、製造、保守のプロセスに影響を及ぼし、その結果、ユーザやその他の人のサイバーセキュリティリスクが高まる可能性がある状況を指す。このような深刻なインシデントには、製造事業者がユーザーにセキュリティ更新プログラムをリリースする際のリリースチャネルに、攻撃者が悪意のあるコードを侵入させることに成功したような状況が含まれる。 |
| (69) To ensure that notifications can be disseminated quickly to all relevant CSIRTs designated as coordinators and to enable manufacturers to submit a single notification at each stage of the notification process, a single reporting platform with national electronic notification end-points should be established by ENISA. The day-to-day operations of the single reporting platform should be managed and maintained by ENISA. The CSIRTs designated as coordinators should inform their respective market surveillance authorities about notified vulnerabilities or incidents. The single reporting platform should be designed in such a way that it ensures the confidentiality of notifications, in particular as regards vulnerabilities for which a security update is not yet available. In addition, ENISA should put in place procedures to handle information in a secure and confidential manner. On the basis of the information it gathers, ENISA should prepare a biennial technical report on emerging trends regarding cybersecurity risks in products with digital elements and submit it to the Cooperation Group established pursuant to Article 14 of Directive (EU) 2022/2555. | (69) 調整役として指定された関連するすべての CSIRT に通知を迅速に伝達できるようにし、製造事業者が通知プロセスの各段階で単一の通知を提出できるようにするため、各国の電子通知エンドポイントを備えた単一の報告プラットフォームを ENISA が確立すべきである。単一報告プラットフォームの日々の運用は、ENISAが管理・維持するものとする。コーディネータとして指定されたCSIRTは、届出された脆弱性又はインシデントについて、それぞれの市場監視機関に通知すべきである。単一報告プラットフォームは、特にセキュリティアップデートがまだ提供されていない脆弱性に関して、通知の機密性を確保するように設計されるべきである。さらに、ENISAは、情報を安全かつ機密性の高い方法で取り扱うための手順を整備すべきである。ENISAは、収集した情報に基づき、デジタル要素を含む製品のサイバーセキュリティリスクに関する新たな傾向に関する技術報告書を2年ごとに作成し、指令(EU)2022/2555の第14条に従って設立された協力グループに提出すべきである。 |
| (70) In exceptional circumstances and in particular upon request by the manufacturer, the CSIRT designated as coordinator initially receiving a notification should be able to decide to delay its dissemination to the other relevant CSIRTs designated as coordinators via the single reporting platform where this can be justified on cybersecurity-related grounds and for a period of time that is strictly necessary. The CSIRT designated as coordinator should immediately inform ENISA about the decision to delay and on which grounds, as well as when it intends to disseminate further. The Commission should develop, through a delegated act, specifications on the terms and conditions for when cybersecurity-related grounds could be applied and should cooperate with the CSIRTs network established pursuant to Article 15 of Directive (EU) 2022/2555, and ENISA in preparing the draft delegated act. Examples of cybersecurity-related grounds include an ongoing coordinated vulnerability disclosure procedure or situations in which a manufacturer is expected to provide a mitigating measure shortly and the cybersecurity risks of an immediate dissemination via the single reporting platform outweigh its benefits. If requested by the CSIRT designated as coordinator, ENISA should be able to support that CSIRT on the application of cybersecurity-related grounds in relation to delaying the dissemination of the notification based on the information ENISA has received from that CSIRT on the decision to withhold a notification on those cybersecurity-related grounds. Furthermore, in particularly exceptional circumstances, ENISA should not receive all the details of a notification of an actively exploited vulnerability in a simultaneous manner. This would be the case when the manufacturer marks in its notification that the notified vulnerability has been actively exploited by a malicious actor and that, according to the information available, it has been exploited in no other Member State than the one of the CSIRT designated as coordinator to which the manufacturer has notified the vulnerability, when any immediate further dissemination of the notified vulnerability would likely result in the supply of information the disclosure of which would be contrary to the essential interests of that Member State, or when the notified vulnerability poses an imminent high cybersecurity risk stemming from the further dissemination. In such cases, ENISA will only receive simultaneous access to the information that a notification was made by the manufacturer, general information about the product with digital elements concerned, the information about the general nature of the exploit and information about the fact that those security grounds were raised by the manufacturer and that the full content of the notification is therefore withheld. The full notification should then be made available to ENISA and other relevant CSIRTs designated as coordinators when the CSIRT designated as coordinator initially receiving the notification finds that those security grounds, reflecting particularly exceptional circumstances as established in this Regulation, cease to exist. Where, based on the information available, ENISA considers that there is a systemic risk affecting the security of the internal market, ENISA should recommend to the recipient CSIRT to disseminate the full notification to the other CSIRTs designated as coordinators and to ENISA itself. | (70) 例外的な状況において、特に製造事業者の要請があった場合、最初に通知を受けたコーディネータに指定された CSIRT は、サイバーセキュリティ関連の理由で正当化できる場合、厳密に必要な期間、単一報告プラットフォームを介したコーディネータに指定された他の関連 CSIRT への拡散を延期することを決定できるものとする。コーディネータに指定されたCSIRTは、遅延の決定とその理由、さらに情報発信を行う時期について、直ちにENISAに報告する必要がある。欧州委員会は、委任法を通じて、サイバーセキュリティ関連の根拠が適用され得る場合の条件に関する仕様を策定し、委任法の草案の作成において、指令(EU)2022/2555の第15条に従って設立されたCSIRTsネットワークおよびENISAと協力すべきである。サイバーセキュリティに関連する根拠の例としては、現在進行中の脆弱性開示の調整手順や、製造事業者が間もなく低減策を提供することが予想され、単一報告プラットフォームを通じた即時拡散のサイバーセキュリティリスクがその利点を上回る状況などがある。コーディネータとして指定された CSIRT から要請があった場合、ENISA は、当該 CSIRT がサイバーセキュリティ関連の理由で届出を保留する決定について当該 CSIRT から受け取った情報に基づき、届出の拡散を遅延させることに関するサイバーセキュリティ関連の理由の適用について当該 CSIRT を支援することができるものとする。さらに、特に例外的な状況においては、ENISAは、積極的に悪用された脆弱性の届出に関するすべての詳細を同時に受けるべきではない。これは、製造事業者が、通知された脆弱性が悪意のある行為者によって積極的に悪用され、入手可能な情報によれば、製造事業者が脆弱性を通知した調整役として指定されたCSIRTの加盟国以外の加盟国では悪用されていないことを通知書に記載した場合である、 通知された脆弱性が直ちに拡散されることにより、当該加盟国の本質的利益に反する情報開示が行われる可能性が高い場合、または通知された脆弱性が拡散されることによりサイバーセキュリティ上の差し迫った高いリスクをもたらす場合。このような場合、ENISAは、製造事業者から届け出があったという情報、当該デジタル要素を含む製品に関する一般的な情報、悪用の一般的な性質に関する情報、セキュリティ上の根拠が製造事業者から提起されたという事実に関する情報、そのため届け出の全内容が非公開であるという情報への同時アクセスのみを受け取ることになる。その後、最初に通知を受領したコーディネータに指名された CSIRT が、本規則に定める特に例外的な状況を反映したセキュリティ上の根拠が存在しなくなったことを発見した場合、ENISA 及びコーディネータに指名された他の関連する CSIRT に完全な通知を提供する。入手可能な情報に基づき、ENISAが域内市場のセキュリティに影響を及ぼすシステミックリスクがあると考える場合、ENISAは、取得者CSIRTに対し、コーディネータとして指定された他のCSIRT及びENISA自身に完全な通知を周知するよう勧告するものとする。 |
| (71) When manufacturers notify an actively exploited vulnerability or a severe incident having an impact on the security of the product with digital elements, they should indicate how sensitive they consider the notified information to be. The CSIRT designated as coordinator initially receiving the notification should take this information into account when assessing whether the notification gives rise to exceptional circumstances that justify a delay in the dissemination of the notification to the other relevant CSIRTs designated as coordinators based on justified cybersecurity-related grounds. It should also take that information into account when assessing whether the notification of an actively exploited vulnerability gives rise to particularly exceptional circumstances that justify that the full notification is not made available simultaneously to ENISA. Finally, CSIRTs designated as coordinators should be able to take that information into account when determining appropriate measures to mitigate the risks stemming from such vulnerabilities and incidents. | (71) 製造事業者が、積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントを通知する場合、通知された情報をどの程度機密性が高いと考えるかを示すべきである。最初に通知を受領したコーディネータに指名された CSIRT は、正当なサイバーセキュリティ関連 の理由に基づき、コーディネータに指名された他の関連する CSIRT への通知の伝達を遅らせることを 正当化する例外的な状況を生じさせるか否かをアセスメントする際に、この情報を考慮に入れる べきである。また、積極的に悪用された脆弱性の届出が、ENISA に完全な届出が同時に提供されないことを正当化する、特に例外的な状況を生じさせるかどうかをアセスメントする際にも、その情報を考慮に入れるべきである。最後に、コーディネータとして指定された CSIRT は、そのような脆弱性やインシデントから生じるリスクを軽減するための適切な措置を決定する際に、その情報を考慮することができるべきである。 |
| (72) In order to simplify the reporting of information required under this Regulation, in consideration of other complementary reporting requirements laid down in Union law, such as Regulation (EU) 2016/679, Regulation (EU) 2022/2554 of the European Parliament and of the Council (25), Directive 2002/58/EC of the European Parliament and of the Council (26) and Directive (EU) 2022/2555, as well as to decrease the administrative burden for entities, Member States are encouraged to consider providing at national level single entry points for such reporting requirements. The use of such national single entry points for the reporting of security incidents under Regulation (EU) 2016/679 and Directive 2002/58/EC should not affect the application of the provisions of Regulation (EU) 2016/679 and Directive 2002/58/EC, in particular those relating to the independence of the authorities referred to therein. When establishing the single reporting platform referred to in this Regulation, ENISA should take into account the possibility for the national electronic notification end-points referred to in this Regulation to be integrated into national single entry points that may also integrate other notifications required under Union law. | (72) 本規則に基づき必要とされる情報の報告を簡素化するため、規則(EU)2016/679、欧州議会及び理事会規則(EU)2022/2554(25)、欧州議会及び理事会指令2002/58/EC(26)及び指令(EU)2022/2555など、欧州連合法に規定された他の補完的な報告要件を考慮し、また事業体の管理負担を軽減するため、加盟国は、かかる報告要件のための単一のエントリーポイントを国レベルでプロバイダすることを検討することが奨励される。規則(EU)2016/679および指令2002/58/ECに基づくセキュリティ・インシデントの報告にかかる国内単一エントリー・ポイントを使用することは、規則(EU)2016/679および指令2002/58/ECの規定、特にそこで言及されている当局の独立性に関する規定の適用に影響を及ぼすべきではない。ENISAは、本規則で言及される単一通報プラットフォームを確立する際、本規則で言及される各国の電子通報エンドポイントが、EU法に基づき必要とされるその他の通報も統合しうる各国の単一エントリーポイントに統合される可能性を考慮すべきである。 |
| (73) When establishing the single reporting platform referred to in this Regulation and in order to benefit from past experience, ENISA should consult other Union institutions or agencies that are managing platforms or databases subject to stringent security requirements, such as the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (eu-LISA). ENISA should also analyse potential complementarities with the European vulnerability database established pursuant to Article 12(2) of Directive (EU) 2022/2555. | (73) 本規則で言及される単一通報プラットフォームを構築する際、また過去の経験から利益を得るため、ENISAは、自由・安全・司法分野における大規模ITシステムの運用管理のための欧州連合機関(eu-LISA)など、厳格なセキュリティ要件の対象となるプラットフォームまたはデータベースを管理している他の連邦機関または機関に相談すべきである。ENISAはまた、指令(EU)2022/2555の第12条2項に従って設立された欧州脆弱性データベースとの補完の可能性を分析すべきである。 |
| (74) Manufacturers and other natural and legal persons should be able to notify to a CSIRT designated as coordinator or ENISA, on a voluntary basis, any vulnerability contained in a product with digital elements, cyber threats that could affect the risk profile of a product with digital elements, any incident having an impact on the security of the product with digital elements as well as near misses that could have resulted in such an incident. | (74) 製造事業者及びその他の自然人及び法人は、デジタル要素を含む製品に含まれる脆弱性、デジタル要素を含む製品のリスクプロファイルに影響を与える可能性のあるサイバー脅威、デジタル要素を含む製品のセキュリティに影響を与えるインシデント、及びそのようなインシデントにつながる可能性のあるニアミスについて、コーディネータとして指定されたCSIRT又はENISAに任意で通知できるようにすべきである。 |
| (75) Member States should aim to address, to the extent possible, the challenges faced by vulnerability researchers, including their potential exposure to criminal liability, in accordance with national law. Given that natural and legal persons researching vulnerabilities could in some Member States be exposed to criminal and civil liability, Member States are encouraged to adopt guidelines as regards the non-prosecution of information security researchers and an exemption from civil liability for their activities. | (75) 加盟国は、国内法に従って、刑事責任にさらされる可能性を含め、脆弱性研究者が直面する課題に可能な限り対処することを目指すべきである。加盟国によっては、脆弱性を研究している自然人及び法人が刑事責任及び民事責任にさらされる可能性があることを踏まえ、加盟国は、情報セキュリティ研究者の不起訴及びその活動に対する民事責任の免除に関するガイドラインを採択することが奨励される。 |
| (76) Manufacturers of products with digital elements should put in place coordinated vulnerability disclosure policies to facilitate the reporting of vulnerabilities by individuals or entities either directly to the manufacturer or indirectly, and where requested anonymously, via CSIRTs designated as coordinators for the purposes of coordinated vulnerability disclosure in accordance with Article 12(1) of Directive (EU) 2022/2555. Manufacturers’ coordinated vulnerability disclosure policy should specify a structured process through which vulnerabilities are reported to a manufacturer in a manner allowing the manufacturer to diagnose and remedy such vulnerabilities before detailed vulnerability information is disclosed to third parties or to the public. Moreover, manufacturers should also consider publishing their security policies in machine-readable format. Given the fact that information about exploitable vulnerabilities in widely used products with digital elements can be sold at high prices on the black market, manufacturers of such products should be able to use programmes, as part of their coordinated vulnerability disclosure policies, to incentivise the reporting of vulnerabilities by ensuring that individuals or entities receive recognition and compensation for their efforts. This refers to so-called ‘bug bounty programmes’. | (76) デジタル要素を含む製品の製造事業者は、指令(EU)2022/2555の第12条(1)に従い、調整された脆弱性開示の目的のための調整役として指定されたCSIRTを通じて、個人または事業体による脆弱性の報告を、製造事業者に直接、または間接的に、要請があれば匿名で促進するために、調整された脆弱性開示ポリシーを導入すべきである。製造事業者の協調的脆弱性開示ポリシーは、詳細な脆弱性情報がサードパーティまたは公衆に開示される前に、製造事業者が当該脆弱性を診断し、是正することを可能にする方法で、脆弱性が製造事業者に報告される構造化されたプロセスを規定すべきである。さらに、製造事業者は、セキュリティ・ポリシーを機械可読形式で公開することも検討すべきである。デジタル要素を含む広く使用されている製品の悪用可能な脆弱性に関する情報が闇市場で高値で取引される可能性があるという事実を考慮すると、そのような製品の製造事業者は、協調的な脆弱性開示ポリシーの一環として、個人または事業体がその努力に対する評価と報酬を受けられるようにすることで、脆弱性の報告を奨励するプログラムを利用できるようにすべきである。これは、いわゆる「バグ報奨金プログラム」を指す。 |
| (77) In order to facilitate vulnerability analysis, manufacturers should identify and document components contained in the products with digital elements, including by drawing up an SBOM. An SBOM can provide those who manufacture, purchase, and operate software with information that enhances their understanding of the supply chain, which has multiple benefits, in particular it helps manufacturers and users to track known newly emerged vulnerabilities and cybersecurity risks. It is of particular importance that manufacturers ensure that their products with digital elements do not contain vulnerable components developed by third parties. Manufacturers should not be obliged to make the SBOM public. | (77)脆弱性分析を容易にするため、製造事業者は、SBOMの作成を含め、デジタル要素を含む製品に含まれる構成要素を特定し、文書化すべきである。SBOM は、ソフトウェアを製造、購入、運用する者に、サプライチェーンに対する理解を深める情報を提供することができ、これには複数の利点があり、特に、製造事業者やユーザが新たに出現した既知の脆弱性やサイバーセキュリティリスクを追跡するのに役立つ。デジタル要素を含む製品にサードパーティが開発した脆弱性コンポーネントが含まれていないことを製造事業者が保証することが特に重要である。製造事業者はSBOMを公開する義務を負うべきでない。 |
| (78) Under the new complex business models linked to online sales, a business operating online can provide a variety of services. Depending on the nature of the services provided in relation to a given product with digital elements, the same entity may fall within different categories of business models or economic operators. Where an entity provides only online intermediation services for a given product with digital elements and is merely a provider of an online marketplace as defined in Article 3, point (14), of Regulation (EU) 2023/988, it does not qualify as one of the types of economic operator defined in this Regulation. Where the same entity is a provider of an online marketplace and also acts as an economic operator as defined in this Regulation for the sale of particular products with digital elements, it should be subject to the obligations set out in this Regulation for that type of economic operator. For instance, if the provider of an online marketplace also distributes a product with digital elements, then, with respect to the sale of that product, it would be considered to be a distributor. Similarly, if the entity in question sells its own branded products with digital elements, it would qualify as a manufacturer and would thus have to comply with the applicable requirements for manufacturers. Also, some entities can qualify as fulfilment service providers as defined in Article 3, point (11), of Regulation (EU) 2019/1020 of the European Parliament and of the Council (27) if they offer such services. Such cases would need to be assessed on a case-by-case basis. Given the prominent role that online marketplaces have in enabling electronic commerce, they should strive to cooperate with the market surveillance authorities of the Member States in order to help ensure that products with digital elements purchased through online marketplaces comply with the cybersecurity requirements laid down in this Regulation. | (78) オンライン販売に関連した新しい複雑なビジネスモデルのもとでは、オンラインで営業する事業者はさまざまなサービスを提供することができる。デジタル要素を含む製品に関連して提供されるサービスの性質によって、同じ事業体でもビジネスモデルや経済的事業者のカテゴリーが異なる場合がある。ある事業体が、デジタル要素を含む所定の製品についてオンライン仲介サービスのみを提供し、規則(EU)2023/988の第3条(14)に定義されるオンラインマーケットプレイスのプロバイダに過ぎない場合、当該事業体は、本規則に定義される経済的事業者のいずれにも該当しない。同じ事業体がオンラインマーケットプレイスのプロバイダであると同時に、デジタル要素を含む特定の製品の販売のために本規則に定義される経済的事業者としても行動する場合、その経済的事業者のタイプについて本規則に規定される義務に従うべきである。例えば、オンラインマーケットプレイスのプロバイダがデジタル要素を含む製品の頒布事業者も行う場合、当該製品の販売に関しては、ディストリビュータとみなされる。同様に、当該事業体がデジタル要素を含む自社ブランド製品を販売する場合、当該事業体は製造者に該当し、製造者に適用される要件を遵守しなければならない。また、事業体によっては、そのようなサービスを提供する場合、欧州議会及び理事会規則(EU)2019/1020(27)の第3条(11)に定義されるフルフィルメント・サービス・プロバイダに該当する可能性がある。このようなケースはケースバイケースでアセスメントする必要がある。オンラインマーケットプレイスは、電子商取引を可能にするという重要な役割を担っていることから、オンラインマーケットプレイスを通じて購入されるデジタル要素を含む製品が、本規則に規定されたサイバーセキュリティ要件に準拠していることを保証するために、加盟国の市場監視当局と協力するよう努めるべきである。 |
| (79) In order to facilitate assessment of conformity with the requirements laid down in this Regulation, there should be a presumption of conformity for products with digital elements which are in conformity with harmonised standards, which translate the essential cybersecurity requirements set out in this Regulation into detailed technical specifications, and which are adopted in accordance with Regulation (EU) No 1025/2012 of the European Parliament and of the Council (28). That Regulation provides for a procedure for objections to harmonised standards where those standards do not entirely satisfy the requirements set out in this Regulation. The standardisation process should ensure a balanced representation of interests and effective participation of civil society stakeholders, including consumer organisations. International standards that are in line with the level of cybersecurity protection aimed for by the essential cybersecurity requirements set out in this Regulation should also be taken into account, in order to facilitate the development of harmonised standards and the implementation of this Regulation, as well as to facilitate compliance for companies, in particular microenterprises and small and medium-sized enterprises and those operating globally. | (79) 本規則に定める要件への適合のアセスメントを容易にするため、本規則に定めるサイバーセキュリティの必須要件を詳細な技術仕様に変換し、欧州議会および理事会規則(EU)No 1025/2012(28)に従って採択された整合規格に適合するデジタル要素を含む製品については、適合の推定を行うべきである。同規則は、整合標準が本規則に定める要件を完全に満たさない場合の異議申立手続きを規定している。標準化プロセスは、消費者団体を含む市民社会の利害関係者のバランスの取れた代表と効果的な参加を確保すべきである。整合規格の策定と本規則の実施を促進し、企業、特に零細企業や中小企業、グローバルに事業を展開する企業のコンプライアンスを促進するため、本規則に定めるサイバーセキュリティの必須要件が目指すサイバーセキュリティ保護のレベルに沿った国際規格も考慮すべきである。 |
| (80) The timely development of harmonised standards during the transitional period for the application of this Regulation and their availability before the date of application of this Regulation will be particularly important for its effective implementation. This is, in particular, the case for important products with digital elements that fall under class I. The availability of harmonised standards will enable manufacturers of such products to perform the conformity assessments via the internal control procedure and can therefore avoid bottlenecks and delays in the activities of conformity assessment bodies. | (80) 本規則の適用に関する経過措置期間中に整合規格を適時に開発し、本規則の適用日までに利用可能にすることは、本規則の効果的な実施にとって特に重要である。特に、クラス I に該当するデジタル要素を含む重要な製品の場合である。整合規格が利用可能になることで、そのような製品の製造者は、内部管理手順を通じて適合性アセスメントを実施することが可能になり、適合性評価団体の活動におけるボトルネックや遅延を回避することができる。 |
| (81) Regulation (EU) 2019/881 establishes a voluntary European cybersecurity certification framework for ICT products, ICT processes and ICT services. European cybersecurity certification schemes provide a common framework of trust for users to use products with digital elements that fall within the scope of this Regulation. This Regulation should consequently create synergies with Regulation (EU) 2019/881. In order to facilitate the assessment of conformity with the requirements laid down in this Regulation, products with digital elements that are certified or for which a statement of conformity has been issued under a European cybersecurity scheme pursuant to Regulation (EU) 2019/881 that has been identified by the Commission in an implementing act, shall be presumed to be in compliance with the essential cybersecurity requirements set out in this Regulation in so far as the European cybersecurity certificate or statement of conformity or parts thereof cover those requirements. The need for new European cybersecurity certification schemes for products with digital elements should be assessed in the light of this Regulation, including when preparing the Union rolling work programme in accordance with Regulation (EU) 2019/881. Where there is a need for a new scheme covering products with digital elements, including in order to facilitate compliance with this Regulation, the Commission can request ENISA to prepare candidate schemes in accordance with Article 48 of Regulation (EU) 2019/881. Such future European cybersecurity certification schemes covering products with digital elements should take into account the essential cybersecurity requirements and conformity assessment procedures as set out in this Regulation and facilitate compliance with this Regulation. For European cybersecurity certification schemes that enter into force before the entry into force of this Regulation, further specifications may be needed on detailed aspects of how a presumption of conformity can apply. The Commission, by means of delegated acts, should be empowered to specify under which conditions the European cybersecurity certification schemes can be used to demonstrate conformity with the essential cybersecurity requirements set out in this Regulation. Furthermore, to avoid undue administrative burdens, there should be no obligation for manufacturers to carry out a third-party conformity assessment as provided for in this Regulation for corresponding requirements where a European cybersecurity certificate has been issued under such European cybersecurity certification schemes at least at level ‘substantial’. | (81) 規則(EU) 2019/881は、ICT製品、ICTプロセス、ICTサービスに対する欧州の自主的なサイバーセキュリティ認証枠組みを確立する。欧州のサイバーセキュリティ認証制度は、本規則の適用範囲に含まれるデジタル要素を含む製品をユーザーが使用する際の信頼の共通枠組みを提供する。本規則は、結果として規則(EU)2019/881との相乗効果を生み出すはずである。本規則に規定された要件への適合性のアセスメントを容易にするため、欧州委員会が実施法で特定した規則(EU)2019/881に基づく欧州サイバーセキュリティ制度に基づき、認証された、または適合声明が発行されたデジタル要素を含む製品は、欧州サイバーセキュリティ認証書、適合声明、またはその一部がこれらの要件をカバーしている限りにおいて、本規則に規定されたサイバーセキュリティ必須要件に適合していると推定されるものとする。デジタル要素を含む製品に対する新たな欧州サイバーセキュリティ認証制度の必要性は、規則(EU)2019/881に従ったEUローリング作業計画の作成時を含め、本規則に照らしてアセスメントされるべきである。デジタル要素を含む製品を対象とする新たなスキームの必要性がある場合(本規則への準拠を促進するためを含む)、欧州委員会はENISAに対し、規則(EU)2019/881の第48条に従ってスキーム候補を準備するよう要請することができる。デジタル要素を含む製品を対象とするそのような将来の欧州サイバーセキュリティ認証制度は、本規則に定めるサイバーセキュリティ必須要件および適合性評価手順を考慮し、本規則への準拠を促進すべきである。本規則の発効前に発効する欧州のサイバーセキュリティ認証制度については、適合の推定が適用される方法の詳細な側面について、さらなる規定が必要となる可能性がある。欧州委員会は、欧州サイバーセキュリティ認証制度が本規則に定めるサイバーセキュリティの必須要件に適合していることを証明するために、どのような条件の下で利用できるかを委任法によって規定する権限を与えられるべきである。さらに、過度な行政負担を避けるため、当該欧州サイバーセキュリティ認証制度に基づき、少なくとも「実質的(substantial)」レベルの欧州サイバーセキュリティ認証が発行されている場合、製造事業者は、対応する要件について、本規則に規定されているようなサードパーティ適合性評価を実施する義務を負うべきではない。 |
| (82) Upon entry into force of Implementing Regulation (EU) 2024/482 which concerns products that fall within the scope of this Regulation, such as hardware security modules and microprocessors, the Commission should be able to specify, by means of a delegated act, how the EUCC provides a presumption of conformity with the essential cybersecurity requirements as set out in this Regulation or parts thereof. Furthermore, such a delegated act may specify how a certificate issued under the EUCC eliminates the obligation for manufacturers to carry out a third-party assessment as required pursuant to this Regulation for corresponding requirements. | (82) ハードウェア・セキュリティ・モジュールやマイクロプロセッサなど、本規則の適用範囲に含まれる製品に関する施行規則(EU)2024/482の発効に伴い、欧州委員会は、EUCCが本規則またはその一部に規定されるサイバーセキュリティの必須要件への適合の推定をどのように提供するかを、委任法によって規定できるようにすべきである。さらに、このような委任法は、EUCCに基づいて発行された証明書が、対応する要件について本規則に従って義務付けられているサードパーティ・アセスメントを実施する製造事業者の義務をどのように排除するかを規定することができる。 |
| (83) The current European standardisation framework, which is based on the New Approach principles set out in Council Resolution of 7 May 1985 on a new approach to technical harmonization and standards and on Regulation (EU) No 1025/2012, represents the framework by default to elaborate standards that provide for a presumption of conformity with the relevant essential cybersecurity requirements set out in this Regulation. European standards should be market-driven, take into account the public interest, as well as the policy objectives clearly stated in the Commission’s request to one or more European standardisation organisations to draft harmonised standards, within a set deadline, and be based on consensus. However, in the absence of relevant references to harmonised standards, the Commission should be able to adopt implementing acts establishing common specifications for the essential cybersecurity requirements set out in this Regulation, provided that in doing so it duly respects the role and functions of European standardisation organisations, as an exceptional fall back solution to facilitate the manufacturer’s obligation to comply with those essential cybersecurity requirements, where the standardisation process is blocked or where there are delays in the establishment of appropriate harmonised standards. If such delay is due to the technical complexity of the standard in question, this should be considered by the Commission before considering whether to establish common specifications. | (83) 技術的調和と標準への新たなアプローチに関する 1985 年 5 月 7 日の理事会決議および規則 (EU) No 1025/2012 に定めるニュー・アプローチの原則に基づく現行の欧州標準化の枠組みは、本規則に定める関連するサイバーセキュリティ必須要件への適合を推定する標準を策定するための既定の枠組みを示すものである。欧州標準は、市場主導型であるべきであり、公共の利益を考慮し、欧州委員会が1つまたは複数の欧州標準化団体に対し、決められた期限内に整合標準をドラフトするよう要請した際に明確に示された政策目標も考慮し、コンセンサスに基づくものでなければならない。ただし、整合規格に関連する言及がない場合、欧州委員会は、標準化プロセスが阻害されている場合や、適切な整合規格の策定が遅延している場合に、製造事業者がこれらのサイバーセキュリティ必須要件に準拠する義務を促進するための例外的な予備的解決策として、欧州標準化機関の役割と機能を正当に尊重することを条件として、本規則に定めるサイバーセキュリティ必須要件の共通仕様を定める実施法を採択することができるものとする。このような遅れが、当該標準の技術的複雑さに起因するものである場合、欧州委員会は、共通仕様を確立するかどうかを検討する前に、この点を考慮すべきである。 |
| (84) With a view to establishing, in the most efficient way, common specifications that cover the essential cybersecurity requirements set out in this Regulation, the Commission should involve relevant stakeholders in the process. | (84) 本規則に定めるサイバーセキュリティの必須要件をカバーする共通仕様を最も効率的な方法で確立することを目的として、欧州委員会は、そのプロセスに関係利害関係者を参加させるべきである。 |
| (85) ‘Reasonable period’ has the meaning, in relation to the publication of a reference to harmonised standards in the Official Journal of the European Union in accordance with Regulation (EU) No 1025/2012, of a period during which the publication in the Official Journal of the European Union of the reference to the standard, its corrigendum or its amendment is expected and which should not exceed one year after the deadline for drafting a European standard set in accordance with Regulation (EU) No 1025/2012. | (85) 「合理的な期間」とは、規則(EU)No 1025/2012に従って欧州連合の官報に整合規格への参照を掲載することに関し、当該規格への参照、その正誤表またはその修正の欧州連合の官報への掲載が予想される期間であって、規則(EU)No 1025/2012に従って設定された欧州規格のドラフト期限から1年を超えてはならない期間を意味する。 |
| (86) In order to facilitate the assessment of conformity with the essential cybersecurity requirements set out in this Regulation, there should be a presumption of conformity for products with digital elements that are in conformity with the common specifications adopted by the Commission pursuant to this Regulation for the purpose of expressing detailed technical specifications of those requirements. | (86) 本規則に定めるサイバーセキュリティの必須要件への適合性のアセスメントを容易にするため、デジタル要素を含む製品であって、当該要件の詳細な技術仕様を表現する目的で本規則に従って欧州委員会が採択した共通仕様に適合するものについては、適合性が推定されるべきである。 |
| (87) The application of harmonised standards, common specifications or European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 providing presumption of conformity in relation to the essential cybersecurity requirements applicable to products with digital elements will facilitate the assessment of conformity by the manufacturers. If the manufacturer chooses not to apply such means for certain requirements, it has to indicate in their technical documentation how the compliance is reached otherwise. Furthermore, the application of harmonised standards, common specifications or European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 providing presumption of conformity by manufacturers would facilitate the check of compliance of products with digital elements by market surveillance authorities. Therefore, manufacturers of products with digital elements are encouraged to apply such harmonised standards, common specifications or European cybersecurity certification schemes. | (87) デジタル要素を含む製品に適用されるサイバーセキュリティ必須要件に関して適合の推定を規定する規則(EU)2019/881に従って採択された整合標準、共通仕様または欧州サイバーセキュリティ認証制度の適用は、製造事業者による適合性のアセスメントを容易にする。製造事業者が特定の要件についてそのような手段を適用しないことを選択した場合、それ以外の方法で適合に至る方法を技術文書に示さなければならない。さらに、製造事業者による適合の推定を提供する規則(EU)2019/881に従って採択された整合規格、共通仕様または欧州サイバーセキュリティ認証スキームの適用は、市場監視当局によるデジタル要素を含む製品の適合性チェックを容易にする。したがって、デジタル要素を含む製品の製造事業者は、そのような整合規格、共通仕様または欧州サイバーセキュリティ認証制度を適用することが推奨される。 |
| (88) Manufacturers should draw up an EU declaration of conformity to provide information required under this Regulation on the conformity of products with digital elements with the essential cybersecurity requirements set out in this Regulation and, where applicable, of the other relevant Union harmonisation legislation by which the product with digital elements is covered. Manufacturers may also be required to draw up an EU declaration of conformity by other Union legal acts. To ensure effective access to information for market surveillance purposes, a single EU declaration of conformity should be drawn up in respect of compliance with all relevant Union legal acts. In order to reduce the administrative burden on economic operators, it should be possible for that single EU declaration of conformity to be a dossier made up of relevant individual declarations of conformity. | (88) 製造事業者は、デジタル要素を含む製品が本規則に定めるサイバーセキュリティの必須要件に適合していること、および、該当する場合には、デジタル要素を含む製品が適用される他の関連する欧州連合調和法に適合していることについて、本規則に基づき要求される情報を提供するために、EU適合宣言書を作成すべきである。製造事業者は、EUの他の法律により、EU適合宣言書の作成も求められる場合がある。市場サーベイランスのための情報への効果的なアクセスを確保するため、関連するすべてのEU法への準拠に関して、単一のEU適合宣言書を作成すべきである。経済的事業者の事務負担を軽減するため、単一のEU適合宣言は、関連する個々の適合宣言からなる書類とすることが可能であるべきである。 |
| (89) The CE marking, indicating the conformity of a product, is the visible consequence of a whole process comprising conformity assessment in a broad sense. The general principles governing the CE marking are set out in Regulation (EC) No 765/2008 of the European Parliament and of the Council (29). Rules governing the affixing of the CE marking on products with digital elements should be laid down in this Regulation. The CE marking should be the only marking which guarantees that products with digital elements comply with the requirements set out in this Regulation. | (89) 製品の適合性を示すCEマーキングは、広い意味での適合性アセスメントからなる全プロセスの目に見える結果である。CEマーキングを規定する一般原則は、欧州議会および理事会規則(EC)No 765/2008 (29)に定められている。デジタル要素を含む製品へのCEマーキングの貼付に関するガバナンスは、この規則に規定されるべきである。CEマーキングは、デジタル要素を含む製品が本規則に定める要求事項に適合していることを保証する唯一のマーキングでなければならない。 |
| (90) In order to allow economic operators to demonstrate conformity with the essential cybersecurity requirements set out in this Regulation and to allow market surveillance authorities to ensure that products with digital elements made available on the market comply with those requirements, it is necessary to provide for conformity assessment procedures. Decision No 768/2008/EC of the European Parliament and of the Council (30) establishes modules for conformity assessment procedures in proportion to the level of risk involved and the level of security required. In order to ensure inter-sectoral coherence and to avoid ad-hoc variants, conformity assessment procedures adequate for verifying the conformity of products with digital elements with the essential cybersecurity requirements set out in this Regulation should be based on those modules. The conformity assessment procedures should examine and verify both product and process-related requirements covering the whole lifecycle of products with digital elements, including planning, design, development or production, testing and maintenance of the product with digital elements. | (90) 経済的事業者が本規則に定めるサイバーセキュリティの必須要件に適合していることを示 し、市場で入手可能なデジタル要素を含む製品がこれらの要件に適合していることを市場監視 当局が保証できるようにするためには、適合性評価手続を規定する必要がある。欧州議会および理事会の決定No.768/2008/EC(30)は、関連するリスクのレベルと要求されるセキュリティのレベルに比例して、適合性アセスメント手続きのモジュールを定めている。分野間の一貫性を確保し、場当たり的な変種を避けるため、デジタル要素を含む製品が本規則に定めるサイバーセキュリティ必須要件に適合していることを検証するのに適切な適合性評価手順は、これらのモジュールに基づくべきである。適合性評価手順は、デジタル要素を含む製品の計画、設計、開発または製造、試験、保守を含む、デジタル要素を含む製品のライフサイクル全体をカバーする製品およびプロセスに関連する要件の両方を審査し、検証する必要がある。 |
| (91) Conformity assessment of products with digital elements that are not listed as important or critical products with digital elements in this Regulation can be carried out by the manufacturer under its own responsibility following the internal control procedure based on module A of Decision No 768/2008/EC in accordance with this Regulation. This also applies to cases where a manufacturer chooses not to apply in whole or in part an applicable harmonised standard, common specification or European cybersecurity certification scheme. The manufacturer retains the flexibility to choose a stricter conformity assessment procedure involving a third party. Under the internal control conformity assessment procedure, the manufacturer ensures and declares on its sole responsibility that the product with digital elements and the processes of the manufacturer meet the applicable essential cybersecurity requirements set out in this Regulation. If an important product with digital elements falls under class I, additional assurance is required to demonstrate conformity with the essential cybersecurity requirements set out in this Regulation. The manufacturer should apply harmonised standards, common specifications or European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 which have been identified by the Commission in an implementing act if it wants to carry out the conformity assessment under its own responsibility (module A). If the manufacturer does not apply such harmonised standards, common specifications or European cybersecurity certification schemes, the manufacturer should undergo conformity assessment involving a third party (based on modules B and C or module H). Taking into account the administrative burden on manufacturers and the fact that cybersecurity plays an important role in the design and development phase of tangible and intangible products with digital elements, conformity assessment procedures based on modules B and C or module H of Decision No 768/2008/EC have been chosen as most appropriate for assessing the compliance of important products with digital elements in a proportionate and effective manner. The manufacturer that carries out the third-party conformity assessment can choose the procedure that best suits its design and production process. Given the even greater cybersecurity risk linked with the use of important products with digital elements that fall under class II, the conformity assessment should always involve a third party, even where the product complies fully or partly with harmonised standards, common specifications or European cybersecurity certification schemes. Manufacturers of important products with digital elements qualifying as free and open-source software should be able to follow the internal control procedure based on module A, provided that they make the technical documentation available to the public. | (91) 本規則においてデジタル要素を含む重要な製品または重要な製品として挙げられていないデジ タル要素を含む製品の適合性アセスメントは、本規則に従い、製造事業者が自らの責任において、 Decision No 768/2008/EC のモジュール A に基づく内部管理手順に従って実施することができる。これは、製造事業者が、適用される整合標準、共通仕様または欧州サイバーセキュリティ認証スキームの全部または一部を適用しないことを選択した場合にも適用される。製造事業者は、サードパーティが関与する、より厳格な適合性評価手順を選択する柔軟性を保持する。内部統制適合性評価手順の下では、製造事業者は、デジタル要素を含む製品および製造事業者のプロセスが、本規則に定める該当するサイバーセキュリティ必須要件を満たしていることを、自らの責任において保証し宣言する。デジタル要素を含む重要な製品がクラス I に該当する場合、本規則に定めるサイバーセキュリティの必須要件への適合を実証するための追加保証が必要となる。製造事業者は、自らの責任で適合性アセスメントを実施したい場合、欧州委員会が実施法で特定した規則(EU)2019/881に従って採択された整合標準、共通仕様または欧州サイバーセキュリティ認証制度を適用すべきである(モジュールA)。製造事業者がそのような整合標準、共通仕様または欧州サイバーセキュリティ認証制度を適用しない場合、製造事業者はサードパーティが関与する適合性評価を受けるべきである(モジュールBおよびCまたはモジュールHに基づく)。製造事業者の管理負担と、デジタル要素を含む有形・無形の製品の設計・開発段階においてサイバーセキュリティが重要な役割を果たすという事実を考慮し、デジタル要素を含む重要な製品の適合性を比例的かつ効果的に評価するために最も適切な方法として、決定No.768/2008/ECのモジュールBおよびCまたはモジュールHに基づく適合性評価手順が選択された。サードパーティ適合性評価を実施する製造事業者は、自社の設計と製造工程に最も適した手順を選択することができる。クラスⅡに該当するデジタル要素を含む重要な製品の使用に関連するサイバーセキュリティリスクがさらに大きいことを考慮すると、製品が整合標準、共通仕様、欧州サイバーセキュリティ認証制度に完全または部分的に適合している場合であっても、適合性アセスメントには常に第三者が関与すべきである。フリーソフトウェアやオープンソースソフトウェアとして認定されるデジタル要素を含む重要な製品の製造者は、技術文書を一般に公開することを条件に、モジュールAに基づく内部管理手順に従うことができるはずである。 |
| (92) While the creation of tangible products with digital elements usually requires manufacturers to make substantial efforts throughout the design, development and production phases, the creation of products with digital elements in the form of software almost exclusively focuses on design and development, while the production phase plays a minor role. Nonetheless, in many cases software products still need to be compiled, built, packaged, made available for download or copied onto physical media before being placed on the market. Those activities should be considered to be activities amounting to production when applying the relevant conformity assessment modules to verify the compliance of the product with the essential cybersecurity requirements set out in this Regulation across the design, development and production phases. | (92)デジタル要素を含む有形製品の製造事業者は、通常、設計、開発、生産の各段階を通じて多大な努力を払わなければならないが、ソフトウェアの形でデジタル要素を含む製品の製造は、ほとんど設計と開発のみに集中し、生産段階が果たす役割は小さい。とはいえ、多くの場合、ソフトウェア製品は上市される前に、コンパイル、ビルド、パッケージ化、ダウンロード入手可能化、物理メディアへのコピーが必要である。設計、開発、製造の各段階にわたって、本規則に定めるサイバーセキュリティの必須要件に製品が適合していることを検証するために、関連する適合性評価モジュールを適用する場合、これらの活動は製造に相当する活動とみなされるべきである。 |
| (93) In relation to microenterprises and small enterprises, in order to ensure proportionality, it is appropriate to alleviate administrative costs without affecting the level of cybersecurity protection of products with digital elements that fall within the scope of this Regulation or the level playing field among manufacturers. It is therefore appropriate for the Commission to establish a simplified technical documentation form targeted at the needs of microenterprises and small enterprises. The simplified technical documentation form adopted by the Commission should cover all the applicable elements related to technical documentation set out in this Regulation and specify how a microenterprise or a small enterprise can provide the requested elements in a concise way, such as the description of the design, development and production of the product with digital elements. In doing so, the form would contribute to alleviating the administrative compliance burden by providing the enterprises concerned with legal certainty about the extent and detail of information to be provided. Microenterprises and small enterprises should be able to choose to provide the applicable elements related to technical documentation in extensive form and not take advantage of the simplified technical form available to them. | (93) 零細企業および小規模企業との関係では、比例性を確保するため、本規則の適用範囲に含まれるデジタル要素を含む製品のサイバーセキュリティ保護レベルや製造事業者間の公平な競争環境に影響を与えることなく、管理コストを軽減することが適切である。したがって、欧州委員会が、零細企業および小規模企業のニーズを対象とした簡略化された技術文書様式を制定することは適切である。欧州委員会が採用する簡易技術文書様式は、本規則に規定されている技術文書に関連する適用可能な要素をすべて網羅し、デジタル要素を含む製品の設計、開発、製造に関する記述など、零細企業や小規模企業が要求される要素を簡潔な方法で提供する方法を規定すべきである。そうすることで、この書式は、提供すべき情報の範囲と詳細に関する法的確実性を当該エンタープライズに提供し、行政のコンプライアンス負担を軽減することに貢献する。零細企業及び小規模企業は、技術文書に関連する該当する要素を広範な形で提供し、利用可能な簡略化された技術書式を利用しないことを選択できるべきである。 |
| (94) In order to promote and protect innovation, it is important that the interests of manufacturers that are microenterprises or small or medium-sized enterprises, in particular microenterprises and small enterprises, including start-ups, are taken into particular account. To that end, Member States could develop initiatives which are targeted at manufacturers that are microenterprises or small enterprises, including on training, awareness raising, information communication, testing and third-party conformity assessment activities, as well as the establishment of sandboxes. Translation costs related to mandatory documentation, such as the technical documentation and the information and instructions to the user required pursuant to this Regulation, and communication with authorities, may constitute a significant cost for manufacturers, in particular those of a smaller size. Therefore, Member States should be able to consider that one of the languages determined and accepted by them for relevant manufacturers’ documentation and for communication with manufacturers is one which is broadly understood by the largest possible number of users. | (94) イノベーションを促進し保護するためには、零細企業や中小企業、特に新興企業を含む零細企 業や小規模企業である製造事業者の利益が特に考慮されることが重要である。そのため、加盟国は、研修、意識向上および情報伝達、試験およびサードパーティ適合性評価活動、ならびにサンドボックスの設置など、零細企業または小規模企業である製造事業者を対象としたイニシアティブを開発することができる。この規則に従って要求される技術文書や使用者への情報・説明書などの義務文書や、認可機関とのコミュニケーションに関連する翻訳費用は、製造事業者、特に規模の小さい製造事業者にとって大きなコストとなる可能性がある。したがって,加盟国は,製造事業者の関連文書及び製造事業者とのコミュニケーションに使用する言語として, 可能な限り多くの使用者に広く理解される言語を決定し,受け入れることができるようにすべきである。 |
| (95) In order to ensure a smooth application of this Regulation, Member States should strive to ensure, before the date of application of this Regulation, that a sufficient number of notified bodies is available to carry out third-party conformity assessments. The Commission should seek to assist Member States and other relevant parties in this endeavour, in order to avoid bottlenecks and hindrances to market entry for manufacturers. Targeted training activities led by Member States, including where appropriate with the support of the Commission, can contribute to the availability of skilled professionals including to support the activities of notified bodies under this Regulation. Furthermore, in light of the costs that third-party conformity assessment may entail, funding initiatives at Union and national level that seek to alleviate such costs for microenterprises and small enterprises should be considered. | (95) 本規則の円滑な適用を確保するため、加盟国は、本規則の適用日までに、十分な数の被認定団体がサードパーティ適合性アセスメントを実施できるよう努めるべきである。欧州委員会は、製造事業者のボトルネックや市場参入の妨げを避けるため、加盟国およびその他の関係者を支援するよう努めるべきである。加盟国が主導する的を絞った研修活動は、適切な場合には欧州委員会の支援も含め、本規則に基づく被認証団体の活動を支援することを含め、熟練した専門家の確保に貢献することができる。さらに、サードパーティによる適合性評価にはコストがかかる可能性があることを考慮し、零細企業や小規模企業のそうしたコストを軽減しようとする、欧州連合レベルおよび国レベルでの資金援助イニシアティブを検討すべきである。 |
| (96) In order to ensure proportionality, conformity assessment bodies, when setting the fees for conformity assessment procedures, should take into account the specific interests and needs of microenterprises and small and medium-sized enterprises, including start-ups. In particular, conformity assessment bodies should apply the relevant examination procedure and tests provided for in this Regulation only where appropriate and following a risk-based approach. | (96) 比例性を確保するため、適合性評価団体は、適合性評価手続の手数料を設定する際に、零細企 業及び中小企業(新興企業を含む)の特定の利益及びニーズを考慮すべきである。特に、適合性アセスメント団体は、適切な場合に限り、リスクに応じたアプローチに従って、本規則に規定された関連する審査手順及び試験を適用すべきである。 |
| (97) The objectives of regulatory sandboxes should be to foster innovation and competitiveness for businesses by establishing controlled testing environments before the placing on the market of products with digital elements. Regulatory sandboxes should contribute to improve legal certainty for all actors that fall within the scope of this Regulation and facilitate and accelerate access to the Union market for products with digital elements, in particular when provided by microenterprises and small enterprises, including start-ups. | (97) 規制上のサンドボックスの目的は、デジタル要素を含む製品の上市前に、管理された試験環境を確立することにより、ビジネスにおけるイノベーションと競争力を促進することであるべきである。規制のサンドボックスは、本規則の適用範囲に含まれるすべての主体にとっての法的確実性を改善し、特に新興企業を含む零細企業や小規模企業が提供するデジタル要素を含む製品の連邦市場へのアクセスを促進し、加速することに貢献すべきである。 |
| (98) In order to carry out third-party conformity assessment for products with digital elements, conformity assessment bodies should be notified by the national notifying authorities to the Commission and the other Member States, provided they comply with a set of requirements, in particular on independence, competence and absence of conflicts of interest. | (98) デジタル要素を含む製品のサードパーティ適合性アセスメントを実施するために、適合性アセスメント団体は、特に独立性、能力、利益相反の不存在に関する一連の要件を遵守することを条件に、各国の認定機関から欧州委員会および他の加盟国に通知されるべきである。 |
| (99) In order to ensure a consistent level of quality in the performance of conformity assessment of products with digital elements, it is also necessary to lay down requirements for notifying authorities and other bodies involved in the assessment, notification and monitoring of notified bodies. The system set out in this Regulation should be complemented by the accreditation system provided for in Regulation (EC) No 765/2008. Since accreditation is an essential means of verifying the competence of conformity assessment bodies, it should also be used for the purposes of notification. | (99) デジタル要素を含む製品の適合性評価の実施において一貫した品質レベルを確保するため、認定機関および被認定機関のアセスメント、届出、監視に関与するその他の団体に対する要求事項を定めることも必要である。本規則に定める制度は、規則(EC)No 765/2008に定める認定制度によって補完されるべきである。認定は、適合性評価団体の能力を検証するために不可欠な手段であるため、届出の目的にも利用されるべきである。 |
| (100) Conformity assessment bodies that have been accredited and notified under Union law laying down requirements similar to those laid down in this Regulation, such as a conformity assessment body that has been notified for a European cybersecurity certification scheme adopted pursuant to Regulation (EU) 2019/881 or notified under Delegated Regulation (EU) 2022/30, should be newly assessed and notified under this Regulation. However, synergies can be defined by relevant authorities regarding any overlapping requirements in order to prevent an unnecessary financial and administrative burden and to ensure a smooth and timely notification process. | (100) 規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証スキームについて被認証 団体として通知されている、または委任規則(EU)2022/30 に従って通知されている適合性評価団体など、本規則に定 める要件と同様の要件を定めた EU 法に基づいて認定・通知されている適合性評価団体は、本規則に基 づいて新たに評価・通知されるべきである。ただし、不必要な財政的・事務的負担を防ぎ、円滑かつタイムリーな届出プロセスを確保するため、重複する要件については、関連当局が相乗効果を定義することができる。 |
| (101) Transparent accreditation as provided for in Regulation (EC) No 765/2008, ensuring the necessary level of confidence in certificates of conformity, should be considered by the national public authorities throughout the Union to be the preferred means of demonstrating the technical competence of conformity assessment bodies. However, national authorities may consider that they possess the appropriate means of carrying out that evaluation themselves. In such cases, in order to ensure the appropriate level of credibility of evaluations carried out by other national authorities, they should provide the Commission and the other Member States with the necessary documentary evidence demonstrating the compliance of the conformity assessment bodies evaluated with the relevant regulatory requirements. | (101) 規制(EC)No 765/2008 に規定される透明な認可は、適合証明書に対する必要なレベルの 信頼を確保するものであり、適合性評価団体の技術的能力を証明する手段として、EU 全域の国 家公的機関が望ましいと考えるべきである。しかし,国家当局は,自らその評価を実施する適切な手段を保有していると考えることもできる。このような場合、他の国家当局が実施する評価の適切な信頼性を確保するため、国家当局は、評価された適合性評価機関が関連する規制要求事項に適合していることを証明する必要な証拠書類を欧州委員会及び他の加盟国に提出しなければならない。 |
| (102) Conformity assessment bodies frequently subcontract parts of their activities linked to the assessment of conformity or have recourse to a subsidiary. In order to safeguard the level of protection required for a product with digital elements to be placed on the market, it is essential that conformity assessment subcontractors and subsidiaries fulfil the same requirements as notified bodies in relation to the performance of conformity assessment tasks. | (102) 適合性評価団体は、適合性評価に関連する活動の一部を下請けに出したり、子会社に依頼したりすることが多い。デジタル要素を含む製品を上市するために必要な保護レベルを保護するために、適合性評価の下請け業者及び子会社は、適合性評価業務の遂行に関して、被認定団体と同じ要件を満たすことが不可欠である。 |
| (103) The notification of a conformity assessment body should be sent by the notifying authority to the Commission and the other Member States via the New Approach Notified and Designated Organisations (NANDO) information system. The NANDO information system is the electronic notification tool developed and managed by the Commission where a list of all notified bodies can be found. | (103) 適合性評価団体の届出は、認定機関から欧州委員会及び他の加盟国に対し、NANDO(New Approach Notified and Designated Organisations)情報システムを通じて送付されなければならない。NANDO情報システムは、欧州委員会が開発・管理する電子通知ツールであり、すべての被認証団体のリストを見ることができる。 |
| (104) Since notified bodies may offer their services throughout the Union, it is appropriate to give the other Member States and the Commission the opportunity to raise objections concerning a notified body. It is therefore important to provide for a period during which any doubts or concerns as to the competence of conformity assessment bodies can be clarified before they start operating as notified bodies. | (104) 被認証団体は、域内全域でサービスを提供する可能性があるため、他の加盟国および欧州委員会に、被認証団体に関する異議申し立ての機会を与えることが適切である。したがって、適合性評価団体が被認証団体として業務を開始する前に、その能力に関する疑念や懸念を明らかにすることができる期間を設けることが重要である。 |
| (105) In the interests of competitiveness, it is crucial that notified bodies apply the conformity assessment procedures without creating unnecessary burden for economic operators. For the same reason, and to ensure equal treatment of economic operators, consistency in the technical application of the conformity assessment procedures needs to be ensured. That should be best achieved through appropriate coordination and cooperation between notified bodies. | (105) 競争力のためには、被認証団体が経済的事業者に不必要な負担を与えることなく適合性評価手続を適用することが極めて重要である。同じ理由から、また経済的事業者の平等な待遇を確保するために、適合性評価手続の技術的適用における一貫性を確保する必要がある。それは、被認定団体間の適切な調整と協力を通じて最もよく達成されるべきである。 |
| (106) Market surveillance is an essential instrument in ensuring the proper and uniform application of Union law. It is therefore appropriate to put in place a legal framework within which market surveillance can be carried out in an appropriate manner. The rules on Union market surveillance and control of products entering the Union market provided for in Regulation (EU) 2019/1020 apply to products with digital elements that fall within the scope of this Regulation. | (106) 市場サーベイランスは、域内法の適切かつ均一な適用を確保するために不可欠な手段である。したがって、市場サーベイランスを適切な方法で実施できる法的枠組みを設けることが適切である。規則(EU)2019/1020に規定される、欧州連合の市場監視および欧州連合市場に参入する製品の管理に関する規則は、本規則の適用範囲に含まれるデジタル要素を含む製品に適用される。 |
| (107) In accordance with Regulation (EU) 2019/1020, a market surveillance authority carries out market surveillance in the territory of the Member State that designates it. This Regulation should not prevent Member States from choosing the competent authorities to carry out market surveillance tasks. Each Member State should designate one or more market surveillance authorities in its territory. Member States should be able to choose to designate any existing or new authority to act as market surveillance authority, including competent authorities designated or established pursuant to Article 8 of Directive (EU) 2022/2555, national cybersecurity certification authorities designated pursuant to Article 58 of Regulation (EU) 2019/881 or market surveillance authorities designated for the purposes of Directive 2014/53/EU. Economic operators should fully cooperate with market surveillance authorities and other competent authorities. Each Member State should inform the Commission and the other Member States of its market surveillance authorities and the areas of competence of each of those authorities and should ensure the necessary resources and skills to carry out the market surveillance tasks relating to this Regulation. Pursuant to Article 10(2) and (3) of Regulation (EU) 2019/1020, each Member State should appoint a single liaison office that should be responsible, inter alia, for representing the coordinated position of the market surveillance authorities and assisting in the cooperation between market surveillance authorities in different Member States. | (107) 規則(EU) 2019/1020に従い、市場監視当局は、それを指定する加盟国の領域内で市場監視を実施する。本規則は、加盟国が市場サーベイランス業務を実施する所轄当局を選択することを妨げるものではない。各加盟国は、自国の領域内で1つまたは複数の市場監視当局を指定すべきである。加盟国は、指令(EU)2022/2555の第8条に従って指定または設立された管轄当局、規則(EU)2019/881の第58条に従って指定された国家サイバーセキュリティ認証当局、または指令2014/53/EUの目的のために指定された市場監視当局を含め、市場監視当局として活動する既存または新規の当局を指定することを選択できるべきである。経済的事業者は、市場監視当局およびその他の管轄当局に全面的に協力すべきである。各加盟国は、欧州委員会および他の加盟国に対し、自国の市場監視当局および各当局のコンピテンシー領域を通知し、本規則に関連する市場監視業務を遂行するために必要な資源および技能を確保すべきである。規則(EU)2019/1020の第10条(2)および(3)に従い、各加盟国は、特に市場監視当局の協調的な立場を代表し、異なる加盟国の市場監視当局間の協力を支援する責任を負う単一のリエゾンオフィスを任命すべきである。 |
| (108) A dedicated ADCO for the cyber resilience of products with digital elements should be established for the uniform application of this Regulation, pursuant to Article 30(2) of Regulation (EU) 2019/1020. ADCO should be composed of representatives of the designated market surveillance authorities and, if appropriate, representatives of the single liaison offices. The Commission should support and encourage cooperation between market surveillance authorities through the Union Product Compliance Network established pursuant to Article 29 of Regulation (EU) 2019/1020 and comprising representatives from each Member State, including a representative of each single liaison office as referred to in Article 10 of that Regulation and an optional national expert, the chairs of ADCOs, and representatives from the Commission. The Commission should participate in the meetings of the Union Product Compliance Network, its sub-groups and ADCO. It should also assist ADCO by means of an executive secretariat that provides technical and logistic support. ADCO may also invite independent experts to participate, and liaise with other ADCOs, such as that established under Directive 2014/53/EU. | (108) 規則(EU)2019/1020 の第 30 条(2)に従い、本規則の統一的な適用のため、デジタル要素を含む製品のサイ バーレジリエンスに関する専用の ADCO を設置すべきである。ADCOは、指定市場監視当局の代表者、および適切であれば、単一リエゾンオフィスの代表者で構成されるべきである。欧州委員会は、規則(EU)2019/1020の第29条に従って設立され、同規則の第10条に言及されている各単一連絡事務所の代表者および任意の国内専門家を含む各加盟国の代表者、ADCOの議長および欧州委員会の代表者で構成されるEU製品コンプライアンス・ネットワークを通じて、市場監視当局間の協力を支援し、奨励すべきである。欧州委員会は、EU製品遵守ネットワーク、そのサブグループおよびADCOの会合に参加すべきである。また、技術的および後方支援を提供する執行事務局によってADCOを支援すべきである。ADCO はまた、独立した専門家を参加させることができ、指令 2014/53/EU に基づき設立された ADCO など、他の ADCO と連携することができる。 |
| (109) Market surveillance authorities, through ADCO established under this Regulation, should cooperate closely and should be able to develop guidance documents to facilitate market surveillance activities at national level, such as by developing best practices and indicators to effectively check the compliance of products with digital elements with this Regulation. | (109) 市場監視当局は、本規則に基づき設立された ADCO を通じて、緊密に協力し、 デジタル要素を含む製品の本規則への適合を効果的にチェックするためのベストプラク ティスや指標を開発するなど、国家レベルでの市場監視活動を促進するためのガイダンス 文書を開発できるようにすべきである。 |
| (110) In order to ensure timely, proportionate and effective measures in relation to products with digital elements presenting a significant cybersecurity risk, a Union safeguard procedure under which interested parties are informed of measures intended to be taken with regard to such products should be provided for. This should also allow market surveillance authorities, in cooperation with the relevant economic operators, to act at an earlier stage where necessary. Where the Member States and the Commission agree as to the justification of a measure taken by a Member State, no further involvement of the Commission should be required, except where non-compliance can be attributed to shortcomings of a harmonised standard. | (110) 重大なサイバーセキュリティ・リスクをもたらすデジタル要素を含む製品に関して、適時、適切かつ効果的な措置を確保するため、当該製品に関して講じられることが意図されている措置が利害関係者に通知される連邦セーフガード手続が規定されるべきである。これにより、市場監視当局は、関連する経済的事業者と協力して、必要な場合には、より早い段階で行動を起こすことができるようになるはずである。加盟国と欧州委員会が、加盟国がとる措置の正当性について合意した場合、不遵守の原因が整合標準の欠点に帰せられる場合を除き、欧州委員会のさらなる関与は必要ないものとする。 |
| (111) In certain cases, a product with digital elements which complies with this Regulation can nonetheless present a significant cybersecurity risk or pose a risk to the health or safety of persons, to compliance with obligations under Union or national law intended to protect fundamental rights, to the availability, authenticity, integrity or confidentiality of services offered using an electronic information system by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555 or to other aspects of public interest protection. Therefore it is necessary to establish rules which ensure mitigation of those risks. As a result, market surveillance authorities should take measures to require the economic operator to ensure that the product no longer presents that risk, or to recall or withdraw it, depending on the risk. As soon as a market surveillance authority restricts or forbids the free movement of a product with digital elements in such way, the Member State should notify without delay the Commission and the other Member States of the provisional measures, indicating the reasons and justification for the decision. Where a market surveillance authority adopts such measures against products with digital elements presenting a risk, the Commission should enter into consultation with the Member States and the relevant economic operator or operators without delay and should evaluate the national measure. On the basis of the results of this evaluation, the Commission should decide whether the national measure is justified or not. The Commission should address its decision to all Member States and immediately communicate it to them and the relevant economic operator or operators. If the measure is considered to be justified, the Commission should also consider whether to adopt proposals to revise the relevant Union law. | (111)場合によっては、本規則に準拠するデジタル要素を含む製品が、それにもかかわらず、重大なサイバーセキュリティ上のリスクをもたらすか、あるいは、人の健康や安全、基本的権利の保護を意図した連邦法または国内法に基づく義務の遵守、指令(EU)2022/2555の第3条(1)で言及されている必須事業体による電子情報システムを使用して提供されるサービスの可用性、真正性、完全性、機密性、またはその他の公益保護の側面に対するリスクをもたらす可能性がある。したがって、こうしたリスクの低減を確実にするルールを確立する必要がある。その結果、市場監視当局は、経済的事業者に対し、リスクに応じて、製品がもはやそのリスクを示さないことを保証するか、回収または撤回することを要求する措置を講じる必要がある。市場監視機関がこのような方法でデジタル要素を含む製品の自由な移動を制限または禁止した場合、加盟国は遅滞なく、欧州委員会および他の加盟国に、決定の理由と正当性を示した暫定措置を通知すべきである。市場監視当局が、リスクをもたらすデジタル要素を含む製品に対してそのような措置を採用する場合、欧州委員会は、加盟国および関連する経済的事業者と遅滞なく協議を行い、国内措置を評価すべきである。この評価結果に基づき、欧州委員会は、当該国内措置が正当であるか否かを決定すべきである。欧州委員会は、その決定をすべての加盟国に通知し、加盟国および関連する経済的事業者に直ちに伝達すべきである。その措置が正当であると考えられる場合、欧州委員会は、関連するEU法を改正する提案を採択するかどうかも検討すべきである。 |
| (112) For products with digital elements presenting a significant cybersecurity risk, and where there is reason to believe that they do not comply with this Regulation, or for products that comply with this Regulation, but that present other important risks, such as risks to the health or safety of persons, to compliance with obligations under Union or national law intended to protect fundamental rights or to the availability, authenticity, integrity or confidentiality of services offered using an electronic information system by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555, the Commission should be able to request ENISA to carry out an evaluation. Based on that evaluation, the Commission should be able to adopt, by means of implementing acts, corrective or restrictive measures at Union level, including requiring the products with digital elements concerned to be withdrawn from the market or recalled, within a reasonable period, commensurate with the nature of the risk. The Commission should be able to have recourse to such intervention only in exceptional circumstances that justify an immediate intervention to preserve the proper functioning of the internal market, and only where no effective measures have been taken by market surveillance authorities to remedy the situation. Such exceptional circumstances may be emergency situations where, for example, a non-compliant product with digital elements is widely made available by the manufacturer throughout several Member States, used also in key sectors by entities that fall within the scope of Directive (EU) 2022/2555 while containing known vulnerabilities that are being exploited by malicious actors and for which the manufacturer does not provide available patches. The Commission should be able to intervene in such emergency situations only for the duration of the exceptional circumstances and if non-compliance with this Regulation or the important risks presented persist. | (112) サイバーセキュリティ上の重大なリスクをもたらすデジタル要素を含む製品であって、本規則に適合していないと信じるに足る理由がある場合、または、本規則に適合しているが、人の健康や安全に対するリスクなど、その他の重要なリスクをもたらす製品の場合、 指令(EU)2022/2555の第3条(1)に言及されているように、必須事業体が電子情報システムを使用して提供するサービスの可用性、真正性、完全性、機密性、基本的権利の保護を意図した連邦法または国内法に基づく義務の遵守に対するリスクなど、その他の重要なリスクをもたらす製品については、欧州委員会はENISAに評価の実施を要請できるようにすべきである。その評価に基づき、欧州委員会は、実施法によって、リスクの性質に見合った合理的な期間内に、当該デジタル要素を含む製品の市場からの撤去または回収を要求することを含む、是正措置または制限措置を欧州連合レベルで採択することができるべきである。欧州委員会がこのような介入を行うことができるのは、域内市場の適切な機能を維持するために直ちに介入することが正当化される例外的な状況においてのみであり、また、市場監視当局が状況を改善するための効果的な措置を講じることができなかった場合に限られるべきである。そのような例外的状況とは、例えば、デジタル要素を含む非準拠製品が製造事業者によって複数の加盟国で広く販売され、指令(EU)2022/2555の適用範囲に含まれる事業体によって主要分野でも使用されている一方で、悪意のある行為者によって悪用されている既知の脆弱性が含まれており、製造事業者が利用可能なパッチを提供していないような緊急事態である。欧州委員会は、このような緊急事態に介入できるのは、例外的な状況が継続する間だけであり、本規則の不遵守または重要なリスクが継続する場合に限られるべきである。 |
| (113) Where there are indications of non-compliance with this Regulation in several Member States, market surveillance authorities should be able to carry out joint activities with other authorities, with a view to verifying compliance and identifying cybersecurity risks of products with digital elements. | (113) 複数の加盟国において本規則への不遵守が認められる場合、市場監視当局は、デジタル要素を含む製品の遵守状況を検証し、サイバーセキュリティ上のリスクを特定することを目的として、他の当局と共同で活動を実施できるようにすべきである。 |
| (114) Simultaneous coordinated control actions (sweeps) are specific enforcement actions by market surveillance authorities that can further enhance product security. Sweeps should, in particular, be conducted where market trends, consumer complaints or other indications suggest that certain categories of products with digital elements are often found to present cybersecurity risks. Furthermore, when determining the product categories to be subjected to sweeps, market surveillance authorities should also take into account circumstances relating to non-technical risk factors. To that end, market surveillance authorities should be able to take into account the results of Union level coordinated security risk assessments of critical supply chains carried out in accordance with Article 22 of Directive (EU) 2022/2555, including circumstances relating to non-technical risk factors. ENISA should submit proposals for categories of products with digital elements for which sweeps could be organised to the market surveillance authorities, based, inter alia, on the notifications of vulnerabilities and incidents it receives. | (114)一斉調整取締り(スイープ)は、製品セキュリティをさらに強化することができる、市場監視当局による具体的な取締り行動である。特に、デジタル要素を含む製品の特定のカテゴリーがサイバーセキュリティ・リスクをもたらすことが多いことを、市場動向、消費者からの苦情、その他の兆候が示唆している場合には、スイープを実施すべきである。さらに、掃引の対象となる製品カテゴリーを決定する際には、市場監視当局は、非技術的リスク要因に関連する状況も考慮すべきである。そのため、市場監視当局は、非技術的リスク要因に関連する状況を含め、指令(EU)2022/2555の第22条に従って実施された重要なサプライチェーンの連邦レベルの協調的セキュリティリスク・アセスメントの結果を考慮できるようにすべきである。ENISAは、特に自らが受領した脆弱性やインシデントの通知に基づき、デジタル要素を含む製品のカテゴリーについて、市場監視当局に掃引を実施するための提案を提出すべきである。 |
| (115) In light of its expertise and mandate, ENISA should be able to support the process for implementation of this Regulation. In particular, ENISA should be able to propose joint activities to be conducted by market surveillance authorities based on indications or information regarding potential non-compliance with this Regulation of products with digital elements across several Member States or identify categories of products for which sweeps should be organised. In exceptional circumstances, ENISA should be able, at the request of the Commission, to conduct evaluations in respect of specific products with digital elements that present a significant cybersecurity risk, where an immediate intervention is required to preserve the proper functioning of the internal market. | (115) ENISAは、その専門知識と職務権限に照らして、本規則の実施プロセスを支援することができるはずである。特に、ENISAは、複数の加盟国にまたがるデジタル要素を含む製品の本規則不遵守の可能性に関する識別または情報に基づき、市場監視当局が実施する共同活動を提案したり、掃討を組織すべき製品のカテゴリーを特定したりできるようにすべきである。例外的な状況においては、ENISAは、欧州委員会の要請に応じて、重大なサイバーセキュリティ・リスクをもたらすデジタル要素を含む特定の製品に関して、域内市場の適切な機能を維持するために早急な介入が必要な場合に、評価を実施することができるものとする。 |
| (116) This Regulation confers certain tasks upon ENISA which require appropriate resources in terms of both expertise and human resources in order to enable ENISA to carry out those tasks effectively. The Commission will propose the necessary budgetary resources for ENISA’s establishment plan, in accordance with the procedure set out in Article 29 of Regulation (EU) 2019/881, when preparing the draft general budget of the Union. During that process, the Commission will consider ENISA’s overall resources to enable it to fulfil its tasks, including those conferred on ENISA pursuant to this Regulation. | (116) 本規則は、ENISAに特定の任務を与えているが、ENISAがこれらの任務を効果的に遂行できるようにするためには、専門知識および人的資源の両面で適切な資源が必要である。欧州委員会は、欧州連合の一般予算案を作成する際に、規則(EU)2019/881の第29条に定められた手続きに従い、ENISAの設立計画に必要な予算資源を提案する。その過程において、欧州委員会は、本規則に基づきENISAに付与された任務を含め、ENISAがその任務を遂行できるよう、ENISAの全体的な資源を検討する。 |
| (117) In order to ensure that the regulatory framework can be adapted where necessary, the power to adopt acts in accordance with Article 290 of the Treaty on the Functioning of the European Union (TFEU) should be delegated to the Commission in respect of updating an annex to this Regulation listing the important products with digital elements. Power to adopt acts in accordance with that Article should be delegated to the Commission to identify products with digital elements covered by other Union rules which achieve the same level of protection as this Regulation, specifying whether a limitation or exclusion from the scope of this Regulation would be necessary as well as the scope of that limitation, if applicable. Power to adopt acts in accordance with that Article should also be delegated to the Commission in respect of the potential mandating of certification under a European cybersecurity certification scheme of the critical products with digital elements set out in an annex to this Regulation, as well as for updating the list of critical products with digital elements based on criticality criteria set out in this Regulation, and for specifying the European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 that can be used to demonstrate conformity with the essential cybersecurity requirements or parts thereof as set out in an annex to this Regulation. Power to adopt acts should also be delegated to the Commission to specify the minimum support period for specific product categories where the market surveillance data suggests inadequate support periods, as well as to specify the terms and conditions for applying the cybersecurity-related grounds in relation to delaying the dissemination of notifications of actively exploited vulnerabilities. Furthermore, power to adopt acts should be delegated to the Commission to establish voluntary security attestation programmes for assessing the conformity of products with digital elements qualifying as free and open-source software with all or certain essential cybersecurity requirements or other obligations laid down in this Regulation, as well as to specify the minimum content of the EU declaration of conformity and to supplement the elements to be included in the technical documentation. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (31). In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States’ experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts. The power to adopt delegated acts pursuant to this Regulation should be conferred on the Commission for a period of five years from 10 December 2024. The Commission should draw up a report in respect of the delegation of power not later than nine months before the end of the five-year period. The delegation of power should be tacitly extended for periods of an identical duration, unless the European Parliament or the Council opposes such extension not later than three months before the end of each period. | (117) 必要に応じて規制の枠組みを適合させることができるようにするため、デジタル要素を含む重要な製品を列挙した本規則の附属書の更新に関しては、欧州連合の機能に関する条約(TFEU)第290条に従った法律を採択する権限を欧州委員会に委譲すべきである。本規則と同程度の保護を実現する他の欧州連合の規則が適用されるデジタル要素を含む製品を特定し、本規則の適用範囲からの制限または除外が必要かどうか、また、該当する場合にはその制限の範囲を明記するために、同条に従った行為を採択する権限を欧州委員会に委譲すべきである。また、本規則の附属書に定めるデジタル要素を含む重要製品の欧州サイバーセキュリティ認証制度に基づく認証の義務付けの可能性、本規則に定める重要性規準に基づくデジタル要素を含む重要製品のリストの更新、および本規則の附属書に定めるサイバーセキュリティ必須要件またはその一部への適合を実証するために使用できる規則(EU)2019/881に従って採用される欧州サイバーセキュリティ認証制度の指定に関しても、同条に基づく法律の採択権を欧州委員会に委任すべきである。また、市場サーベイランスのデータからサポート期間が不十分であることが示唆される特定の製品カテゴリーについて、最低サポート期間を規定する権限や、積極的に悪用された脆弱性の通知の普及を遅らせることに関するサイバーセキュリティ関連の根拠を適用する条件を規定する権限も、欧州委員会に委譲すべきである。さらに、フリーソフトウェアやオープンソースソフトウェアとして適格なデジタル要素を含む製品について、本規則に定めるサイバーセキュリティの必須要件やその他の義務のすべてまたは一部への適合性をアセスメントするための自主的なセキュリティ認証プログラムを策定する権限、EU適合宣言の最低限の内容を規定し、技術文書に含めるべき要素を補足する権限を欧州委員会に委譲すべきである。欧州委員会がその準備作業中に、専門家レベルも含めて適切な協議を実施し、その協議がより良い法作りに関する2016年4月13日の機関間合意(31)で定められた原則に従って行われることが特に重要である。特に、委任法作成への平等な参加を確保するため、欧州議会および理事会は加盟国の専門家と同時にすべての文書を受領し、加盟国の専門家は委任法作成を扱う欧州委員会の専門家グループの会合に体系的にアクセスできる。この規則に従って委任行為を採択する権限は、2024年12月10日から5年間、欧州委員会に与えられるべきである。欧州委員会は、5年間の期間が終了する9カ月前までに、権限委譲に関する報告書を作成すべきである。権限の委譲は、各期間の終了3カ月前までに欧州議会または理事会が延長に反対しない限り、黙示的に同じ期間延長されるべきである。 |
| (118) In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission to specify the technical description of the categories of important products with digital elements set out in an annex to this Regulation, specify the format and elements of the SBOM, specify further the format and procedure of the notifications of actively exploited vulnerabilities and severe incidents having an impact on the security of products with digital elements submitted by manufacturers, establish common specifications covering technical requirements that provide a means to comply with the essential cybersecurity requirements set out in an annex to this Regulation, lay down technical specifications for labels, pictograms or any other marks related to the security of the products with digital elements, their support period and mechanisms to promote their use and to increase public awareness about the security of products with digital elements, specify the simplified documentation form targeted at the needs of microenterprises and small enterprises, and decide on corrective or restrictive measures at Union level in exceptional circumstances which justify an immediate intervention to preserve the proper functioning of the internal market. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (32). | (118) 本規則の実施のための統一された条件を確保するため、本規則の附属書に定めるデジタル要素を含む重要な製品のカテゴリーの技術的記述を規定し、SBOMの形式および要素を規定し、製造事業者が提出する積極的に悪用された脆弱性およびデジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントの通知の形式および手順をさらに規定し、本規則の附属書に定めるサイバーセキュリティの必須要件に準拠するための手段を提供する技術的要件を網羅する共通仕様を確立するための実施権限を欧州委員会に与えるべきである、 デジタル要素を含む製品のセキュリティに関連するラベル、ピクトグラムまたはその他のマーク、それらのサポート期間、それらの使用を促進し、デジタル要素を含む製品のセキュリティに関する国民の意識を高めるためのメカニズムに関する技術仕様を定め、零細企業および小規模企業のニーズを対象とした簡易な文書様式を規定し、域内市場の適切な機能を維持するために直ちに介入することが正当化される例外的な状況において、連合レベルでの是正措置または制限措置を決定する。これらの権限は、欧州議会および理事会規則(EU)No 182/2011(32)に従って行使されるべきである。 |
| (119) In order to ensure trusting and constructive cooperation of market surveillance authorities at Union and national level, all parties involved in the application of this Regulation should respect the confidentiality of information and data obtained in carrying out their tasks. | (119) 欧州連合レベルおよび各国レベルの市場監視当局の信頼できる建設的な協力を確保するため、本規則の適用に関与するすべての関係者は、その職務を遂行する上で得た情報およびデータの秘密を尊重すべきである。 |
| (120) In order to ensure effective enforcement of the obligations laid down in this Regulation, each market surveillance authority should have the power to impose or request the imposition of administrative fines. Maximum levels for administrative fines to be provided for in national law for non-compliance with the obligations laid down in this Regulation should therefore be established. When deciding on the amount of the administrative fine in each individual case, all relevant circumstances of the specific situation should be taken into account and, as a minimum, those explicitly established in this Regulation, including whether the manufacturer is a microenterprise or a small or medium-sized enterprise, including a start-up, and whether administrative fines have been already applied by the same or other market surveillance authorities to the same economic operator for a similar infringement. Such circumstances could be either aggravating, in situations where the infringement by the same economic operator persists on the territory of Member States other than that where an administrative fine has already been applied, or mitigating, in ensuring that any other administrative fine considered by another market surveillance authority for the same economic operator or the same type of infringement should already take account, along with other relevant specific circumstances, of a penalty and the quantum thereof imposed in other Member States. In all such cases, the cumulative administrative fine that could be applied by market surveillance authorities of several Member States to the same economic operator for the same type of infringement should ensure the respect of the principle of proportionality. Given that administrative fines do not apply to microenterprises or small enterprises for a failure to meet the 24-hour deadline for the early warning notification of actively exploited vulnerabilities or severe incidents having an impact on the security of the product with digital elements, nor to open-source software stewards for any infringement of this Regulation, and subject to the principle that penalties should be effective, proportionate and dissuasive, Member States should not impose other kinds of penalties with pecuniary character on those entities. | (120) 本規則に定める義務の効果的な執行を確保するため、各市場監視当局は、行政制裁金を課し、または課するよう要請する権限を有するべきである。このため、本規則に定める義務の不履行に対して国内法でプロバイダが定める行政制裁金の最高水準を定めるべきである。個々の事案における行政制裁金の額を決定する際には、具体的な状況に関連するすべての状況を考慮に入れるべきであり、最低限、製造事業者が零細企業であるか、新興企業を含む中小企業であるか、同じ経済的事業者に対して、同様の違反に対して、同じ市場監視当局または他の市場監視当局が既に行政制裁金を適用しているかどうかなど、本規則に明示的に定められている状況が考慮されなければならない。このような状況は、同一の経済的事業者による侵害が、既に行政制裁金が適用された加盟国以外の加盟国の領域で継続している場合には、悪化させる可能性があり、また、同一の経済的事業者または同種の侵害に対して他の市場監視当局が検討する他の行政制裁金が、他の関連する具体的な状況とともに、他の加盟国で課された罰則およびその量刑を既に考慮する必要がある場合には、低減させる可能性がある。そのような場合すべてにおいて、複数の加盟国の市場監視当局が、同じ種類の違反について同じ経済的事業者に適用しうる行政制裁金の累積は、比例原則の尊重を確保すべきである。積極的に悪用された脆弱性またはデジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントの早期警告の通知期限である 24 時間を守らなかった場合、および、オープンソースソフトウェアのスチュワードが本規則に違反した場合には、行政制裁金は零細企業または小規模企業には適用されないことを踏まえ、また、罰則は効果的、比例的かつ思いとどまらせるものでなければならないという原則に従い、加盟国はこれらの事業体に対して金銭的性格を有する他の種類の罰則を課すべきではない。 |
| (121) Where administrative fines are imposed on a person that is not an undertaking, the competent authority should take account of the general level of income in the Member State as well as the economic situation of the person when considering the appropriate amount of the fine. It should be for the Member States to determine whether and to what extent public authorities should be subject to administrative fines. | (121) 事業体でない者に行政罰が課される場合、所轄当局は、適切な罰金額を検討する際に、加盟国の一般的な所得水準およびその者の経済状況を考慮すべきである。公的機関に行政制裁金を科すべきかどうか、またどの程度科すべきかについては、加盟国が決定すべきである。 |
| (122) Member States should examine, taking into account national circumstances, the possibility of using the revenues from the penalties as provided for in this Regulation or their financial equivalent to support cybersecurity policies and increase the level of cybersecurity in the Union by, inter alia, increasing the number of qualified cybersecurity professionals, strengthening capacity building for microenterprises and small and medium-sized enterprises and improving public awareness of cyber threats. | (122) 加盟国は、特に、有資格のサイバーセキュリティ専門家の数を増やし、零細企業および中小企業の能力構築を強化し、サイバー脅威に対する国民の意識を向上させることにより、サイバーセキュリティ政策を支援し、連合におけるサイバーセキュリティのレベルを向上させるために、本規則に規定される罰金による収入またはそれに相当する財政的収入を使用する可能性を、各国の事情を考慮して検討すべきである。 |
| (123) In its relationships with third countries, the Union endeavours to promote international trade in regulated products. A broad variety of measures can be applied in order to facilitate trade, including several legal instruments such as bilateral (inter-governmental) Mutual Recognition Agreements (MRAs) for conformity assessment and marking of regulated products. MRAs are established between the Union and third countries which are on a comparable level of technical development and have a compatible approach concerning conformity assessment. Those agreements are based on the mutual acceptance of certificates, marks of conformity and test reports issued by the conformity assessment bodies of either party in conformity with the legislation of the other party. Currently, MRAs are in place with several third countries. Those MRAs are concluded in a number of specific sectors, which might vary from one third country to another. In order to further facilitate trade, and recognising that supply chains of products with digital elements are global, MRAs concerning conformity assessment can be concluded for products regulated under this Regulation by the Union in accordance with Article 218 TFEU. Cooperation with partner third countries is also important, in order to strengthen cyber resilience globally, as in the long term this will contribute to a strengthened cybersecurity framework both within and outside of the Union. | (123) 第三国との関係において、EU は規制製品の国際貿易の促進に努める。規制製品の適合性アセスメントとマーキングに関する二国間(政府間)相互承認協定(MRA)など、いくつかの法的手段を含め、貿易を促進するために様々な措置を適用することができる。MRAは、同等の技術開発レベルにあり、適合性評価に関して互換性のあるアプローチを有するEUと第三国との間で締結される。これらの協定は、いずれかの締約国の適合性評価団体が、他方の締約国の法令に準拠して発行した証明書、適合マーク、試験報告書を相互に受け入れることを基本としている。現在、いくつかの第三国との間でMRAが締結されている。これらのMRAは多くの特定分野で締結されており、その内容は第三国によって異なる可能性がある。貿易をさらに促進するため、また、デジタル要素を含む製品のサプライチェーンがグローバルであることを認識するため、適合性アセスメントに関するMRAは、TFEU第218条に従い、欧州連合が本規則に基づき規制する製品について締結することができる。グローバルにサイバーレジリエンスを強化するためには、パートナーである第三国との協力も重要であり、長期的にはそれがEU内外のサイバーセキュリティの枠組み強化に寄与することになる。 |
| (124) Consumers should be entitled to enforce their rights in relation to the obligations imposed on economic operators under this Regulation through representative actions pursuant to Directive (EU) 2020/1828 of the European Parliament and of the Council (33). For that purpose, this Regulation should provide that Directive (EU) 2020/1828 is applicable to the representative actions concerning infringements of this Regulation that harm or can harm the collective interests of consumers. Annex I to that Directive should therefore be amended accordingly. It is for the Member States to ensure that those amendments are reflected in the transposition measures adopted pursuant to that Directive, although the adoption of national transposition measures in that regard is not a condition for the applicability of that Directive to those representative actions. The applicability of that Directive to the representative actions brought with regard to infringements of provisions of this Regulation by economic operators that harm or could harm the collective interests of consumers should start from 11 December 2027. | (124) 消費者は、欧州議会および理事会の指令(EU) 2020/1828(33)に従い、代表者行動を通じて、本規則に基づき経済的事業者に課される義務に関して権利を行使する権利を有するべきである。そのため、本規則は、消費者の集団的利益を害する、または害する可能性のある本規則の違反に関する代表訴訟には、指令(EU)2020/1828が適用されることを規定すべきである。したがって、同指令の附属書Iを適宜修正すべきである。当該改正が当該指令に従って採択された移項措置に確実に反映されるようにするのは加盟国の責任であるが、この点に関する国内移項措置の採択は、当該代表訴訟に対する当該指令の適用可能性の条件ではない。消費者の集団的利益を害する、または害する可能性のある経済的事業者による本規則の規定違反に関して提起される代表訴訟に対する同指令の適用は、2027年12月11日から開始されるべきである。 |
| (125) The Commission should periodically evaluate and review this Regulation, in consultation with relevant stakeholders, in particular with a view to determining the need for modification in the light of changes to societal, political, technological or market conditions. This Regulation will facilitate the compliance with supply chain security obligations of entities that fall within the scope of Regulation (EU) 2022/2554 and Directive (EU) 2022/2555 that use products with digital elements. The Commission should evaluate, as part of that periodic review, the combined effects of the Union cybersecurity framework. | (125) 欧州委員会は、関連する利害関係者と協議の上、特に社会的、政治的、技術的または市場環境の変化に照らして修正の必要性を判断する観点から、本規則を定期的に評価および見直すべきである。本規則は、デジタル要素を含む製品を使用する、規則(EU)2022/2554および指令(EU)2022/2555の適用範囲内にある事業体のサプライチェーンセキュリティ義務の遵守を促進する。欧州委員会は、その定期的な見直しの一環として、欧州連合のサイバーセキュリティの枠組みの複合的な効果を評価すべきである。 |
| (126) Economic operators should be provided with sufficient time to adapt to the requirements set out in this Regulation. This Regulation should apply from 11 December 2027, with exception of the reporting obligations concerning actively exploited vulnerabilities and severe incidents having an impact on the security of products with digital elements, which should apply from 11 September 2026 and of the provisions on notification of conformity assessment bodies, which should apply from 11 June 2026. | (126) 経済的事業者には、本規則に定める要件に適応するための十分な時間がプロバイダとして提供されるべきである。ただし、積極的に悪用された脆弱性およびデジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントに関する報告義務については2026年9月11日から、適合性評価団体の届出に関する規定については2026年6月11日から適用されるべきである。 |
| (127) It is important to provide support to microenterprises and small and medium-sized enterprises, including start-ups, in the implementation of this Regulation and to minimise the risks to the implementation resulting from lack of knowledge and expertise in the market, as well as in order to facilitate compliance of manufacturers with their obligations laid down in this Regulation. The Digital Europe Programme and other relevant Union programmes provide financial and technical support that enable those enterprises to contribute to the growth of the Union economy and to the strengthening of the common level of cybersecurity in the Union. The European Cybersecurity Competence Centre and National Coordination Centres as well as European Digital Innovation Hubs established by the Commission and the Member States at Union or national level could also support companies and public sector organisations and could contribute to the implementation of this Regulation. Within their respective missions and fields of competence, they could provide technical and scientific support to microenterprises and small and medium sized enterprises, such as for testing activities and third-party conformity assessments. They could also foster the deployment of tools to facilitate the implementation of this Regulation. | (127) 本規則の実施において、新興企業を含む零細企業や中小企業に支援を提供し、市場における知識や専門知識の不足に起因する実施へのリスクを最小化するとともに、製造事業者が本規則に定められた義務を遵守することを促進することが重要である。デジタル・ヨーロッパ・プログラムおよびその他の関連する欧州連合のプログラムは、これらのエンタープライズが欧州連合経済の成長および欧州連合におけるサイバーセキュリティの共通レベルの強化に貢献できるよう、財政的・技術的支援を提供する。欧州サイバーセキュリティ能力センター(European Cybersecurity Competence Centre)および各国調整センター(National Coordination Centres)、ならびに欧州委員会および加盟国が連合レベルまたは国レベルで設立した欧州デジタル・イノベーション・ハブ(European Digital Innovation Hubs)も、企業や公共部門を支援し、本規則の実施に貢献することができる。それぞれの使命と能力の範囲内で、試験活動やサードパーティによる適合性評価など、零細企業や中小企業に対する技術的・科学的支援を提供することができる。また、この規則の実施を促進するためのツールの展開を促進することもできる。 |
| (128) Furthermore, Member States should consider taking complementary action aiming to provide guidance and support for microenterprises and small and medium-sized enterprises, such as the establishment of regulatory sandboxes and dedicated channels for communication. In order to strengthen the level of cybersecurity in the Union, Member States may also consider providing support to develop capacity and skills related to cybersecurity of products with digital elements, improving the cyber resilience of economic operators, in particular of microenterprises and small and medium-sized enterprises, and fostering public awareness about the cybersecurity of products with digital elements. | (128)さらに、加盟国は、規制のサンドボックスやコミュニケーションのための専用チャンネルの設置など、零細企業や中小企業に対するガイダンスやサポートを提供することを目的とした補完的な行動をとることを検討すべきである。加盟国は、EUにおけるサイバーセキュリティのレベルを強化するために、デジタル要素を含む製品のサイバーセキュリティに関連する能力やスキルの開発、経済的事業者、特に零細企業や中小企業のサイバーレジリエンスの改善、デジタル要素を含む製品のサイバーセキュリティに関する国民の意識の醸成のための支援を提供することも検討することができる。 |
| (129) Since the objective of this Regulation cannot be sufficiently achieved by the Member States but can rather, by reason of the effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. | (129) 本規則の目的は加盟国によって十分に達成されるものではなく、むしろ行動の効果により、欧州連合レベルでよりよく達成されるため、欧州連合は、欧州連合条約第5条に定める補完性の原則に従い、措置を採択することができる。同条に定める比例の原則に従い、本規則はその目的を達成するために必要な範囲を超えるものではない。 |
| (130) The European Data Protection Supervisor was consulted in accordance with Article 42(1) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (34) and delivered an opinion on 9 November 2022 (35), | (130) 欧州データ保護監察機関は、欧州議会および理事会の規則(EU)2018/1725の第42条1項に従って諮問を受け(34)、2022年11月9日に意見を提出した(35)、 |
| HAVE ADOPTED THIS REGULATION: | は本規則を採択した: |
| CHAPTER I GENERAL PROVISIONS | 第1章 一般規定 |
| Article 1 Subject matter | 第1条 対象 |
| This Regulation lays down: | 本規則は以下の事項を規定する: |
| (a) rules for the making available on the market of products with digital elements to ensure the cybersecurity of such products; | (a) デジタル要素を含む製品を市場で入手可能とし、当該製品のサイバーセキュリティを確保するための規則; |
| (b) essential cybersecurity requirements for the design, development and production of products with digital elements, and obligations for economic operators in relation to those products with respect to cybersecurity; | (b) デジタル要素を含む製品の設計、開発、製造に不可欠なサイバーセキュリティ要件、およびこれらの製品に関する経済的事業者のサイバーセキュリティに関する義務; |
| (c) essential cybersecurity requirements for the vulnerability handling processes put in place by manufacturers to ensure the cybersecurity of products with digital elements during the time the products are expected to be in use, and obligations for economic operators in relation to those processes; | (c)デジタル要素を含む製品が使用されると予想される期間中、その製品のサイバーセキュリティを確保するために製造事業者が実施する脆弱性処理プロセスに関するサイバーセキュリティ必須要件、およびそれらのプロセスに関する経済的事業者の義務; |
| (d) rules on market surveillance, including monitoring, and enforcement of the rules and requirements referred to in this Article. | (d) 監視を含む市場サーベイランスに関する規則、および本条で言及される規則および要件の実施。 |
| Article 2 Scope | 第2条 適用範囲 |
| 1. This Regulation applies to products with digital elements made available on the market, the intended purpose or reasonably foreseeable use of which includes a direct or indirect logical or physical data connection to a device or network. | 1. 本規則は、市場で入手可能なデジタル要素を含む製品であって、その意図された目的または合理的に予測可能な用途が、デバイスまたはネットワークへの直接的または間接的な論理的または物理的データ接続を含む製品に適用される。 |
| 2. This Regulation does not apply to products with digital elements to which the following Union legal acts apply: | 2. 本規則は、以下の連邦法が適用されるデジタル要素を含む製品には適用されない: |
| (a) Regulation (EU) 2017/745; | (a) 規則(EU)2017/745; |
| (b) Regulation (EU) 2017/746; | (b) 規則(EU)2017/746; |
| (c) Regulation (EU) 2019/2144. | (c) 規則(EU)2019/2144。 |
| 3. This Regulation does not apply to products with digital elements that have been certified in accordance with Regulation (EU) 2018/1139. | 3. 本規則は、規則(EU)2018/1139に従って認証されたデジタル要素を含む製品には適用されない。 |
| 4. This Regulation does not apply to equipment that falls within the scope of Directive 2014/90/EU of the European Parliament and of the Council (36). | 4. 本規則は、欧州議会および理事会指令 2014/90/EU (36)の範囲に含まれる機器には適用されない。 |
| 5. The application of this Regulation to products with digital elements covered by other Union rules laying down requirements that address all or some of the risks covered by the essential cybersecurity requirements set out in Annex I may be limited or excluded where: | 5. 附属書Ⅰに定めるサイバーセキュリティ必須要件が対象とするリスクの全部または一部に対処する要件を定める他の欧州連合規則が対象とするデジタル要素を含む製品への本規則の適用は、以下の場合に制限または除外することができる: |
| (a) such limitation or exclusion is consistent with the overall regulatory framework that applies to those products; and | (a) 当該制限または除外が、当該製品に適用される規制の枠組み全体と整合している。 |
| (b) the sectoral rules achieve the same or a higher level of protection as that provided for by this Regulation. | (b) 当該分野別規則が、本規則の規定と同等またはそれ以上の保護レベルを達成している。 |
| The Commission is empowered to adopt delegated acts in accordance with Article 61 to supplement this Regulation by specifying whether such limitation or exclusion is necessary, the products and rules concerned, as well as the scope of the limitation, if relevant. | 欧州委員会は、第61条に従い、当該制限または除外が必要かどうか、関係する製品および規則、ならびに関連する場合は制限の範囲を明記することにより、本規則を補足する委任法を採択する権限を有する。 |
| 6. This Regulation does not apply to spare parts that are made available on the market to replace identical components in products with digital elements and that are manufactured according to the same specifications as the components that they are intended to replace. | 6. 本規則は、デジタル要素を含む製品の同一部品を交換するために市場で入手可能なスペア部品であって、交換を意図する部品と同一の仕様に従って製造されたものには適用されない。 |
| 7. This Regulation does not apply to products with digital elements developed or modified exclusively for national security or defence purposes or to products specifically designed to process classified information. | 7. 本規則は、国家安全保障または防衛の目的のためにのみ開発または修正されたデジタル要素を含む製品、または機密情報を処理するために特別に設計された製品には適用されない。 |
| 8. The obligations laid down in this Regulation shall not entail the supply of information the disclosure of which would be contrary to the essential interests of Member States’ national security, public security or defence. | 8. 本規則に定める義務は、加盟国の国家安全保障、公共安全保障または防衛の本質的利益に反する情報の提供を伴うものではない。 |
| Article 3 Definitions | 第3条 定義 |
| For the purposes of this Regulation, the following definitions apply: | 本規則では、以下の定義を適用する: |
| (1) ‘product with digital elements’ means a software or hardware product and its remote data processing solutions, including software or hardware components being placed on the market separately; | (1) 「デジタル要素を含む製品」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションをいい、個別に上市されるソフトウェアまたはハードウェアのコンポーネントを含む; |
| (2) ‘remote data processing’ means data processing at a distance for which the software is designed and developed by the manufacturer, or under the responsibility of the manufacturer, and the absence of which would prevent the product with digital elements from performing one of its functions; | (2) 「遠隔データ処理」とは、ソフトウェアが製造事業者により、又は製造事業者の責任の下で設計及び開発され、そのソフトウェアが存在しなければデジタル要素を含む製品がその機能の一つを果たすことができなくなる遠隔でのデータ処理をいう; |
| (3) ‘cybersecurity’ means cybersecurity as defined in Article 2, point (1), of Regulation (EU) 2019/881; | (3) 「サイバーセキュリティ」とは、規則(EU)2019/881の第2条(1)に定義されるサイバーセキュリティをいう; |
| (4) ‘software’ means the part of an electronic information system which consists of computer code; | (4) 「ソフトウェア」とは、電子情報システムのうちコンピュータコードで構成される部分をいう; |
| (5) ‘hardware’ means a physical electronic information system, or parts thereof capable of processing, storing or transmitting digital data; | (5) 「ハードウェア」とは、デジタルデータを処理、保存又は送信することができる物理的な電子情報システム又はその部品をいう; |
| (6) ‘component’ means software or hardware intended for integration into an electronic information system; | (6) 「コンポーネント」とは、電子情報システムに統合することを目的としたソフトウェアまたはハードウェアをいう; |
| (7) ‘electronic information system’ means a system, including electrical or electronic equipment, capable of processing, storing or transmitting digital data; | (7)「電子情報システム」とは、電気的または電子的機器を含み、デジタルデータを処理、保存または伝送することができるシステムをいう; |
| (8) ‘logical connection’ means a virtual representation of a data connection implemented through a software interface; | (8) 「論理接続」とは、ソフトウェアインターフェースを通じて実装されるデータ接続の仮想的な表現をいう; |
| (9) ‘physical connection’ means a connection between electronic information systems or components implemented using physical means, including through electrical, optical or mechanical interfaces, wires or radio waves; | (9)「物理的接続」とは、電気的、光学的または機械的インターフェース、電線または電波を通 じてなど、物理的手段を用いて実施される電子情報システムまたはコンポーネント間の接続をいう; |
| (10) ‘indirect connection’ means a connection to a device or network, which does not take place directly but rather as part of a larger system that is directly connectable to such device or network; | (10)「間接接続」とは、装置またはネットワークへの接続であって、直接行われるものではなく、むしろ、当該装置またはネットワークに直接接続可能なより大きなシステムの一部として行われるものをいう; |
| (11) ‘end-point’ means any device that is connected to a network and serves as an entry point to that network; | (11)「エンドポイント」とは、ネットワークに接続され、当該ネットワークへのエントリー・ ポイントとして機能する機器をいう; |
| (12) ‘economic operator’ means the manufacturer, the authorised representative, the importer, the distributor, or other natural or legal person who is subject to obligations in relation to the manufacture of products with digital elements or to the making available of products with digital elements on the market in accordance with this Regulation; | (12) 「経済的事業者」とは、製造事業者、公認代表者、輸入事業者、頒布事業者、その他の自然人又は法人であって、デジタル要素を含む製品の製造又はデジタル要素を含む製品の市場での入手可能性に関して本規則に従った義務を負う者をいう; |
| (13) ‘manufacturer’ means a natural or legal person who develops or manufactures products with digital elements or has products with digital elements designed, developed or manufactured, and markets them under its name or trademark, whether for payment, monetisation or free of charge; | (13) 「製造事業者」とは、デジタル要素を含む製品を開発若しくは製造し、又はデジタル要素を含む製品を設計、開発若しくは製造させ、かつ、有償、収益化又は無償を問わず、その名称又は商標の下で販売する自然人又は法人をいう; |
| (14) ‘open-source software steward’ means a legal person, other than a manufacturer, that has the purpose or objective of systematically providing support on a sustained basis for the development of specific products with digital elements, qualifying as free and open-source software and intended for commercial activities, and that ensures the viability of those products; | (14) 「オープンソースソフトウェア・スチュワード」とは、製造事業者以外の法人であって、フリーかつオープンソースソフトウェアとして適格であり、商業活動を目的とするデジタル要素を含む特定の製品の開発に対して、体系的な支援を継続的に提供する目的または目標を有し、それらの製品の実行可能性を確保する法人をいう; |
| (15) ‘authorised representative’ means a natural or legal person established within the Union who has received a written mandate from a manufacturer to act on its behalf in relation to specified tasks; | (15) 「公認代表者」とは、特定業務に関して製造事業者に代わって行動することを製造事業者から書面で委任された、域内に設立された自然人または法人をいう; |
| (16) ‘importer’ means a natural or legal person established in the Union who places on the market a product with digital elements that bears the name or trademark of a natural or legal person established outside the Union; | (16) 「輸入事業者」とは、域外に設立された自然人または法人の名称または商標が付されたデジタル要素を含む製品を上市する、域内に設立された自然人または法人をいう; |
| (17) ‘distributor’ means a natural or legal person in the supply chain, other than the manufacturer or the importer, that makes a product with digital elements available on the Union market without affecting its properties; | (17) 「頒布事業者」とは、製造事業者または輸入事業者以外のサプライチェーンに属する自然人または法人であって、デジタル要素を含む製品を、その特性に影響を与えることなく、連合国の市場で入手可能にするものをいう; |
| (18) ‘consumer’ means a natural person who acts for purposes which are outside that person’s trade, business, craft or profession; | (18) 「消費者」とは、自然人であって、その者の取引、事業、技術又は職業以外の目的のために行動する者をいう; |
| (19) ‘microenterprises’, ‘small enterprises’ and ‘medium-sized enterprises’ mean, respectively, microenterprises, small enterprises and medium-sized enterprises as defined in the Annex to Recommendation 2003/361/EC; | (19) '零細企業','小企業'及び'中企業'とは,それぞれ勧告 2003/361/EC の附属書に定義されている零細企 業,小企業及び中企業を意味する; |
| (20) ‘support period’ means the period during which a manufacturer is required to ensure that vulnerabilities of a product with digital elements are handled effectively and in accordance with the essential cybersecurity requirements set out in Part II of Annex I; | (20) 「サポート期間」とは,製造事業者が,デジタル要素を含む製品の脆弱性を,附属書 I の第 II 部に規定するサイバーセキュリティの必須要件に従って効果的に処理することを確保するために要求される期間をいう; |
| (21) ‘placing on the market’ means the first making available of a product with digital elements on the Union market; | (21) 「上市」とは、デジタル要素を含む製品をEU市場で初めて入手可能にすることをいう; |
| (22) ‘making available on the market’ means the supply of a product with digital elements for distribution or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge; | (22) 「市場で入手可能」とは、商業活動の過程において、有償であるか無償であるかにかかわらず、デジタル要素を含む製品を連合市場で頒布又は使用するために供給することをいう; |
| (23) ‘intended purpose’ means the use for which a product with digital elements is intended by the manufacturer, including the specific context and conditions of use, as specified in the information supplied by the manufacturer in the instructions for use, promotional or sales materials and statements, as well as in the technical documentation; | (23) 「意図された目的」とは、デジタル要素を含む製品が製造事業者によって意図されている用途を意味し、使用説明書、販売促進用資料又は販売用資料及び声明、並びに技術文書において製造事業者が提供する情報に明記されている具体的な使用状況及び条件を含む; |
| (24) ‘reasonably foreseeable use’ means use that is not necessarily the intended purpose supplied by the manufacturer in the instructions for use, promotional or sales materials and statements, as well as in the technical documentation, but which is likely to result from reasonably foreseeable human behaviour or technical operations or interactions; | (24) 「合理的に予見可能な使用」とは、製造事業者が使用説明書、販売促進資料、説明書及び技術文書に記載した意図した目的とは必ずしも一致しないが、合理的に予見可能な人間の行動又は技術的な操作若しくは相互作用から生じる可能性のある使用をいう; |
| (25) ‘reasonably foreseeable misuse’ means the use of a product with digital elements in a way that is not in accordance with its intended purpose, but which may result from reasonably foreseeable human behaviour or interaction with other systems; | (25) 「合理的に予見可能な誤用」とは、デジタル要素を含む製品の意図された目的に沿わない使用であって、合理的に予見可能な人間の行動または他のシステムとの相互作用から生じ得るものをいう; |
| (26) ‘notifying authority’ means the national authority responsible for setting up and carrying out the necessary procedures for the assessment, designation and notification of conformity assessment bodies and for their monitoring; | (26) 「被認証機関」とは、適合性評価団体のアセスメント、指定及び通知並びにその監視に必要な手 続きの設定及び実施に責任を負う国家機関をいう; |
| (27) ‘conformity assessment’ means the process of verifying whether the essential cybersecurity requirements set out in Annex I have been fulfilled; | (27) 「適合性評価」とは、附属書Ⅰに定めるサイバーセキュリティの必須要件が満たされているかどうかを検証するプロセスをいう; |
| (28) ‘conformity assessment body’ means a conformity assessment body as defined in Article 2, point (13), of Regulation (EC) No 765/2008; | (28) 「適合性評価機関」とは、規則(EC)No 765/2008 の第 2 条の(13)に定義される適合性評価機関をいう; |
| (29) ‘notified body’ means a conformity assessment body designated in accordance with Article 43 and other relevant Union harmonisation legislation; | (29) 「被認証団体」とは、第 43 条及びその他の関連する EU 調和法令に従って指定された 適合性評価機関をいう; |
| (30) ‘substantial modification’ means a change to the product with digital elements following its placing on the market, which affects the compliance of the product with digital elements with the essential cybersecurity requirements set out in Part I of Annex I or which results in a modification to the intended purpose for which the product with digital elements has been assessed; | (30) 「大幅な変更」とは、デジタル要素を含む製品の上市後の変更であって、附属書 I の第 I 部に定めるサイバーセキュリティの必須要件への適合に影響を及ぼすもの、又はデジタル要素を含む製品が評価された意図された目的の変更をもたらすものをいう; |
| (31) ‘CE marking’ means a marking by which a manufacturer indicates that a product with digital elements and the processes put in place by the manufacturer are in conformity with the essential cybersecurity requirements set out in Annex I and other applicable Union harmonisation legislation providing for its affixing; | (31) 「CE マーキング」とは、製造事業者が、デジタル要素を含む製品及びその製造事業者が実施するプロセスが、附属書 I に定めるサイバーセキュリティの必須要件及びその貼付を規定する他の適用可能な連合調和法令に適合していることを示すマーキングをいう; |
| (32) ‘Union harmonisation legislation’ means Union legislation listed in Annex I to Regulation (EU) 2019/1020 and any other Union legislation harmonising the conditions for the marketing of products to which that Regulation applies; | (32) 「EU整合化法」とは、規則(EU)2019/1020の附属書Ⅰに記載されたEU法及び同規則が適用される製品の販売条件を整合化するその他のEU法をいう; |
| (33) ‘market surveillance authority’ means a market surveillance authority as defined in Article 3, point (4), of Regulation (EU) 2019/1020; | (33) 「市場監視当局」とは、規則(EU) 2019/1020の第3条(4)に定義される市場監視当局をいう; |
| (34) ‘international standard’ means an international standard as defined in Article 2, point (1)(a), of Regulation (EU) No 1025/2012; | (34) 「国際標準」とは、規則(EU)No 1025/2012 の第 2 条(1)項(a)に定義される国際標準をいう; |
| (35) ‘European standard’ means a European standard as defined in Article 2, point (1)(b), of Regulation (EU) No 1025/2012; | (35) 「欧州標準」とは,規則(EU)No 1025/2012 の第 2 条(1)(b)に定義される欧州標準をいう; |
| (36) ‘harmonised standard’ means a harmonised standard as defined in Article 2, point (1)(c), of Regulation (EU) No 1025/2012; | (36) 「整合標準」とは、規則(EU)No 1025/2012 の第 2 条(1)(c)に定義される整合標準をいう; |
| (37) ‘cybersecurity risk’ means the potential for loss or disruption caused by an incident and is to be expressed as a combination of the magnitude of such loss or disruption and the likelihood of occurrence of the incident; | (37) 「サイバーセキュリティリスク」とは、インシデントによって引き起こされる損失又は混乱の可能性を意味し、当該損失又は混乱の大きさとインシデントの発生の可能性との組み合わせとして表現される; |
| (38) ‘significant cybersecurity risk’ means a cybersecurity risk which, based on its technical characteristics, can be assumed to have a high likelihood of an incident that could lead to a severe negative impact, including by causing considerable material or non-material loss or disruption; | (38)「重大なサイバーセキュリティリスク」とは、その技術的特徴に基づき、相当な物質的又は非物質的な損失又は混乱 を引き起こすなど、深刻な悪影響をもたらすインシデントが発生する可能性が高いと想定できるサイバーセ キュリティリスクをいう; |
| (39) ‘software bill of materials’ means a formal record containing details and supply chain relationships of components included in the software elements of a product with digital elements; | (39)「ソフトウェア部品表」とは、デジタル要素を含む製品のソフトウェア要素に含まれる部品の詳細及びサプライチェーン関係を含む正式な記録をいう; |
| (40) ‘vulnerability’ means a weakness, susceptibility or flaw of a product with digital elements that can be exploited by a cyber threat; | (40) 「脆弱性」とは、サイバー脅威によって悪用される可能性のある、デジタル要素を含む製品の脆弱性、感受性、または欠陥をいう; |
| (41) ‘exploitable vulnerability’ means a vulnerability that has the potential to be effectively used by an adversary under practical operational conditions; | (41)「悪用可能な脆弱性」とは、実際の運用条件下で敵対者が有効に利用できる可能性を有する脆弱性をいう; |
| (42) ‘actively exploited vulnerability’ means a vulnerability for which there is reliable evidence that a malicious actor has exploited it in a system without permission of the system owner; | (42)「積極的に悪用される脆弱性」とは、悪意のある行為者がシステム所有者の許可なくシステムにおいて脆弱性を悪用したという信頼できる証拠がある脆弱性をいう; |
| (43) ‘incident’ means an incident as defined in Article 6, point (6), of Directive (EU) 2022/2555; | (43) 「インシデント」とは、指令(EU)2022/2555の第6条(6)に定義されるインシデントをいう; |
| (44) ‘incident having an impact on the security of the product with digital elements’ means an incident that negatively affects or is capable of negatively affecting the ability of a product with digital elements to protect the availability, authenticity, integrity or confidentiality of data or functions; | (44) 「デジタル要素を含む製品のセキュリティに影響を及ぼすインシデント」とは、データまたは機能の可用性、認証、完全性または機密性を保護するデジタル要素を含む製品の能力に悪影響を及ぼすインシデント、または悪影響を及ぼす可能性のあるインシデントをいう; |
| (45) ‘near miss’ means a near miss as defined in Article 6, point (5), of Directive (EU) 2022/2555; | (45) 「ニアミス」とは、指令(EU)2022/2555の第6条(5)に定義されるニアミスをいう; |
| (46) ‘cyber threat’ means a cyber threat as defined in Article 2, point (8), of Regulation (EU) 2019/881; | (46) 「サイバー脅威」とは、規則(EU) 2019/881の第2条(8)に定義されるサイバー脅威をいう; |
| (47) ‘personal data’ means personal data as defined in Article 4, point (1), of Regulation (EU) 2016/679; | (47) 「個人データ」とは、規則(EU)2016/679の第4条第1項に定義される個人データをいう; |
| (48) ‘free and open-source software’ means software the source code of which is openly shared and which is made available under a free and open-source licence which provides for all rights to make it freely accessible, usable, modifiable and redistributable; | (48)「フリー・オープンソースソフトウェア」とは、ソースコードがオープンに共有され、自由にアクセスし、使用し、改変し、再配布可能にするためのすべての権利を規定するフリー・オープンソースライセンスの下で利用可能にされるソフトウェアをいう; |
| (49) ‘recall’ means recall as defined in Article 3, point (22), of Regulation (EU) 2019/1020; | (49) 「リコール」とは、規則(EU)2019/1020の第3条(22)に定義されるリコールをいう; |
| (50) ‘withdrawal’ means withdrawal as defined in Article 3, point (23), of Regulation (EU) 2019/1020; | (50) 「脱退」とは、規則(EU)2019/1020 の第 3 条の(23)に定義される脱退をいう; |
| (51) ‘CSIRT designated as coordinator’ means a CSIRT designated as coordinator pursuant to Article 12(1) of Directive (EU) 2022/2555. | (51) 「調整者として指定された CSIRT」とは、指令(EU)2022/2555 の第 12 条(1)に従って調整者として指定された CSIRT をいう。 |
| Article 4 Free movement | 第4条 自由な移動 |
| 1. Member States shall not impede, for the matters covered by this Regulation, the making available on the market of products with digital elements which comply with this Regulation. | 1. 加盟国は、本規則が対象とする事項について、本規則に準拠するデジタル要素を含む製品の市場での入手可能性を妨げてはならない。 |
| 2. At trade fairs, exhibitions, demonstrations or similar events, Member States shall not prevent the presentation or use of a product with digital elements which does not comply with this Regulation, including its prototypes, provided that the product is presented with a visible sign clearly indicating that it does not comply with this Regulation and that it is not to be made available on the market until it does so. | 2. 見本市、展示会、実演会または類似の催しにおいて、加盟国は、本規則に適合しないデジタル要素を含む製品(その試作品を含む)の提示または使用を妨げてはならない。ただし、当該製品が本規則に適合しないこと、および適合するまで市場で入手可能でないことを明示する標識を目に見える形で提示することを条件とする。 |
| 3. Member States shall not prevent the making available on the market of unfinished software which does not comply with this Regulation, provided that the software is made available only for a limited period required for testing purposes with a visible sign clearly indicating that it does not comply with this Regulation and that it will not be available on the market for purposes other than testing. | 3. 加盟国は、本規則に適合しない未完成のソフトウェアを市場で入手可能とすることを妨げない。ただし、当該ソフトウェアが、本規則に適合しないこと、およびテスト以外の目的で市場で入手可能とならないことを明示した上で、テスト目的に必要な限られた期間のみ入手可能とすることを条件とする。 |
| 4. Paragraph 3 does not apply to safety components as referred to in Union harmonisation legislation other than this Regulation. | 4. 第 3 項は、本規則以外の欧州連合の整合化法令で言及されている安全部品には適用されない。 |
| Article 5 Procurement or use of products with digital elements | 第5条 デジタル要素を含む製品の調達または使用 |
| 1. This Regulation shall not prevent Member States from subjecting products with digital elements to additional cybersecurity requirements for the procurement or use of those products for specific purposes, including where those products are procured or used for national security or defence purposes, provided that such requirements are consistent with Member States’ obligations laid down in Union law and that they are necessary and proportionate for the achievement of those purposes. | 1. 本規則は、加盟国が、デジタル要素を含む製品を特定の目的で調達または使用する場合(当該製品が国家安全保障または防衛の目的で調達または使用される場合を含む)に、サイバーセキュリティに関する追加的な要件を課すことを妨げるものではない。ただし、当該要件が、EU法に定められた加盟国の義務に合致し、かつ、当該目的の達成に必要かつ適切であることを条件とする。 |
| 2. Without prejudice to Directives 2014/24/EU and 2014/25/EU, where products with digital elements that fall within the scope of this Regulation are procured, Member States shall ensure that compliance with the essential cybersecurity requirements set out in Annex I to this Regulation, including the manufacturers’ ability to handle vulnerabilities effectively, are taken into consideration in the procurement process. | 2. 指令2014/24/EUおよび2014/25/EUを害することなく、本規則の範囲に含まれるデジタル要素を含む製品を調達する場合、加盟国は、製造事業者の脆弱性を効果的に処理する能力を含め、本規則の附属書Iに定めるサイバーセキュリティの必須要件への適合が調達プロセスにおいて考慮されることを確保しなければならない。 |
| Article 6 Requirements for products with digital elements | 第6条 デジタル要素を含む製品の要件 |
| Products with digital elements shall be made available on the market only where: | デジタル要素を含む製品は、以下の場合に限り市場で入手可能とする: |
| (a) they meet the essential cybersecurity requirements set out in Part I of Annex I, provided that they are properly installed, maintained, used for their intended purpose or under conditions which can reasonably be foreseen, and, where applicable, the necessary security updates have been installed; and | (a) 製品が附属書Ⅰの第Ⅰ部に定めるサイバーセキュリティの必須要件を満たし、適切に設置され、保守され、意図された目的または合理的に予測できる条件下で使用され、該当する場合は必要なセキュリティ更新がインストールされていること。 |
| (b) the processes put in place by the manufacturer comply with the essential cybersecurity requirements set out in Part II of Annex I. | (b) 製造事業者が実施するプロセスが、附属書Ⅰの第Ⅱ部に定めるサイバーセキュリティの必須要件に適合していること。 |
| Article 7 Important products with digital elements | 第7条 デジタル要素を含む重要な製品 |
| 1. Products with digital elements which have the core functionality of a product category set out in Annex III shall be considered to be important products with digital elements and shall be subject to the conformity assessment procedures referred to in Article 32(2) and (3). The integration of a product with digital elements which has the core functionality of a product category set out in Annex III shall not in itself render the product in which it is integrated subject to the conformity assessment procedures referred to in Article 32(2) and (3). | 1. 附属書Ⅲに定める製品カテゴリーの中核的機能を有するデジタル要素を含む製品は、デジタル要素を含む重要な製品とみなされ、第32条(2)及び(3)にいう適合性評価手続の対象となる。附属書IIIに定める製品カテゴリーの中核的機能を有するデジタル要素を含む製品の統合は、それ自体、それが統合された製品を第32条(2)及び(3)にいう適合性評価手続の対象とするものではない。 |
| 2. The categories of products with digital elements referred to in paragraph 1 of this Article, divided into classes I and II as set out in Annex III, meet at least one of the following criteria: | 2. 附属書IIIに定めるクラスI及びIIに分けられた本条第1項にいうデジタル要素を含む製品のカテゴリーは、次の基準の少なくとも一つを満たす: |
| (a) the product with digital elements primarily performs functions critical to the cybersecurity of other products, networks or services, including securing authentication and access, intrusion prevention and detection, end-point security or network protection; | (a) デジタル要素を含む製品が、認証及びアクセスの確保、侵入防止及び検知、エンドポイントセキュリ ティ又はネットワーク保護を含め、主として他の製品、ネットワーク又はサービスのサイバーセ キュリティにとって重要な機能を実行すること; |
| (b) the product with digital elements performs a function which carries a significant risk of adverse effects in terms of its intensity and ability to disrupt, control or cause damage to a large number of other products or to the health, security or safety of its users through direct manipulation, such as a central system function, including network management, configuration control, virtualisation or processing of personal data. | (b)デジタル要素を含む製品が、ネットワークマネジメント、構成管理、仮想化、または個人データの処理を含む中央システム機能など、直接的な操作を通じて、多数の他の製品を混乱させたり、制御したり、損害を与えたり、またはユーザの健康、セキュリティ、もしくは安全に損害を与えたりする、その強度および能力において、重大な悪影響のリスクを伴う機能を実行する。 |
| 3. The Commission is empowered to adopt delegated acts in accordance with Article 61 to amend Annex III by including in the list a new category within each class of the categories of products with digital elements and specifying its definition, moving a category of products from one class to the other or withdrawing an existing category from that list. When assessing the need to amend the list set out in Annex III, the Commission shall take into account the cybersecurity-related functionalities or the function and the level of cybersecurity risk posed by the products with digital elements as set out by the criteria referred to in paragraph 2 of this Article. | 3. 欧州委員会は、第61条に従い、デジタル要素を含む製品のカテゴリーの各クラスに新たなカテゴリーを含め、その定義を明記すること、製品のカテゴリーを1つのクラスから他のクラスに移動させること、または既存のカテゴリーをリストから除外することにより、附属書IIIを改正する委任法を採択する権限を有する。附属書IIIに定めるリストを修正する必要性をアセスメントする際、欧州委員会は、本条第2項に言及する規準が定めるサイバーセキュリティ関連の機能またはデジタル要素を含む製品がもたらす機能およびサイバーセキュリティリスクのレベルを考慮しなければならない。 |
| The delegated acts referred to in the first subparagraph of this paragraph shall, where appropriate, provide for a minimum transitional period of 12 months, in particular where a new category of important products with digital elements is added to class I or II or is moved from class I to II as set out in Annex III, before the relevant conformity assessment procedures as referred to in Article 32(2) and (3) start applying, unless a shorter transitional period is justified on imperative grounds of urgency. | 本項第1号に言及する委任法は、特に、デジタル要素を含む重要な製品の新たなカテゴリーが、附属書IIIに定めるとおり、クラスIもしくはIIに追加される場合、またはクラスIからIIに移行される場合、第32条(2)および(3)に言及する関連する適合性評価手続が適用を開始するまでに、緊急の必要上、より短い経過措置期間が正当化されない限り、適切な場合には、最低12カ月の経過措置期間を設けなければならない。 |
| 4. By 11 December 2025, the Commission shall adopt an implementing act specifying the technical description of the categories of products with digital elements under classes I and II as set out in Annex III and the technical description of the categories of products with digital elements as set out in Annex IV. That implementing act shall be adopted in accordance with the examination procedure referred to in Article 62(2). | 4. 2025年12月11日までに、欧州委員会は、附属書IIIに定めるクラスIおよびIIのデジタル要素を含む製品のカテゴリーの技術的記述、および附属書IVに定めるデジタル要素を含む製品のカテゴリーの技術的記述を規定する実施法を採択しなければならない。その実施法は,第62条(2)にいう審査手続に従って採択されなければならない。 |
| Article 8 Critical products with digital elements | 第8条 デジタル要素を含む重要製品 |
| 1. The Commission is empowered to adopt delegated acts in accordance with Article 61 to supplement this Regulation to determine which products with digital elements that have the core functionality of a product category that is set out in Annex IV to this Regulation are to be required to obtain a European cybersecurity certificate at assurance level at least ‘substantial’ under a European cybersecurity certification scheme adopted pursuant to Regulation (EU) 2019/881, to demonstrate conformity with the essential cybersecurity requirements set out in Annex I to this Regulation or parts thereof, provided that a European cybersecurity certification scheme covering those categories of products with digital elements has been adopted pursuant to Regulation (EU) 2019/881 and is available to manufacturers. Those delegated acts shall specify the required assurance level that shall be proportionate to the level of cybersecurity risk associated with the products with digital elements and shall take account of their intended purpose, including the critical dependency on them by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555. | 1. 欧州委員会は、本規則の附属書IVに規定される製品カテゴリーの中核機能を有するデジタル要素を含む製品のうち、規則(EU)2019/881に従って採択された欧州サイバーセキュリティ認証制度に基づき、保証レベルが少なくとも「実質的」である欧州サイバーセキュリティ認証の取得が要求される製品を決定するために、本規則を補足する委任法を第61条に従って採択する権限を有する、 ただし、デジタル要素を含む製品のカテゴリーを対象とする欧州サイバーセキュリティ認証スキームが規則(EU)2019/881に従って採択され、製造事業者が利用できる場合に限る。これらの委任法は、デジタル要素を含む製品に関連するサイバーセキュリティリスクのレベルに比例する要求保証レベルを規定するものとし、指令(EU)2022/2555の第3条(1)に言及される必須事業体によるそれらへの重要な依存を含む、それらの意図された目的を考慮しなければならない。 |
| Before adopting such delegated acts, the Commission shall carry out an assessment of the potential market impact of the envisaged measures and shall carry out consultations with relevant stakeholders, including the European Cybersecurity Certification Group established under Regulation (EU) 2019/881. The assessment shall take into account the readiness and the capacity level of the Member States for the implementation of the relevant European cybersecurity certification scheme. Where no delegated acts as referred to in the first subparagraph of this paragraph have been adopted, products with digital elements which have the core functionality of a product category as set out in Annex IV shall be subject to the conformity assessment procedures referred to in Article 32(3). | 当該委任法を採択する前に、欧州委員会は、想定される措置の潜在的な市場影響のアセスメントを実施し、規則(EU)2019/881に基づき設立された欧州サイバーセキュリティ認証グループを含む、関連する利害関係者との協議を実施しなければならない。アセスメントは、関連する欧州サイバーセキュリティ認証制度の実施に向けた加盟国の準備態勢と能力レベルを考慮するものとする。本項第1号にいう委任法が採択されていない場合、附属書IVに定める製品カテゴリーの中核機能を有するデジタル要素を含む製品は、第32条第3項にいう適合性評価手続の対象となる。 |
| The delegated acts referred to in the first subparagraph shall provide for a minimum transitional period of six months, unless a shorter transitional period is justified for imperative reasons of urgency. | 第1号にいう委任法は、緊急の必要性からこれより短い経過措置期間が正当化される場合を除き、最低6か月の経過措置期間を規定しなければならない。 |
| 2. The Commission is empowered to adopt delegated acts in accordance with Article 61 to amend Annex IV by adding or withdrawing categories of critical products with digital elements. When determining such categories of critical products with digital elements and the required assurance level, in accordance with paragraph 1 of this Article, the Commission shall take into account the criteria referred to in Article 7(2) and ensure that the categories of products with digital elements meet at least one of the following criteria: | 2. 欧州委員会は、デジタル要素を含む重要製品のカテゴリーを追加または削除することにより附属書IVを改正するため、第61条に従って委任状を採択する権限を有する。本条第1項に従い、デジタル要素を含む重要製品のカテゴリー及び要求される保証レベルを決定する際、欧州委員会は、第7条第2項で言及される規準を考慮し、デジタル要素を含む製品のカテゴリーが以下の規準の少なくとも1つを満たすことを保証しなければならない: |
| (a) there is a critical dependency of essential entities as referred to in Article 3 of Directive (EU) 2022/2555 on the category of products with digital elements; | (a) デジタル要素を含む製品のカテゴリーに、指令(EU) 2022/2555の第3条にいう必須事業体の重要な依存関係がある; |
| (b) incidents and exploited vulnerabilities concerning the category of products with digital elements could lead to serious disruptions of critical supply chains across the internal market. | (b) デジタル要素を含む製品のカテゴリーに関するインシデントや脆弱性の悪用が、域内市場全体の重要なサプライチェーンの深刻な混乱につながる可能性がある。 |
| Before adopting such delegated acts, the Commission shall carry out an assessment of the type referred to in paragraph 1. | このような委任法を採択する前に、欧州委員会は、第1項で言及された種類のアセスメントを実施しなければならない。 |
| The delegated acts referred to in the first subparagraph shall provide for a minimum transitional period of six months, unless a shorter transitional period is justified for imperative reasons of urgency. | 第1項で言及された委任法は、緊急の理由によりこれよりも短い経過措置期間が正当化される場合を除き、最低6カ月の経過措置期間をプロバイダとして規定しなければならない。 |
| Article 9 Stakeholder consultation | 第9条 利害関係者の協議 |
| 1. When preparing measures for the implementation of this Regulation, the Commission shall consult and take into account the views of relevant stakeholders, such as relevant Member State authorities, private sector undertakings, including microenterprises and small and medium-sized enterprises, the open-source software community, consumer associations, academia, and relevant Union agencies and bodies as well as expert groups established at Union level. In particular, the Commission shall, in a structured manner, where appropriate, consult and seek the views of those stakeholders when: | 1. 欧州委員会は、本規則の実施のための措置を準備する際、加盟国の関係当局、零細企業および中小企業を含む民間企業、オープンソースソフトウェアコミュニティ、消費者団体、学術団体、関連する欧州連合の機関および団体、ならびに欧州連合レベルで設置された専門家グループなど、関係する利害関係者と協議し、その意見を考慮しなければならない。特に、欧州委員会は、適切な場合には、計画的な方法で、以下の場合に、これらの利害関係者と協議し、意見を求めるものとする: |
| (a) preparing the guidance referred to in Article 26; | (a) 第26条で言及されているガイダンスを作成すること; |
| (b) preparing the technical descriptions of the product categories set out in Annex III in accordance with Article 7(4), assessing the need for potential updates of the list of product categories in accordance with Article 7(3) and Article 8(2), or carrying out the assessment of the potential market impact referred to in Article 8(1), without prejudice to Article 61; | (b) 第61条を損なうことなく、第7条(4)に従って附属書IIIに定める製品カテゴリーの技術的記述を作成すること、第7条(3)及び第8条(2)に従って製品カテゴリーリストの更新の可能性の必要性をアセスメントすること、又は第8条(1)にいう潜在的市場影響のアセスメントを実施すること; |
| (c) undertaking preparatory work for the evaluation and review of this Regulation. | (c) 本規則の評価及び見直しのための準備作業を行うこと。 |
| 2. The Commission shall organise regular consultation and information sessions, at least once a year, to gather the views of the stakeholders referred to in paragraph 1 on the implementation of this Regulation. | 2. 欧州委員会は、少なくとも年1回、定期的な協議および説明会を開催し、本規則の実施に関する第1項の利害関係者の意見を収集する。 |
| Article 10 Enhancing skills in a cyber resilient digital environment | 第10条 サイバーレジリエンスデジタル環境における技能の向上 |
| For the purposes of this Regulation and in order to respond to the needs of professionals in support of the implementation of this Regulation, Member States with, where appropriate, the support of the Commission, the European Cybersecurity Competence Centre and ENISA, while fully respecting the responsibility of the Member States in the education field, shall promote measures and strategies aiming to: | 本規則の目的のため、また、本規則の実施を支援する専門家のニーズに対応するため、加盟国は、教育分野における加盟国の責任を十分に尊重しつつ、必要に応じて欧州委員会、欧州サイバーセキュリティ能力センターおよびENISAの支援を受け、以下を目的とする措置および戦略を推進するものとする: |
| (a) develop cybersecurity skills and create organisational and technological tools to ensure sufficient availability of skilled professionals in order to support the activities of the market surveillance authorities and conformity assessment bodies; | (a) 市場監視当局および適合性評価団体の活動を支援するために、サイバーセキュリティのスキルを開発し、熟練した専門家の十分な利用可能性を確保するための組織的・技術的手段を構築する; |
| (b) increase collaboration between the private sector, economic operators, including via re-skilling or up-skilling for manufacturers’ employees, consumers, training providers as well as public administrations, thereby expanding the options for young people to access jobs in the cybersecurity sector. | (b) 製造事業者の従業員、消費者、研修プロバイダ、行政の再教育やスキルアップを含め、民間部門、経済的事業者間の連携を強化し、サイバーセキュリティ分野の仕事に就く若者の選択肢を拡大する。 |
| Article 11 General product safety | 第11条 一般的な製品安全 |
| By way of derogation from Article 2(1), third subparagraph, point (b), of Regulation (EU) 2023/988, Chapter III, Section 1, Chapters V and VII, and Chapters IX to XI of that Regulation shall apply to products with digital elements with respect to aspects and risks or categories of risks that are not covered by this Regulation where those products are not subject to specific safety requirements laid down in other ‘Union harmonisation legislation’ as defined in Article 3, point (27), of Regulation (EU) 2023/988. | 規則(EU)2023/988の第2条第1項第3号(b)の適用除外により、同規則の第III章第1節、第V章および第VII章、第IX章から第XI章は、規則(EU)2023/988の第3条第27項に定義される他の「EU調和法」に規定される特定の安全要求事項の対象とならないデジタル要素を含む製品に適用される。 |
| Article 12 High-risk AI systems | 第12条 ハイリスクAIシステム |
| 1. Without prejudice to the requirements relating to accuracy and robustness set out in Article 15 of Regulation (EU) 2024/1689, products with digital elements which fall within the scope of this Regulation and which are classified as high-risk AI systems pursuant to Article 6 of that Regulation shall be deemed to comply with the cybersecurity requirements set out in Article 15 of that Regulation where: | 1. 規則(EU)2024/1689の第15条に定める正確性及び堅牢性に関する要件を損なうことなく、本規則の範囲内にあり、かつ、同規則の第6条に基づき高リスクAIシステムとして分類されるデジタル要素を含む製品は、以下の場合、同規則の第15条に定めるサイバーセキュリティ要件に適合するものとみなされる: |
| (a) those products fulfil the essential cybersecurity requirements set out in Part I of Annex I; | (a) 製品が附属書Ⅰの第Ⅰ部に定めるサイバーセキュリティの必須要件を満たしている; |
| (b) the processes put in place by the manufacturer comply with the essential cybersecurity requirements set out in Part II of Annex I; and | (b) 製造事業者が実施するプロセスが、附属書 I の第 II 部に定めるサイバーセキュリティ必須要件に適合している。 |
| (c) the achievement of the level of cybersecurity protection required under Article 15 of Regulation (EU) 2024/1689 is demonstrated in the EU declaration of conformity issued under this Regulation. | (c) 規則(EU)2024/1689 第 15 条に基づき要求されるサイバーセキュリティ保護レベルの達成が、本規則に基づき発行される EU 適合宣言書において実証されていること。 |
| 2. For the products with digital elements and cybersecurity requirements referred to in paragraph 1 of this Article, the relevant conformity assessment procedure provided for in Article 43 of Regulation (EU) 2024/1689 shall apply. For the purposes of that assessment, notified bodies which are competent to control the conformity of the high-risk AI systems under Regulation (EU) 2024/1689 shall also be competent to control the conformity of high-risk AI systems which fall within the scope of this Regulation with the requirements set out in Annex I to this Regulation, provided that the compliance of those notified bodies with the requirements laid down in Article 39 of this Regulation has been assessed in the context of the notification procedure under Regulation (EU) 2024/1689. | 2. 本条第1項に言及されるデジタル要素とサイバーセキュリティ要件を含む製品については、規則(EU)2024/1689の第43条に規定される関連する適合性評価手続が適用される。当該アセスメントの目的上、規則(EU)2024/1689に基づき高リスクAIシステムの適合性を管理する権限を有する被認証団体は、規則(EU)2024/1689に基づく届出手続において、当該被認証団体の規則第39条に定める要件への適合性が評価されていることを条件として、本規則の適用範囲内にある高リスクAIシステムの本規則附属書Ⅰに定める要件への適合性を管理する権限も有するものとする。 |
| 3. By way of derogation from paragraph 2 of this Article, important products with digital elements as listed in Annex III to this Regulation, which are subject to the conformity assessment procedures referred to in Article 32(2), points (a) and (b), and Article 32(3) of this Regulation and critical products with digital elements as listed in Annex IV to this Regulation which are required to obtain a European cybersecurity certificate pursuant to Article 8(1) of this Regulation or, absent that, which are subject to the conformity assessment procedures referred to in Article 32(3) of this Regulation, and which are classified as high-risk AI systems pursuant to Article 6 of Regulation (EU) 2024/1689, and to which the conformity assessment procedure based on internal control as referred to in Annex VI to Regulation (EU) 2024/1689 applies, shall be subject to the conformity assessment procedures provided for in this Regulation in so far as the essential cybersecurity requirements set out in this Regulation are concerned. | 3. 本条第 2 項の適用除外により、本規則第 32 条(2)項(a)および(b)ならびに第 32 条(3)項に言及される適合性評価手続の対象となる、本規則附属書 III に記載されるデジタル要素を含む重要な製品、および本規則第 8 条(1)項に従って欧州サイバーセキュリティ証明書を取得する必要がある、本規則附属書 IV に記載されるデジタル要素を含む重要な製品、またはそれがない場合、本規則第 32 条(2)項(a)および(b)ならびに第 32 条(3)項に言及される適合性評価手続の対象となる、本規則第 32 条(2)項(a)および(b)ならびに第 32 条(3)項に言及される適合性評価手続の対象となる、本規則第 32 条(2)項(a)および(b)ならびに第 32 条(3)項に言及されるデジタル要素を含む重要な製品、 本規則の第 32 条(3)に言及される適合性評価手続の対象となり、規則(EU)2024/1689 の第 6 条に従って高リスク AI システムとして分類され、規則(EU)2024/1689 の附属書 VI に言及される内部管理に基づく適合性評価手続が適用されるデジタル要素を有する重要製品は、本規則に規定されるサイバーセキュリティの必須要件に関する限り、本規則に規定される適合性評価手続の対象となる。 |
| 4. Manufacturers of products with digital elements as referred to in paragraph 1 of this Article may participate in the AI regulatory sandboxes referred to in Article 57 of Regulation (EU) 2024/1689. | 4. 本条第1項にいうデジタル要素を含む製品の製造事業者は、規則(EU)2024/1689第57条にいうAI規制サンドボックスに参加することができる。 |
| CHAPTER II OBLIGATIONS OF ECONOMIC OPERATORS AND PROVISIONS IN RELATION TO FREE AND OPEN-SOURCE SOFTWARE | 第2章 経済的事業者の義務およびフリーソフトウェアおよびオープンソースソフトウェアに関する規定 |
| Article 13 Obligations of manufacturers | 第13条 製造事業者の義務 |
| 1. When placing a product with digital elements on the market, manufacturers shall ensure that it has been designed, developed and produced in accordance with the essential cybersecurity requirements set out in Part I of Annex I. | 1. 製造事業者は、デジタル要素を含む製品を上市する場合、その製品が附属書ⅠのパートⅠに定めるサイバーセキュリティの必須要件に従って設計、開発、製造されていることを保証しなければならない。 |
| 2. For the purpose of complying with paragraph 1, manufacturers shall undertake an assessment of the cybersecurity risks associated with a product with digital elements and take the outcome of that assessment into account during the planning, design, development, production, delivery and maintenance phases of the product with digital elements with a view to minimising cybersecurity risks, preventing incidents and minimising their impact, including in relation to the health and safety of users. | 2. 製造事業者は、第1項を遵守するために、デジタル要素を含む製品に関連するサイバーセキュリティリスクのアセスメントを実施し、サイバーセキュリティリスクの最小化、インシデントの防止、及び利用者の健康及び安全との関連も含めたその影響の最小化の観点から、デジタル要素を含む製品の計画、設計、開発、製造、引渡し及び保守の各段階において、アセスメントの結果を考慮しなければならない。 |
| 3. The cybersecurity risk assessment shall be documented and updated as appropriate during a support period to be determined in accordance with paragraph 8 of this Article. That cybersecurity risk assessment shall comprise at least an analysis of cybersecurity risks based on the intended purpose and reasonably foreseeable use, as well as the conditions of use, of the product with digital elements, such as the operational environment or the assets to be protected, taking into account the length of time the product is expected to be in use. The cybersecurity risk assessment shall indicate whether and, if so in what manner, the security requirements set out in Part I, point (2), of Annex I are applicable to the relevant product with digital elements and how those requirements are implemented as informed by the cybersecurity risk assessment. It shall also indicate how the manufacturer is to apply Part I, point (1), of Annex I and the vulnerability handling requirements set out in Part II of Annex I. | 3. サイバーセキュリティリスクアセスメントは、文書化され、本条第 8 項に従って決定されるサポート期間中に適宜更新されるものとする。当該サイバーセキュリティリスクアセスメントは、少なくとも、運用環境又は保護されるべき資産など、デジタル要素を含む製品の意図された目的及び合理的に予見可能な使用、並びに使用条件に基づくサイバーセキュリティリスクの分析から構成され、製品の使用予定期間を考慮しなければならない。サイバーセキュリティリスクアセスメントは、附属書ⅠのパートⅠの(2)に定めるセキュリティ要件がデジタル要素を含む当該製品に適用されるかどうか、適用されるとすればどのような方法で適用されるか、また、サイバーセキュリティリスクアセスメントによって知らされたこれらの要件がどのように実施されるかを示すものとする。また、製造事業者が附属書Ⅰの第Ⅰ部(1)及び附属書Ⅰの第Ⅱ部に定める脆弱性処理要件をどのように適用するかを示さなければならない。 |
| 4. When placing a product with digital elements on the market, the manufacturer shall include the cybersecurity risk assessment referred to in paragraph 3 of this Article in the technical documentation required pursuant to Article 31 and Annex VII. For products with digital elements as referred to in Article 12, which are also subject to other Union legal acts, the cybersecurity risk assessment may be part of the risk assessment required by those Union legal acts. Where certain essential cybersecurity requirements are not applicable to the product with digital elements, the manufacturer shall include a clear justification to that effect in that technical documentation. | 4. デジタル要素を含む製品を上市する場合、製造事業者は、第 31 条及び附属書 VII に従って要求される技術文書に、本条第 3 項のサイバーセキュリティリスクアセスメントを含めなければならない。第12条にいうデジタル要素を含む製品であって、他のEU法も適用されるものについては、サイバーセキュリティリスクアセスメントは、それらのEU法が要求するリスクアセスメントの一部とすることができる。特定の必須サイバーセキュリティ要件がデジタル要素を含む製品に適用されない場合,製造事業者 は,その技術文書にその旨を明確に正当化する理由を含めなければならない。 |
| 5. For the purpose of complying with paragraph 1, manufacturers shall exercise due diligence when integrating components sourced from third parties so that those components do not compromise the cybersecurity of the product with digital elements, including when integrating components of free and open-source software that have not been made available on the market in the course of a commercial activity. | 5. 第 1 項を遵守するため、製造事業者は、サードパーティから調達したコンポーネントを統合する際、当該コンポーネントがデジタル要素を含む製品のサイバーセキュリティを損なわないよう、商業活動の過程で市場で入手可能になっていないフリーソフトウェア及びオープンソースソフトウェアのコンポーネントを統合する場合を含め、十分な注意を払わなければならない。 |
| 6. Manufacturers shall, upon identifying a vulnerability in a component, including in an open source-component, which is integrated in the product with digital elements report the vulnerability to the person or entity manufacturing or maintaining the component, and address and remediate the vulnerability in accordance with the vulnerability handling requirements set out in Part II of Annex I. Where manufacturers have developed a software or hardware modification to address the vulnerability in that component, they shall share the relevant code or documentation with the person or entity manufacturing or maintaining the component, where appropriate in a machine-readable format. | 6.製造事業者は、デジタル要素を含む製品に組み込まれたオープンソースコンポーネントを含むコンポーネントの脆弱性を特定した場合、当該コンポーネントを製造又は保守する者又は事業体に対し、当該脆弱性を報告し、附属書Ⅰの第Ⅱ部に定める脆弱性対応要件に従って、当該脆弱性に対処し、当該脆弱性を是正しなければならない。製造事業者は、当該コンポーネントの脆弱性に対処するためのソフトウェア又はハードウェアの修正を開発した場合、当該コンポーネントを製造又は保守する者又は事業体と、適切な場合には、機械可読形式で、関連するコード又は文書を共有しなければならない。 |
| 7. The manufacturers shall systematically document, in a manner that is proportionate to the nature and the cybersecurity risks, relevant cybersecurity aspects concerning the products with digital elements, including vulnerabilities of which they become aware and any relevant information provided by third parties, and shall, where applicable, update the cybersecurity risk assessment of the products. | 7. 製造事業者は、その性質とサイバーセキュリティリスクに見合った方法で、デジタル要素を含む製品に関連するサイバーセキュリティの側面を体系的に文書化するものとし、これには、製造事業者が認識した脆弱性及びサードパーティから提供された関連情報を含み、該当する場合には、製品のサイバーセキュリティリスク評価を更新するものとする。 |
| 8. Manufacturers shall ensure, when placing a product with digital elements on the market, and for the support period, that vulnerabilities of that product, including its components, are handled effectively and in accordance with the essential cybersecurity requirements set out in Part II of Annex I. | 8. 製造事業者は、デジタル要素を含む製品を上市する際、及びサポート期間中、その構成要素を含む当該製品の脆弱性が、附属書Ⅰの第Ⅱ部に定めるサイバーセキュリティの必須要件に従って効果的に取り扱われることを確保しなければならない。 |
| Manufacturers shall determine the support period so that it reflects the length of time during which the product is expected to be in use, taking into account, in particular, reasonable user expectations, the nature of the product, including its intended purpose, as well as relevant Union law determining the lifetime of products with digital elements. When determining the support period, manufacturers may also take into account the support periods of products with digital elements offering a similar functionality placed on the market by other manufacturers, the availability of the operating environment, the support periods of integrated components that provide core functions and are sourced from third parties as well as relevant guidance provided by the dedicated administrative cooperation group (ADCO) established pursuant to Article 52(15) and the Commission. The matters to be taken into account in order to determine the support period shall be considered in a manner that ensures proportionality. | 製造事業者は、特に、合理的なユーザの期待、意図された目的を含む製品の性質、及びデジタル要素を含む製品の耐用年数を定める関連連合法を考慮して、製品が使用されると予想される期間を反映するようにサポート期間を決定しなければならない。製造事業者は、サポート期間を決定する際、他の製造事業者が上市している同様の機能を提供するデジタル要素を含む製品のサポート期間、動作環境の可用性、中核機能を提供しサードパーティから供給される統合コンポーネントのサポート期間、および第52条15項に従って設立された専門の行政協力グループ(ADCO)および欧州委員会が提供する関連ガイダンスも考慮することができる。サポート期間を決定するために考慮される事項は、比例性を確保する方法で考慮されなければならない。 |
| Without prejudice to the second subparagraph, the support period shall be at least five years. Where the product with digital elements is expected to be in use for less than five years, the support period shall correspond to the expected use time. | 第2号を損なうことなく、サポート期間は少なくとも5年間とする。デジタル要素を含む製品の使用期間が 5 年未満であると予想される場合、サポート期 間は予想される使用期間に対応するものとする。 |
| Taking into account ADCO recommendations as referred to in Article 52(16), the Commission may adopt delegated acts in accordance with Article 61 to supplement this Regulation by specifying the minimum support period for specific product categories where the market surveillance data suggests inadequate support periods. | 第52条(16)に言及されているADCOの勧告を考慮し、欧州委員会は、第61条に従い、市場監視データがサポート期間が不十分であることを示唆している特定の製品カテゴリーについて最低サポート期間を規定することにより、本規則を補足する委任法を採択することができる。 |
| Manufacturers shall include the information that was taken into account to determine the support period of a product with digital elements in the technical documentation as set out in Annex VII. | 製造事業者は、デジタル要素を含む製品のサポート期間を決定するために考慮した情報を、附属書VIIに定める技術文書に記載しなければならない。 |
| Manufacturers shall have appropriate policies and procedures, including coordinated vulnerability disclosure policies, referred to in Part II, point (5), of Annex I to process and remediate potential vulnerabilities in the product with digital elements reported from internal or external sources. | 製造事業者は,内部又は外部情報源から報告されたデジタル要素を含む製品の潜在的脆弱性を処理し,是正するために,附属書Ⅰの第Ⅱ部(5)で言及されている調整された脆弱性開示方針を含む適切な方針及び手順を持たなければならない。 |
| 9. Manufacturers shall ensure that each security update, as referred to in Part II, point (8), of Annex I, which has been made available to users during the support period, remains available after it has been issued for a minimum of 10 years or for the remainder of the support period, whichever is longer. | 9. 製造事業者は、附属書Ⅰの第Ⅱ部(8)で言及されているように、サポート期間中にユー ザーに提供された各セキュリティアップデートが、発行後最低10年間又はサポート期間の残 りの期間のいずれか長い方の期間、利用可能であることを保証しなければならない。 |
| 10. Where a manufacturer has placed subsequent substantially modified versions of a software product on the market, that manufacturer may ensure compliance with the essential cybersecurity requirement set out in Part II, point (2), of Annex I only for the version that it has last placed on the market, provided that the users of the versions that were previously placed on the market have access to the version last placed on the market free of charge and do not incur additional costs to adjust the hardware and software environment in which they use the original version of that product. | 10. 製造事業者がソフトウェア製品の大幅に変更された後続バージョンを上市した場合、当該製造事 業者は、最後に上市したバージョンに限り、附属書 I の第 II 部第(2)項に定めるサイバーセ キュリティの必須要件への準拠を確保することができる。ただし、以前に上市した バージョンの利用者は、最後に上市したバージョンに無料でアクセスすることができ、当該製 品の元のバージョンを使用するハードウェア及びソフトウェア環境を調整するための追加費用を 負担しないことを条件とする。 |
| 11. Manufacturers may maintain public software archives enhancing user access to historical versions. In those cases, users shall be clearly informed in an easily accessible manner about risks associated with using unsupported software. | 11. 製造事業者は、ユーザーが過去のバージョンにアクセスできるよう、公開ソフトウェア・アーカイブを維持することができる。その場合、ユーザーには、サポートされていないソフトウェアを使用することに伴うリスクについて、容易にアクセスできる方法で明確に通知するものとする。 |
| 12. Before placing a product with digital elements on the market, manufacturers shall draw up the technical documentation referred to in Article 31. | 12. 製造事業者は,デジタル要素を含む製品を上市する前に,第 31 条にいう技術文書を作成しなけれ ばならない。 |
| They shall carry out the chosen conformity assessment procedures as referred to in Article 32 or have them carried out. | 製造者は、第32条で言及される選択された適合性アセスメント手続を実施するか、又は実施させなければならない。 |
| Where compliance of the product with digital elements with the essential cybersecurity requirements set out in Part I of Annex I and of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Part II of Annex I has been demonstrated by that conformity assessment procedure, manufacturers shall draw up the EU declaration of conformity in accordance with Article 28 and affix the CE marking in accordance with Article 30. | デジタル要素を含む製品が附属書 I の第 I 部に定めるサイバーセキュリティの必須要件に適合していること、及び製造事業者が実施するプロセスが附属書 I の第 II 部に定めるサイバーセキュリティの必須要件に適合していることが、当該適合性評価手順によって証明された場合、製造事業者は、第 28 条に従って EU 適合宣言を作成し、第 30 条に従って CE マーキングを貼付しなければならない。 |
| 13. Manufacturers shall keep the technical documentation and the EU declaration of conformity at the disposal of the market surveillance authorities for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. | 13. 製造事業者は、デジタル要素を含む製品が上市されてから少なくとも10年間、またはサポート期間のいずれか長い方の期間、技術文書およびEU適合宣言書を市場監視当局の手元に保管しなければならない。 |
| 14. Manufacturers shall ensure that procedures are in place for products with digital elements that are part of a series of production to remain in conformity with this Regulation. Manufacturers shall adequately take into account changes in the development and production process or in the design or characteristics of the product with digital elements and changes in the harmonised standards, European cybersecurity certification schemes or common specifications as referred to in Article 27 by reference to which the conformity of the product with digital elements is declared or by application of which its conformity is verified. | 14. 製造事業者は、一連の製造の一部であるデジタル要素を含む製品について、本規則への適合性を維持するための手順が整備されていることを確保しなければならない。製造事業者は、デジタル要素を含む製品の適合性が宣言され、又はその適合性が検証される際に参照される、開発及び製造プロセス、又はデジタル要素を含む製品の設計若しくは特性の変更、並びに第 27 条で言及される整合標準、欧州サイバーセキュリティ認証スキーム又は共通仕様の変更を適切に考慮しなければならない。 |
| 15. Manufacturers shall ensure that their products with digital elements bear a type, batch or serial number or other element allowing their identification, or, where that is not possible, that that information is provided on their packaging or in a document accompanying the product with digital elements. | 15. 製造事業者は、デジタル要素を含む製品に、型式、バッチ番号、シリアル番号、又は識別を可能にするその他の要素が付されていること、又はそれが不可能な場合には、その情報が包装上又はデジタル要素を含む製品に添付された文書に提供されていることを保証しなければならない。 |
| 16. Manufacturers shall indicate the name, registered trade name or registered trademark of the manufacturer, and the postal address, email address or other digital contact details, as well as, where applicable, the website where the manufacturer can be contacted, on the product with digital elements, on its packaging or in a document accompanying the product with digital elements. That information shall also be included in the information and instructions to the user set out in Annex II. The contact details shall be in a language which can be easily understood by users and market surveillance authorities. | 16. 製造事業者は、デジタル要素を含む製品上、その包装上又はデジタル要素を含む製品に添付する文書に、製造事業者の名称、登録商号又は登録商標、並びに郵便番号、電子メールアドレス又はその他のデジタル連絡先の詳細及び該当する場合には製造事業者に連絡することができるウェブサイトを表示しなければならない。その情報は、附属書Ⅱに定める使用者に対する情報及び指示にも記載しなければならない。連絡先の詳細は,使用者及び市場監視当局が容易に理解できる言語で記載しなければならない。 |
| 17. For the purposes of this Regulation, manufacturers shall designate a single point of contact to enable users to communicate directly and rapidly with them, including in order to facilitate reporting on vulnerabilities of the product with digital elements. | 17. 本規則の目的のため、製造事業者は、デジタル要素を含む製品の脆弱性に関する報告を容易にするためも含め、使用者が直接かつ迅速に製造事業者とコミュニケーションできるよう、単一の連絡窓口を指定しなければならない。 |
| Manufacturers shall ensure that the single point of contact is easily identifiable by the users. They shall also include the single point of contact in the information and instructions to the user set out in Annex II. | 製造事業者は、単一の連絡窓口を利用者が容易に識別できるようにしなければならない。また,附属書Ⅱに定める使用者への情報及び指示に,単一の連絡先を含めなければならない。 |
| The single point of contact shall allow users to choose their preferred means of communication and shall not limit such means to automated tools. | 単一の連絡窓口は,利用者が希望するコミュニケーション手段を選択できるようにしなければならず,そのような手段を自動化されたツールに限定してはならない。 |
| 18. Manufacturers shall ensure that products with digital elements are accompanied by the information and instructions to the user set out in Annex II, in paper or electronic form. Such information and instructions shall be provided in a language which can be easily understood by users and market surveillance authorities. They shall be clear, understandable, intelligible and legible. They shall allow for the secure installation, operation and use of products with digital elements. Manufacturers shall keep the information and instructions to the user set out in Annex II at the disposal of users and market surveillance authorities for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. Where such information and instructions are provided online, manufacturers shall ensure that they are accessible, user-friendly and available online for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. | 18. 製造事業者は,デジタル要素を含む製品に,附属書Ⅱに定める使用者に対する情報及び指示を,紙又は電子形式で添付することを確実にしなければならない。当該情報及び指示は,使用者及び市場監視当局が容易に理解できる言語で提供されなければならない。それらは,明確で,理解可能で,明瞭で,判読可能でなければならない。デジタル要素を含む製品の安全な設置、操作及び使用を可能にするものでなければならない。製造事業者は,附属書Ⅱに定める使用者に対する情報及び指示を,デジタル要素を含む製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い方の期間,使用者及び市場監視当局が自由に利用できるように保管しなければならない。このような情報及び指示がオンラインで提供される場合、製造事業者は、デジタル要素を含む製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い方の期間、アクセス可能で、ユーザーフレンドリーであり、オンラインで利用可能であることを確保しなければならない。 |
| 19. Manufacturers shall ensure that the end date of the support period referred to in paragraph 8, including at least the month and the year, is clearly and understandably specified at the time of purchase in an easily accessible manner and, where applicable, on the product with digital elements, its packaging or by digital means. | 19. 製造事業者は、第8項にいうサポート期間の終了日が、少なくとも月及び年を含めて、購入時に、容易にアクセス可能な方法で、かつ、該当する場合には、デジタル要素を含む製品、その包装上又はデジタル手段によって、明確かつ理解しやすく明記されていることを確保しなければならない。 |
| Where technically feasible in light of the nature of the product with digital elements, manufacturers shall display a notification to users informing them that their product with digital elements has reached the end of its support period. | デジタル要素を含む製品の性質に照らして技術的に可能な場合、製造事業者は、デジタル要素を含む製品のサポート期間が終了したことを知らせる通知を利用者に表示しなければならない。 |
| 20. Manufacturers shall either provide a copy of the EU declaration of conformity or a simplified EU declaration of conformity with the product with digital elements. Where a simplified EU declaration of conformity is provided, it shall contain the exact internet address at which the full EU declaration of conformity can be accessed. | 20. 製造事業者は、デジタル要素を含む製品に、EU適合宣言の写しまたは簡易EU適合宣言のいずれかを提供しなければならない。簡易EU適合宣言書を提供する場合、その宣言書には、完全なEU適合宣言書にアクセスできる正確なインターネットアドレスを記載しなければならない。 |
| 21. From the placing on the market and for the support period, manufacturers who know or have reason to believe that the product with digital elements or the processes put in place by the manufacturer are not in conformity with the essential cybersecurity requirements set out in Annex I shall immediately take the corrective measures necessary to bring that product with digital elements or the manufacturer’s processes into conformity, or to withdraw or recall the product, as appropriate. | 21. デジタル要素を含む製品または製造事業者が実施するプロセスが、附属書 I に定めるサイバーセキュリティの必須要件に適合していないことを知っている、またはそう信じる理由がある製造事業者は、上市後およびサポート期間中、デジタル要素を含む製品または製造事業者のプロセスを適合させるために必要な是正措置を直ちに講じるか、必要に応じて製品を撤回または回収しなければならない。 |
| 22. Manufacturers shall, upon a reasoned request from a market surveillance authority, provide that authority, in a language which can be easily understood by that authority, with all the information and documentation, in paper or electronic form, necessary to demonstrate the conformity of the product with digital elements and of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Annex I. Manufacturers shall cooperate with that authority, at its request, on any measures taken to eliminate the cybersecurity risks posed by the product with digital elements which they have placed on the market. | 22. 製造事業者は、市場監視当局から理由ある要請を受けた場合、当該当局が容易に理解できる 言語で、デジタル要素を含む製品及び製造事業者が実施したプロセスが附属書Ⅰに定めるサイ バーセキュリティの必須要件に適合していることを実証するために必要なすべての情報及び文書 を、紙媒体又は電子媒体で当該当局に提供しなければならない。製造事業者は、上市したデジタル要素を含む製品によってもたらされるサイバーセキュリティリスクを排除するために講じた措置について、当該当局の要請に応じて協力しなければならない。 |
| 23. A manufacturer that ceases its operations and, as a result, is not able to comply with this Regulation shall inform, before the cessation of operations takes effect, the relevant market surveillance authorities as well as, by any means available and to the extent possible, the users of the relevant products with digital elements placed on the market, of the impending cessation of operations. | 23. 事業を停止し、その結果、本規則を遵守することができなくなった製造事業者は、事業停止が発効する前に、関連する市場監視当局に通知するとともに、利用可能なあらゆる手段により、かつ、可能な限り、上市したデジタル要素を含む関連製品の使用者にも、事業停止が間近に迫っていることを通知しなければならない。 |
| 24. The Commission may, by means of implementing acts taking into account European or international standards and best practices, specify the format and elements of the software bill of materials referred to in Part II, point (1), of Annex I. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). | 24. 欧州委員会は、欧州標準または国際標準およびベストプラクティスを考慮した実施法によって、附属書Iの第II部(1)で言及されているソフトウェア部品表の書式および要素を規定することができる。これらの実施法は、第62条(2)に規定された審査手続きに従って採択されるものとする。 |
| 25. In order to assess the dependence of Member States and of the Union as a whole on software components and in particular on components qualifying as free and open-source software, ADCO may decide to conduct a Union wide dependency assessment for specific categories of products with digital elements. For that purpose, market surveillance authorities may request manufacturers of such categories of products with digital elements to provide the relevant software bills of materials as referred to in Part II, point (1), of Annex I. On the basis of such information, the market surveillance authorities may provide ADCO with anonymised and aggregated information about software dependencies. ADCO shall submit a report on the results of the dependency assessment to the Cooperation Group established pursuant to Article 14 of Directive (EU) 2022/2555. | 25. ソフトウェアコンポーネント、特にフリーソフトウェアおよびオープンソースソフトウェアとして適格なコンポーネントに対する加盟国および連邦全体の依存度をアセスメントするために、ADCOは、デジタル要素を含む製品の特定のカテゴリーについて、連邦全体の依存度アセスメントを実施することを決定することができる。そのために、市場監視当局は、デジタル要素を含む製品の当該カテゴリーの製造事業者に対し、附属書 I の第 II 部、(1)に言及する関連ソフトウェア部品表の提供を要請することができる。当該情報に基づき、市場監視当局は、ソフトウェアの依存関係に関する匿名化され集計された情報をADCOに提供することができる。ADCOは、指令(EU)2022/2555の第14条に従って設立された協力グループに、依存性アセスメントの結果に関する報告書を提出するものとする。 |
| Article 14 Reporting obligations of manufacturers | 第14条 製造事業者の報告義務 |
| 1. A manufacturer shall notify any actively exploited vulnerability contained in the product with digital elements that it becomes aware of simultaneously to the CSIRT designated as coordinator, in accordance with paragraph 7 of this Article, and to ENISA. The manufacturer shall notify that actively exploited vulnerability via the single reporting platform established pursuant to Article 16. | 1. 製造事業者は、デジタル要素を含む製品に含まれる積極的に悪用される脆弱性を認識した場合、本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造事業者は、第 16 条に基づき構築された単一報告プラットフォームを通じて、当該脆弱性を通知する。 |
| 2. For the purposes of the notification referred to in paragraph 1, the manufacturer shall submit: | 2. 第 1 項の通知のために、製造事業者は以下を提出するものとする: |
| (a) an early warning notification of an actively exploited vulnerability, without undue delay and in any event within 24 hours of the manufacturer becoming aware of it, indicating, where applicable, the Member States on the territory of which the manufacturer is aware that their product with digital elements has been made available; | (a) 活発に悪用された脆弱性の早期警告通知を、過度の遅滞なく、かつ、製造事業者が脆弱性に気付いてから24時間以内に、該当する場合、製造事業者がデジタル要素を含む製品が利用可能になったことを認識している加盟国を明示して提出する; |
| (b) unless the relevant information has already been provided, a vulnerability notification, without undue delay and in any event within 72 hours of the manufacturer becoming aware of the actively exploited vulnerability, which shall provide general information, as available, about the product with digital elements concerned, the general nature of the exploit and of the vulnerability concerned as well as any corrective or mitigating measures taken, and corrective or mitigating measures that users can take, and which shall also indicate, where applicable, how sensitive the manufacturer considers the notified information to be; | (b) 関連する情報が既に提供されている場合を除き、過度の遅滞なく、いかなる場合であっても、製造事業者が積極的に悪用された脆弱性に気づいてから72時間以内に、脆弱性通知を行う。この脆弱性通知には、当該デジタル要素を含む製品、悪用の一般的性質及び当該脆弱性、並びに講じられた是正措置又は低減措置、及びユーザが講じることができる是正措置又は低減措置に関する一般的情報を可能な限り提供するものとし、また、該当する場合には、製造事業者が通知された情報をどの程度機密性が高いとみなしているかを示すものとする; |
| (c) unless the relevant information has already been provided, a final report, no later than 14 days after a corrective or mitigating measure is available, including at least the following: | (c) 関連情報が既に提供されている場合を除き、是正または軽減措置が利用可能になってから 14 日以内に、少なくとも以下を含む最終報告書を提出すること: |
| (i) a description of the vulnerability, including its severity and impact; | (i) 脆弱性の重大性及び影響を含む脆弱性の説明; |
| (ii) where available, information concerning any malicious actor that has exploited or that is exploiting the vulnerability; | (ii) 脆弱性を悪用した、または悪用している悪意のある行為者に関する情報; |
| (iii) details about the security update or other corrective measures that have been made available to remedy the vulnerability. | (iii) 脆弱性を是正するために提供されたセキュリティ更新またはその他の是正措置の詳細。 |
| 3. A manufacturer shall notify any severe incident having an impact on the security of the product with digital elements that it becomes aware of simultaneously to the CSIRT designated as coordinator, in accordance with paragraph 7 of this Article, and to ENISA. The manufacturer shall notify that incident via the single reporting platform established pursuant to Article 16. | 3. 製造事業者は、デジタル要素を含む製品のセキュリティに影響を与える重大なインシデントを認識した場合、本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造事業者は、第 16 条に従って確立された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。 |
| 4. For the purposes of the notification referred to in paragraph 3, the manufacturer shall submit: | 4. 第 3 項の通知のために、製造事業者は以下を提出するものとする: |
| (a) an early warning notification of a severe incident having an impact on the security of the product with digital elements, without undue delay and in any event within 24 hours of the manufacturer becoming aware of it, including at least whether the incident is suspected of being caused by unlawful or malicious acts, which shall also indicate, where applicable, the Member States on the territory of which the manufacturer is aware that their product with digital elements has been made available; | (a) デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントが発生した場合、過度の遅延なく、製造事業者がそのインシデントに気づいてから24時間以内に、少なくともそのインシデントが違法行為または悪意ある行為によるものであると疑われるかどうかを含む早期警告通知を提出する; |
| (b) unless the relevant information has already been provided, an incident notification, without undue delay and in any event within 72 hours of the manufacturer becoming aware of the incident, which shall provide general information, where available, about the nature of the incident, an initial assessment of the incident, as well as any corrective or mitigating measures taken, and corrective or mitigating measures that users can take, and which shall also indicate, where applicable, how sensitive the manufacturer considers the notified information to be; | (b) 関連情報が既に提供されている場合を除き、過度の遅滞なく、いかなる場合であっても製造事業者がインシデントを認識してから72時間以内に、インシデント通知を行う。インシデント通知は、入手可能な場合には、インシデントの性質、インシデントの初期アセスメント、講じられた是正措置または軽減措置、利用者が講じることができる是正措置または軽減措置に関する一般的な情報を提供し、該当する場合には、製造事業者が通知された情報をどの程度機微であると考えているかも示すものとする; |
| (c) unless the relevant information has already been provided, a final report, within one month after the submission of the incident notification under point (b), including at least the following: | (c) 関連情報が既に提供されている場合を除き、(b)に基づくインシデント届出後1ヶ月以内に、少なくとも以下を含む最終報告書を提出すること: |
| (i) a detailed description of the incident, including its severity and impact; | (i) 重大性と影響を含むインシデントの詳細な説明; |
| (ii) the type of threat or root cause that is likely to have triggered the incident; | (ii) インシデントの引き金となったと思われる脅威または根本原因の種類; |
| (iii) applied and ongoing mitigation measures. | (iii) 適用され、継続中の低減措置。 |
| 5. For the purposes of paragraph 3, an incident having an impact on the security of the product with digital elements shall be considered to be severe where: | 5. 第 3 項において、デジタル要素を含む製品のセキュリティに影響を及ぼすインシデントは、以下の場合に深刻であるとみなされるものとする: |
| (a) it negatively affects or is capable of negatively affecting the ability of a product with digital elements to protect the availability, authenticity, integrity or confidentiality of sensitive or important data or functions; or | (a) デジタル要素を含む製品が重要なデータ又は機能の可用性、認証、完全性又は機密性を保護する能力に悪影響を及ぼすか、又は及ぼす可能性がある場合。 |
| (b) it has led or is capable of leading to the introduction or execution of malicious code in a product with digital elements or in the network and information systems of a user of the product with digital elements. | (b) デジタル要素を含む製品、またはデジタル要素を含む製品のユーザのネットワークと情報システムにおいて、悪意のあるコードの序文または実行につながった、またはつながる可能性がある。 |
| 6. Where necessary, the CSIRT designated as coordinator initially receiving the notification may request manufacturers to provide an intermediate report on relevant status updates about the actively exploited vulnerability or severe incident having an impact on the security of the product with digital elements. | 6. 必要な場合、最初に通知を受領したコーディネータとして指名された CSIRT は、製造事業者に対し、デジタル要素を含む製品のセキュリティに影響を及ぼす、積極的に悪用された脆弱性又は深刻なインシデントに関する関連する状況更新の中間報告を提供するよう要求することができる。 |
| 7. The notifications referred to in paragraphs 1 and 3 of this Article shall be submitted via the single reporting platform referred to in Article 16 using one of the electronic notification end-points referred to in Article 16(1). The notification shall be submitted using the electronic notification end-point of the CSIRT designated as coordinator of the Member State where the manufacturers have their main establishment in the Union and shall be simultaneously accessible to ENISA. | 7. 本条第 1 項及び第 3 項にいう届出は、第 16 条(1)にいう電子届出エンドポイントの一つを使用し、第 16 条にいう単一届出プラットフォームを通じて提出されなければならない。当該届出は、製造事業者が域内に主たる事業所を有する加盟国のコーディネータとして指定された CSIRT の電子届出エンドポイントを使用して提出され、同時に ENISA がアクセスできるものとする。 |
| For the purposes of this Regulation, a manufacturer shall be considered to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity of its products with digital elements are predominantly taken. If such a Member State cannot be determined, the main establishment shall be considered to be in the Member State where the manufacturer concerned has the establishment with the highest number of employees in the Union. | 本規則の目的上、製造事業者は、デジタル要素を含む製品のサイバーセキュリティに関する意思決定が主に行われる加盟国に、域内の主たる事業所を有するとみなされるものとする。そのような加盟国を特定できない場合は、当該製造事業者が域内で最も従業員数の多い事業所を有する加盟国に主たる事業所を有するものとみなす。 |
| Where a manufacturer has no main establishment in the Union, it shall submit the notifications referred to in paragraphs 1 and 3 using the electronic notification end-point of the CSIRT designated as coordinator in the Member State determined pursuant to the following order and based on the information available to the manufacturer: | 製造事業者が域内に主たる事業所を有しない場合、製造事業者は、以下の順序に従い、製造事業者が入手可能な情報に基づいて決定された加盟国において、調整者として指定された CSIRT の電子通知エンドポイントを使用して、第 1 項及び第 3 項に定める通知を提出するものとする: |
| (a) the Member State in which the authorised representative acting on behalf of the manufacturer for the highest number of products with digital elements of that manufacturer is established; | (a) 当該製造事業者のデジタル要素を含む製品の数が最も多い、当該製造事業者を代行する代表者が設立されている加盟国; |
| (b) the Member State in which the importer placing on the market the highest number of products with digital elements of that manufacturer is established; | (b) 当該製造事業者のデジタル要素を含む製品を最も多く上市している輸入事業者が設立されている加盟国; |
| (c) the Member State in which the distributor making available on the market the highest number of products with digital elements of that manufacturer is established; | (c) 当該製造事業者のデジタル要素を含む製品を最も多く市場で入手可能にしている頒布事業者が設立されている加盟国; |
| (d) the Member State in which the highest number of users of products with digital elements of that manufacturer are located. | (d) 当該製造事業者のデジタル要素を含む製品の利用者が最も多い加盟国。 |
| In relation to the third subparagraph, point (d), a manufacturer may submit notifications related to any subsequent actively exploited vulnerability or severe incident having an impact on the security of the product with digital elements to the same CSIRT designated as coordinator to which it first reported. | 第 3 号の(d)に関連して、製造事業者は、デジタル要素を含む製品のセキュリティに影響を及ぼす、その後積極的に悪用された脆弱性又は深刻なインシデントに関連する通知を、最初に報告した調整者として指定された CSIRT と同じ CSIRT に提出することができる。 |
| 8. After becoming aware of an actively exploited vulnerability or a severe incident having an impact on the security of the product with digital elements, the manufacturer shall inform the impacted users of the product with digital elements, and where appropriate all users, of that vulnerability or incident and, where necessary, of any risk mitigation and corrective measures that the users can deploy to mitigate the impact of that vulnerability or incident, where appropriate in a structured, machine-readable format that is easily automatically processable. Where the manufacturer fails to inform the users of the product with digital elements in a timely manner, the notified CSIRTs designated as coordinators may provide such information to the users when considered to be proportionate and necessary for preventing or mitigating the impact of that vulnerability or incident. | 8. 積極的に悪用される脆弱性又はデジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントを認識した後、製造事業者は、デジタル要素を含む製品の影響を受けるユーザ、及び必要に応じて全てのユーザに、当該脆弱性又はインシデント、及び必要に応じて、ユーザが当該脆弱性又はインシデントの影響を軽減するために展開できるリスク軽減及び是正措置について、構造化され、容易に自動処理可能な機械可読形式で通知しなければならない。製造事業者が、デジタル要素を含む製品のユーザに適時に通知しない場合、コーディネータとして指名された通知された CSIRT は、当該脆弱性又はインシデントの影響を防止又は軽減するために適切かつ必要であると考えられる場合、ユーザに当該情報を提供することができる。 |
| 9. By 11 December 2025, the Commission shall adopt delegated acts in accordance with Article 61 of this Regulation to supplement this Regulation by specifying the terms and conditions for applying the cybersecurity-related grounds in relation to delaying the dissemination of notifications as referred to in Article 16(2) of this Regulation. The Commission shall cooperate with the CSIRTs network established pursuant to Article 15 of Directive (EU) 2022/2555 and ENISA in preparing the draft delegated acts. | 9. 2025年12月11日までに、欧州委員会は、本規則の第61条に従い、本規則の第16条(2)に言及される通知の普及を遅延させることに関するサイバーセキュリティ関連の根拠を適用するための条件を規定することにより、本規則を補完する委任法を採択するものとする。欧州委員会は、委任法の草案の作成において、指令(EU)2022/2555の第15条に従って設立されたCSIRTsネットワークおよびENISAと協力するものとする。 |
| 10. The Commission may, by means of implementing acts, specify further the format and procedures of the notifications referred to in this Article as well as in Articles 15 and 16. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). The Commission shall cooperate with the CSIRTs network and ENISA in preparing those draft implementing acts. | 10. 欧州委員会は、実施法によって、本条ならびに第15条および第16条で言及される通知の形式および手順をさらに規定することができる。これらの実施法は、第62条第2項にいう審査手続きに従って採択されなければならない。欧州委員会は、これらの実施法のドラフトを作成するにあたり、CSIRTsネットワークおよびENISAと協力するものとする。 |
| Article 15 Voluntary reporting | 第15条 自主報告 |
| 1. Manufacturers as well as other natural or legal persons may notify any vulnerability contained in a product with digital elements as well as cyber threats that could affect the risk profile of a product with digital elements on a voluntary basis to a CSIRT designated as coordinator or ENISA. | 1. 製造事業者、その他の自然人または法人は、デジタル要素を含む製品に含まれる脆弱性、およびデジタル要素を含む製品のリスクプロファイルに影響を与える可能性のあるサイバー脅威を、コーディネーターとして指定されたCSIRTまたはENISAに任意で報告することができる。 |
| 2. Manufacturers as well as other natural or legal persons may notify any incident having an impact on the security of the product with digital elements as well as near misses that could have resulted in such an incident on a voluntary basis to a CSIRT designated as coordinator or ENISA. | 2. 製造事業者及びその他の自然人又は法人は、デジタル要素を含む製品のセキュリティに影響を与えるインシデント、及びそのようなインシデントに至った可能性のあるニアミスを、調整者として指定された CSIRT 又は ENISA に任意で通知することができる。 |
| 3. The CSIRT designated as coordinator or ENISA shall process the notifications referred to in paragraphs 1 and 2 of this Article in accordance with the procedure laid down in Article 16. | 3. コーディネータに指名された CSIRT または ENISA は、第 16 条に規定された手順に従って、本条第 1 項および第 2 項の通知を処理するものとする。 |
| The CSIRT designated as coordinator may prioritise the processing of mandatory notifications over voluntary notifications. | コーディネータに指名された CSIRT は、強制的な届出を任意の届出よりも優先して処理することができる。 |
| 4. Where a natural or legal person other than the manufacturer notifies an actively exploited vulnerability or a severe incident having an impact on the security of a product with digital elements in accordance with paragraph 1 or 2, the CSIRT designated as coordinator shall without undue delay inform the manufacturer. | 4. 製造事業者以外の自然人又は法人が、第1項又は第2項に従って、積極的に悪用された脆弱性又はデジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントを通知する場合、コーディネータに指名された CSIRT は、過度の遅滞なく製造事業者に通知しなければならない。 |
| 5. The CSIRTs designated as coordinators as well as ENISA shall ensure the confidentiality and appropriate protection of the information provided by a notifying natural or legal person. Without prejudice to the prevention, investigation, detection and prosecution of criminal offences, voluntary reporting shall not result in the imposition of any additional obligations upon a notifying natural or legal person to which it would not have been subject had it not submitted the notification. | 5. コーディネータとして指定された CSIRT 及び ENISA は、通知する自然人又は法人から提供された情報の機密性及び適切な保護を確保するものとする。刑事犯罪の予防、調査、検知および訴追を損なうことなく、自発的な報告は、届出を行わなかった場合に課されることのなかった追加的な義務を届出自然人または法人に課す結果とならないものとする。 |
| Article 16 Establishment of a single reporting platform | 第16条 単一通報プラットフォームの設立 |
| 1. For the purposes of the notifications referred to in Article 14(1) and (3) and Article 15(1) and (2) and in order to simplify the reporting obligations of manufacturers, a single reporting platform shall be established by ENISA. The day-to-day operations of that single reporting platform shall be managed and maintained by ENISA. The architecture of the single reporting platform shall allow Member States and ENISA to put in place their own electronic notification end-points. | 1. 第14条(1)および(3)ならびに第15条(1)および(2)で言及される通知のために、また製造事業者の報告義務を簡素化するために、ENISAは単一の報告プラットフォームを設立するものとする。単一報告プラットフォームの日々の運用は、ENISAが管理・維持するものとする。単一報告プラットフォームのアーキテクチャは、加盟国およびENISAが独自の電子通知エンドポイントを設置できるようにするものとする。 |
| 2. After receiving a notification, the CSIRT designated as coordinator initially receiving the notification shall, without delay, disseminate the notification via the single reporting platform to the CSIRTs designated as coordinators on the territory of which the manufacturer has indicated that the product with digital elements has been made available. | 2. 通知を受領した後、最初に通知を受領したコーディネータとして指定された CSIRT は、遅滞なく、単一報告プラットフォームを経由して、製造事業者がデジタル要素を含む製品が利用可能になったことを示した地域のコーディネータとして指定された CSIRT に通知を配信するものとする。 |
| In exceptional circumstances and, in particular, upon request by the manufacturer and in light of the level of sensitivity of the notified information as indicated by the manufacturer under Article 14(2), point (a), of this Regulation, the dissemination of the notification may be delayed based on justified cybersecurity-related grounds for a period of time that is strictly necessary, including where a vulnerability is subject to a coordinated vulnerability disclosure procedure as referred to in Article 12(1) of Directive (EU) 2022/2555. Where a CSIRT decides to withhold a notification, it shall immediately inform ENISA about the decision and provide both a justification for withholding the notification as well as an indication of when it will disseminate the notification in accordance with the dissemination procedure laid down in this paragraph. ENISA may support the CSIRT on the application of cybersecurity-related grounds in relation to delaying the dissemination of the notification. | 例外的な状況において、特に、製造事業者の要請があり、かつ、本規則の第 14 条(2)の(a)に基づき製造事業者が示した届出情報の機密性のレベルに照らして、指令(EU)2022/2555 の第 12 条(1)に言及されるように脆弱性が調整された脆弱性開示手続の対象である場合を含め、サイバーセキュリティに関連する正当な理由に基づき、厳密に必要な期間、届出の普及を延期することができる。CSIRT が届出を保留することを決定した場合、CSIRT は直ちにその決定について ENISA に通知し、届出を保留する正当な理由と、本段落に規定される普及手順に従って届出を普及させる時期の明示の両方を提供するものとする。ENISA は、届出の普及を遅延させることに関し、サイバーセキュリティに関連する根拠の適用について CSIRT を支援することができる。 |
| In particularly exceptional circumstances, where the manufacturer indicates in the notification referred to in Article 14(2), point (b): | 特に例外的な状況において、製造事業者が第 14 条(2)項(b)号で言及される届出において、以下の事項を示す場合: |
| (a) that the notified vulnerability has been actively exploited by a malicious actor and, according to the information available, it has been exploited in no other Member State than the one of the CSIRT designated as coordinator to which the manufacturer has notified the vulnerability; | (a) 通知された脆弱性が悪意のある者によって積極的に悪用されており、入手可能な情報によれば、製造事業者が脆弱性を通知した調整者として指定された CSIRT の加盟国以外では悪用されていないこと; |
| (b) that any immediate further dissemination of the notified vulnerability would likely result in the supply of information the disclosure of which would be contrary to the essential interests of that Member State; or | (b) 通知された脆弱性を直ちにさらに広めることは、当該加盟国の本質的利益に反する情報の開示をもたらす可能性が高いこと。 |
| (c) that the notified vulnerability poses an imminent high cybersecurity risk stemming from the further dissemination; | (c) 通知された脆弱性がさらに拡散されることにより、差し迫った高いサイバーセキュリティリスクをもたらすこと; |
| only the information that a notification was made by the manufacturer, the general information about the product, the information on the general nature of the exploit and the information that security related grounds were raised are to be made available simultaneously to ENISA until the full notification is disseminated to the CSIRTs concerned and ENISA. Where, based on that information, ENISA considers that there is a systemic risk affecting security in the internal market, it shall recommend to the recipient CSIRT that it disseminate the full notification to the other CSIRTs designated as coordinators and to ENISA itself. | 製造事業者により届出がなされたという情報、製品に関する一般的な情報、脆弱性の一般的な性質に関する情報、セキュリティ上の根拠が提起されたという情報のみが、届出全体が関係するCSIRTとENISAに周知されるまで、ENISAに同時に提供される。当該情報に基づき、ENISAが域内市場のセキュリティに影響を及ぼすシステミックリスクがあると考える場合、ENISAは、取得者CSIRTに対し、コーディネータとして指定された他のCSIRT及びENISA自身に完全な通知を周知するよう勧告するものとする。 |
| 3. After receiving a notification of an actively exploited vulnerability in a product with digital elements or of a severe incident having an impact on the security of a product with digital elements, the CSIRTs designated as coordinators shall provide the market surveillance authorities of their respective Member States with the notified information necessary for the market surveillance authorities to fulfil their obligations under this Regulation. | 3. デジタル要素を含む製品に積極的に悪用された脆弱性、またはデジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントの認可を受けた後、コーディネータとして指定された CSIRT は、各加盟国の市場監視当局に、市場監視当局が本規則に基づく義務を果たすために必要な認定情報を提供するものとする。 |
| 4. ENISA shall take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of the single reporting platform and the information submitted or disseminated via the single reporting platform. It shall notify without undue delay any security incident affecting the single reporting platform to the CSIRTs network as well as to the Commission. | 4. ENISAは、単一報告プラットフォームのセキュリティ、及び単一報告プラットフォームを通じて提出又は拡散される情報に対してもたらされるリスクを管理するため、適切かつ相応の技術的、運用的及び組織的措置を講じるものとする。ENISAは、単一報告プラットフォームに影響を及ぼすセキュリティインシデントが発生した場合、過度の遅滞なく、CSIRTsネットワークおよび欧州委員会に通知するものとする。 |
| 5. ENISA, in cooperation with the CSIRTs network, shall provide and implement specifications on the technical, operational and organisational measures regarding the establishment, maintenance and secure operation of the single reporting platform referred to in paragraph 1, including at least the security arrangements related to the establishment, operation and maintenance of the single reporting platform, as well as the electronic notification end-points set up by the CSIRTs designated as coordinators at national level and ENISA at Union level, including procedural aspects to ensure that, where a notified vulnerability has no corrective or mitigating measures available, information about that vulnerability is shared in line with strict security protocols and on a need-to-know basis. | 5. ENISAは、CSIRTsネットワークと協力し、少なくとも単一報告プラットフォームの構築、保守、安全な運用に関するセキュリティ上の取り決めを含む、第1項に言及された単一報告プラットフォームの構築、保守、安全な運用に関する技術的、運用的、組織的措置に関する仕様をプロバイダに提供し、実施するものとする、 また、通知された脆弱性に是正措置又は低減措置がない場合、当該脆弱性に関する情報が厳格なセキュリティプロトコルに沿って、かつ、知る必要があるベースで共有されることを確保するための手続的側面を含む。 |
| 6. Where a CSIRT designated as coordinator has been made aware of an actively exploited vulnerability as part of a coordinated vulnerability disclosure procedure as referred to in Article 12(1) of Directive (EU) 2022/2555, the CSIRT designated as coordinator initially receiving the notification may delay the dissemination of the relevant notification via the single reporting platform based on justified cybersecurity-related grounds for a period that is no longer than is strictly necessary and until consent for disclosure by the involved coordinated vulnerability disclosure parties is given. That requirement shall not prevent manufacturers from notifying such a vulnerability on a voluntary basis in accordance with the procedure laid down in this Article. | 6. 指令(EU)2022/2555 の第 12 条(1)に言及される調整された脆弱性開示手順の一部として、コーディネータとして指定された CSIRT が、積極的に悪用された脆弱性を認識した場合、最初に通知を受けたコーディネータとして指定された CSIRT は、厳密に必要な期間を超えない期間、及び関係する調整された脆弱性開示当事者による開示の同意が得られるまで、正当なサイバーセキュリティ関連の理由に基づき、単一報告プラットフォームを介した関連通知の普及を遅延させることができる。この要件は、製造事業者が本条に定める手続きに従って自主的に当該脆弱性を通知することを妨げるものではない。 |
| Article 17 Other provisions related to reporting | 第17条 報告に関するその他の規定 |
| 1. ENISA may submit to the European cyber crisis liaison organisation network (EU-CyCLONe) established under Article 16 of Directive (EU) 2022/2555 information notified pursuant to Article 14(1) and (3) and Article 15(1) and (2) of this Regulation if such information is relevant for the coordinated management of large-scale cybersecurity incidents and crises at an operational level. For the purpose of determining such relevance, ENISA may consider technical analyses performed by the CSIRTs network, where available. | 1. ENISAは、大規模サイバーセキュリティインデントおよび危機の運用レベルでの協調的管理に関連する情報であれば、本規則の第14条(1)および(3)ならびに第15条(1)および(2)に従って通知された情報を、指令(EU)2022/2555の第16条に基づき設立された欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)に提出することができる。そのような関連性を決定するために、ENISA は、利用可能な場合、CSIRTs ネットワークによって実施された技術分析を考慮することができる。 |
| 2. Where public awareness is necessary to prevent or mitigate a severe incident having an impact on the security of the product with digital elements or to handle an ongoing incident, or where disclosure of the incident is otherwise in the public interest, the CSIRT designated as coordinator of the relevant Member State may, after consulting the manufacturer concerned and, where appropriate, in cooperation with ENISA, inform the public about the incident or require the manufacturer to do so. | 2. デジタル要素を含む製品のセキュリティに影響を及ぼす深刻なインシデントを防止もしくは低減するため、または進行中のインシデントをハンドリングするために、一般への周知が必要である場合、またはインシデントの開示が公益に資する場合、関連加盟国の調整役として指名された CSIRT は、当該製造事業者と協議した後、かつ、適切な場合には、ENISA と協力して、インシデントについて一般に通知するか、または製造事業者に通知するよう要求することができる。 |
| 3. ENISA, on the basis of the notifications received pursuant to Article 14(1) and (3) and Article 15(1) and (2) of this Regulation, shall prepare, every 24 months, a technical report on emerging trends regarding cybersecurity risks in products with digital elements and submit it to the Cooperation Group established pursuant to Article 14 of Directive (EU) 2022/2555. The first such report shall be submitted within 24 months of the date of application of the obligations laid down in Article 14(1) and (3) of this Regulation. ENISA shall include relevant information from its technical reports in its report on the state of cybersecurity in the Union pursuant to Article 18 of Directive (EU) 2022/2555. | 3. ENISAは、本規則の第14条(1)項および(3)項ならびに第15条(1)項および(2)項に従って受領した通知に基づき、24カ月ごとに、デジタル要素を含む製品におけるサイバーセキュリティリスクに関する新たな動向に関する技術報告書を作成し、指令(EU)2022/2555の第14条に従って設立された協力グループに提出するものとする。最初の当該報告書は、本規則の第14条(1)および(3)に規定された義務の適用日から24ヶ月以内に提出されるものとする。ENISAは、指令(EU)2022/2555の第18条に基づき、EUにおけるサイバーセキュリティの状況に関する報告書に、技術報告書の関連情報を含めるものとする。 |
| 4. The mere act of notification in accordance with Article 14(1) and (3) or Article 15(1) and (2) shall not subject the notifying natural or legal person to increased liability. | 4. 第 14 条(1)および(3)、または第 15 条(1)および(2)に従った単なる通知行為は、通知する自然人または法人に増加責任を負わせるものではない。 |
| 5. After a security update or another form of corrective or mitigating measure is available, ENISA shall, in agreement with the manufacturer of the product with digital elements concerned, add the publicly known vulnerability notified pursuant to Article 14(1) or Article 15(1) of this Regulation to the European vulnerability database established pursuant to Article 12(2) of Directive (EU) 2022/2555. | 5. セキュリティ更新または別の形式の是正措置もしくは軽減措置が利用可能になった後、ENISA は、当該デジタル要素を含む製品の製造事業者と合意の上、本規則第 14 条(1)項または第 15 条(1)項に従って通知された公知の脆弱性を、指令(EU)2022/2555 の第 12 条(2)項に従って設立された欧州脆弱性データベースに追加するものとする。 |
| 6. The CSIRTs designated as coordinators shall provide helpdesk support in relation to the reporting obligations pursuant to Article 14 to manufacturers and in particular manufacturers that qualify as microenterprises or as small or medium-sized enterprises. | 6. コーディネータとして指定された CSIRT は,製造事業者,特に,零細企業又は中小企業に該当する製造事業者に対して,第 14 条に基づく報告義務に関するヘルプデスク支援を提供しなければならない。 |
| Article 18 Authorised representatives | 第18条 認定代表者 |
| 1. A manufacturer may, by a written mandate, appoint an authorised representative. | 1. 製造事業者は,書面による委任によって,認定代表者を任命することができる。 |
| 2. The obligations laid down in Article 13(1) to (11), Article 13(12), first subparagraph, and Article 13(14) shall not form part of the authorised representative’s mandate. | 2. 第13条(1)から(11)まで,第13条(12)第1号及び第13条(14)に規定する義務は,権限のある代表者の委任の一部を構成しない。 |
| 3. An authorised representative shall perform the tasks specified in the mandate received from the manufacturer. The authorised representative shall provide a copy of the mandate to the market surveillance authorities upon request. The mandate shall allow the authorised representative to do at least the following: | 3. 公認代表者は、製造事業者から受領した委任状に規定された業務を実施しなければならない。委任を受けた代表者は、要請に応じて、委任の写しを市場監視当局に提供しなければならない。委任状は,委任を受けた代表者が少なくとも次のことを行うことを認めなければならない: |
| (a) keep the EU declaration of conformity referred to in Article 28 and the technical documentation referred to in Article 31 at the disposal of the market surveillance authorities for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer; | (a) 第28条のEU適合宣言書及び第31条の技術文書を、デジタル要素を含む製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い方の期間、市場監視当局の手元に保管すること; |
| (b) further to a reasoned request from a market surveillance authority, provide that authority with all the information and documentation necessary to demonstrate the conformity of the product with digital elements; | (b) 市場監視当局からの合理的な要請に従い、当該当局に対し、デジタル要素を含む製品の適合性を証明するために必要なすべての情報及び文書を提供すること; |
| (c) cooperate with the market surveillance authorities, at their request, on any action taken to eliminate the risks posed by a product with digital elements covered by the authorised representative’s mandate. | (c) 市場監視当局の要請に応じて、認可代表者の委任の対象となるデジタル要素を含む製品によってもたらされるリスクを排除するために取られる行動について、市場監視当局に協力すること。 |
| Article 19 Obligations of importers | 第19条 輸入事業者の義務 |
| 1. Importers shall place on the market only products with digital elements that comply with the essential cybersecurity requirements set out in Part I of Annex I and where the processes put in place by the manufacturer comply with the essential cybersecurity requirements set out in Part II of Annex I. | 1. 輸入事業者は、附属書Ⅰの第Ⅰ部に定めるサイバーセキュリティの重要な要件に適合し、かつ、製造事業者が実施するプロセスが附属書Ⅰの第Ⅱ部に定めるサイバーセキュリティの重要な要件に適合するデジタル要素を含む製品のみを上市しなければならない。 |
| 2. Before placing a product with digital elements on the market, importers shall ensure that: | 2. 輸入事業者は、デジタル要素を含む製品を上市する前に、以下を確実にしなければならない: |
| (a) the appropriate conformity assessment procedures as referred to in Article 32 have been carried out by the manufacturer; | (a) 第 32 条にいう適切な適合性アセスメント手続が製造事業者によって実施されていること; |
| (b) the manufacturer has drawn up the technical documentation; | (b) 製造事業者が技術文書を作成している; |
| (c) the product with digital elements bears the CE marking referred to in Article 30 and is accompanied by the EU declaration of conformity referred to in Article 13(20) and the information and instructions to the user as set out in Annex II in a language which can be easily understood by users and market surveillance authorities; | (c) デジタル要素を含む製品に第30条のCEマーキングを付し、第13条(20)のEU適合宣言書及び附属書Ⅱに定める使用者に対する情報及び指示を使用者及び市場監視当局が容易に理解できる言語で添付すること; |
| (d) the manufacturer has complied with the requirements set out in Article 13(15), (16) and (19). | (d) 製造事業者が,第 13 条(15),(16)及び(19)に規定する要件を遵守していること。 |
| For the purposes of this paragraph, importers shall be able to provide the necessary documents proving the fulfilment of the requirements set out in this Article. | 本項の目的のため,輸入事業者は,本条に定める要件の充足を証明する必要な書類を提供することができるものとする。 |
| 3. Where an importer considers or has reason to believe that a product with digital elements or the processes put in place by the manufacturer are not in conformity with this Regulation, the importer shall not place the product on the market until that product or the processes put in place by the manufacturer have been brought into conformity with this Regulation. Furthermore, where the product with digital elements presents a significant cybersecurity risk, the importer shall inform the manufacturer and the market surveillance authorities to that effect. | 3. 輸入事業者が、デジタル要素を含む製品または製造事業者が実施したプロセスが本規則に適合していないと考え、またはそう考える理由がある場合、輸入事業者は、当該製品または製造事業者が実施したプロセスが本規則に適合するまで、当該製品を上市してはならない。さらに、デジタル要素を含む製品が重大なサイバーセキュリティ・リスクをもたらす場合、輸入事業者は、その旨を製造事業者および市場監視当局に通知しなければならない。 |
| Where an importer has reason to believe that a product with digital elements may present a significant cybersecurity risk in light of non-technical risk factors, the importer shall inform the market surveillance authorities to that effect. Upon receipt of such information, the market surveillance authorities shall follow the procedures referred to in Article 54(2). | 輸入事業者が、デジタル要素を含む製品が非技術的リスク要因に照らして重大なサイバーセキュリティリスクをもたらす可能性があると信じるに足る理由がある場合、輸入事業者はその旨を市場監視当局に通知しなければならない。当該情報を受領した場合、市場監視当局は第 54 条(2)に定める手続に従うものとする。 |
| 4. Importers shall indicate their name, registered trade name or registered trademark, the postal address, email address or other digital contact as well as, where applicable, the website at which they can be contacted on the product with digital elements or on its packaging or in a document accompanying the product with digital elements. The contact details shall be in a language easily understood by users and market surveillance authorities. | 4. 輸入事業者は、デジタル要素を含む製品、その包装、またはデジタル要素を含む製品に添付する文書に、その氏名、登録商号または登録商標、郵便住所、電子メールアドレスまたはその他のデジタル連絡先、および該当する場合は連絡可能なウェブサイトを表示しなければならない。連絡先の詳細は、利用者及び市場監視当局が容易に理解できる言語でなければならない。 |
| 5. Importers who know or have reason to believe that a product with digital elements which they have placed on the market is not in conformity with this Regulation shall immediately take the corrective measures necessary to ensure that the product with digital elements is brought into conformity with this Regulation, or to withdraw or recall the product, if appropriate. | 5. 輸入事業者は、上市したデジタル要素を含む製品が本規則に適合していないことを知り、又はそう信じる理由がある場合、直ちに、デジタル要素を含む製品を本規則に適合させるために必要な是正措置を講じ、又は適切な場合には、当該製品を撤回若しくは回収しなければならない。 |
| Upon becoming aware of a vulnerability in the product with digital elements, importers shall inform the manufacturer without undue delay about that vulnerability. Furthermore, where the product with digital elements presents a significant cybersecurity risk, importers shall immediately inform the market surveillance authorities of the Member States in which they have made the product with digital elements available on the market to that effect, giving details, in particular, of non-compliance and of any corrective measures taken. | 輸入事業者は、デジタル要素を含む製品に脆弱性があることを認識した場合、当該脆弱性について過度の遅滞なく製造事業者に通知しなければならない。さらに、デジタル要素を含む製品が重要なサイバーセキュリティリスクを示す場合、輸入事業者は、デジタル要素を含む製品を市場で入手可能とした加盟国の市場監視当局に直ちにその旨を通知し、特に、不適合および講じた是正措置の詳細を通知しなければならない。 |
| 6. Importers shall, for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer, keep a copy of the EU declaration of conformity at the disposal of the market surveillance authorities and ensure that the technical documentation can be made available to those authorities, upon request. | 6. 輸入事業者は、デジタル要素を含む製品が上市されてから少なくとも10年間、またはサポート期間のいずれか長い方の期間、EU適合宣言書の写しを市場監視当局の自由に保管し、要請があれば技術文書を同当局が入手できるようにしなければならない。 |
| 7. Importers shall, further to a reasoned request from a market surveillance authority, provide it with all the information and documentation, in paper or electronic form, necessary to demonstrate the conformity of the product with digital elements with the essential cybersecurity requirements set out in Part I of Annex I as well as of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Part II of Annex I in a language that can be easily understood by that authority. They shall cooperate with that authority, at its request, on any measures taken to eliminate the cybersecurity risks posed by a product with digital elements, which they have placed on the market. | 7. 輸入事業者は、市場監視当局からの合理的な要請があれば、デジタル要素を含む製品が附属書 I の第 I 部に定めるサイバーセキュリティの重要な要件に適合していること、および製造事業者が附属書 I の第 II 部に定めるサイバーセキュリティの重要な要件に適合するプロセスを導入していることを証明するために必要なすべての情報および文書を、当該当局が容易に理解できる言語で、紙または電子形式で提供しなければならない。製造者は、上市したデジタル要素を含む製品によってもたらされるサイバーセキュリティリスクを排除するために講じた措置について、当該当局の要請に応じて協力しなければならない。 |
| 8. Where the importer of a product with digital elements becomes aware that the manufacturer of that product has ceased its operations and, as result, is not able to comply with the obligations laid down in this Regulation, the importer shall inform the relevant market surveillance authorities about this situation, as well as, by any means available and to the extent possible, the users of the products with digital elements placed on the market. | 8. デジタル要素を含む製品の輸入事業者が、当該製品の製造事業者が事業を停止し、その結果、本規則に定める義務を遵守できないことを認識した場合、輸入事業者は、当該市場監視当局に当該状況を通知するとともに、利用可能なあらゆる手段により、かつ可能な限り、上市されたデジタル要素を含む製品の使用者にも通知するものとする。 |
| Article 20 Obligations of distributors | 第20条 頒布事業者の義務 |
| 1. When making a product with digital elements available on the market, distributors shall act with due care in relation to the requirements set out in this Regulation. | 1. デジタル要素を含む製品を市場で入手可能にする場合、頒布事業者は、本規則に定める要件に関連し、十分な注意を払って行動するものとする。 |
| 2. Before making a product with digital elements available on the market, distributors shall verify that: | 2. 頒布事業者は、デジタル要素を含む製品を市場で入手可能にする前に、以下を確認するものとする: |
| (a) the product with digital elements bears the CE marking; | (a) デジタル要素を含む製品にCEマーキングが付されていること; |
| (b) the manufacturer and the importer have complied with the obligations set out in Article 13(15), (16), (18), (19) and (20) and Article 19(4), and have provided all necessary documents to the distributor. | (b) 製造事業者及び輸入事業者が、第13条(15)、(16)、(18)、(19)及び(20)並びに第19条(4)に定める義務を遵守し、かつ、頒布事業者に必要な全ての文書を提供していること。 |
| 3. Where a distributor considers or has reason to believe, on the basis of information in its possession, that a product with digital elements or the processes put in place by the manufacturer are not in conformity with the essential cybersecurity requirements set out in Annex I, the distributor shall not make the product with digital elements available on the market until that product or the processes put in place by the manufacturer have been brought into conformity with this Regulation. Furthermore, where the product with digital elements poses a significant cybersecurity risk, the distributor shall inform, without undue delay, the manufacturer and the market surveillance authorities to that effect. | 3. 頒布事業者が、その保有する情報に基づき、デジタル要素を含む製品または製造事業者が実施するプロセスが附属書Ⅰに定めるサイバーセキュリティの必須要件に適合していないと考え、またはそう考える理由がある場合、頒布事業者は、当該製品または製造事業者が実施するプロセスが本規則に適合するまで、デジタル要素を含む製品を市場で入手可能にしてはならない。さらに、デジタル要素を含む製品が重大なサイバーセキュリティリスクをもたらす場合、頒布事業者は、過度な遅滞なく、その旨を製造事業者及び市場監視当局に通知しなければならない。 |
| 4. Distributors who know or have reason to believe, on the basis of information in their possession, that a product with digital elements, which they have made available on the market, or the processes put in place by its manufacturer are not in conformity with this Regulation shall make sure that the corrective measures necessary to bring that product with digital elements or the processes put in place by its manufacturer into conformity, or to withdraw or recall the product, if appropriate, are taken. | 4. 頒布事業者は、その保有する情報に基づき、自らが市場で入手可能としたデジタル要素を含む製 品またはその製造事業者が実施したプロセスが本規則に適合していないことを知り、またはそう信じる理由が ある場合、当該デジタル要素を含む製品またはその製造事業者が実施したプロセスを適合させるために必 要な是正措置を講じること、または適切な場合には、当該製品を撤回または回収することを確認しなけ ればならない。 |
| Upon becoming aware of a vulnerability in the product with digital elements, distributors shall inform the manufacturer without undue delay about that vulnerability. Furthermore, where the product with digital elements presents a significant cybersecurity risk, distributors shall immediately inform the market surveillance authorities of the Member States in which they have made the product with digital elements available on the market to that effect, giving details, in particular, of the non-compliance and of any corrective measures taken. | 頒布事業者は、デジタル要素を含む製品に脆弱性があることを認識した場合、その脆弱性について過度な遅滞なく製造事業者に通知するものとする。さらに、デジタル要素を含む製品が重大なサイバーセキュリティリスクを示す場合、頒布事業者は、デジタル要素を含む製品を市場で入手可能な状態にした加盟国の市場監視当局に対し、その旨を直ちに通知し、特に、不適合の詳細および講じた是正措置の詳細を通知しなければならない。 |
| 5. Distributors shall, further to a reasoned request from a market surveillance authority, provide all the information and documentation, in paper or electronic form, necessary to demonstrate the conformity of the product with digital elements and the processes put in place by its manufacturer with this Regulation in a language that can be easily understood by that authority. They shall cooperate with that authority, at its request, on any measures taken to eliminate the cybersecurity risks posed by a product with digital elements which they have made available on the market. | 5. 頒布事業者は、市場監視当局からの合理的な要請があった場合、デジタル要素を含む製品およびその製造事業者が実施したプロセスが本規則に適合していることを証明するために必要なすべての情報および文書を、当該当局が容易に理解できる言語で、紙媒体または電子媒体で提供しなければならない。製造者は、市場で入手可能なデジタル要素を含む製品によってもたらされるサイバーセキュリティリスクを排除するために講じた措置について、当該当局の要請に応じて、当該当局に協力しなければならない。 |
| 6. Where the distributor of a product with digital elements becomes aware, on the basis of information in its possession, that the manufacturer of that product has ceased its operations and, as result, is not able to comply with the obligations laid down in this Regulation, the distributor shall inform, without undue delay, the relevant market surveillance authorities about this situation, as well as, by any means available and to the extent possible, the users of the products with digital elements placed on the market. | 6. デジタル要素を含む製品の頒布事業者が、その保有する情報に基づき、当該製品の製造事業者がその事業を停止し、その結果、本規則に定める義務を遵守することができないことを認識した場合、頒布事業者は、当該市場監視当局に対し、不当に遅延することなく、当該状況を通知するとともに、利用可能なあらゆる手段により、かつ、可能な限り、上市されたデジタル要素を含む製品の使用者にも通知するものとする。 |
| Article 21 Cases in which obligations of manufacturers apply to importers and distributors | 第21条 製造事業者の義務が輸入事業者及び頒布事業者に適用される場合 |
| An importer or distributor shall be considered to be a manufacturer for the purposes of this Regulation and shall be subject to Articles 13 and 14, where that importer or distributor places a product with digital elements on the market under its name or trademark or carries out a substantial modification of a product with digital elements already placed on the market. | 輸入事業者または頒布事業者が、デジタル要素を含む製品をその名称または商標の下で上市する場合、または既に上市されているデジタル要素を含む製品の大幅な改変を行う場合、当該輸入事業者または頒布事業者は、本規則の適用上、製造事業者とみなされ、第13条および第14条の適用を受けるものとする。 |
| Article 22 Other cases in which obligations of manufacturers apply | 第22条 製造事業者の義務が適用されるその他の場合 |
| 1. A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of a product with digital elements and makes that product available on the market, shall be considered to be a manufacturer for the purposes of this Regulation. | 1. 製造者、輸入事業者または頒布事業者以外の自然人または法人で、デジタル要素を含む製品の実質的な改変を実施し、当該製品を市場で入手可能とする者は、本規則の適用上、製造者とみなされる。 |
| 2. The person referred to in paragraph 1 of this Article shall be subject to the obligations set out in Articles 13 and 14 for the part of the product with digital elements that is affected by the substantial modification or, if the substantial modification has an impact on the cybersecurity of the product with digital elements as a whole, for the entire product. | 2. 本条第1項にいう者は、デジタル要素を含む製品のうち、大幅な改変によって影響を受ける部分について、または、大幅な改変がデジタル要素を含む製品全体のサイバーセキュリティに影響を及ぼす場合には、当該製品全体について、第13条および第14条に定める義務を負うものとする。 |
| Article 23 Identification of economic operators | 第23条 経済的事業者の特定 |
| 1. Economic operators shall, on request, provide the market surveillance authorities with the following information: | 1. 経済的事業者は、要請に応じて、市場監視当局に以下の情報を提供しなければならない: |
| (a) the name and address of any economic operator who has supplied them with a product with digital elements; | (a) デジタル要素を含む製品を供給した経済的事業者の氏名及び住所; |
| (b) where available, the name and address of any economic operator to whom they have supplied a product with digital elements. | (b) 利用可能な場合には、デジタル要素を含む製品を供給した経済的事業者の氏名及び住所。 |
| 2. Economic operators shall be able to present the information referred to in paragraph 1 for 10 years after they have been supplied with the product with digital elements and for 10 years after they have supplied the product with digital elements. | 2. 経済的事業者は、デジタル要素を含む製品を供給されてから10年間、およびデジタル要素を含む製品を供給してから10年間、第1項にいう情報を提示することができるものとする。 |
| Article 24 Obligations of open-source software stewards | 第24条 オープンソースソフトウェアのスチュワードの義務 |
| 1. Open-source software stewards shall put in place and document in a verifiable manner a cybersecurity policy to foster the development of a secure product with digital elements as well as an effective handling of vulnerabilities by the developers of that product. That policy shall also foster the voluntary reporting of vulnerabilities as laid down in Article 15 by the developers of that product and take into account the specific nature of the open-source software steward and the legal and organisational arrangements to which it is subject. That policy shall, in particular, include aspects related to documenting, addressing and remediating vulnerabilities and promote the sharing of information concerning discovered vulnerabilities within the open-source community. | 1. オープンソースソフトウェアのスチュワードは、デジタル要素を含む安全な製品の開発と、その製品の開発者による脆弱性の効果的な取り扱いを促進するために、サイバーセキュリティポリシーを定め、検証可能な方法で文書化しなければならない。その方針は、当該製品の開発者による第 15 条に定める脆弱性の自発的な報告も促進し、オープンソースソフトウェアのスチュワードの特定の性質、およびそのスチュワードが従う法的・組織的な取り決めを考慮に入れなければならない。その方針は、特に、脆弱性の文書化、対処、および修復に関連する側面を含み、発見された脆弱性に関する情報のオープンソースコミュニティ内での共有を促進するものとする。 |
| 2. Open-source software stewards shall cooperate with the market surveillance authorities, at their request, with a view to mitigating the cybersecurity risks posed by a product with digital elements qualifying as free and open-source software. | 2. オープンソースソフトウェアのスチュワードは、市場監視当局の要請に応じて、フリーソフ トウェアおよびオープンソースソフトウェアとして適格とされるデジタル要素を含む製 品がもたらすサイバーセキュリティリスクを低減する目的で、市場監視当局と協力しなければ ならない。 |
| Further to a reasoned request from a market surveillance authority, open-source software stewards shall provide that authority, in a language which can be easily understood by that authority, with the documentation referred to in paragraph 1, in paper or electronic form. | 市場監視当局からの合理的な要請があった場合、オープンソースソフトウェア・スチュワードは、当該当局に、当該当局が容易に理解できる言語で、紙または電子形式で、第1項で言及された文書を提供しなければならない。 |
| 3. The obligations laid down in Article 14(1) shall apply to open-source software stewards to the extent that they are involved in the development of the products with digital elements. The obligations laid down in Article 14(3) and (8) shall apply to open-source software stewards to the extent that severe incidents having an impact on the security of products with digital elements affect network and information systems provided by the open-source software stewards for the development of such products. | 3. 第14条(1)に定める義務は、オープンソースソフトウェアのスチュワードがデジタル要素を含む製品の開発に関与する範囲において適用されるものとする。第14条(3)および(8)に定める義務は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントが、当該製品の開発のためにオープンソースソフトウェア・スチュワードが提供するネットワークと情報システムに影響を及ぼす限りにおいて、オープンソースソフトウェア・スチュワードに適用されるものとする。 |
| Article 25 Security attestation of free and open-source software | 第25条 フリー・オープンソースソフトウェアのセキュリティ認証 |
| In order to facilitate the due diligence obligation set out in Article 13(5), in particular as regards manufacturers that integrate free and open-source software components in their products with digital elements, the Commission is empowered to adopt delegated acts in accordance with Article 61 to supplement this Regulation by establishing voluntary security attestation programmes allowing the developers or users of products with digital elements qualifying as free and open-source software as well as other third parties to assess the conformity of such products with all or certain essential cybersecurity requirements or other obligations laid down in this Regulation. | 第13条(5)に定めるデューディリジェンス義務を促進するため、特に、デジタル要素を含む製品にフリーソフトウェアおよびオープンソースソフトウェアのコンポーネントを統合する製造事業者に関して、欧州委員会は、フリーソフトウェアおよびオープンソースソフトウェアとして適格なデジタル要素を含む製品の開発者または使用者、およびその他のサードパーティが、当該製品が本規則に定めるサイバーセキュリティの必須要件またはその他の義務のすべてまたは一部に適合していることをアセスメントできるようにする自主的なセキュリティ認証プログラムを確立することにより、本規則を補完するため、第61条に従って委任行為を採択する権限を有する。 |
| Article 26 Guidance | 第26条 ガイダンス |
| 1. In order to facilitate implementation and ensure the consistency of such implementation, the Commission shall publish guidance to assist economic operators in applying this Regulation, with a particular focus on facilitating compliance by microenterprises and small and medium-sized enterprises. | 1. 実施を容易にし、その一貫性を確保するため、欧州委員会は、経済的事業者が本規則を適用する際の助けとなるガイダンスを公表する、 特に、零細企業および中小企業による遵守を促進することに重点を置く。 |
| 2. Where it intends to provide guidance as referred to in paragraph 1, the Commission shall address at least the following aspects: | 2. 第1項にいうガイダンスを提供しようとする場合、欧州委員会は、少なくとも以下の点を取り上げなければならない: |
| (a) the scope of this Regulation, with a particular focus on remote data processing solutions and free and open-source software; | (a) 本規則の適用範囲、特に遠隔データ処理ソリューションとフリーソフトウェアおよびオープンソースソフトウェアに焦点を当てる; |
| (b) the application of support periods in relation to particular categories of products with digital elements; | (b) デジタル要素を含む製品の特定のカテゴリーに関するサポート期間の適用; |
| (c) guidance targeted at manufacturers subject to this Regulation that are also subject to Union harmonisation legislation other than this Regulation or to other related Union legal acts; | (c)本規則の対象となる製造事業者であって、本規則以外のEU調和法または他の関連EU法も適用される者を対象とするガイダンス; |
| (d) the concept of substantial modification. | (d) 実質的変更の概念。 |
| The Commission shall also maintain an easy-to-access list of the delegated and implementing acts adopted pursuant to this Regulation. | また、欧州委員会は、本規則に基づき採択された委任法および実施法のアクセスしやすいリストを維持するものとする。 |
| 3. When preparing the guidance pursuant to this Article, the Commission shall consult relevant stakeholders. | 3. 本条に基づくガイダンスを作成する際、欧州委員会は、関連する利害関係者と協議するものとする。 |
| CHAPTER III CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS | 第3章 デジタル要素を含む製品の適合性 |
| Article 27 Presumption of conformity | 第27条 適合の推定 |
| 1. Products with digital elements and processes put in place by the manufacturer which are in conformity with harmonised standards or parts thereof, the references of which have been published in the Official Journal of the European Union, shall be presumed to be in conformity with the essential cybersecurity requirements set out in Annex I covered by those standards or parts thereof. | 1. デジタル要素を含む製品および製造事業者が実施するプロセスのうち、欧州連合官報に引用文献が掲載されている整合規格またはその一部に適合しているものは、それらの規格またはその一部が対象とする附属書Iに定めるサイバーセキュリティの必須要件に適合しているものと推定される。 |
| The Commission shall, in accordance with Article 10(1) of Regulation (EU) No 1025/2012, request one or more European standardisation organisations to draft harmonised standards for the essential cybersecurity requirements set out in Annex I to this Regulation. When preparing standardisation requests for this Regulation, the Commission shall strive to take into account existing European and international standards for cybersecurity that are in place or under development in order to simplify the development of harmonised standards, in accordance with Regulation (EU) No 1025/2012. | 欧州委員会は、規則(EU)No 1025/2012第10条第1項に従い、1つまたは複数の欧州標準化団体に対し、本規則の附属書Iに定めるサイバーセキュリティの必須要件に関する整合標準のドラフトを要請するものとする。欧州委員会は、本規則の標準化要請を準備する際、規則(EU)No 1025/2012に従い、整合規格の策定を簡素化するために、策定中または開発中のサイバーセキュリティに関する既存の欧州規格および国際規格を考慮するよう努めるものとする。 |
| 2. The Commission may adopt implementing acts establishing common specifications covering technical requirements that provide a means to comply with the essential cybersecurity requirements set out in Annex I for products with digital elements that fall within the scope of this Regulation. | 2. 欧州委員会は、本規則の適用範囲に含まれるデジタル要素を含む製品について、附属書Iに定めるサイバーセキュリティの必須要件に準拠するための手段を提供する技術的要件を網羅する共通仕様を定める実施法を採択することができる。 |
| Those implementing acts shall be adopted only where the following conditions are fulfilled: | これらの実施法は、以下の条件を満たす場合にのみ採択されるものとする: |
| (a) the Commission has requested, pursuant to Article 10(1) of Regulation (EU) No 1025/2012, one or more European standardisation organisations to draft a harmonised standard for the essential cybersecurity requirements set out in Annex I and: | (a) 欧州委員会が、規則(EU) No 1025/2012の第10条(1)に従い、1つまたは複数の欧州標準化機関に対し、付属書Iに定めるサイバーセキュリティの必須要件に関する整合標準の草案を作成するよう要請している: |
| (i) the request has not been accepted; | (i) 要請が受理されていない; |
| (ii) the harmonised standards addressing that request are not delivered within the deadline set in accordance with Article 10(1) of Regulation (EU) No 1025/2012; or | (ii) 当該要請に対応する整合標準が、規則(EU)No.1025/2012の第10条(1)に従って設定された期限内に引き渡されない。 |
| (iii) the harmonised standards do not comply with the request; and | (iii) 調和標準がその要請に適合しない。 |
| (b) no reference to harmonised standards covering the relevant essential cybersecurity requirements set out in Annex I to this Regulation has been published in the Official Journal of the European Union in accordance with Regulation (EU) No 1025/2012 and no such reference is expected to be published within a reasonable period. | (b) 規則(EU)No 1025/2012に従って、本規則の附属書Ⅰに定める関連するサイバーセキュリティの必須要件をカバーする整合標準への言及が欧州連合官報に掲載されておらず、かつ、合理的な期間内にそのような言及が掲載される見込みがないこと。 |
| Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). | これらの実施法は、第62条(2)で言及される審査手続きに従って採択されるものとする。 |
| 3. Before preparing the draft implementing act referred to in paragraph 2 of this Article, the Commission shall inform the committee referred to in Article 22 of Regulation (EU) No 1025/2012 that it considers that the conditions in paragraph 2 of this Article have been fulfilled. | 3. 本条第2項にいう実施法のドラフトを作成する前に、欧州委員会は、規則(EU)No 1025/2012の第22条にいう委員会に対し、本条第2項の条件が満たされたと考える旨を通知しなければならない。 |
| 4. When preparing the draft implementing act referred to in paragraph 2, the Commission shall take into account the views of relevant bodies and shall duly consult all relevant stakeholders. | 4. 第2項にいう実施法のドラフトを作成する際、欧州委員会は、関係団体の意見を考慮し、すべての関係利害関係者と正式に協議するものとする。 |
| 5. Products with digital elements and processes put in place by the manufacturer which are in conformity with the common specifications established by implementing acts referred to in paragraph 2 of this Article, or parts thereof, shall be presumed to be in conformity with the essential cybersecurity requirements set out in Annex I covered by those common specifications or parts thereof. | 5. 製造事業者により設置されたデジタル要素を含む製品およびプロセスであって、本条第2項に言及する実施法によって策定された共通仕様またはその一部に適合するものは、当該共通仕様またはその一部が対象とする附属書Iに定めるサイバーセキュリティの必須要件に適合していると推定されるものとする。 |
| 6. Where a harmonised standard is adopted by a European standardisation organisation and proposed to the Commission for the purpose of publishing its reference in the Official Journal of the European Union, the Commission shall assess the harmonised standard in accordance with Regulation (EU) No 1025/2012. When a reference of a harmonised standard is published in the Official Journal of the European Union, the Commission shall repeal the implementing acts referred to in paragraph 2 of this Article, or parts thereof which cover the same essential cybersecurity requirements as those covered by that harmonised standard. | 6. 整合規格が欧州標準化機構によって採択され、欧州連合官報にその参照を掲載する目的で欧州委員会に提案された場合、欧州委員会は、規則(EU)No 1025/2012に従って整合規格をアセスメントするものとする。整合標準の参考文献が欧州連合の官報に掲載された場合、欧州委員会は、当該整合標準が対象とする要件と同一のサイバーセキュリティの必須要件を対象とする、本条第2項に言及する実施法またはその一部を廃止するものとする。 |
| 7. Where a Member State considers that a common specification does not entirely satisfy the essential cybersecurity requirements set out in Annex I, it shall inform the Commission thereof by submitting a detailed explanation. The Commission shall assess that detailed explanation and may, if appropriate, amend the implementing act establishing the common specification in question. | 7. 加盟国は、共通仕様が附属書Iに定めるサイバーセキュリティの必須要件を完全に満たしていないと考える場合、詳細な説明を提出することにより、その旨を欧州委員会に通知しなければならない。欧州委員会は、その詳細な説明をアセスメントし、適切であれば、当該共通仕様を定める実施法を改正することができる。 |
| 8. Products with digital elements and processes put in place by the manufacturer for which an EU statement of conformity or certificate has been issued under a European cybersecurity certification scheme adopted pursuant to Regulation (EU) 2019/881 shall be presumed to be in conformity with the essential cybersecurity requirements set out in Annex I in so far as the EU statement of conformity or European cybersecurity certificate, or parts thereof, cover those requirements. | 8. 規則(EU)2019/881に従って採択された欧州サイバーセキュリティ認証制度に基づきEU適合性宣言書または認証書が発行された製造事業者がデジタル要素を含む製品およびプロセスは、EU適合性宣言書または欧州サイバーセキュリティ認証書またはその一部がこれらの要求事項をカバーしている限りにおいて、附属書Iに定めるサイバーセキュリティ必須要求事項に適合していると推定されるものとする。 |
| 9. The Commission is empowered to adopt delegated acts in accordance with Article 61 of this Regulation to supplement this Regulation by specifying the European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 that can be used to demonstrate conformity of products with digital elements with the essential cybersecurity requirements or parts thereof as set out in Annex I to this Regulation. Furthermore, the issuance of a European cybersecurity certificate issued under such schemes, at least at assurance level ‘substantial’, eliminates the obligation of a manufacturer to carry out a third-party conformity assessment for the corresponding requirements, as set out in Article 32(2), points (a) and (b), and Article 32(3), points (a) and (b), of this Regulation. | 9. 欧州委員会は、規則(EU)2019/881に従って採用された欧州サイバーセキュリティ認証制度のうち、デジタル要素を含む製品が本規則の附属書Iに定めるサイバーセキュリティ必須要件またはその一部に適合していることを証明するために使用できるものを指定することにより、本規則を補足するために、本規則第61条に従って委任法を採択する権限を有する。さらに、このような制度に基づいて発行された欧州サイバーセキュリティ証明書を、少なくとも保証レベル「相当」で発行することにより、製造事業者は、本規則第32条(2)の(a)項および(b)項、ならびに第32条(3)の(a)項および(b)項に定める、対応する要求事項に対するサードパーティによる適合性評価を実施する義務を免れる。 |
| Article 28 EU declaration of conformity | 第28条 EU適合宣言 |
| 1. The EU declaration of conformity shall be drawn up by manufacturers in accordance with Article 13(12) and state that the fulfilment of the applicable essential cybersecurity requirements set out in Annex I has been demonstrated. | 1. EU適合宣言書は、製造事業者が第13条(12)に従って作成し、附属書Ⅰに定める該当するサイバーセキュリティ必須要件の充足が実証されたことを記載するものとする。 |
| 2. The EU declaration of conformity shall have the model structure set out in Annex V and shall contain the elements specified in the relevant conformity assessment procedures set out in Annex VIII. Such a declaration shall be updated as appropriate. It shall be made available in the languages required by the Member State in which the product with digital elements is placed on the market or made available on the market. | 2. EU適合宣言は、附属書Vに定めるモデル構造を有し、附属書VIIIに定める関連する適合性アセスメント手続に定める要素を含むものとする。このような宣言は、適宜更新されなければならない。デジタル要素を含む製品が上市される、または市場で入手可能となる加盟国が要求する言語で利用できるようにしなければならない。 |
| The simplified EU declaration of conformity referred to in Article 13(20) shall have the model structure set out in Annex VI. It shall be made available in the languages required by the Member State in which the product with digital elements is placed on the market or made available on the market. | 第13条(20)で言及される簡易EU適合宣言書は、附属書VIに定めるモデル構造を有するものとする。それは、デジタル要素を含む製品が上市され、または市場で入手可能となる加盟国が要求する言語で利用可能としなければならない。 |
| 3. Where a product with digital elements is subject to more than one Union legal act requiring an EU declaration of conformity, a single EU declaration of conformity shall be drawn up in respect of all such Union legal acts. That declaration shall contain the identification of the Union legal acts concerned, including their publication references. | 3. デジタル要素を含む製品が、EU適合性宣言を必要とする複数のEU法規制の対象となる場合、そのようなすべてのEU法規制に関して単一のEU適合性宣言を作成しなければならない。その宣言書には、発行文献を含め、関係するEU法の識別情報を記載しなければならない。 |
| 4. By drawing up the EU declaration of conformity, the manufacturer shall assume responsibility for the compliance of the product with digital elements. | 4. EU適合宣言書を作成することにより、製造事業者は、デジタル要素を含む製品の適合に対する責任を負うものとする。 |
| 5. The Commission is empowered to adopt delegated acts in accordance with Article 61 to supplement this Regulation by adding elements to the minimum content of the EU declaration of conformity set out in Annex V to take account of technological developments. | 5. 欧州委員会は、第61条に従い、附属書Vに定めるEU適合宣言の最小限の内容に、技術開発を考慮した要素を追加することにより、本規則を補足する委任法を採択する権限を有する。 |
| Article 29 General principles of the CE marking | 第29条 CEマーキングの一般原則 |
| The CE marking shall be subject to the general principles set out in Article 30 of Regulation (EC) No 765/2008. | CEマーキングは、規則(EC)No 765/2008第30条に定める一般原則に従うものとする。 |
| Article 30 Rules and conditions for affixing the CE marking | 第30条 CEマーキングの貼付に関する規則及び条件 |
| 1. The CE marking shall be affixed visibly, legibly and indelibly to the product with digital elements. Where that is not possible or not warranted on account of the nature of the product with digital elements, it shall be affixed to the packaging and to the EU declaration of conformity referred to in Article 28 accompanying the product with digital elements. For products with digital elements which are in the form of software, the CE marking shall be affixed either to the EU declaration of conformity referred to in Article 28 or on the website accompanying the software product. In the latter case, the relevant section of the website shall be easily and directly accessible to consumers. | 1. CEマーキングは、デジタル要素を含む製品に、見やすく、読みやすく、消えないように貼付しなければならない。デジタル要素を含む製品の性質上、それが不可能または保証されない場合は、包装およびデジタル要素を含む製品に付属する第28条のEU適合宣言書に貼付するものとする。デジタル要素を含む製品がソフトウェアの形態である場合、CEマーキングは、第28条のEU適合宣言書またはソフトウェア製品に付随するウェブサイトのいずれかに付さなければならない。後者の場合、ウェブサイトの関連セクションは、消費者が容易かつ直接アクセスできるものでなければならない。 |
| 2. On account of the nature of the product with digital elements, the height of the CE marking affixed to the product with digital elements may be lower than 5 mm, provided that it remains visible and legible. | 2. デジタル要素を含む製品の性質上、デジタル要素を含む製品に貼付されるCEマーキングの高さは、視認性および判読性が維持される限り、5mm以下とすることができる。 |
| 3. The CE marking shall be affixed before the product with digital elements is placed on the market. It may be followed by a pictogram or any other mark indicating a special cybersecurity risk or use set out in the implementing acts referred to in paragraph 6. | 3. CEマーキングは、デジタル要素を含む製品が上市される前に貼付しなければならない。CE マークには、ピクトグラム、または第 6 項で言及される実施法に規定される特別なサイバーセキュリティリスクもしくは用途を示すその他のマークを付すことができる。 |
| 4. The CE marking shall be followed by the identification number of the notified body, where that body is involved in the conformity assessment procedure based on full quality assurance (based on module H) referred to in Article 32. | 4. 被認証団体が第 32 条にいう完全品質保証(モジュール H に基づく)に基づく適合性評価手 続きに関与している場合、CE マーキングの後に被認証団体の識別番号を付さなければならない。 |
| The identification number of the notified body shall be affixed by the body itself or, under its instructions, by the manufacturer or the manufacturer’s authorised representative. | 被認定団体の識別番号は、被認定団体自身又はその指示に基づき製造事業者若しくはその代表者が付すものとする。 |
| 5. Member States shall build upon existing mechanisms to ensure correct application of the regime governing the CE marking and shall take appropriate action in the event of improper use of that marking. Where the product with digital elements is subject to Union harmonisation legislation, other than this Regulation, which also provides for the affixing of the CE marking, the CE marking shall indicate that the product also fulfils the requirements set out in such other Union harmonisation legislation. | 5. 加盟国は、CEマーキングを管理する制度の正しい適用を確保するための既存のガバナンスを基礎とし、当該マーキングの不適切な使用があった場合には、適切な措置を講じなければならない。デジタル要素を含む製品が、CEマーキングの貼付を規定する本規則以外のEU調和法の適用を受ける場合、CEマーキングは、当該製品が当該他のEU調和法に定める要件も満たすことを示すものとする。 |
| 6. The Commission may, by means of implementing acts, lay down technical specifications for labels, pictograms or any other marks related to the security of the products with digital elements, their support periods and mechanisms to promote their use and to increase public awareness about the security of products with digital elements. When preparing the draft implementing acts, the Commission shall consult relevant stakeholders, and, if it has already been established pursuant to Article 52(15), ADCO. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). | 6. 欧州委員会は、施行法によって、デジタル要素を含む製品のセキュリティに関するラベル、ピクトグラム、その他のマーク、それらのサポート期間、それらの使用を促進し、デジタル要素を含む製品のセキュリティに関する国民の意識を高めるための仕組みに関する技術仕様を定めることができる。実施法のドラフトを作成する際、欧州委員会は、関連する利害関係者、および第52条15項に従ってすでにADCOが設立されている場合には、ADCOと協議するものとする。これらの実施法は、第62条(2)に規定される審査手続に従って採択されるものとする。 |
| Article 31 Technical documentation | 第31条 技術文書 |
| 1. The technical documentation shall contain all relevant data or details of the means used by the manufacturer to ensure that the product with digital elements and the processes put in place by the manufacturer comply with the essential cybersecurity requirements set out in Annex I. It shall at least contain the elements set out in Annex VII. | 1. 技術文書には、デジタル要素を含む製品及び製造者が実施するプロセスが附属書Ⅰに定めるサイバーセキュリティの必須要件に準拠していることを保証するために製造者が使用した手段のすべての関連データ又は詳細を含まなければならない。 |
| 2. The technical documentation shall be drawn up before the product with digital elements is placed on the market and shall be continuously updated, where appropriate, at least during the support period. | 2. 技術文書は,デジタル要素を含む製品が上市される前に作成され,少なくともサポート期間中,必要に応じて継続的に更新されなければならない。 |
| 3. For products with digital elements as referred to in Article 12, which are also subject to other Union legal acts which provide for technical documentation, a single set of technical documentation shall be drawn up containing the information referred to in Annex VII and the information required by those Union legal acts. | 3. 第12条のデジタル要素を含む製品で,技術文書を規定する他のEU法も適用されるものについては,附属書VIIの情報及びこれらのEU法が要求する情報を含む一組の技術文書を作成しなければならない。 |
| 4. The technical documentation and correspondence relating to any conformity assessment procedure shall be drawn up in an official language of the Member State in which the notified body is established or in a language acceptable to that body. | 4. 適合性評価手順に関連する技術文書及び通信は,被認定団体が設立されている加盟国の公用語又は被認定 団体が許容する言語で作成しなければならない。 |
| 5. The Commission is empowered to adopt delegated acts in accordance with Article 61 to supplement this Regulation by adding elements to be included in the technical documentation set out in Annex VII to take account of technological developments, as well as developments encountered in the implementation process of this Regulation. To that end, the Commission shall strive to ensure that the administrative burden on microenterprises and small and medium-sized enterprises is proportionate. | 5. 欧州委員会は、第61条に従い、技術的発展及びこの規則の実施過程で遭遇する発展を考慮し、附属書VIIに定める技術文書に含めるべき要素を追加することにより、この規則を補足する委任法を採択する権限を有する。そのために、欧州委員会は、零細企業および中小企業の事務負担が釣り合うように努めなければならない。 |
| Article 32 Conformity assessment procedures for products with digital elements | 第32条 デジタル要素を含む製品の適合性評価手続き |
| 1. The manufacturer shall perform a conformity assessment of the product with digital elements and the processes put in place by the manufacturer to determine whether the essential cybersecurity requirements set out in Annex I are met. The manufacturer shall demonstrate conformity with the essential cybersecurity requirements by using any of the following procedures: | 1. 製造事業者は、デジタル要素を含む製品および製造事業者が実施するプロセスについて適合性評価を実施し、附属書Iに定めるサイバーセキュリティの必須要件が満たされているかどうかを判断しなければならない。製造事業者は、以下の手順のいずれかを用いて、サイバーセキュリティの必須要件への適合性を実証しなければならない: |
| (a) the internal control procedure (based on module A) set out in Annex VIII; | (a) 附属書 VIII に定める内部管理手順(モジュール A に基づく); |
| (b) the EU-type examination procedure (based on module B) set out in Annex VIII followed by conformity to EU-type based on internal production control (based on module C) set out in Annex VIII; | (b) 附属書 VIII に定める EU タイプの審査手順(モジュール B に基づく)に続き、附属書 VIII に定める内部製造管理(モジュール C に基づく)に基づく EU タイプへの適合; |
| (c) a conformity assessment based on full quality assurance (based on module H) set out in Annex VIII; or | (c) 附属書 VIII に定める完全品質保証に基づく適合性評価(モジュール H に基づく)。 |
| (d) where available and applicable, a European cybersecurity certification scheme pursuant to Article 27(9). | (d) 利用可能で適用可能な場合は、第 27 条(9)に基づく欧州サイバーセキュリティ認証スキーム。 |
| 2. Where, in assessing the compliance of an important product with digital elements that falls under class I as set out in Annex III and the processes put in place by its manufacturer with the essential cybersecurity requirements set out in Annex I, the manufacturer has not applied or has applied only in part harmonised standards, common specifications or European cybersecurity certification schemes at assurance level at least ‘substantial’ as referred to in Article 27, or where such harmonised standards, common specifications or European cybersecurity certification schemes do not exist, the product with digital elements concerned and the processes put in place by the manufacturer shall be submitted with regard to those essential cybersecurity requirements to either of the following procedures: | 2. 附属書Ⅲに定めるクラスⅠに該当するデジタル要素を含む重要な製品及びその製造事業者が実施するプロセスが、附属書Ⅰに定めるサイバーセキュリティの必須要件に適合していることをアセスメントする際に、製造事業者が、第27条にいう保証レベル「実質的」以上の整合規格、共通仕様又は欧州サイバーセキュリティ認証制度を適用していないか、一部しか適用していない場合、 または、そのような整合規格、共通仕様書または欧州サイバーセキュリティ認証制度が存在しない場合、当該デジタル要素を含む製品および製造事業者が実施するプロセスは、それらのサイバーセキュリティ必須要件に関して、以下のいずれかの手続に提出されるものとする: |
| (a) the EU-type examination procedure (based on module B) set out in Annex VIII followed by conformity to EU-type based on internal production control (based on module C) set out in Annex VIII; or | (a) 附属書 VIII に定める EU タイプの審査手順(モジュール B に基づく)、続いて附属書 VIII に定める内部生産管理に基づく EU タイプへの適合(モジュール C に基づく)。 |
| (b) a conformity assessment based on full quality assurance (based on module H) set out in Annex VIII. | (b) 附属書 VIII に定める完全品質保証に基づく適合性評価(モジュール H に基づく)。 |
| 3. Where the product is an important product with digital elements that falls under class II as set out in Annex III, the manufacturer shall demonstrate conformity with the essential cybersecurity requirements set out in Annex I by using any of the following procedures: | 3. 製品がデジタル要素を含む重要な製品であり、附属書Ⅲに定めるクラスⅡに該当する場合、製造事業者は、以下のいずれかの手順を用いて、附属書Ⅰに定めるサイバーセキュリティの必須要件への適合性を実証しなければならない: |
| (a) EU-type examination procedure (based on module B) set out in Annex VIII followed by conformity to EU-type based on internal production control (based on module C) set out in Annex VIII; | (a) 附属書 VIII に定める EU タイプの審査手順(モジュール B に基づく)、続いて附属書 VIII に定める内部製造管理に基づく EU タイプへの適合(モジュール C に基づく); |
| (b) a conformity assessment based on full quality assurance (based on module H) set out in Annex VIII; or | (b) 附属書 VIII に定める完全品質保証(モジュール H に基づく)に基づく適合性審査。 |
| (c) where available and applicable, a European cybersecurity certification scheme pursuant to Article 27(9) of this Regulation at assurance level at least ‘substantial’ pursuant to Regulation (EU) 2019/881. | (c) 利用可能で適用可能な場合,規則(EU) 2019/881 に従い,少なくとも「実質的」な保証レベルで,本規則第 27 条(9)に従った欧州サイバーセキュリティ認証スキーム。 |
| 4. Critical products with digital elements listed in Annex IV shall demonstrate conformity with the essential cybersecurity requirements set out in Annex I by using one of the following procedures: | 4. 附属書Ⅳに記載されたデジタル要素を含む重要製品は、以下の手順のいずれかを用いて、附属書Ⅰに定めるサイバーセキュリティ必須要件への適合を実証しなければならない: |
| (a) a European cybersecurity certification scheme in accordance with Article 8(1); or | (a) 第 8 条(1)に従った欧州のサイバーセキュリティ認証スキーム。 |
| (b) where the conditions in Article 8(1) are not met, any of the procedures referred to in paragraph 3 of this Article. | (b) 第 8 条(1)の条件を満たさない場合、本条第 3 項で言及される手続のいずれか。 |
| 5. Manufacturers of products with digital elements qualifying as free and open-source software, which fall under the categories set out in Annex III, shall be able to demonstrate conformity with the essential cybersecurity requirements set out in Annex I by using one of the procedures referred to in paragraph 1 of this Article, provided that the technical documentation referred to in Article 31 is made available to the public at the time of the placing on the market of those products. | 5. 附属書 III に定めるカテゴリーに該当するフリー・オープンソースソフトウェアとして適格なデジタル要素を含む製品の製造事業者は、附属書 I に定めるサイバーセキュリティの必須要件に適合していることを、本条第 1 項に定める手続のいずれかを用いて証明することができるものとする。ただし、当該製品の市場での上市時に第 31 条に定める技術文書が一般に入手可能であることを条件とする。 |
| 6. The specific interests and needs of microenterprises and small and medium-sized enterprises, including start-ups, shall be taken into account when setting the fees for conformity assessment procedures and those fees shall be reduced proportionately to their specific interests and needs. | 6. 適合性評価手続の手数料を設定する際には、零細企業及び中小企業(新興企業を含む)の特定の利益及びニーズを考慮しなければならず、また、それらの手数料は、それらの特定の利益及びニーズに比例して減額されなければならない。 |
| Article 33 Support measures for microenterprises and small and medium-sized enterprises, including start-ups | 第33条 新興企業を含む零細企業及び中小企業に対する支援措置 |
| 1. Member States shall, where appropriate, undertake the following actions, tailored to the needs of microenterprises and small enterprises: | 1. 加盟国は、適切な場合、零細企業及び中小企業のニーズに合わせて、次の措置を講じるものとする: |
| (a) organise specific awareness-raising and training activities about the application of this Regulation; | (a) 本規則の適用に関する特定の意識向上およびトレーニング活動を組織する; |
| (b) establish a dedicated channel for communication with microenterprises and small enterprises and, as appropriate, local public authorities to provide advice and respond to queries about the implementation of this Regulation; | (b) 零細企業及び小規模企業並びに必要に応じて地方公共団体とのコミュニケーションのための専用チャネルを確立し、本規則の実施に関する助言及び問い合わせに対応する; |
| (c) support testing and conformity assessment activities, including where relevant with the support of the European Cybersecurity Competence Centre. | (c) 関連する場合には、欧州サイバーセキュリティ・コンピテンス・センターの支援を受けることを含め、試験及び適合性評価活動を支援する。 |
| 2. Member States may, where appropriate, establish cyber resilience regulatory sandboxes. Such regulatory sandboxes shall provide for controlled testing environments for innovative products with digital elements to facilitate their development, design, validation and testing for the purpose of complying with this Regulation for a limited period of time before the placing on the market. The Commission and, where appropriate, ENISA, may provide technical support, advice and tools for the establishment and operation of regulatory sandboxes. The regulatory sandboxes shall be set up under the direct supervision, guidance and support by the market surveillance authorities. Member States shall inform the Commission and the other market surveillance authorities of the establishment of a regulatory sandbox through ADCO. The regulatory sandboxes shall not affect the supervisory and corrective powers of the competent authorities. Member States shall ensure open, fair, and transparent access to regulatory sandboxes, and in particular facilitate access by microenterprises and small enterprises, including start-ups. | 2. 加盟国は、必要に応じて、サイバーレジリエンス規制のサンドボックスを設置することができる。このような規制上のサンドボックスは、デジタル要素を含む革新的製品の開発、設計、妥当性確認、試験を容易にするため、上市までの限られた期間、管理された試験環境を提供するものとする。欧州委員会および必要に応じてENISAは、規制当局用サンドボックスの設置および運用のための技術支援、助言、ツールを提供することができる。規制のサンドボックスは、市場監視当局による直接的な監督、指導、支援の下に設置されるものとする。加盟国は、ADCOを通じて、欧州委員会および他の市場監視当局に、規制のサンドボックスの設置を通知しなければならない。規制のサンドボックスは、認可当局の監督・是正権限に影響を与えるものではない。加盟国は、規制のサンドボックスへのオープンで公正かつ透明なアクセスを確保し、特に、新興企業を含む零細企業や小規模企業のアクセスを促進するものとする。 |
| 3. In accordance with Article 26, the Commission shall provide guidance for microenterprises and small and medium-sized enterprises in relation to the implementation of this Regulation. | 3. 第26条に従い、欧州委員会は、零細企業および中小企業に対し、本規則の実施に関するガイダンスを提供する。 |
| 4. The Commission shall advertise available financial support in the regulatory framework of existing Union programmes, in particular in order to ease the financial burden on microenterprises and small enterprises. | 4. 欧州委員会は、特に零細企業および小規模企業の経済的負担を軽減するために、既存の欧州連合のプログラムの規制枠組みの中で、利用可能な財政支援を宣伝するものとする。 |
| 5. Microenterprises and small enterprises may provide all elements of the technical documentation specified in Annex VII by using a simplified format. For that purpose, the Commission shall, by means of implementing acts, specify the simplified technical documentation form targeted at the needs of microenterprises and small enterprises, including how the elements set out in Annex VII are to be provided. Where a microenterprise or small enterprise opts to provide the information set out in Annex VII in a simplified manner, it shall use the form referred to in this paragraph. Notified bodies shall accept that form for the purposes of conformity assessment. | 5. 零細企業および小規模企業は、附属書VIIに規定された技術文書のすべての要素を、簡略化された書式を用いて提供することができる。そのために、欧州委員会は、施行法によって、附属書VIIに規定された要素をどのように提供するかを含め、零細企業及び小規模企業のニーズを対象とした簡易な技術文書の様式を規定しなければならない。零細企業又は小規模企業が附属書 VII に定める情報を簡易な方法で提供することを選択した場合,当該企業は,本項で言及する様式を使用しなければならない。被認定団体は,適合性評価のためにその様式を受け入れなければならない。 |
| Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). | これらの実施法は,第62条(2)にいう審査手続に従って採択されなければならない。 |
| Article 34 Mutual recognition agreements | 第34条 相互承認協定 |
| Taking into account the level of technical development and the approach on conformity assessment of a third country, the Union may conclude Mutual Recognition Agreements with third countries, in accordance with Article 218 TFEU, in order to promote and facilitate international trade. | 第三国の技術開発水準及び適合性評価に関する考え方を考慮して、EUは、国際貿易を促進及び円滑化するために、TFEU第218条に従って、第三国と相互承認協定を締結することができる。 |
| CHAPTER IV NOTIFICATION OF CONFORMITY ASSESSMENT BODIES | 第4章 適合性評価団体の届出 |
| Article 35 Notification | 第35条 届出 |
| 1. Member States shall notify the Commission and the other Member States of bodies authorised to carry out conformity assessments in accordance with this Regulation. | 1. 加盟国は、この規則に従って適合性評価を実施する権限を有する団体を欧州委員会及び他の加盟国に通知するものとする。 |
| 2. Member States shall strive to ensure, by 11 December 2026 that there is a sufficient number of notified bodies in the Union to carry out conformity assessments, in order to avoid bottlenecks and hindrances to market entry. | 2. 加盟国は、2026年12月11日までに、ボトルネック及び市場参入の妨げを回避するため、適合性評価を実施するのに十分な数の被認定団体が域内に存在することを確保するよう努めなければならない。 |
| Article 36 Notifying authorities | 第36条 認定機関 |
| 1. Each Member State shall designate a notifying authority that shall be responsible for setting up and carrying out the necessary procedures for the assessment, designation and notification of conformity assessment bodies and their monitoring, including compliance with Article 41. | 1. 各加盟国は、第41条の遵守を含め、適合性評価団体のアセスメント、指定及び届出並びにその監視のために必要な手続の設定及び実施に責任を負う被認証機関を認可する。 |
| 2. Member States may decide that the assessment and monitoring referred to in paragraph 1 shall be carried out by a national accreditation body within the meaning of and in accordance with Regulation (EC) No 765/2008. | 2. 加盟国は、第 1 項で言及されるアセスメント及びモニタリングを、規則(EC)No 765/2008 の意味において、かつ、規則(EC)No 765/2008 に従って、国家認定機関が実施することを決定することができる。 |
| 3. Where the notifying authority delegates or otherwise entrusts the assessment, notification or monitoring referred to in paragraph 1 of this Article to a body which is not a governmental entity, that body shall be a legal entity and shall comply mutatis mutandis with Article 37. In addition, it shall have arrangements in place to cover liabilities arising from its activities. | 3. 被認定団体が本条第 1 項のアセスメント,通知又は監視を政府機関でない団体に委任する場 合,当該団体は法人でなければならず,第 37 条を準用しなければならない。さらに、当該団体は、その活動から生じる責任をカバーするための取決めを行わなければならない。 |
| 4. The notifying authority shall take full responsibility for the tasks performed by the body referred to in paragraph 3. | 4. 被認定団体は、第 3 項の団体が行う業務について全責任を負うものとする。 |
| Article 37 Requirements relating to notifying authorities | 第37条 認定機関に関する要件 |
| 1. A notifying authority shall be established in such a way that no conflict of interest with conformity assessment bodies occurs. | 1. 認定機関は,適合性評価団体との利害の対立が生じないように設立しなければならない。 |
| 2. A notifying authority shall be organised and shall function so as to safeguard the objectivity and impartiality of its activities. | 2. 認定機関は,その活動の客観性及び公平性を保護するように組織され,機能しなければならない。 |
| 3. A notifying authority shall be organised in such a way that each decision relating to notification of a conformity assessment body is taken by competent persons different from those who carried out the assessment. | 3. 認定機関は,適合性評価団体の届出に関連する各決定が,審査を実施した者とは異なる権限のある者によって行われるように組織されなければならない。 |
| 4. A notifying authority shall not offer or provide any activities that conformity assessment bodies perform or consultancy services on commercial or competitive basis. | 4. 認定機関は,適合性評価団体が行う活動又はコンサルタント業務を商業ベース又は競争ベースで提供し てはならない。 |
| 5. A notifying authority shall safeguard the confidentiality of the information it obtains. | 5. 認定機関は,入手した情報の秘密を守らなければならない。 |
| 6. A notifying authority shall have a sufficient number of competent personnel at its disposal for the proper performance of its tasks. | 6. 認定機関は,その業務を適切に遂行するために,十分な数の有能な要員を自由に利用できる状態に置かなければならない。 |
| Article 38 Information obligation on notifying authorities | 第38条 認定機関の情報義務 |
| 1. Member States shall inform the Commission of their procedures for the assessment and notification of conformity assessment bodies and the monitoring of notified bodies, and of any changes thereto. | 1. 加盟国は、適合性評価団体のアセスメント及び届出、並びに被認定団体の監視に関する自国の手続き、並びにその変更について、欧州委員会に報告しなければならない。 |
| 2. The Commission shall make the information referred to in paragraph 1 publicly available. | 2. 欧州委員会は、第1項の情報を公開しなければならない。 |
| Article 39 Requirements relating to notified bodies | 第39条 被認証団体に関する要求事項 |
| 1. For the purposes of notification, a conformity assessment body shall meet the requirements laid down in paragraphs 2 to 12. | 1. 適合性評価団体は、届出のために、第2項から第12項までに定める要件を満たさなければならない。 |
| 2. A conformity assessment body shall be established under national law and have legal personality. | 2. 適合性評価団体は、国内法に基づいて設立され、法人格を有しなければならない。 |
| 3. A conformity assessment body shall be a third-party body independent of the organisation or the product with digital elements it assesses. | 3. 適合性評価機関は、評価する団体又はデジタル要素を含む製品から独立したサードパーティでなければならない。 |
| A body belonging to a business association or professional federation representing undertakings involved in the design, development, production, provision, assembly, use or maintenance of products with digital elements which it assesses, may, on condition that its independence and the absence of any conflict of interest are demonstrated, be considered to be such a third-party body. | 審査するデジタル要素を含む製品の設計、開発、生産、提供、組立、使用又は保守に関与する事業者を代表する事業者団体又は専門家連盟に属する団体は、その独立性及び利害の対立がないことを証明することを条件に、そのようなサードパーティ機関とみなすことができる。 |
| 4. A conformity assessment body, its top level management and the personnel responsible for carrying out the conformity assessment tasks shall not be the designer, developer, manufacturer, supplier, importer, distributor, installer, purchaser, owner, user or maintainer of the products with digital elements which they assess, nor the authorised representative of any of those parties. This shall not preclude the use of assessed products that are necessary for the operations of the conformity assessment body or the use of such products for personal purposes. | 4. 適合性評価団体、そのトップレベルの管理者及び適合性評価業務の実施に責任を負う要員は、その評価するデジタル要素を含む製品の設計者、開発者、製造事業者、供給者、輸入事業者、頒布事業者、設置者、購入者、所有者、使用者又は保守者であってはならず、また、これらの者の公認代表者であってはならない。これは、適合性評価団体の業務に必要なアセスメント製品の使用、または個人的な目的での当該製品の使用を妨げるものではない。 |
| A conformity assessment body, its top level management and the personnel responsible for carrying out the conformity assessment tasks shall not be directly involved in the design, development, production, import, distribution, the marketing, installation, use or maintenance of the products with digital elements which they assess, or represent the parties engaged in those activities. They shall not engage in any activity that may conflict with their independence of judgement or integrity in relation to conformity assessment activities for which they are notified. This shall in particular apply to consultancy services. | 適合性評価機関、そのトップレベルの管理者及び適合性評価業務の実施に責任を負う要員は、評価するデジタル要素を含む製品の設計、開発、生産、輸入、流通、販売、設置、使用又は保守に直接関与してはならず、又はこれらの活動に従事する当事者を代表してはならない。また,通知された適合性アセスメント活動に関連して,その判断の独立性又は完全性に抵触す る可能性のあるいかなる活動にも従事してはならない。これは特にコンサルタント業務に適用される。 |
| Conformity assessment bodies shall ensure that the activities of their subsidiaries or subcontractors do not affect the confidentiality, objectivity or impartiality of their conformity assessment activities. | 適合性評価団体は、その子会社又は下請業者の活動が、適合性評価活動の機密性、客観性又は公平性に影響を及ぼさないようにしなければならない。 |
| 5. Conformity assessment bodies and their personnel shall carry out the conformity assessment activities with the highest degree of professional integrity and the requisite technical competence in the specific field and shall be free from all pressures and inducements, particularly financial, which might influence their judgement or the results of their conformity assessment activities, especially as regards persons or groups of persons with an interest in the results of those activities. | 5. 適合性評価団体及びその要員は、最高度の専門的誠実さ及び特定分野における必要な技術的能力をもって適合性評価活動を実施しなければならず、また、特にその活動の結果に利害関係を有する個人又は集団に関して、その判断又は適合性評価活動の結果に影響を及ぼす可能性のあるあらゆる圧力及び誘因、特に金銭的な圧力及び誘因から自由でなければならない。 |
| 6. A conformity assessment body shall be capable of carrying out all the conformity assessment tasks referred to in Annex VIII and in relation to which it has been notified, regardless of whether those tasks are carried out by the conformity assessment body itself or on its behalf and under its responsibility. | 6. 適合性評価団体は、附属書 VIII に規定され、かつ、その団体が被認定団体として通知され ているすべての適合性評価業務を、その業務が適合性評価団体自身によって実施されるか、 又は適合性評価団体に代わってその責任の下で実施されるかにかかわらず、実施することができな ければならない。 |
| At all times and for each conformity assessment procedure and each kind or category of products with digital elements in relation to which it has been notified, a conformity assessment body shall have at its disposal the necessary: | 適合性評価機関は,常に,各適合性評価手順及び被認定団体が通知されたデジタル要素を含む製品の種類又はカテゴリーごとに,必要なものを自由に利用できるようにしておかなければならない: |
| (a) personnel with technical knowledge and sufficient and appropriate experience to perform the conformity assessment tasks; | (a) 適合性評価業務を実施するための技術的知識及び十分かつ適切な経験を有する要員; |
| (b) descriptions of procedures in accordance with which conformity assessment is to be carried out, ensuring the transparency of and ability to reproduce those procedures. It shall have appropriate policies and procedures in place that distinguish between tasks it carries out as a notified body and other activities; | (b) 適合性評価が実施される手順の記述であって、その手順の透明性及び再現性を確保するもの。被認証団体として実施する業務とその他の業務を区別する適切な方針及び手順を備えていなければならない; |
| (c) procedures for the performance of activities which take due account of the size of an undertaking, the sector in which it operates, its structure, the degree of complexity of the product technology in question and the mass or serial nature of the production process. | (c) 事業の規模、事業を営む部門、その構造、問題となっている製品技術の複雑さの程度、生産工程の大量性または連続性を十分に考慮した活動の実施手順。 |
| A conformity assessment body shall have the means necessary to perform the technical and administrative tasks connected with the conformity assessment activities in an appropriate manner and shall have access to all necessary equipment or facilities. | 適合性評価機関は,適合性評価活動に関連する技術的及び管理的業務を適切な方法で実施するために必要な手段を有し,かつ,すべての必要な機器又は設備を利用することができなければならない。 |
| 7. The personnel responsible for carrying out conformity assessment activities shall have the following: | 7. 適合性評価活動の実施に責任を負う要員は,次のものを備えていなければならない: |
| (a) sound technical and vocational training covering all the conformity assessment activities in relation to which the conformity assessment body has been notified; | (a) 適合性評価団体が被認定団体であるすべての適合性評価活動を網羅する健全な技術的及び職業的訓練; |
| (b) satisfactory knowledge of the requirements of the assessments they carry out and adequate authority to carry out those assessments; | (b) 実施するアセスメントの要件に関する十分な知識及びそれらのアセスメントを実施するための適切な認可; |
| (c) appropriate knowledge and understanding of the essential cybersecurity requirements set out in Annex I, of the applicable harmonised standards and common specifications, and of the relevant provisions of Union harmonisation legislation and implementing acts; | (c) 附属書Ⅰに定めるサイバーセキュリティの必須要件、適用される整合標準及び共通仕様、並びにEUの整合化法及び実施法の関連規定に関する適切な知識及び理解; |
| (d) the ability to draw up certificates, records and reports demonstrating that assessments have been carried out. | (d) アセスメントが実施されたことを証明する証明書、記録、報告書を作成する能力。 |
| 8. The impartiality of the conformity assessment bodies, their top level management and of the assessment personnel shall be guaranteed. | 8. 適合性評価団体、そのトップレベル管理者及び審査担当者の公平性を保証しなければならない。 |
| The remuneration of the top level management and assessment personnel of a conformity assessment body shall not depend on the number of assessments carried out or on the results of those assessments. | 適合性評価団体のトップレベル管理者及びアセスメント要員の報酬は、実施されたアセスメントの数又はアセスメントの結果に依存してはならない。 |
| 9. Conformity assessment bodies shall take out liability insurance unless liability is assumed by their Member State in accordance with national law, or the Member State itself is directly responsible for the conformity assessment. | 9. 適合性評価団体は、国内法に従って加盟国が責任を負う場合又は加盟国自身が適合性評価に直接責任を負う場合を除き、賠償責任保険に加入しなければならない。 |
| 10. The personnel of a conformity assessment body shall observe professional secrecy with regard to all information obtained in carrying out their tasks under Annex VIII or any provision of national law giving effect to it, except in relation to the market surveillance authorities of the Member State in which its activities are carried out. Proprietary rights shall be protected. The conformity assessment body shall have documented procedures ensuring compliance with this paragraph. | 10. 適合性評価機関の職員は,その活動が実施される加盟国の市場監視当局との関係を除き,附属書 VIII 又はこれに効力を及ぼす国内法の規定に基づく業務の実施において入手したすべての情報について,職業上の秘密を守らなければならない。防御権を保護しなければならない。適合性アセスメント団体は、本項の遵守を確保するための文書化された手順を持たなければならない。 |
| 11. Conformity assessment bodies shall participate in, or ensure that their assessment personnel are informed of, the relevant standardisation activities and the activities of the notified body coordination group established under Article 51 and apply as general guidance the administrative decisions and documents produced as a result of the work of that group. | 11. 適合性評価団体は、関連する標準化活動及び第 51 条に基づき設立された被認証団体調整グループの活動に参加し、又はその評価要員に周知させ、かつ、当該グループの作業の結果として作成された行政上の決定及び文書を一般的指針として適用しなければならない。 |
| 12. Conformity assessment bodies shall operate in accordance with a set of consistent, fair, proportionate and reasonable terms and conditions, while avoiding unnecessary burden for economic operators, in particular taking into account the interests of microenterprises and small and medium-sized enterprises in relation to fees. | 12. 適合性評価団体は、経済的事業者の不必要な負担を避けつつ、特に手数料に関して零細企業及び中小企業の利益を考慮し、一貫性のある、公正、比例的かつ合理的な一連の条件に従って運営されなければならない。 |
| Article 40 Presumption of conformity of notified bodies | 第40条 被認定団体の適合性の推定 |
| Where a conformity assessment body demonstrates its conformity with the criteria laid down in the relevant harmonised standards or parts thereof the references of which have been published in the Official Journal of the European Union it shall be presumed to comply with the requirements set out in Article 39 in so far as the applicable harmonised standards cover those requirements. | 適合性アセスメント機関が、欧州連合官報に引用文献が掲載された関連する整合標準又はその一部に規定された規準に適合していることを証明する場合、適用される整合標準がこれらの要求事項をカバーしている限りにおいて、第39条に規定する要求事項に適合しているものと推定される。 |
| Article 41 Subsidiaries of and subcontracting by notified bodies | 第41条 被認定団体の子会社及び被認定団体による下請け業務 |
| 1. Where a notified body subcontracts specific tasks connected with conformity assessment or has recourse to a subsidiary, it shall ensure that the subcontractor or the subsidiary meets the requirements set out in Article 39 and shall inform the notifying authority accordingly. | 1. 被認証団体が適合性審査に関連する特定の業務を外注する場合又は子会社に依頼する場合,その外注先又は子会社は,第39条に規定する要求事項を満たすことを確実なものとし,それに従って認定機関に通知しなければならない。 |
| 2. Notified bodies shall take full responsibility for the tasks performed by subcontractors or subsidiaries wherever they are established. | 2. 被認定団体は,下請業者又は子会社が設立されている場合には,その子会社が行う業務に対 して全責任を負わなければならない。 |
| 3. Activities may be subcontracted or carried out by a subsidiary only with the agreement of the manufacturer. | 3. 製造事業者の同意がある場合に限り、業務を下請け又は子会社に委託することができる。 |
| 4. Notified bodies shall keep at the disposal of the notifying authority the relevant documents concerning the assessment of the qualifications of the subcontractor or the subsidiary and the work carried out by them under this Regulation. | 4. 被認定団体は,下請業者又は子会社の資格のアセスメント及び本規則に基づきそれらによって実施される業務に関する関連文書を,認定機関の自由に保管しなければならない。 |
| Article 42 Application for notification | 第42条 届出の申請 |
| 1. A conformity assessment body shall submit an application for notification to the notifying authority of the Member State in which it is established. | 1. 適合性評価団体は、その設立国の認定機関に届出申請書を提出しなければならない。 |
| 2. That application shall be accompanied by a description of the conformity assessment activities, the conformity assessment procedure or procedures and the product or products with digital elements for which that body claims to be competent, as well as, where applicable, by an accreditation certificate issued by a national accreditation body attesting that the conformity assessment body fulfils the requirements laid down in Article 39. | 2. その申請書には、適合性評価活動、適合性評価手順又は手続、及びその機関が能力を有すると主張するデジタル要素を含む製品又は製品の説明、並びに、該当する場合には、その適合性評価機関が第39条に定める要件を満たしていることを証明する国内認定機関が発行した認定証明書を添付しなければならない。 |
| 3. Where the conformity assessment body concerned cannot provide an accreditation certificate, it shall provide the notifying authority with all the documentary evidence necessary for the verification, recognition and regular monitoring of its compliance with the requirements laid down in Article 39. | 3. 当該適合性評価機関が認定証明書を提供できない場合,当該適合性評価機関は,第 39 条に規定する要件への適合性の検証,承認及び定期的な監視に必要なすべての証拠書類を認定機関に提供しなければならない。 |
| Article 43 Notification procedure | 第43条 通知手続き |
| 1. Notifying authorities shall notify only conformity assessment bodies which have satisfied the requirements laid down in Article 39. | 1. 認定機関は,第 39 条に規定する要件を満たした適合性評価団体のみに通知しなければならな い。 |
| 2. The notifying authority shall notify the Commission and the other Member States using the New Approach Notified and Designated Organisations information system developed and managed by the Commission. | 2. 認定機関は、欧州委員会が開発・管理するニュー・アプローチ届出・指定機関情報システムを用いて、欧州委員会及び他の加盟国に通知する。 |
| 3. The notification shall include full details of the conformity assessment activities, the conformity assessment module or modules and product or products with digital elements concerned and the relevant attestation of competence. | 3. 3. 通知には、適合性評価活動の詳細、適合性評価モジュール及びデジタル要素を含む製品、並びに関連する能力の証明書を含めなければならない。 |
| 4. Where a notification is not based on an accreditation certificate as referred to in Article 42(2), the notifying authority shall provide the Commission and the other Member States with documentary evidence which attests to the conformity assessment body’s competence and the arrangements in place to ensure that that body will be monitored regularly and will continue to satisfy the requirements laid down in Article 39. | 4. 届出が第42条(2)にいう認定証明書に基づくものでない場合、認定機関は、適合性評価機関の力量及び当該機関が定期的に監視され、第39条に定める要件を引き続き満たすことを確保するための取決めを証明する証拠書類を欧州委員会及び他の加盟国に提出しなければならない。 |
| 5. The body concerned may perform the activities of a notified body only where no objections are raised by the Commission or the other Member States within two weeks of a notification where an accreditation certificate is used or within two months of a notification where accreditation is not used. | 5. 当該団体は、認定証明書を使用する場合は届出から2週間以内に、認定証明書を使用しない場合は届出から2ヶ月以内に、欧州委員会又は他の加盟国から異議が申し立てられない場合に限り、被認定団体の活動を行うことができる。 |
| Only such a body shall be considered to be a notified body for the purposes of this Regulation. | このような団体のみが、この規則の団体として被認定団体とみなされる。 |
| 6. The Commission and the other Member States shall be notified of any subsequent relevant changes to the notification. | 6. 欧州委員会及び他の加盟国は、届出に対するその後の関連する変更について通知されるものとする。 |
| Article 44 Identification numbers and lists of notified bodies | 第44条 被認定団体の識別番号及びリスト |
| 1. The Commission shall assign an identification number to a notified body. | 1. 欧州委員会は、被認定団体に識別番号を割り当てる。 |
| It shall assign a single such number even where the body is notified under several Union legal acts. | 欧州委員会は、被認定団体が複数の連邦法に基づいて届出を行っている場合であっても、単一の識別番号を割り当てるものとする。 |
| 2. The Commission shall make publicly available the list of the bodies notified under this Regulation, including the identification numbers that have been allocated to them and the activities for which they have been notified. | 2. 欧州委員会は、この規則に基づいて被認定団体に割り当てられた識別番号および被認定団体が届け出た活動を含む、被認定団体のリストを公開しなければならない。 |
| The Commission shall ensure that that list is kept up to date. | 欧州委員会は、そのリストが常に最新の状態に保たれるようにしなければならない。 |
| Article 45 Changes to notifications | 第45条 届出の変更 |
| 1. Where a notifying authority has ascertained or has been informed that a notified body no longer meets the requirements laid down in Article 39, or that it is failing to fulfil its obligations, the notifying authority shall restrict, suspend or withdraw notification as appropriate, depending on the seriousness of the failure to meet those requirements or fulfil those obligations. It shall immediately inform the Commission and the other Member States accordingly. | 1. 認可機関が、被認定団体がもはや第39条に規定する要件を満たしていないこと、またはその義務を履行していないことを確認した場合、またはその旨の通知を受けた場合、被認定機関は、それらの要件を満たしていないこと、またはそれらの義務を履行していないことの重大性に応じて、適宜、届出を制限、一時停止、または取り下げなければならない。また、それに応じて、欧州委員会および他の加盟国に直ちに通知しなければならない。 |
| 2. In the event of restriction, suspension or withdrawal of notification, or where the notified body has ceased its activity, the notifying Member State shall take appropriate steps to ensure that the files of that body are either processed by another notified body or kept available for the responsible notifying and market surveillance authorities at their request. | 2. 届出が制限、一時停止もしくは撤回された場合、または、被認定団体がその活動を停止した場合、被認定団体は、当該被認定団体のファイルが他の被認定団体によって処理されるか、または、担当の届出機関および市場監視機関の要請に応じて利用できるよう、適切な措置を講じなければならない。 |
| Article 46 Challenge of the competence of notified bodies | 第46条 被認定団体の権限の挑戦 |
| 1. The Commission shall investigate all cases where it doubts, or where doubt is brought to its attention regarding, the competence of a notified body to meet, or the continued fulfilment by a notified body of, the requirements and responsibilities to which it is subject. | 1. 欧州委員会は、被認証団体が遵守すべき要件および責任を満たす能力、または被認証団体が継続的に遵守する能力に関して、疑義がある場合、または疑義が生じた場合はすべて調査するものとする。 |
| 2. The notifying Member State shall provide the Commission, on request, with all information relating to the basis for the notification or the maintenance of the competence of the body concerned. | 2. 被認証団体は、要求があれば、欧州委員会に対し、通知または当該団体の能力の保守の根拠に関するすべての情報を提供しなければならない。 |
| 3. The Commission shall ensure that all sensitive information obtained in the course of its investigations is treated confidentially. | 3. 欧州委員会は、調査の過程で入手したすべての機密情報の機密扱いを確保するものとする。 |
| 4. Where the Commission ascertains that a notified body does not meet or no longer meets the requirements for its notification, it shall inform the notifying Member State accordingly and request it to take the necessary corrective measures, including de-notification if necessary. | 4. 欧州委員会は、被認定団体が届出の要件を満たしていない、または満たさなくなったことを確認した場合、その旨を当該被認定団体に通知するとともに、必要であれば届出の廃止を含め、必要な是正措置をとるよう当該被認定団体に要請するものとする。 |
| Article 47 Operational obligations of notified bodies | 第47条 被認定団体の運営上の義務 |
| 1. Notified bodies shall carry out conformity assessments in accordance with the conformity assessment procedures provided for in Article 32 and Annex VIII. | 1. 被認証団体は,第32条及び附属書VIIIに規定する適合性評価手順に従って適合性評価を実施しなければならない。 |
| 2. Conformity assessments shall be carried out in a proportionate manner, avoiding unnecessary burdens for economic operators. Conformity assessment bodies shall perform their activities taking due account of the size of undertakings, in particular as regards microenterprises and small and medium-sized enterprises, the sector in which they operate, their structure, their degree of complexity and the cybersecurity risk level of the products with digital elements and technology in question and the mass or serial nature of the production process. | 2. 適合性評価は,経済的事業者に不必要な負担をかけないよう,適切な方法で実施しなければならない。適合性アセスメント団体は、事業者の規模、特に零細企業および中小企業、その事業が営まれる部門、その構造、その複雑さの程度、問題のデジタル要素および技術を含む製品のサイバーセキュリティリスクレベル、ならびに生産工程の大量生産または連続生産の性質を十分に考慮して、その活動を実施しなければならない。 |
| 3. Notified bodies shall however respect the degree of rigour and the level of protection required for the compliance of products with digital elements with this Regulation. | 3. ただし、被認定団体は、デジタル要素を含む製品が本規則に適合するために要求される厳格さの程度及び保護レベルを尊重しなければならない。 |
| 4. Where a notified body finds that the requirements set out in Annex I or in corresponding harmonised standards or common specifications as referred to in Article 27 have not been met by a manufacturer, it shall require that manufacturer to take appropriate corrective measures and shall not issue a certificate of conformity. | 4. 被認証団体は、附属書Ⅰ又は第27条にいう対応する整合規格若しくは共通仕様に定める要件が製造者によって満たされていないと認める場合、当該製造者に適切な是正措置をとるよう求め、適合証明書を発行してはならない。 |
| 5. Where, in the course of the monitoring of conformity following the issuance of a certificate, a notified body finds that a product with digital elements no longer complies with the requirements laid down in this Regulation, it shall require the manufacturer to take appropriate corrective measures and shall suspend or withdraw the certificate if necessary. | 5. 被認定団体は、証明書発行後の適合性監視の過程において、デジタル要素を含む製品が本規則に定める要件に適合しなくなったことを発見した場合、当該製造者に適切な是正措置をとるよう求め、必要に応じて証明書を一時停止又は撤回しなければならない。 |
| 6. Where corrective measures are not taken or do not have the required effect, the notified body shall restrict, suspend or withdraw any certificates, as appropriate. | 6. 是正措置が講じられない場合又は要求される効果が得られない場合、被認定団体は、適宜、認証の制限、一時停止又は取消しを行うものとする。 |
| Article 48 Appeal against decisions of notified bodies | 第48条 被認定団体の決定に対する異議申し立て |
| Member States shall ensure that an appeal procedure against decisions of the notified bodies is available. | 加盟国は、被認証団体の決定に対する不服申立手続が利用できるようにしなければならない。 |
| Article 49 Information obligation on notified bodies | 第49条 被認証団体に対する情報義務 |
| 1. Notified bodies shall inform the notifying authority of the following: | 1. 被認定団体は、次の事項を認定機関に通知しなければならない: |
| (a) any refusal, restriction, suspension or withdrawal of a certificate; | (a) 証明書の拒否,制限,一時停止又は取消し; |
| (b) any circumstances affecting the scope of and conditions for notification; | (b) 届出の範囲及び条件に影響を及ぼす状況 |
| (c) any request for information which they have received from market surveillance authorities regarding conformity assessment activities; | (c) 適合性アセスメント活動に関して市場監視当局から受けた情報提供の要請 |
| (d) on request, conformity assessment activities performed within the scope of their notification and any other activity performed, including cross-border activities and subcontracting. | (c) 適合性評価活動に関して市場監視当局から受けた情報提供の要請 (d) 要請があれば、届出範囲内で実施された適合性評価活動、及び国境を越えた活動や外注を含め実施されたその他の活動。 |
| 2. Notified bodies shall provide the other bodies notified under this Regulation carrying out similar conformity assessment activities covering the same products with digital elements with relevant information on issues relating to negative and, upon request, positive conformity assessment results. | 2. 被認定団体は,デジタル要素を含む同一の製品を対象とする類似の適合性評価活動を実施しているこの規則に基づいて届出された他の団体に対し,否定的な適合性評価結果及び要請に応じて肯定的な適合性評価結果に関連する問題に関する関連情報を提供しなければならない。 |
| Article 50 Exchange of experience | 第50条 経験の交換 |
| The Commission shall provide for the organisation of the exchange of experience between the Member States’ national authorities responsible for notification policy. | 欧州委員会は、届出政策を担当する加盟国の国内当局間の経験交流の認可を行うものとする。 |
| Article 51 Coordination of notified bodies | 第51条 被認定団体の調整 |
| 1. The Commission shall ensure that appropriate coordination and cooperation between notified bodies are put in place and properly operated in the form of a cross-sectoral group of notified bodies. | 1. 欧州委員会は、被認証団体間の適切な調整および協力が、被認証団体の分野横断的なグループという形で行われ、適切に運用されることを確保するものとする。 |
| 2. Member States shall ensure that the bodies notified by them participate in the work of that group, directly or by means of designated representatives. | 2. 加盟国は、自国の被認証団体が、直接または指名された代表者により、当該グループの作業に参加することを確保しなければならない。 |
| CHAPTER V MARKET SURVEILLANCE AND ENFORCEMENT | 第5章 市場監視及び執行 |
| Article 52 Market surveillance and control of products with digital elements in the Union market | 第52条 組合市場におけるデジタル要素を含む製品の市場監視および管理 |
| 1. Regulation (EU) 2019/1020 shall apply to products with digital elements that fall within the scope of this Regulation. | 1. 規則(EU)2019/1020は、本規則の適用範囲内にあるデジタル要素を含む製品に適用されるものとする。 |
| 2. Each Member State shall designate one or more market surveillance authorities for the purpose of ensuring the effective implementation of this Regulation. Member States may designate an existing or new authority to act as market surveillance authority for this Regulation. | 2. 各加盟国は、本規則の効果的な実施を確保する目的で、1つ以上の市場監視当局を認可するものとする。加盟国は、既存または新規の当局を本規則の市場監視当局として指定することができる。 |
| 3. The market surveillance authorities designated under paragraph 2 of this Article shall also be responsible for carrying out market surveillance activities in relation to the obligations for open-source software stewards laid down in Article 24. Where a market surveillance authority finds that an open-source software steward does not comply with the obligations set out in that Article, it shall require the open-source software steward to ensure that all appropriate corrective actions are taken. Open-source software stewards shall ensure that all appropriate corrective action is taken in respect of their obligations under this Regulation. | 3. 本条第2項に基づいて認可された市場監視当局は、第24条に規定されたオープンソースソフトウェアのスチュワードの義務に関する市場監視活動を行う責任も負うものとする。市場監視当局は、オープンソースソフトウェア・スチュワードが同条に定める義務を遵守していないことを発見した場合、当該オープンソースソフトウェア・スチュワードに対し、すべての適切な是正措置が講じられることを確保するよう求めるものとする。オープンソースソフトウェア・スチュワードは、本規則に基づく義務に関して、すべての適切な是正措置が取られるようにしなければならない。 |
| 4. Where relevant, the market surveillance authorities shall cooperate with the national cybersecurity certification authorities designated pursuant to Article 58 of Regulation (EU) 2019/881 and exchange information on a regular basis. With respect to the supervision of the implementation of the reporting obligations pursuant to Article 14 of this Regulation, the designated market surveillance authorities shall cooperate and exchange information on a regular basis with the CSIRTs designated as coordinators and ENISA. | 4. 関連する場合、市場監視当局は、規則(EU)2019/881の第58条に従って指定された各国のサイバーセキュリティ認証当局と協力し、定期的に情報交換を行うものとする。本規則第14条に基づく報告義務の実施の監督に関して、指定市場監視当局は、調整役として指定されたCSIRT及びENISAと定期的に協力し、情報交換を行うものとする。 |
| 5. The market surveillance authorities may request a CSIRT designated as coordinator or ENISA to provide technical advice on matters related to the implementation and enforcement of this Regulation. When conducting an investigation under Article 54, market surveillance authorities may request the CSIRT designated as coordinator or ENISA to provide an analysis to support evaluations of compliance of products with digital elements. | 5. 市場監視当局は、調整者として指定された CSIRT 又は ENISA に対し、本規則の実施及び執行に関連する事項について技術的助言を提供するよう要請することができる。第 54 条に基づく調査を実施する場合、市場監視当局は、調整者として指定された CSIRT または ENISA に対し、デジタル要素を含む製品の適合性評価を支援するための分析を提供するよう要請することができる。 |
| 6. Where relevant, the market surveillance authorities shall cooperate with other market surveillance authorities designated on the basis of Union harmonisation legislation other than this Regulation, and exchange information on a regular basis. | 6. 市場監視当局は、関連する場合、本規則以外の欧州連合調和法に基づき指定された他の市場監視当局と協力し、定期的に情報交換を行うものとする。 |
| 7. Market surveillance authorities shall cooperate, as appropriate, with the authorities supervising Union data protection law. Such cooperation includes informing those authorities of any finding relevant for the fulfilment of their competences, including when issuing guidance and advice pursuant to paragraph 10 if such guidance and advice concerns the processing of personal data. | 7. 市場監視当局は、必要に応じて、欧州連合のデータ保護法を監督する当局と協力しなければならない。このような協力には、第 10 項に従ってガイダンスおよび助言を発行する際、当該ガイダンスおよび助言がパーソナルデータの処理に関係する場合を含め、当該当局の権限の履行に関連する発見を当該当局に通知することが含まれる。 |
| Authorities supervising Union data protection law shall have the power to request and access any documentation created or maintained under this Regulation when access to that documentation is necessary for the fulfilment of their tasks. They shall inform the designated market surveillance authorities of the Member State concerned of any such request. | 欧州連合のデータ保護法を監督する認可当局は、この規則に基づいて作成または維持された文書へのアクセスがその任務の遂行に必要な場合、その文書へのアクセスを要求し、アクセスする権限を有する。認可当局は、そのような要求があった場合、当該加盟国の指定市場監視当局に通知するものとする。 |
| 8. Member States shall ensure that the designated market surveillance authorities are provided with adequate financial and technical resources, including, where appropriate, processing automation tools, as well as with human resources with the necessary cybersecurity skills to fulfil their tasks under this Regulation. | 8. 加盟国は、指定市場監視当局が、適切な場合には処理自動化ツールを含む適切な財政的及び技術的資源並びにこの規則の下でその任務を遂行するために必要なサイバーセキュリティの技能を有する人的資源を提供されることを確保しなければならない。 |
| 9. The Commission shall encourage and facilitate the exchange of experience between designated market surveillance authorities. | 9. 欧州委員会は、指定市場監視当局間の経験交流を奨励し、促進する。 |
| 10. Market surveillance authorities may provide guidance and advice to economic operators on the implementation of this Regulation, with the support of the Commission and, where appropriate, CSIRTs and ENISA. | 10. 市場監視当局は、欧州委員会および必要に応じてCSIRTsおよびENISAの支援を受けて、経済的事業者に対して、本規則の実施に関する指導および助言を行うことができる。 |
| 11. Market surveillance authorities shall inform consumers of where to submit complaints that could indicate non-compliance with this Regulation, in accordance with Article 11 of Regulation (EU) 2019/1020, and shall provide information to consumers on where and how to access mechanisms to facilitate reporting of vulnerabilities, incidents and cyber threats that may affect products with digital elements. | 11. 市場監視当局は、規則(EU)2019/1020の第11条に従い、本規則の不遵守を示す可能性のある苦情の提出先を消費者に通知し、デジタル要素を含む製品に影響を及ぼす可能性のある脆弱性、インシデントおよびサイバー脅威の報告を容易にするメカニズムにアクセスする場所および方法に関する情報を消費者に提供しなければならない。 |
| 12. Market surveillance authorities shall facilitate, where relevant, the cooperation with relevant stakeholders, including scientific, research and consumer organisations. | 12. 市場監視当局は、関連する場合、科学、研究及び消費者機関を含む関連する利害関係者との協力を促進するものとする。 |
| 13. The market surveillance authorities shall report to the Commission on an annual basis the outcomes of relevant market surveillance activities. The designated market surveillance authorities shall report, without delay, to the Commission and relevant national competition authorities any information identified in the course of market surveillance activities that may be of potential interest for the application of Union competition law. | 13. 市場監視当局は、関連する市場監視活動の成果を年1回欧州委員会に報告しなければならない。指定市場監視当局は,市場監視活動の過程で特定された,EU競争法の適用に潜在的な関心を持ちうる情報を,遅滞なく欧州委員会及び関連する各国競争当局に報告しなければならない。 |
| 14. For products with digital elements that fall within the scope of this Regulation which are classified as high-risk AI systems pursuant to Article 6 of Regulation (EU) 2024/1689, the market surveillance authorities designated for the purposes of that Regulation shall be the authorities responsible for market surveillance activities required under this Regulation. The market surveillance authorities designated pursuant to Regulation (EU) 2024/1689 shall cooperate, as appropriate, with the market surveillance authorities designated pursuant to this Regulation and, with respect to the supervision of the implementation of the reporting obligations pursuant to Article 14 of this Regulation, with the CSIRTs designated as coordinators and ENISA. Market surveillance authorities designated pursuant to Regulation (EU) 2024/1689 shall in particular inform market surveillance authorities designated pursuant to this Regulation of any finding relevant for the fulfilment of their tasks in relation to the implementation of this Regulation. | 14. 本規則の適用範囲に含まれるデジタル要素を含む製品で、規則(EU)2024/1689の第6条に基づき高リスクAIシステムに分類されるものについては、同規則の目的のために指定された市場監視当局が、本規則に基づき要求される市場監視活動の責任を負う当局となる。規則(EU)2024/1689に従って指定された市場監視当局は、必要に応じて、本規則に従って指定された市場監視当局と、また、本規則第14条に基づく報告義務の実施の監督に関しては、調整役として指定されたCSIRTおよびENISAと協力するものとする。規則(EU)2024/1689に従って指定された市場監視当局は、特に、本規則に従って指定された市場監視当局に対し、本規則の実施に関連する任務の遂行に関連する発見を通知しなければならない。 |
| 15. ADCO shall be established for the uniform application of this Regulation, pursuant to Article 30(2) of Regulation (EU) 2019/1020. ADCO shall be composed of representatives of the designated market surveillance authorities and, if appropriate, representatives of single liaison offices. ADCO shall also address specific matters related to the market surveillance activities in relation to the obligations placed on open-source software stewards. | 15. 規則(EU)2019/1020 の第 30 条(2)に従い、本規則の統一的な適用のために ADCO を設置する。ADCO は、指定市場監視当局の代表者及び適切な場合には単一リエゾンオフィスの代表者で構成されるものとする。また、ADCO は、オープンソースソフトウェアのスチュワードに課される義務に関連する市場監視活動に関連する特定の事項を取り扱うものとする。 |
| 16. Market surveillance authorities shall monitor how manufacturers have applied the criteria referred to in Article 13(8) when determining the support period of their products with digital elements. | 16. 市場監視当局は、製造事業者がデジタル要素を含む製品のサポート期間を決定する際に、第 13 条(8)に定める規準をどのように適用したかを監視するものとする。 |
| ADCO shall publish in a publicly accessible and user-friendly form relevant statistics on categories of products with digital elements, including average support periods, as determined by the manufacturer pursuant to Article 13(8), as well as provide guidance that includes indicative support periods for categories of products with digital elements. | ADCO は、第 13 条(8)に従い製造事業者が決定した、平均サポート期間を含むデジタル要素を 含む製品のカテゴリーに関する関連統計を、一般にアクセス可能かつ使いやすい形で公表するとともに、 デジタル要素を含む製品のカテゴリーに関するサポート期間の目安を含むガイダンスを提供す るものとする。 |
| Where the data suggests inadequate support periods for specific categories of products with digital elements, ADCO may issue recommendations to market surveillance authorities to focus their activities on such categories of products with digital elements. | データがデジタル要素を含む製品の特定のカテゴリーについて不十分なサポート期間を示唆する場合、ADCOは、市場監視当局に対し、デジタル要素を含む製品の当該カテゴリーに焦点を当てた活動を行うよう勧告を行うことができる。 |
| Article 53 Access to data and documentation | 第53条 データおよび文書へのアクセス |
| Where necessary to assess the conformity of products with digital elements and the processes put in place by their manufacturers with the essential cybersecurity requirements set out in Annex I, the market surveillance authorities shall, upon a reasoned request, be granted access to the data, in a language easily understood by them, required to assess the design, development, production and vulnerability handling of such products, including related internal documentation of the relevant economic operator. | デジタル要素を含む製品およびその製造者が実施するプロセスが附属書 I に定めるサイバーセキュリティの必須要件に適合しているかどうかを評価するために必要な場合、市場監視当局は、合理的な要求があれば、当該経済的事業者の関連内部文書を含め、当該製品の設計、開発、製造および脆弱性の取り扱いを評価するために必要なデータへのアクセスを、当該当局が容易に理解できる言語で認めるものとする。 |
| Article 54 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk | 第54条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関する国レベルでの手続 |
| 1. Where the market surveillance authority of a Member State has sufficient reason to consider that a product with digital elements, including its vulnerability handling, presents a significant cybersecurity risk, it shall, without undue delay and, where appropriate, in cooperation with the relevant CSIRT, carry out an evaluation of the product with digital elements concerned in respect of its compliance with all the requirements laid down in this Regulation. The relevant economic operators shall cooperate with the market surveillance authority as necessary. | 1. 加盟国の市場監視当局は、デジタル要素を含む製品が、その脆弱性の取扱いを含め、重大なサイバーセキュリティリスクを提示していると考える十分な理由がある場合、過度の遅滞なく、かつ、適切な場合には、関連するCSIRTと協力して、当該デジタル要素を含む製品について、本規則に定める全ての要件への適合性に関する評価を実施しなければならない。関連する経済的事業者は、必要に応じて市場監視当局と協力するものとする。 |
| Where, in the course of that evaluation, the market surveillance authority finds that the product with digital elements does not comply with the requirements laid down in this Regulation, it shall without delay require the relevant economic operator to take all appropriate corrective actions to bring the product with digital elements into compliance with those requirements, to withdraw it from the market, or to recall it within a reasonable period, commensurate with the nature of the cybersecurity risk, as the market surveillance authority may prescribe. | 当該評価の過程において、デジタル要素を含む製品が本規則に定める要件に適合していないと市場監視当局が認めた場合、市場監視当局は、遅滞なく、関連する経済的事業者に対し、当該デジタル要素を含む製品を当該要件に適合させるためのあらゆる適切な是正措置を講じること、当該デジタル要素を含む製品を市場から撤去すること、または、市場監視当局が定めるサイバーセキュリティリスクの性質に見合った合理的な期間内に当該デジタル要素を含む製品を回収することを求めるものとする。 |
| The market surveillance authority shall inform the relevant notified body accordingly. Article 18 of Regulation (EU) 2019/1020 shall apply to the corrective actions. | 市場監視機関は、関連する被認証団体にその旨を通知しなければならない。規則(EU)2019/1020の第18条は、是正措置に適用されるものとする。 |
| 2. When determining the significance of a cybersecurity risk referred to in paragraph 1 of this Article, the market surveillance authorities shall also consider non-technical risk factors, in particular those established as a result of Union level coordinated security risk assessments of critical supply chains carried out in accordance with Article 22 of Directive (EU) 2022/2555. Where a market surveillance authority has sufficient reason to consider that a product with digital elements presents a significant cybersecurity risk in light of non-technical risk factors, it shall inform the competent authorities designated or established pursuant to Article 8 of Directive (EU) 2022/2555 and cooperate with those authorities as necessary. | 2. 本条第1項にいうサイバーセキュリティリスクの重要性を決定する際、市場監視当局は、非技術的リスク要因、特に指令(EU)2022/2555の第22条に従って実施された重要なサプライチェーンの連合レベルの協調的セキュリティリスク・アセスメントの結果として確立されたリスク要因も考慮するものとする。市場監視当局が、デジタル要素を含む製品が非技術的リスク要因に照らして重大なサイバーセキュリティリスクを提示すると考える十分な理由を有する場合、指令(EU)2022/2555 の第 8 条に従って指定または設置された管轄当局に通知し、必要に応じてこれらの当局と協力するものとする。 |
| 3. Where the market surveillance authority considers that non-compliance is not restricted to its national territory, it shall inform the Commission and the other Member States of the results of the evaluation and of the actions which it has required the economic operator to take. | 3. 市場監視当局が、コンプライアンス違反が自国の領域に限定されないと考える場合、同当局は、欧州委員会および他の加盟国に対し、評価の結果および経済的事業者に求めた措置を通知するものとする。 |
| 4. The economic operator shall ensure that all appropriate corrective action is taken in respect of all the products with digital elements concerned that it has made available on the market throughout the Union. | 4. 経済的事業者は、当該経済的事業者が域内全域で市場で入手可能なデジタル要素を含むすべての製品に関して、すべての適切な是正措置が取られることを保証しなければならない。 |
| 5. Where the economic operator does not take adequate corrective action within the period referred to in paragraph 1, second subparagraph, the market surveillance authority shall take all appropriate provisional measures to prohibit or restrict that product with digital elements from being made available on its national market, to withdraw it from that market or to recall it. | 5. 経済的事業者が第1項第2号にいう期間内に適切な是正措置を講じない場合、市場監視当局は、当該デジタル要素を含む製品が自国の市場で入手可能であることを禁止または制限し、当該市場から撤去し、または回収するためのあらゆる適切な暫定措置を講じなければならない。 |
| That authority shall notify the Commission and the other Member States, without delay, of those measures. | 当該当局は、欧州委員会および他の加盟国に対し、遅滞なく、それらの措置を通知しなければならない。 |
| 6. The information referred to in paragraph 5 shall include all available details, in particular the data necessary for the identification of the non-compliant product with digital elements, the origin of that product with digital elements, the nature of the alleged non-compliance and the risk involved, the nature and duration of the national measures taken and the arguments put forward by the relevant economic operator. In particular, the market surveillance authority shall indicate whether the non-compliance is due to one or more of the following: | 6. 第5項で言及される情報には、入手可能なすべての詳細、特に、デジタル要素を含む不適合製品の特定に必要なデータ、デジタル要素を含む当該製品の原産地、申し立てられた不適合の性質および関連するリスク、講じられた国内措置の性質および期間、関連する経済的事業者が提出した論拠が含まれるものとする。特に、市場監視当局は、その不遵守が以下の1つ以上によるものであるかどうかを示さなければならない: |
| (a) a failure of the product with digital elements or of the processes put in place by the manufacturer to meet the essential cybersecurity requirements set out in Annex I; | (a) デジタル要素を含む製品又は製造事業者が実施したプロセスが,附属書Ⅰに定めるサイバーセキュリティの必須要件を満たしていないこと; |
| (b) shortcomings in the harmonised standards, European cybersecurity certification schemes or common specifications, as referred to in Article 27. | (b) 第 27 条で言及されている整合標準、欧州サイバーセキュリティ認証スキーム、または共通仕様の欠点。 |
| 7. The market surveillance authorities of the Member States other than the market surveillance authority of the Member State initiating the procedure shall without delay inform the Commission and the other Member States of any measures adopted and of any additional information at their disposal relating to the non-compliance of the product with digital elements concerned, and, in the event of disagreement with the notified national measure, of their objections. | 7.手続きを開始した加盟国の市場監視機関以外の加盟国の市場監視機関は、遅滞なく、採択された措置および当該製品のデジタル要素を含む製品への不適合に関する追加情報を欧州委員会および他の加盟国に通知し、また、認定された国内措置に同意できない場合は、異議申し立てを行うものとする。 |
| 8. Where, within three months of receipt of the notification referred to in paragraph 5 of this Article, no objection has been raised by either a Member State or the Commission in respect of a provisional measure taken by a Member State, that measure shall be deemed to be justified. This is without prejudice to the procedural rights of the economic operator concerned in accordance with Article 18 of Regulation (EU) 2019/1020. | 8. 加盟国がとった暫定措置について、本条第5項の通告を受領してから3ヶ月以内に、加盟国または欧州委員会のいずれからも異議が出されなかった場合、当該措置は正当化されたものとみなされる。これは、規則(EU)2019/1020の第18条に基づく当該経済的事業者の手続き上の権利を害するものではない。 |
| 9. The market surveillance authorities of all Member States shall ensure that appropriate restrictive measures are taken in respect of the product with digital elements concerned, such as withdrawal of that product from their market, without delay. | 9. すべての加盟国の市場監視当局は、当該デジタル要素を含む製品に関して、当該製品の自国市場からの撤去など、適切な制限措置が遅滞なく講じられることを確保するものとする。 |
| Article 55 Union safeguard procedure | 第55条 連邦セーフガード手続 |
| 1. Where, within three months of receipt of the notification referred to in Article 54(5), objections are raised by a Member State against a measure taken by another Member State, or where the Commission considers the measure to be contrary to Union law, the Commission shall without delay enter into consultation with the relevant Member State and the economic operator or operators and shall evaluate the national measure. On the basis of the results of that evaluation, the Commission shall decide whether the national measure is justified or not within nine months from the notification referred to in Article 54(5) and notify that decision to the Member State concerned. | 1. 第54条(5)に規定する通知を受領してから3ヶ月以内に、加盟国が他の加盟国の措置に対して異議を申し立てた場合、または、欧州委員会がその措置が欧州連合の法律に反すると判断した場合、欧州委員会は、遅滞なく、当該加盟国および経済的事業者と協議し、国内措置を評価する。その評価結果に基づき、欧州委員会は、第54条(5)に言及する通知から9ヶ月以内に、国内措置が正当であるか否かを決定し、その決定を当該加盟国に通知する。 |
| 2. If the national measure is considered to be justified, all Member States shall take the measures necessary to ensure that the non-compliant product with digital elements is withdrawn from their market, and shall inform the Commission accordingly. If the national measure is not considered to be justified, the Member State concerned shall withdraw the measure. | 2. 国内措置が正当であるとみなされた場合、すべての加盟国は、デジタル要素を含む不適合製品が自国の市場から撤去されることを確実にするために必要な措置を講じ、それに従って欧州委員会に通知しなければならない。国内措置が正当でないとみなされた場合、当該加盟国はその措置を撤回しなければならない。 |
| 3. Where the national measure is considered to be justified and the non-compliance of the product with digital elements is attributed to shortcomings in the harmonised standards, the Commission shall apply the procedure provided for in Article 11 of Regulation (EU) No 1025/2012. | 3. 国内措置が正当とみなされ、デジタル要素を含む製品の不適合が整合規格の欠点に起因する場合、欧州委員会は、規則(EU)No 1025/2012の第11条に規定される手続きを適用する。 |
| 4. Where the national measure is considered to be justified and the non-compliance of the product with digital elements is attributed to shortcomings in a European cybersecurity certification scheme as referred to in Article 27, the Commission shall consider whether to amend or repeal any delegated act adopted pursuant to Article 27(9) that specifies the presumption of conformity concerning that certification scheme. | 4. 国内措置が正当であるとみなされ、かつ、デジタル要素を含む製品の不適合が、第27条で言及されている欧州のサイバーセキュリティ認証制度の欠点に起因する場合、欧州委員会は、当該認証制度に関する適合の推定を規定する第27条(9)に従って採択された委任法を改正または廃止するかどうかを検討するものとする。 |
| 5. Where the national measure is considered to be justified and the non-compliance of the product with digital elements is attributed to shortcomings in common specifications as referred to in Article 27, the Commission shall consider whether to amend or repeal any implementing act adopted pursuant to Article 27(2) setting out those common specifications. | 5. 国内措置が正当であるとみなされ、かつ、デジタル要素を含む製品の不適合が第27条にいう共通仕様の欠点に起因する場合、欧州委員会は、それらの共通仕様を定める第27条(2)に従って採択された実施法を改正または廃止するかどうかを検討するものとする。 |
| Article 56 Procedure at Union level concerning products with digital elements presenting a significant cybersecurity risk | 第56条 サイバーセキュリティ上の重大なリスクをもたらすデジタル要素を含む製品に関する欧州連合レベルでの手続 |
| 1. Where the Commission has sufficient reason to consider, including based on information provided by ENISA, that a product with digital elements that presents a significant cybersecurity risk does not comply with the requirements laid down in this Regulation, it shall inform the relevant market surveillance authorities. Where the market surveillance authorities carry out an evaluation of that product with digital elements that may present a significant cybersecurity risk in respect of its compliance with the requirements laid down in this Regulation, the procedures referred to in Articles 54 and 55 shall apply. | 1. 欧州委員会が、ENISAから提供された情報に基づく場合を含め、重大なサイバーセキュリティ・リスクをもたらすデジタル要素を含む製品が本規則に規定された要件に適合していないと考える十分な理由を有する場合、欧州委員会は、関連する市場監視当局に通知するものとする。市場監視当局が、重大なサイバーセキュリティ・リスクをもたらす可能性のあるデジタル要素を含む製品について、本規則に定める要件への適合に関する評価を実施する場合、第54条および第55条に言及する手続が適用されるものとする。 |
| 2. Where the Commission has sufficient reason to consider that a product with digital elements presents a significant cybersecurity risk in light of non-technical risk factors, it shall inform the relevant market surveillance authorities and, where appropriate, the competent authorities designated or established pursuant to Article 8 of Directive (EU) 2022/2555 and cooperate with those authorities as necessary. The Commission shall also consider the relevance of the identified risks for that product with digital elements in view of its tasks regarding the Union level coordinated security risk assessments of critical supply chains provided for in Article 22 of Directive (EU) 2022/2555, and consult, as necessary, the Cooperation Group established pursuant to Article 14 of Directive (EU) 2022/2555 and ENISA. | 2. デジタル要素を含む製品が、非技術的なリスク要因に照らして重大なサイバーセキュリティリスクをもたらすと考える十分な理由が欧州委員会にある場合、欧州委員会は、関連する市場監視当局、および、適切な場合には、指令(EU)2022/2555の第8条に従って指定または設置された管轄当局に通知し、必要に応じてこれらの当局と協力するものとする。また、欧州委員会は、指令(EU)2022/2555の第22条に規定されている重要なサプライチェーンの連邦レベルの協調的セキュリティリスクアセスメントに関する業務に鑑み、デジタル要素を含む当該製品に関する識別されたリスクの関連性を検討し、必要に応じて、指令(EU)2022/2555の第14条に従って設立された協力グループおよびENISAと協議するものとする。 |
| 3. In circumstances which justify an immediate intervention to preserve the proper functioning of the internal market and where the Commission has sufficient reason to consider that the product with digital elements referred to in paragraph 1 remains non-compliant with the requirements laid down in this Regulation and no effective measures have been taken by the relevant market surveillance authorities, the Commission shall carry out an evaluation of compliance and may request ENISA to provide an analysis to support it. The Commission shall inform the relevant market surveillance authorities accordingly. The relevant economic operators shall cooperate with ENISA as necessary. | 3. 域内市場の適切な機能を維持するための即時介入が認可される状況であって、欧州委員会が、第1項に言及されたデジタル要素を含む製品が依然として本規則に規定された要件に準拠しておらず、関連市場監視当局による効果的な措置が講じられていないとみなす十分な理由がある場合、欧州委員会は、遵守状況の評価を実施し、それを裏付ける分析を提供するようENISAに要請することができる。欧州委員会は、関連する市場監視当局にその旨を通知する。関連する経済的事業者は、必要に応じてENISAに協力するものとする。 |
| 4. Based on the evaluation referred to in paragraph 3, the Commission may decide that a corrective or restrictive measure is necessary at Union level. To that end, it shall without delay consult the Member States concerned and the relevant economic operator or operators. | 4. 第3項の評価に基づき、欧州委員会は、EUレベルで是正措置または制限措置が必要であると決定することができる。そのために、欧州委員会は、遅滞なく、関係加盟国および関連する経済的事業者に協議するものとする。 |
| 5. On the basis of the consultation referred to in paragraph 4 of this Article, the Commission may adopt implementing acts to provide for corrective or restrictive measures at Union level, including requiring the products with digital elements concerned to be withdrawn from the market or recalled, within a reasonable period, commensurate with the nature of the risk. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). | 5. 本条第4項の協議に基づき、欧州委員会は、リスクの性質に見合った合理的な期間内に、当該デジタル要素を含む製品を市場から撤去し、または回収することを求めることを含め、欧州連合レベルでの是正措置または制限措置を定める実施法を採択することができる。これらの実施法は、第62条(2)にいう審査手続に従って採択されるものとする。 |
| 6. The Commission shall immediately communicate the implementing acts referred to in paragraph 5 to the relevant economic operator or operators. Member States shall implement those implementing acts without delay and shall inform the Commission accordingly. | 6. 欧州委員会は、第5項で言及された実施法を直ちに関連する経済的事業者に伝達する。加盟国は、遅滞なくそれらの実施法を実施し、それに従って欧州委員会に通知しなければならない。 |
| 7. Paragraphs 3 to 6 shall be applicable for the duration of the exceptional situation that justified the Commission’s intervention, provided that the product with digital elements concerned is not brought in compliance with this Regulation. | 7. 第3項から第6項までの規定は、欧州委員会の介入を正当化した例外的状況の期間中、適用されるものとする。ただし、当該デジタル要素を含む製品が本規則に適合していない場合はこの限りではない。 |
| Article 57 Compliant products with digital elements which present a significant cybersecurity risk | 第57条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品の準拠 |
| 1. The market surveillance authority of a Member State shall require an economic operator to take all appropriate measures where, having performed an evaluation under Article 54, it finds that although a product with digital elements and the processes put in place by the manufacturer are in compliance with this Regulation, they present a significant cybersecurity risk as well as a risk to: | 1. 加盟国の市場監視当局は、第54条に基づく評価を行った結果、デジタル要素を含む製品および製造事業者が実施したプロセスが本規則に適合しているにもかかわらず、サイバーセキュリティ上の重大なリスクおよび以下に対するリスクがあると判断した場合、経済的事業者に対し、あらゆる適切な措置を講じるよう求めるものとする: |
| (a) the health or safety of persons; | (a) 人の健康または安全; |
| (b) the compliance with obligations under Union or national law intended to protect fundamental rights; | (b) 基本的権利の保護を意図した連邦法または国内法に基づく義務の遵守; |
| (c) the availability, authenticity, integrity or confidentiality of services offered using an electronic information system by essential entities as referred to in Article 3(1) of Directive (EU) 2022/2555; or | (c) 指令(EU) 2022/2555の第3条(1)で言及されている必須事業体が電子情報システムを使用して提供するサービスの可用性、認証、完全性または機密性。 |
| (d) other aspects of public interest protection. | (d) 公益保護のその他の側面。 |
| The measures referred to in the first subparagraph may include measures to ensure that the product with digital elements concerned and the processes put in place by the manufacturer no longer present the relevant risks when made available on the market, withdrawal from the market of the product with digital elements concerned, or recalling of it, and shall be commensurate with the nature of those risks. | 第 1 号で言及される措置には、当該デジタル要素を含む製品及び製造事業者が実施するプロセスが、市場で入手可能な状態において関連リスクをもはやもたらさないようにするための措置、当該デジタル要素を含む製品の市場からの撤去、又はリコールを含むことができ、かつ、当該リスクの性質に見合ったものでなければならない。 |
| 2. The manufacturer or other relevant economic operators shall ensure that corrective action is taken in respect of the products with digital elements concerned that they have made available on the market throughout the Union within the timeline established by the market surveillance authority of the Member State referred to in paragraph 1. | 2. 製造事業者またはその他の関連する経済的事業者は、第1項で言及された加盟国の市場監視当局が設定した期限内に、当該デジタル要素を含む製品に関して、EU全域で市場で入手可能な状態にするための是正措置が取られることを確保しなければならない。 |
| 3. The Member State shall immediately inform the Commission and the other Member States about the measures taken pursuant to paragraph 1. That information shall include all available details, in particular the data necessary for the identification of the products with digital elements concerned, the origin and the supply chain of those products with digital elements, the nature of the risk involved and the nature and duration of the national measures taken. | 3. 加盟国は、第1項に従って講じた措置について、欧州委員会および他の加盟国に直ちに報告しなければならない。その情報には、入手可能なすべての詳細、特に、関係するデジタル要素を含む製品の特定に必要なデータ、デジタル要素を含む製品の原産地およびサプライチェーン、関係するリスクの性質、講じられた国内措置の性質および期間を含めるものとする。 |
| 4. The Commission shall without delay enter into consultation with the Member States and the relevant economic operator and shall evaluate the national measures taken. On the basis of the results of that evaluation, the Commission shall decide whether the measure is justified or not and, where necessary, propose appropriate measures. | 4. 欧州委員会は、加盟国および関連する経済的事業者と遅滞なく協議を行い、講じられた国内措置を評価する。その評価結果に基づき、欧州委員会は、その措置が正当であるか否かを決定し、必要な場合には、適切な措置を提案する。 |
| 5. The Commission shall address the decision referred to in paragraph 4 to the Member States. | 5. 欧州委員会は、第4項の決定を加盟国に通知するものとする。 |
| 6. Where the Commission has sufficient reason to consider, including based on information provided by ENISA, that a product with digital elements, although compliant with this Regulation, presents the risks referred to in paragraph 1 of this Article, it shall inform and may request the relevant market surveillance authority or authorities to carry out an evaluation and follow the procedures referred to in Article 54 and in paragraphs 1, 2 and 3 of this Article. | 6. 欧州委員会が、ENISAから提供された情報に基づく場合を含め、デジタル要素を含む製品が、本規則に適合しているにもかかわらず、本条第1項にいうリスクをもたらすと考える十分な理由がある場合、欧州委員会は、関連する市場監視当局または当局に、評価を実施し、第54条ならびに本条第1項、第2項および第3項にいう手続きに従うよう通知し、要請することができる。 |
| 7. In circumstances which justify an immediate intervention to preserve the proper functioning of the internal market and where the Commission has sufficient reason to consider that the product with digital elements referred to in paragraph 6 continues to present the risks referred to in paragraph 1, and no effective measures have been taken by the relevant national market surveillance authorities, the Commission shall carry out an evaluation of the risks presented by that product with digital elements and may request ENISA to provide an analysis to support that evaluation and shall inform the relevant market surveillance authorities accordingly. The relevant economic operators shall cooperate with ENISA as necessary. | 7. 域内市場の適切な機能を維持するために即時介入することが正当化される状況であって、欧州委員会が、第6項に言及したデジタル要素を含む製品が引き続き第1項に言及したリスクをもたらしていると考える十分な理由があり、かつ、関連する各国の市場監視当局が有効な措置を講じていない場合、欧州委員会は、デジタル要素を含む製品がもたらすリスクの評価を実施し、その評価を裏付ける分析を提供するようENISAに要請することができ、また、関連する市場監視当局にその旨を通知するものとする。関連する経済的事業者は、必要に応じてENISAに協力するものとする。 |
| 8. Based on the evaluation referred to in paragraph 7, the Commission may establish that a corrective or restrictive measure is necessary at Union level. To that end, it shall without delay consult the Member States concerned and the relevant economic operator or operators. | 8. 第7項の評価に基づき、欧州委員会は、EUレベルで是正措置または制限措置が必要であると判断することができる。そのために、欧州委員会は、遅滞なく、関係加盟国および関連する経済的事業者に協議するものとする。 |
| 9. On the basis of the consultation referred to in paragraph 8 of this Article, the Commission may adopt implementing acts to decide on corrective or restrictive measures at Union level, including requiring the products with digital elements concerned to be withdrawn from the market, or recalled, within a reasonable period, commensurate with the nature of the risk. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2). | 9. 本条第8項にいう協議に基づき、欧州委員会は、リスクの性質に見合った合理的な期間内に、当該デジタル要素を含む製品を市場から撤去するか、回収することを要求することを含む、EUレベルでの是正措置または制限措置を決定するための実施法を採択することができる。これらの実施法は、第62条(2)にいう審査手続に従って採択されるものとする。 |
| 10. The Commission shall immediately communicate the implementing acts referred to in paragraph 9 to the relevant economic operator or operators. Member States shall implement those implementing acts without delay and shall inform the Commission accordingly. | 10. 欧州委員会は、第9項で言及された実施法を直ちに関連する経済的事業者に伝達する。加盟国は、遅滞なくそれらの実施法を実施し、それに従って欧州委員会に通知しなければならない。 |
| 11. Paragraphs 6 to 10 shall apply for the duration of the exceptional situation that justified the Commission’s intervention and for as long as the product with digital elements concerned continues to present the risks referred to in paragraph 1. | 11. 第6項から第10項までの規定は、欧州委員会の介入を正当化した例外的な状況が継続する限り、また、当該デジタル要素を含む製品が第1項にいうリスクをもたらし続ける限り、適用されるものとする。 |
| Article 58 Formal non-compliance | 第58条 正式な不遵守 |
| 1. Where the market surveillance authority of a Member State makes one of the following findings, it shall require the relevant manufacturer to put an end to the non-compliance concerned: | 1. 加盟国の市場監視当局が以下のいずれかの所見を示した場合、同当局は、当該製造事業者に対し、当該不適合を解消するよう求めるものとする: |
| (a) the CE marking has been affixed in violation of Articles 29 and 30; | (a) 第 29 条及び第 30 条に違反して CE マーキングを貼付した場合; |
| (b) the CE marking has not been affixed; | (b) CEマーキングが貼付されていない; |
| (c) the EU declaration of conformity has not been drawn up; | (c) EU適合宣言書が作成されていない; |
| (d) the EU declaration of conformity has not been drawn up correctly; | (d) EU適合宣言書が正しく作成されていない; |
| (e) the identification number of the notified body which is involved in the conformity assessment procedure, where applicable, has not been affixed; | (e) 適合性アセスメント手続きに関与する被認証団体の識別番号(該当する場合)が貼付されていない; |
| (f) the technical documentation is either not available or not complete. | (f) 技術文書が入手できないか,完全でない。 |
| 2. Where the non-compliance referred to in paragraph 1 persists, the Member State concerned shall take all appropriate measures to restrict or prohibit the product with digital elements from being made available on the market or ensure that it is recalled or withdrawn from the market. | 2. 第 1 項にいう不遵守が継続する場合、当該加盟国は、デジタル要素を含む製品が市場で入手可能であることを制限若しくは禁止し、又は当該製品が市場から回収若しくは撤回されることを確保するためのあらゆる適切な措置を講じなければならない。 |
| Article 59 Joint activities of market surveillance authorities | 第59条 市場監視当局の共同活動 |
| 1. Market surveillance authorities may agree with other relevant authorities to carry out joint activities aimed at ensuring cybersecurity and the protection of consumers with respect to specific products with digital elements placed on the market or made available on the market, in particular products with digital elements that are often found to present cybersecurity risks. | 1. 市場監視当局は、上市され又は市場で入手可能な特定のデジタル要素を含む製品、特にサイバーセキュリティ上のリスクがしばしば認められるデジタル要素を含む製品に関して、サイバーセキュリティの確保及び消費者の保護を目的とする共同活動を実施するために、他の関係当局と合意することができる。 |
| 2. The Commission or ENISA shall propose joint activities for checking compliance with this Regulation to be conducted by market surveillance authorities based on indications or information of potential non-compliance across several Member States of products with digital elements that fall within the scope of this Regulation with the requirements laid down in this Regulation. | 2. 欧州委員会またはENISAは、本規則の適用範囲に含まれるデジタル要素を含む製品について、複数の加盟国にわたって本規則に規定された要件が遵守されていない可能性があるとの指摘または情報に基づき、市場監視当局が実施する本規則の遵守状況を確認するための共同活動を提案するものとする。 |
| 3. The market surveillance authorities and, where applicable, the Commission, shall ensure that the agreement to carry out joint activities does not lead to unfair competition between economic operators and does not negatively affect the objectivity, independence and impartiality of the parties to the agreement. | 3. 市場監視当局および場合によっては欧州委員会は、共同活動を実施する合意が経済的事業者間の不公正な競争につながらないこと、および合意の当事者の客観性、独立性、公平性に悪影響を与えないことを確認しなければならない。 |
| 4. A market surveillance authority may use any information obtained as a result of the joint activities carried out as part of any investigation that it undertakes. | 4. 市場監視当局は、実施した共同活動の結果として得られたいかなる情報も、自らが行う調査の一環として使用することができる。 |
| 5. The market surveillance authority concerned and, where applicable, the Commission, shall make the agreement on joint activities, including the names of the parties involved, available to the public. | 5. 当該市場監視当局および認可がある場合には欧州委員会は、関係者の氏名を含め、共同活動に関する合意を一般に公開しなければならない。 |
| Article 60 Sweeps | 第60条 掃討 |
| 1. Market surveillance authorities shall conduct simultaneous coordinated control actions (sweeps) of particular products with digital elements or categories thereof to check compliance with or to detect infringements to this Regulation. Those sweeps may include inspections of products with digital elements acquired under a cover identity. | 1. 市場監視当局は、デジタル要素を含む特定の製品またはそのカテゴリーについて、本規則の遵守状況を確認するため、または違反行為を検知するために、同時に調整された管理措置(スイープ)を実施しなければならない。これらの掃引には、身元を隠して取得されたデジタル要素を含む製品の検査を含めることができる。 |
| 2. Unless otherwise agreed upon by the market surveillance authorities involved, sweeps shall be coordinated by the Commission. The coordinator of the sweep shall, where appropriate, make the aggregated results publicly available. | 2. 関係する市場監視当局が別途合意しない限り、掃討は欧州委員会が調整するものとする。掃討の調整者は、適切な場合には、集計結果を公表するものとする。 |
| 3. Where, in the performance of its tasks, including based on the notifications received pursuant to Article 14(1) and (3), ENISA identifies categories of products with digital elements for which sweeps may be organised, it shall submit a proposal for a sweep to the coordinator referred to in paragraph 2 of this Article for the consideration of the market surveillance authorities. | 3. 第14条(1)および(3)に従って受領した通知に基づく場合を含め、ENISAがその任務の遂行において、掃引を行う可能性のあるデジタル要素を含む製品のカテゴリーを特定した場合、ENISAは、市場監視当局の検討のため、本条第2項の調整者に掃引の提案を提出するものとする。 |
| 4. When conducting sweeps, the market surveillance authorities involved may use the investigation powers set out in Articles 52 to 58 and any other powers conferred upon them by national law. | 4. 掃引を実施する場合、関係する市場監視当局は、第 52 条から第 58 条に定める認可権限及び国内法によって付与されたその他の権限を使用することができる。 |
| 5. Market surveillance authorities may invite Commission officials, and other accompanying persons authorised by the Commission, to participate in sweeps. | 5. 市場監視当局は、欧州委員会の職員および欧州委員会が認可したその他の同行者を掃討に参加させることができる。 |
| CHAPTER VI DELEGATED POWERS AND COMMITTEE PROCEDURE | 第6章 委任された権限および委員会の手続き |
| Article 61 Exercise of the delegation | 第61条 委任の行使 |
| 1. The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article. | 1. 委任行為を採択する権限は、本条に定める条件に従い、欧州委員会に付与される。 |
| 2. The power to adopt delegated acts referred to in Article 2(5), second subparagraph, Article 7(3), Article 8(1) and (2), Article 13(8), fourth subparagraph, Article 14(9), Article 25, Article 27(9), Article 28(5) and Article 31(5) shall be conferred on the Commission for a period of five years from 10 December 2024. The Commission shall draw up a report in respect of the delegation of power not later than nine months before the end of the five-year period. The delegation of power shall be tacitly extended for periods of an identical duration, unless the European Parliament or the Council opposes such extension not later than three months before the end of each period. | 2. 第2条第5項第2号、第7条第3項、第8条第1項および第2項、第13条第8項第4号、第14条第9項、第25条、第27条第9項、第28条第5項および第31条第5項にいう委任行為を採択する権限は、2024年12月10日から5年間、委員会に与えられる。委員会は、5年間の期間が終了する9ヶ月前までに、権限委譲に関する報告書を作成しなければならない。欧州議会または理事会が各期間の終了の3カ月前までに延長に反対しない限り、権限委譲は同一の期間で黙示的に延長されるものとする。 |
| 3. The delegation of power referred to in Article 2(5), second subparagraph, Article 7(3), Article 8(1) and (2), Article 13(8), fourth subparagraph, Article 14(9), Article 25, Article 27(9), Article 28(5) and Article 31(5) may be revoked at any time by the European Parliament or by the Council. A decision to revoke shall put an end to the delegation of the power specified in that decision. It shall take effect the day following the publication of the decision in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. | 3. 第2条第5項第2号、第7条第3項、第8条第1項および第2項、第13条第8項第4号、第14条第9項、第25条、第27条第9項、第28条第5項および第31条第5項の権限委譲は、欧州議会または理事会によっていつでも撤回することができる。取消の決定は、その決定で指定された権限の委譲を終了させる。取り消しの効力は、欧州連合官報に決定が掲載された日の翌日またはその翌日以降に指定された日に生じる。この決定は、すでに発効している委任法の妥当性確認には影響しない。 |
| 4. Before adopting a delegated act, the Commission shall consult experts designated by each Member State in accordance with principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making. | 4. 委任法の採択に先立ち、欧州委員会は、2016年4月13日の「より良い法作りに関する機関間協定」に定められた原則に従い、各加盟国が指定する専門家に相談するものとする。 |
| 5. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council. | 5. 欧州委員会は、委任法を採択し次第、欧州議会および理事会に同時に通知する。 |
| 6. A delegated act adopted pursuant to Article 2(5), second subparagraph, Article 7(3), Article 8(1) or (2), Article 13(8), fourth subparagraph, Article 14(9), Article 25, Article 27(9), Article 28(5) or Article 31(5) shall enter into force only if no objection has been expressed either by the European Parliament or by the Council within a period of two months of notification of that act to the European Parliament and to the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by two months at the initiative of the European Parliament or of the Council. | 6. 第2条第5項第2号、第7条第3項、第8条第1項または第2項、第13条第8項第4号、第14条第9項、第25条、第27条第9項に従って採択された委任法、 第28条(5)または第31条(5)は、欧州議会および理事会に対する当該行為の通知から2ヶ月以内に欧州議会または理事会のいずれからも異議が表明されなかった場合、あるいは、その期間の満了前に欧州議会および理事会の双方が欧州委員会に対して異議を申し立てない旨を通知した場合にのみ発効する。この期間は、欧州議会または理事会の発意により2ヶ月延長される。 |
| Article 62 Committee procedure | 第62条 委員会の手続き |
| 1. The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011. | 1. 委員会は、委員会の援助を受けるものとする。この委員会は、規則(EU)No 182/2011にいう委員会とする。 |
| 2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply. | 2. 本項に言及する場合は、規則(EU)No 182/2011第5条を適用する。 |
| 3. Where the opinion of the committee is to be obtained by written procedure, that procedure shall be terminated without result when, within the time-limit for delivery of the opinion, the chair of the committee so decides or a committee member so requests. | 3. 委員会の意見が書面手続によって取得される場合、当該手続は、意見提出の期限内に、委員長がそのように決定した場合、または委員会委員がそのように要求した場合には、結果を得ることなく終了するものとする。 |
| CHAPTER VII CONFIDENTIALITY AND PENALTIES | 第7章 守秘義務と罰則 |
| Article 63 Confidentiality | 第63条 守秘義務 |
| 1. All parties involved in the application of this Regulation shall respect the confidentiality of information and data obtained in carrying out their tasks and activities in such a manner as to protect, in particular: | 1. 本規則の適用に関係するすべての当事者は、特に次の事項を保護するために、自己の任務及び活動を遂行する上で得た情報及びデータの秘密を尊重しなければならない: |
| (a) intellectual property rights and confidential business information or trade secrets of a natural or legal person, including source code, except the cases referred to in Article 5 of Directive (EU) 2016/943 of the European Parliament and of the Council (37); | (a) 欧州議会及び理事会指令(EU) 2016/943(37)の第 5 条で言及されている場合を除き、ソースコードを含む、自然人又は法人の知的財産権及び事業上の機密情報又は企業秘密; |
| (b) the effective implementation of this Regulation, in particular for the purposes of inspections, investigations or audits; | (b) 本規則の効果的な実施、特に検査、調査又は監査の目的; |
| (c) public and national security interests; | (c) 公共および国家安全保障上の利益 |
| (d) integrity of criminal or administrative proceedings. | (d) 刑事手続または行政手続の完全性。 |
| 2. Without prejudice to paragraph 1, information exchanged on a confidential basis between the market surveillance authorities and between market surveillance authorities and the Commission shall not be disclosed without the prior agreement of the originating market surveillance authority. | 2. 第1項を損なうことなく、市場監視当局間および市場監視当局と欧州委員会との間で秘密に基づいて交換された情報は、発信元の市場監視当局の事前の同意がない限り、開示されないものとする。 |
| 3. Paragraphs 1 and 2 shall not affect the rights and obligations of the Commission, Member States and notified bodies with regard to the exchange of information and the dissemination of warnings, nor the obligations of the persons concerned to provide information under criminal law of the Member States. | 3. 第1項および第2項は、情報交換および警告の伝達に関する欧州委員会、加盟国および被認定団体の権利および義務、ならびに加盟国の刑法に基づく関係者の情報提供義務に影響を与えないものとする。 |
| 4. The Commission and Member States may exchange, where necessary, sensitive information with relevant authorities of third countries with which they have concluded bilateral or multilateral confidentiality arrangements guaranteeing an adequate level of protection. | 4. 欧州委員会および加盟国は、必要に応じて、十分な保護水準を保証する二国間または多国間の秘密保持取決めを締結している第三国の関係当局と、機微な情報を交換することができる。 |
| Article 64 Penalties | 第64条 罰則 |
| 1. Member States shall lay down the rules on penalties applicable to infringements of this Regulation and shall take all measures necessary to ensure that they are implemented. The penalties provided for shall be effective, proportionate and dissuasive. Member States shall, without delay, notify the Commission of those rules and measures and shall notify it, without delay, of any subsequent amendment affecting them. | 1. 加盟国は、この規則の違反に適用される罰則に関する規則を定め、その実施を確保するために必要なすべての措置をとるものとする。プロバイダが定める罰則は、実効性があり、かつ、比例的であり、かつ、抑制的でなければならない。加盟国は、これらの規則および措置を遅滞なく欧州委員会に通知するものとし、また、これらの規則に影響を及ぼすその後の改正を遅滞なく欧州委員会に通知するものとする。 |
| 2. Non-compliance with the essential cybersecurity requirements set out in Annex I and the obligations set out in Articles 13 and 14 shall be subject to administrative fines of up to EUR 15 000 000 or, if the offender is an undertaking, up to 2,5 % of the its total worldwide annual turnover for the preceding financial year, whichever is higher. | 2. 附属書Iに定めるサイバーセキュリティの必須要件、および第13条と第14条に定める義務に違反した場合、15,000,000ユーロ以下の行政罰金、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の2.5%以下のいずれか高い方の罰金を科す。 |
| 3. Non-compliance with the obligations set out in Articles 18 to 23, Article 28, Article 30(1) to (4), Article 31(1) to (4), Article 32(1), (2) and (3), Article 33(5), and Articles 39, 41, 47, 49 and 53 shall be subject to administrative fines of up to EUR 10 000 000 or, if the offender is an undertaking, up to 2 % of its total worldwide annual turnover for the preceding financial year, whichever is higher. | 3. 第18条から第23条まで、第28条、第30条第1項から第4項まで、第31条第1項から第4項まで、第32条第1項、第2項および第3項、第33条第5項、第39条、第41条、第47条、第49条、第53条に規定された義務に違反した場合は、1,000万ユーロ以下の行政罰金、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の2%以下の行政罰金のいずれか高いほうを科す。 |
| 4. The supply of incorrect, incomplete or misleading information to notified bodies and market surveillance authorities in reply to a request shall be subject to administrative fines of up to EUR 5 000 000 or, if the offender is an undertaking, up to 1 % of its total worldwide annual turnover for the preceding financial year, whichever is higher. | 4. 要求に対する回答として、被認定団体および市場監視機関に不正確、不完全、または誤解を招くような情報を提供した場合、5,000,000ユーロ以下の行政罰金、または違反者が事業者である場合は、前会計年度の全世界の年間総売上高の1%以下の行政罰金のいずれか高いほうを科す。 |
| 5. When deciding on the amount of the administrative fine in each individual case, all relevant circumstances of the specific situation shall be taken into account and due regard shall be given to the following: | 5. 個々の事案における行政罰の額を決定する際には、具体的な状況に関連するすべての状況を考慮し、以下の事項を十分に考慮するものとする: |
| (a) the nature, gravity and duration of the infringement and of its consequences; | (a) 違反行為及びその結果の性質、重大性及び期間; |
| (b) whether administrative fines have been already applied by the same or other market surveillance authorities to the same economic operator for a similar infringement; | (b) 同様の違反に対して、同一の又は他の市場監視当局が、同一の経済的事業者に対して既に認可制裁金を適用しているかどうか; |
| (c) the size, in particular with regard to microenterprises and small and medium sized-enterprises, including start-ups, and the market share of the economic operator committing the infringement. | (c) 特に零細企業や中小企業(新興企業を含む)の規模、および侵害を犯した経済的事業者の市場シェア。 |
| 6. Market surveillance authorities that apply administrative fines shall communicate that application to the market surveillance authorities of other Member States through the information and communication system referred to in Article 34 of Regulation (EU) 2019/1020. | 6. 行政制裁金を適用する市場監視当局は、規則(EU)2019/1020の第34条で言及される情報通信システムを通じて、その適用を他の加盟国の市場監視当局に伝達しなければならない。 |
| 7. Each Member State shall lay down rules on whether and to what extent administrative fines may be imposed on public authorities and public bodies established in that Member State. | 7. 7.各加盟国は、当該加盟国に設置された公的機関および公的団体に行政制裁金を課すことができるかどうか、またどの程度課すことができるかについて、規則を定めるものとする。 |
| 8. Depending on the legal system of the Member States, the rules on administrative fines may be applied in such a manner that the fines are imposed by competent national courts or other bodies according to the competences established at national level in those Member States. The application of such rules in those Member States shall have an equivalent effect. | 8. 加盟国の法制度によっては、行政罰に関する規則は、加盟国の国内レベルで確立された権限に従い、管轄の国内裁判所またはその他の団体により罰金を科す形で適用される場合がある。加盟国における当該規則の適用は、同等の効果を有するものとする。 |
| 9. Administrative fines may be imposed, depending on the circumstances of each individual case, in addition to any other corrective or restrictive measures applied by the market surveillance authorities for the same infringement. | 9. 行政制裁金は、個々の事案の状況に応じて、同一の違反に対して市場監視当局が適用するその他の是正措置または制限措置に加えて課されることがある。 |
| 10. By way of derogation from paragraphs 3 to 9, the administrative fines referred to in those paragraphs shall not apply to the following: | 10. 第 3 項から第 9 項の適用除外により、これらの項で言及される行政制裁金は、次に掲げるものには適用されない: |
| (a) manufacturers that qualify as microenterprises or small enterprises with regard to any failure to meet the deadline referred to in Article 14(2), point (a), or Article 14(4), point (a); | (a) 第 14 条第(2)項第(a)号又は第 14 条第(4)項第(a)号に規定する期限を遵守しなかった製造事業者; |
| (b) any infringement of this Regulation by open-source software stewards. | (b) オープンソースソフトウェアのスチュワードによる本規則の違反。 |
| Article 65 Representative actions | 第65条 代表者行動 |
| Directive (EU) 2020/1828 shall apply to the representative actions brought against infringements by economic operators of provisions of this Regulation that harm, or may harm, the collective interests of consumers. | 指令(EU)2020/1828は、経済的事業者による、消費者の集団的利益を害する、または害するおそれのある本規則の規定の違反に対して提起される代表者訴訟に適用されるものとする。 |
| CHAPTER VIII TRANSITIONAL AND FINAL PROVISIONS | 第8章 経過措置および最終規定 |
| Article 66 Amendment to Regulation (EU) 2019/1020 | 第66条 規則(EU)2019/1020の改正 |
| In Annex I to Regulation (EU) 2019/1020, the following point is added: | 規則(EU)2019/1020の附属書Iに、以下の点を追加する: |
| ‘72. Regulation (EU) 2024/2847 of the European Parliament and of the Council (*1). | '72. 72.欧州議会および理事会規則(EU)2024/2847(*1)」を追加する。 |
| Article 67 Amendment to Directive (EU) 2020/1828 | 第67条 指令(EU)2020/1828の改正 |
| In Annex I to Directive (EU) 2020/1828, the following point is added: | 指令(EU) 2020/1828の附属書Ⅰに、以下の点が追加される: |
| ‘69. Regulation (EU) 2024/2847 of the European Parliament and of the Council (*2). | '69. 欧州議会および理事会規則(EU) 2024/2847(*2)。 |
| Article 68 Amendment to Regulation (EU) No 168/2013 | 第68条 規則(EU)No 168/2013の改正 |
| In Part C1, in the table, of Annex II to Regulation (EU) No 168/2013 of the European Parliament and of the Council (38), the following entry is added: | 欧州議会および理事会規則(EU)No 168/2013 (38)の附属書Ⅱの表中のパートC1に、以下の項目を追加する: |
| 16 18 protection of vehicle against cyberattacks x x x x x x x x x x x x x x | 16 18 サイバー攻撃に対する車両の防御 x x x x x x x x x x x x x x x x x x x x x x x |
| Article 69 Transitional provisions | 第69条 経過規定 |
| 1. EU type-examination certificates and approval decisions issued regarding cybersecurity requirements for products with digital elements that are subject to Union harmonisation legislation other than this Regulation shall remain valid until 11 June 2028, unless they expire before that date, or unless otherwise specified in such other Union harmonisation legislation, in which case they shall remain valid as referred to in that legislation. | 1. デジタル要素を含む製品のサイバーセキュリティ要件に関して発行されたEUの型式検査証明書および承認決定で、本規則以外のEU調和法令が適用されるものは、2028年6月11日まで有効であるが、それ以前に失効しない限り、または、当該他のEU調和法令に別段の定めがない限り、当該法令で言及されているとおり有効である。 |
| 2. Products with digital elements that have been placed on the market before 11 December 2027 shall be subject to the requirements set out in this Regulation only if, from that date, those products are subject to a substantial modification. | 2. 2027年12月11日以前に上市されたデジタル要素を含む製品は、同日以降、当該製品が大幅な改変を受ける場合に限り、本規則に定める要求事項に従うものとする。 |
| 3. By way of derogation from paragraph 2 of this Article, the obligations laid down in Article 14 shall apply to all products with digital elements that fall within the scope of this Regulation that have been placed on the market before 11 December 2027. | 3. 本条第2項の適用除外により、第14条に定める義務は、2027年12月11日より前に上市された、本規則の適用範囲に含まれるデジタル要素を含むすべての製品に適用されるものとする。 |
| Article 70 Evaluation and review | 第70条 評価および審査 |
| 1. By 11 December 2030 and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Regulation to the European Parliament and to the Council. Those reports shall be made public. | 1. 欧州委員会は、2030年12月11日までおよびその後4年ごとに、本規則の評価および見直しに関する報告書を欧州議会および理事会に提出するものとする。これらの報告書は公表されるものとする。 |
| 2. By 11 September 2028, the Commission shall, after consulting ENISA and the CSIRTs network, submit a report to the European Parliament and to the Council, assessing the effectiveness of the single reporting platform set out in Article 16, as well as the impact of the application of the cybersecurity-related grounds referred to Article 16(2) by the CSIRTs designated as coordinators on the effectiveness of the single reporting platform as regards the timely dissemination of received notifications to other relevant CSIRTs. | 2. 2. 欧州委員会は、2028年9月11日までに、ENISA及びCSIRTsネットワークと協議の上、欧州議会及び理事会に報告書を提出し、第16条に定める単一報告プラットフォームの有効性、並びに、コーディネータとして指定されたCSIRTsによる第16条(2)に言及するサイバーセキュリティ関連の根拠の適用が、他の関連するCSIRTsへの受信した通知の適時な伝達に関して、単一報告プラットフォームの有効性に与える影響を評価するものとする。 |
| Article 71 Entry into force and application | 第71条 発効及び適用 |
| 1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. | 1. 本規則は、欧州連合官報に掲載された日の翌日から起算して 20 日目に発効する。 |
| 2. This Regulation shall apply from 11 December 2027. | 2. 本規則は2027年12月11日から適用される。 |
| However, Article 14 shall apply from 11 September 2026 and Chapter IV (Articles 35 to 51) shall apply from 11 June 2026. | ただし、第14条は2026年9月11日から、第4章(第35条から第51条まで)は2026年6月11日から適用される。 |
| This Regulation shall be binding in its entirety and directly applicable in all Member States. | 本規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。 |
| Done at Strasbourg, 23 October 2024. | 2024年10月23日、ストラスブールにて制定。 |
| For the European Parliament | 欧州議会 |
| The President | 議長 |
| R. METSOLA | R. メトソラ |
| For the Council | 欧州理事会 |
| The President | 議長 |
| ZSIGMOND B. P. | ジグモンド・B・P |
| (1) OJ C 100, 16.3.2023, p. 101. | (1) OJ C 100, 16.3.2023, p. 101. |
| (2) Position of the European Parliament of 12 March 2024 (not yet published in the Official Journal) and decision of the Council of 10 October 2024. | (2) 2024年3月12日付欧州議会の見解(官報未掲載)および2024年10月10日付理事会の決定。 |
| (3) Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15). | (3) ENISA(欧州連合サイバーセキュリティ機関)および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日付欧州議会および理事会規則(EU)2019/881および規則(EU)No 526/2013(サイバーセキュリティ法)の廃止(OJ L 151, 7.6.2019, p. 15)。 |
| (4) Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (OJ L 333, 27.12.2022, p. 80). | (4) 2022年12月14日付欧州議会及び理事会指令(EU)2022/2555は、欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関するものであり、規則(EU)No 910/2014及び指令(EU)2018/1972を改正し、指令(EU)2016/1148(NIS 2指令)を廃止するものである(OJ L 333, 27.12.2022, p. 80)。 |
| (5) Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36). | (5) 2003年5月6日付の零細・中小・中堅企業の定義に関する欧州委員会勧告2003/361/EC(OJ L 124, 20.5.2003, p. 36)。 |
| (6) OJ C 67, 8.2.2022, p. 81. | (6) OJ C 67, 8.2.2022, p. 81. |
| (7) Directive 2014/24/EU of the European Parliament and of the Council of 26 February 2014 on public procurement and repealing Directive 2004/18/EC (OJ L 94, 28.3.2014, p. 65). | (7) 公共調達および指令2004/18/ECの廃止に関する2014年2月26日付欧州議会および理事会指令2014/24/EU(OJ L 94, 28.3.2014, p. 65)。 |
| (8) Directive 2014/25/EU of the European Parliament and of the Council of 26 February 2014 on procurement by entities operating in the water, energy, transport and postal services sectors and repealing Directive 2004/17/EC (OJ L 94, 28.3.2014, p. 243). | (8) 水、エネルギー、運輸及び郵便サービス分野で事業を営む事業体による調達及び指令2004/17/ECの廃止に関する2014年2月26日付欧州議会及び理事会指令2014/25/EU(OJ L 94, 28.3.2014, p. 243)。 |
| (9) Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices, amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and repealing Council Directives 90/385/EEC and 93/42/EEC (OJ L 117, 5.5.2017, p. 1). | (9) 医療機器に関する2017年4月5日付欧州議会および理事会規則(EU)2017/745は、指令2001/83/EC、規則(EC)No 178/2002および規則(EC)No 1223/2009を改正し、理事会指令90/385/EECおよび93/42/EECを廃止する(OJ L 117, 5.5.2017, p. 1)。 |
| (10) Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (OJ L 117, 5.5.2017, p. 176). | (10) 体外診断用医療機器に関する2017年4月5日付欧州議会及び理事会規則(EU)2017/746であり、指令98/79/EC及び欧州委員会決定2010/227/EUを廃止する(OJ L 117, 5.5.2017, p. 176)。 |
| (11) Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers, and systems, components and separate technical units intended for such vehicles, as regards their general safety and the protection of vehicle occupants and vulnerable road users, amending Regulation (EU) 2018/858 of the European Parliament and of the Council and repealing Regulations (EC) No 78/2009, (EC) No 79/2009 and (EC) No 661/2009 of the European Parliament and of the Council and Commission Regulations (EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1). | (11) 2019年11月27日の欧州議会および理事会の規則(EU)2019/2144は、自動車およびそのトレーラー、ならびにそのような自動車を意図したシステム、部品および個別の技術ユニットに対する、それらの一般的安全性および車両乗員および脆弱な道路利用者の保護に関する型式承認要件に関するものであり、欧州議会および理事会の規則(EU)2018/858を改正し、規則(EC)No 78/2009を廃止するものである、 (欧州議会および理事会規則(EC)No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010、 (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16. 12.2019, p. 1). |
| (12) OJ L 82, 9.3.2021, p. 30. | (12) OJ L 82, 9.3.2021, p. 30. |
| (13) Regulation (EU) 2018/1139 of the European Parliament and of the Council of 4 July 2018 on common rules in the field of civil aviation and establishing a European Union Aviation Safety Agency, and amending Regulations (EC) No 2111/2005, (EC) No 1008/2008, (EU) No 996/2010, (EU) No 376/2014 and Directives 2014/30/EU and 2014/53/EU of the European Parliament and of the Council, and repealing Regulations (EC) No 552/2004 and (EC) No 216/2008 of the European Parliament and of the Council and Council Regulation (EEC) No 3922/91 (OJ L 212, 22.8.2018, p. 1). | (13) 民間航空分野における共通規則および欧州連合航空安全機関の設立に関する2018年7月4日付欧州議会および理事会規則(EU)2018/1139、ならびに規則(EC)No 2111/2005、(EC)No 1008/2008、(EU)No 996/2010の改正、 (EU) No 376/2014および欧州議会および理事会指令2014/30/EUおよび2014/53/EUを改正し、欧州議会および理事会規則(EC) No 552/2004および(EC) No 216/2008ならびに理事会規則(EEC) No 3922/91を廃止する(OJ L 212, 22. 8.2018, p. 1). |
| (14) Commission Delegated Regulation (EU) 2022/30 of 29 October 2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive (OJ L 7, 12.1.2022, p. 6). | (14) 欧州議会および理事会の指令 2014/53/EU の第 3 条(3)の(d)、(e)および(f)に言及される必須要件の適用に関して、同指令を補足する 2021 年 10 月 29 日の欧州委員会委任規則(EU)2022/30(OJ L 7, 12.1.2022, p. 6)。 |
| (15) Directive 2014/53/EU of the European Parliament and of the Council of 16 April 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of radio equipment and repealing Directive 1999/5/EC (OJ L 153, 22.5.2014, p. 62). | (15) 無線機器の市場での入手可能性に関する加盟国の法律の調和に関する 2014 年 4 月 16 日の欧州議会および理事会の指令 2014/53/EU であり、指令 1999/5/EC を廃止するものである(OJ L 153, 22.5.2014, p. 62)。 |
| (16) Directive (EU) 2024/2853 of the European Parliament and of the Council of 23 October 2024 on liability for defective products and repealing Council Directive 85/374/EEC (OJ L, 2024/2853, 18.11.2024, ELI: http://data.europa.eu/eli/dir/2024/2853/oj). | (16) 欠陥製品の責任に関する2024年10月23日付欧州議会および理事会指令(EU)2024/2853であり、理事会指令85/374/EECを廃止する(OJ L, 2024/2853, 18.11.2024, ELI: http://data.europa.eu/eli/dir/2024/2853/oj)。 |
| (17) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1). | (17) 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日付欧州議会及び理事会規則(EU)2016/679及び指令95/46/EC(一般データ保護規則)の廃止(OJ L 119, 4.5.2016, p. 1)。 |
| (18) Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (OJ L 257, 28.8.2014, p. 73). | (18) 2014年7月23日付欧州議会及び理事会規則(EU)No 910/2014(域内市場における電子取引のための電子的本人確認及びトラストサービスに関する規則)であり、指令1999/93/ECを廃止するものである(OJ L 257, 28.8.2014, p. 73)。 |
| (19) Regulation (EU) 2024/1781 of the European Parliament and of the Council of 13 June 2024 establishing a framework for the setting of ecodesign requirements for sustainable products, amending Directive (EU) 2020/1828 and Regulation (EU) 2023/1542 and repealing Directive 2009/125/EC (OJ L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj). | (19) 2024年6月13日付欧州議会及び理事会規則(EU)2024/1781は、持続可能な製品に対するエコデザイン要求事項設定の枠組みを確立し、指令(EU)2020/1828及び規則(EU)2023/1542を改正し、指令2009/125/ECを廃止する(OJ L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj)。 |
| (20) Commission Implementing Regulation (EU) 2024/482 of 31 January 2024 laying down rules for the application of Regulation (EU) 2019/881 of the European Parliament and of the Council as regards the adoption of the European Common Criteria-based cybersecurity certification scheme (EUCC) (OJ L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj). | (20) 欧州共通規準に基づくサイバーセキュリティ認証スキーム(EUCC)の採用に関する欧州議会および理事会規則(EU)2019/881の適用規則を定めた2024年1月31日付の欧州委員会施行規則(EU)2024/482(OJ L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj)。 |
| (21) Regulation (EU) 2023/988 of the European Parliament and of the Council of 10 May 2023 on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council and Directive (EU) 2020/1828 of the European Parliament and the Council, and repealing Directive 2001/95/EC of the European Parliament and of the Council and Council Directive 87/357/EEC (OJ L 135, 23.5.2023, p. 1). | (21) 2023年5月10日付の欧州議会および理事会による一般製品安全に関する規則(EU)2023/988は、欧州議会および理事会規則(EU)No 1025/2012および欧州議会および理事会指令(EU)2020/1828を改正し、欧州議会および理事会指令2001/95/ECおよび理事会指令87/357/EECを廃止するものである(OJ L 135, 23.5.2023, p. 1)。 |
| (22) Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (OJ L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj). | (22) 人工知能に関する調和規則を定め、規則(EC) No 300/2008、(EU) No 167/2013、(EU) No 168/2013、(EU) 2018/858、(EU) 2018/1139および(EU) 2019/2144ならびに指令2014/90/EU、(EU) 2016/797および(EU) 2020/1828(人工知能法)を改正する2024年6月13日付欧州議会および理事会規則(EU) 2024/1689(OJ L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)。 |
| (23) Commission Recommendation (EU) 2019/534 of 26 March 2019 Cybersecurity of 5G networks (OJ L 88, 29.3.2019, p. 42). | (23) 2019年3月26日の欧州委員会勧告(EU)2019/534 5Gネットワークのサイバーセキュリティ(OJ L 88, 29.3.2019, p. 42)。 |
| (24) Regulation (EU) 2023/1230 of the European Parliament and of the Council of 14 June 2023 on machinery and repealing Directive 2006/42/EC of the European Parliament and of the Council and Council Directive 73/361/EEC (OJ L 165, 29.6.2023, p. 1). | (24) 機械に関する2023年6月14日付欧州議会および理事会規則(EU)2023/1230および欧州議会および理事会指令2006/42/ECおよび理事会指令73/361/EECの廃止(OJ L 165, 29.6.2023, p. 1)。 |
| (25) Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011 (OJ L 333, 27.12.2022, p. 1). | (25) 金融部門のデジタル・オペレーショナル・レジリエンスに関する2022年12月14日付欧州議会・理事会規則(EU)2022/2554および規則(EC)No 1060/2009、(EU)No 648/2012、(EU)No 600/2014、(EU)No 909/2014および(EU)2016/1011の改正(OJ L 333, 27.12.2022, p. 1)。 |
| (26) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (OJ L 201, 31.7.2002, p. 37). | (26) 電子通信分野におけるパーソナルデータの処理およびプライバシーの保護に関する 2002 年 7 月 12 日の欧州議会および理事会指令 2002/58/EC(OJ L 201, 31.7.2002, p.37)。 |
| (27) Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011 (OJ L 169, 25.6.2019, p. 1). | (27) 製品の市場監視およびコンプライアンスに関する2019年6月20日付欧州議会および理事会規則(EU)2019/1020、ならびに指令2004/42/ECおよび規則(EC)No 765/2008および(EU)No 305/2011を改正する(OJ L 169, 25.6.2019, p. 1)。 |
| (28) Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12). | (28) 欧州標準化に関する 2012 年 10 月 25 日付欧州議会及び理事会規則(EU)No 1025/2012 は、理事会指令 89/686/EEC 及び 93/15/EEC 並びに指令 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC 及び 2009/105/EC を改正し、理事会決定 87/95/EEC 及び欧州議会及び理事会決定 No 1673/2006/EC を廃止するものである(OJ L 316, 14. 11.2012, p. 12). |
| (29) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30). | (29) 2008 年 7 月 9 日の欧州議会および理事会規則(EC)No 765/2008 は、認定の要件を定め、規則(EEC)No 339/93 を廃止するものである(OJ L 218, 13.8.2008, p. 30)。 |
| (30) Decision No 768/2008/EC of the European Parliament and of the Council of 9 July 2008 on a common framework for the marketing of products, and repealing Council Decision 93/465/EEC (OJ L 218, 13.8.2008, p. 82). | (30) 2008 年 7 月 9 日の欧州議会および理事会決定(Decision No 768/2008/EC) 製品のマーケティングに関する共通の枠組みに関する 2008 年 7 月 9 日の欧州議会および理事 会決定(Decision No 768/2008/EC) および理事会決定(Decision No 93/465/EEC) の廃止(OJ L 218, 13.8.2008, p. 82)。 |
| (31) OJ L 123, 12.5.2016, p. 1. | (31) OJ L 123, 12.5.2016, p. 1. |
| (32) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by the Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj). | (32) 欧州委員会による実施権限の行使を加盟国が管理する仕組みに関する規則および一般原則を定めた2011年2月16日付欧州議会および理事会規則(EU)第182/2011号(OJ L 55, 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj)。 |
| (33) Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC (OJ L 409, 4.12.2020, p. 1). | (33) 消費者の集団的利益の保護のための代表者行動および指令2009/22/ECの廃止に関する2020年11月25日の欧州議会および理事会指令(EU)2020/1828(OJ L 409, 4.12.2020, p. 1)。 |
| (34) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39). | (34) 欧州連合機構、団体、事務所および機関によるパーソナルデータの処理に関する自然人の保護、および当該データの自由な移動に関する2018年10月23日付欧州議会および理事会規則(EU)2018/1725、ならびに規則(EC)No 45/2001および決定No 1247/2002/ECの廃止(OJ L 295, 21.11.2018, p. 39)。 |
| (35) OJ C 452, 29.11.2022, p. 23. | (35) OJ C 452, 29.11.2022, p. 23. |
| (36) Directive 2014/90/EU of the European Parliament and of the Council of 23 July 2014 on marine equipment and repealing Council Directive 96/98/EC (OJ L 257, 28.8.2014, p. 146). | (36) 海洋機器に関する2014年7月23日の欧州議会および理事会指令2014/90/EUであり、理事会指令96/98/ECを廃止する(OJ L 257, 28.8.2014, p. 146)。 |
| (37) Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure (OJ L 157, 15.6.2016, p. 1). | (37) 非公表のノウハウ及び営業情報(企業秘密)の違法な取得、使用及び開示に対する保護に関する 2016 年 6 月 8 日の欧州議会及び理事会の指令(EU)2016/943(OJ L 157, 15.6.2016, p. 1)。 |
| (38) Regulation (EU) No 168/2013 of the European Parliament and of the Council of 15 January 2013 on the approval and market surveillance of two- or three-wheel vehicles and quadricycles (OJ L 60, 2.3.2013, p. 52). | (38) 二輪または三輪自動車および四輪自動車の承認および市場監視に関する2013年1月15日付欧州議会および理事会規則(EU)No 168/2013(OJ L 60, 2.3.2013, p. 52)。 |
| ANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTS | 附属書 I サイバーセキュリティに関する必須要件 |
| Part I Cybersecurity requirements relating to the properties of products with digital elements | 第 I 部 デジタル要素を含む製品の特性に関するサイバーセキュリティ要件 |
| (1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks. | (1) デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない。 |
| (2) On the basis of the cybersecurity risk assessment referred to in Article 13(2) and where applicable, products with digital elements shall: | (2) 第13条(2)で言及されるサイバーセキュリティリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、以下のことを行わなければならない: |
| (a) be made available on the market without known exploitable vulnerabilities; | (a) 既知の脆弱性が悪用されることなく、市場で入手可能であること; |
| (b) be made available on the market with a secure by default configuration, unless otherwise agreed between manufacturer and business user in relation to a tailor-made product with digital elements, including the possibility to reset the product to its original state; | (b) デジタル要素を含むオーダーメイド製品に関して製造事業者と事業者の間で別段の合意がない限り、製品を元の状態にリセットする可能性を含め、デフォルトで安全な構成で市場で入手可能であること; |
| (c) ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic security updates that are installed within an appropriate timeframe enabled as a default setting, with a clear and easy-to-use opt-out mechanism, through the notification of available updates to users, and the option to temporarily postpone them; | (c) 該当する場合は、利用可能なアップデートのユーザーへの通知、および一時的にアップデートを延期するオプションを通じて、明確で使いやすいオプトアウト・メカニズムを備えたデフォルト設定として有効な、適切な時間枠内にインストールされる自動セキュリティ・アップデートを通じてなど、セキュリティ・アップデートを通じて脆弱性に対処できるようにすること; |
| (d) ensure protection from unauthorised access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems, and report on possible unauthorised access; | (d) 認証、アイデンティティ管理、アクセス管理システムを含むがこれらに限定され ない、適切なアクセス管理メカニズムにより、不正アクセスからの保護を確保し、 不正アクセスの可能性について報告すること; |
| (e) protect the confidentiality of stored, transmitted or otherwise processed data, personal or other, such as by encrypting relevant data at rest or in transit by state of the art mechanisms, and by using other technical means; | (e) 保存、送信、またはその他の方法で処理された個人データまたはその他のデータの機密性を、最新のメカニズムによる静止時または転送時の関連データの暗号化、およびその他の技術的手段の使用などにより保護すること; |
| (f) protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorised by the user, and report on corruptions; | (f) 保存、送信、またはその他の方法で処理された個人またはその他のデータ、コマンド、プログラム、および設定の完全性を、ユーザーの許可なく操作または変更されないように保護し、破損について報告すること; |
| (g) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended purpose of the product with digital elements (data minimisation); | (g) デジタル要素を含む製品の意図された目的に関連して、適切かつ関連性があり、必要なものに限定された個人データまたはその他のデータのみを処理すること(データの最小化); |
| (h) protect the availability of essential and basic functions, also after an incident, including through resilience and mitigation measures against denial-of-service attacks; | (h) サービス妨害(DoS)攻撃に対するレジリエンスおよび低減措置を含め、インシデント発生後においても、必要不可欠かつ基本的な機能の可用性を保護すること; |
| (i) minimise the negative impact by the products themselves or connected devices on the availability of services provided by other devices or networks; | (i) 製品自体または接続されたデバイスが、他のデバイスまたはネットワークによって提供されるサービスの可用性に与える悪影響を最小限に抑えること; |
| (j) be designed, developed and produced to limit attack surfaces, including external interfaces; | (j) 外部インタフェースを含め、攻撃対象領域を限定するように設計、開発、製造されること; |
| (k) be designed, developed and produced to reduce the impact of an incident using appropriate exploitation mitigation mechanisms and techniques; | (k)適切な悪用低減メカニズムと技術を用いて、インシデントの影響を低減するように設計、開発、製造されること; |
| (l) provide security related information by recording and monitoring relevant internal activity, including the access to or modification of data, services or functions, with an opt-out mechanism for the user; | (l) データ、サービス、機能へのアクセスや変更を含め、関連する内部活動を記録・監視することにより、セキュリティ関連情報を提供すること; |
| (m) provide the possibility for users to securely and easily remove on a permanent basis all data and settings and, where such data can be transferred to other products or systems, ensure that this is done in a secure manner. | (m) ユーザーがすべてのデータおよび設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータを他の製品またはシステムに転送できる場合は、これが安全な方法で行われることを保証すること。 |
| Part II Vulnerability handling requirements | 第 II 部 脆弱性ハンドリング要件 |
| Manufacturers of products with digital elements shall: | デジタル要素を含む製品の製造事業者は、次のことを行わなければならない: |
| (1) identify and document vulnerabilities and components contained in products with digital elements, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the products; | (1) デジタル要素を含む製品に含まれる脆弱性及びコンポーネントを特定し、文書化すること。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表を作成することが含まれる; |
| (2) in relation to the risks posed to products with digital elements, address and remediate vulnerabilities without delay, including by providing security updates; where technically feasible, new security updates shall be provided separately from functionality updates; | (2) デジタル要素を含む製品にもたらされるリスクに関連して、セキュリティアップデートのプロバイダを含め、脆弱性に遅滞なく対処し、是正すること。技術的に可能な場合は、新しいセキュリティアップデートを機能のアップデートとは別に提供すること; |
| (3) apply effective and regular tests and reviews of the security of the product with digital elements; | (3) デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテスト及びレビューを適用すること; |
| (4) once a security update has been made available, share and publicly disclose information about fixed vulnerabilities, including a description of the vulnerabilities, information allowing users to identify the product with digital elements affected, the impacts of the vulnerabilities, their severity and clear and accessible information helping users to remediate the vulnerabilities; in duly justified cases, where manufacturers consider the security risks of publication to outweigh the security benefits, they may delay making public information regarding a fixed vulnerability until after users have been given the possibility to apply the relevant patch; | (4) セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報を共有し、公開すること。これには、脆弱性の説明、影響を受けるデジタル要素を含む製品をユーザが特定できる情報、脆弱性の影響、深刻度、ユーザが脆弱性を修正するのに役立つ明確でアクセス可能な情報を含む。製造事業者が、公開によるセキュリティリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合には、ユーザが該当するパッチを適用する可能性が与えられるまで、修正された脆弱性に関する情報の公開を延期することができる; |
| (5) put in place and enforce a policy on coordinated vulnerability disclosure; | (5) 脆弱性の公開に関する方針を定め、実施すること; |
| (6) take measures to facilitate the sharing of information about potential vulnerabilities in their product with digital elements as well as in third-party components contained in that product, including by providing a contact address for the reporting of the vulnerabilities discovered in the product with digital elements; | (6) デジタル要素を含む製品に発見された脆弱性を報告するための連絡先をプロバイダに提供するなど、デジタル要素を含む製品およびその製品に含まれるサードパーティ製コンポーネントに潜在する脆弱性に関する情報の共有を促進するための措置を講じること; |
| (7) provide for mechanisms to securely distribute updates for products with digital elements to ensure that vulnerabilities are fixed or mitigated in a timely manner and, where applicable for security updates, in an automatic manner; | (7) デジタル要素を含む製品のアップデートを安全に配布する仕組みを提供し、脆弱性が適時に、またセキュリティ・アップデートに該当する場合は自動的な方法で修正または低減されるようにすること; |
| (8) ensure that, where security updates are available to address identified security issues, they are disseminated without delay and, unless otherwise agreed between a manufacturer and a business user in relation to a tailor-made product with digital elements, free of charge, accompanied by advisory messages providing users with the relevant information, including on potential action to be taken. | (8) 特定されたセキュリティ上の問題に対処するためにセキュリティ更新が利用可能である場合には、遅滞なく、かつ、デジタル要素を含むオーダーメイド製品に関して製造事業者と企業ユーザーとの間で別段の合意がない限り、無料で、ユーザーが取るべき潜在的な措置に関する情報を含む関連情報をユーザーに提供する勧告メッセージを添付して配布されるようにすること。 |
| ANNEX II INFORMATION AND INSTRUCTIONS TO THE USER | 附属書 II 使用者に対する情報及び指示 |
| At minimum, the product with digital elements shall be accompanied by: | デジタル要素を含む製品には,最低限,次のものを添付しなければならない: |
| 1. the name, registered trade name or registered trademark of the manufacturer, and the postal address, the email address or other digital contact as well as, where available, the website at which the manufacturer can be contacted; | 1.製造事業者の名称、登録商号又は登録商標、並びに郵便番号、電子メールアドレス又はその他のデジタル連絡先、及び可能な場合は製造事業者に連絡できるウェブサイト; |
| 2. the single point of contact where information about vulnerabilities of the product with digital elements can be reported and received, and where the manufacturer’s policy on coordinated vulnerability disclosure can be found; | 2.デジタル要素を含む製品の脆弱性に関する情報を報告し、受け取ることができる単一の窓口、および協調的な脆弱性の開示に関する製造事業者の方針を確認できる場所; |
| 3. name and type and any additional information enabling the unique identification of the product with digital elements; | 3.デジタル要素を含む製品の名称、種類、および固有の識別を可能にする追加情報; |
| 4. the intended purpose of the product with digital elements, including the security environment provided by the manufacturer, as well as the product’s essential functionalities and information about the security properties; | 4.製造事業者が提供するセキュリティ環境、製品の必須機能、セキュリティ特性に関する情報など、デジタル要素を含む製品の意図された目的; |
| 5. any known or foreseeable circumstance, related to the use of the product with digital elements in accordance with its intended purpose or under conditions of reasonably foreseeable misuse, which may lead to significant cybersecurity risks; | 5.デジタル要素を含む製品をその意図された目的に従って使用すること、または合理的に予測可能な誤用の状況下で使用することに関連する、既知または予測可能な状況であって、重大なサイバーセキュリティリスクにつながる可能性のあるもの; |
| 6. where applicable, the internet address at which the EU declaration of conformity can be accessed; | 6. 該当する場合、EU適合宣言にアクセスできるインターネットアドレス; |
| 7. the type of technical security support offered by the manufacturer and the end-date of the support period during which users can expect vulnerabilities to be handled and to receive security updates; | 7. 製造事業者が提供するテクニカルセキュリティサポートの種類と、ユーザーが脆弱性の対応とセキュリティアップデートの提供を期待できるサポート期間の終了日; |
| 8. detailed instructions or an internet address referring to such detailed instructions and information on: | 8.詳細な説明書、またはそのような詳細な説明書と情報に関するインターネットアドレス: |
| (a) the necessary measures during initial commissioning and throughout the lifetime of the product with digital elements to ensure its secure use; | (a)デジタル要素を含む製品の安全な使用を確保するために、最初の試運転時および製品の耐用年数を通じて必要な措置; |
| (b) how changes to the product with digital elements can affect the security of data; | (b) デジタル要素を含む製品の変更がデータのセキュリティにどのように影響するか; |
| (c) how security-relevant updates can be installed; | (c) セキュリティに関連するアップデートのインストール方法; |
| (d) the secure decommissioning of the product with digital elements, including information on how user data can be securely removed; | (d) デジタル要素を含む製品の安全な廃止(ユーザーデータを安全に削除する方法に関する情報を含む; |
| (e) how the default setting enabling the automatic installation of security updates, as required by Part I, point (2)(c), of Annex I, can be turned off; | (e) 附属書Ⅰの第Ⅰ部(2)(c)が要求するセキュリティ更新の自動インストールを可能にするデフォルト設定をオフにする方法; |
| (f) where the product with digital elements is intended for integration into other products with digital elements, the information necessary for the integrator to comply with the essential cybersecurity requirements set out in Annex I and the documentation requirements set out in Annex VII. | (f) デジタル要素を含む製品が他のデジタル要素を含む製品への統合を意図している場合、統合者が附属書Ⅰに定めるサイバーセキュリティの必須要件及び附属書Ⅶに定める文書化要件に準拠するために必要な情報。 |
| 9. If the manufacturer decides to make available the software bill of materials to the user, information on where the software bill of materials can be accessed. | 9. 製造事業者がソフトウェア部品表を利用者に提供することを決定した場合、ソフトウェア部品表にア クセスできる場所に関する情報。 |
| ANNEX III IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS | 附属書 III デジタル要素を含む重要な製品 |
| Class I | クラス I |
| 1. Identity management systems and privileged access management software and hardware, including authentication and access control readers, including biometric readers | 1. バイオメトリクス・リーダーを含む認証/アクセス制御リーダーを含む、 アイデンティティ管理システムおよび特権アクセス管理ソフトウェアお よびハードウェア |
| 2. Standalone and embedded browsers | 2. スタンドアロンおよび組み込みブラウザ |
| 3. Password managers | 3. パスワード管理者 |
| 4. Software that searches for, removes, or quarantines malicious software | 4. 悪意のあるソフトウェアの検索、削除、隔離を行うソフトウェア |
| 5. Products with digital elements with the function of virtual private network (VPN) | 5. 仮想プライベートネットワーク(VPN)の機能を持つデジタル要素を含む製品 |
| 6. Network management systems | 6. ネットワーク管理システム |
| 7. Security information and event management (SIEM) systems | 7. セキュリティ情報・イベント管理(SIEM)システム |
| 8. Boot managers | 8. ブートマネージャー |
| 9. Public key infrastructure and digital certificate issuance software | 9. 公開鍵基盤および電子証明書発行ソフトウェア |
| 10. Physical and virtual network interfaces | 10. 物理および仮想ネットワークインターフェース |
| 11. Operating systems | 11. オペレーティング・システム |
| 12. Routers, modems intended for the connection to the internet, and switches | 12. ルーター、インターネット接続用モデム、スイッチ |
| 13. Microprocessors with security-related functionalities | 13. セキュリティ関連機能を持つマイクロプロセッサー |
| 14. Microcontrollers with security-related functionalities | 14. セキュリティ関連機能を持つマイクロコントローラー |
| 15. Application specific integrated circuits (ASIC) and field-programmable gate arrays (FPGA) with security-related functionalities | 15. セキュリティ関連機能を持つ特定用途向け集積回路(ASIC)及びフィールドプログラマブルゲートアレイ(FPGA) |
| 16. Smart home general purpose virtual assistants | 16. スマートホーム汎用バーチャルアシスタント |
| 17. Smart home products with security functionalities, including smart door locks, security cameras, baby monitoring systems and alarm systems | 17. スマート・ドアロック、防犯カメラ、ベビー・モニタリング・システム、アラーム・システムなど、セキュ リティ機能を備えたスマート・ホーム製品 |
| 18. Internet connected toys covered by Directive 2009/48/EC of the European Parliament and of the Council (1) that have social interactive features (e.g. speaking or filming) or that have location tracking features | 18. 欧州議会および理事会指令2009/48/EC(1)の対象となるインターネットに接続された玩具で、ソーシャルインタラクティブ機能(会話や撮影など)を有するもの、または位置追跡機能を有するもの。 |
| 19. Personal wearable products to be worn or placed on a human body that have a health monitoring (such as tracking) purpose and to which Regulation (EU) 2017/745 or (EU) No 2017/746 do not apply, or personal wearable products that are intended for the use by and for children | 19. 健康監視(追跡など)を目的とし、規則(EU)2017/745または(EU)No 2017/746が適用されない、人体に装着または設置する個人用ウェアラブル製品、または子供による使用および子供のための使用を意図した個人用ウェアラブル製品 |
| Class II | クラス II |
| 1. Hypervisors and container runtime systems that support virtualised execution of operating systems and similar environments | 1. オペレーティングシステムおよび類似環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステム 2. |
| 2. Firewalls, intrusion detection and prevention systems | 2. ファイアウォール、侵入検知・防止システム |
| 3. Tamper-resistant microprocessors | 3. 耐タンパーマイクロプロセッサ |
| 4. Tamper-resistant microcontrollers | 4. 耐タンパーマイクロコントローラ |
| (1) Directive 2009/48/EC of the European Parliament and of the Council of 18 June 2009 on the safety of toys (OJ L 170, 30.6.2009, p. 1). | (1) 玩具の安全性に関する2009年6月18日の欧州議会および理事会指令2009/48/EC(OJ L 170, 30.6.2009, p. 1)。 |
| ANNEX IV CRITICAL PRODUCTS WITH DIGITAL ELEMENTS | 附属書 IV デジタル要素を含む重要製品 |
| 1. Hardware Devices with Security Boxes | 1. セキュリティボックス付きハードウェア機器 |
| 2. Smart meter gateways within smart metering systems as defined in Article 2, point (23) of Directive (EU) 2019/944 of the European Parliament and of the Council (1) and other devices for advanced security purposes, including for secure cryptoprocessing | 2. 欧州議会及び理事会指令(EU)2019/944(1)の第 2 条(23)に定義されるスマートメータシステム内のスマートメータゲートウェ イ、及び安全な暗号処理用を含む高度なセキュリティ目的のためのその他のデバイス。 |
| 3. Smartcards or similar devices, including secure elements | 3. セキュアエレメントを含むスマートカードまたは類似のデバイス |
| (1) Directive (EU) 2019/944 of the European Parliament and of the Council of 5 June 2019 on common rules for the internal market for electricity and amending Directive 2012/27/EU (OJ L 158, 14.6.2019, p. 125). | (1) 電力域内市場の共通規則及び指令 2012/27/EU の改正に関する 2019 年 6 月 5 日の欧州議会及び理事会の指令(EU) 2019/944 (OJ L 158, 14.6.2019, p. 125)。 |
| ANNEX V EU DECLARATION OF CONFORMITY | 附属書 V EU 適合宣言書 |
| The EU declaration of conformity referred to in Article 28, shall contain all of the following information: | 第 28 条で言及される EU 適合宣言書には,次のすべての情報を含まなければならない: |
| 1. Name and type and any additional information enabling the unique identification of the product with digital elements | 1. デジタル要素を含む製品の固有識別を可能にする名称、型式及び追加情報 2. |
| 2. Name and address of the manufacturer or its authorised representative | 2. 製造事業者またはその認定代表者の氏名および住所 3. |
| 3. A statement that the EU declaration of conformity is issued under the sole responsibility of the provider | 3. EU適合宣言がプロバイダの単独責任の下で発行されたものである旨の声明 |
| 4. Object of the declaration (identification of the product with digital elements allowing traceability, which may include a photograph, where appropriate) | 4. 宣言の対象(トレーサビリティを可能にするデジタル要素を含む製品の識別。) |
| 5. A statement that the object of the declaration described above is in conformity with the relevant Union harmonisation legislation | 5. 上記の宣言の対象が、関連するEU調和法に適合している旨の声明 |
| 6. References to any relevant harmonised standards used or any other common specification or cybersecurity certification in relation to which conformity is declared | 6. 適合が宣言される関連する整合標準、またはその他の共通仕様もしくはサイバーセキュリティ認証への言及。 |
| 7. Where applicable, the name and number of the notified body, a description of the conformity assessment procedure performed and identification of the certificate issued | 7. 該当する場合、被認定団体の名称と番号、実施された適合性評価手順の説明、および発行された証明書の識別。 |
| 8. Additional information: | 8. 追加情報 |
| Signed for and on behalf of: | のために,及び代表して署名する: |
| (place and date of issue): | (発行場所及び発行日): |
| (name, function) (signature): | (氏名,機能)(署名): |
| ANNEX VI SIMPLIFIED EU DECLARATION OF CONFORMITY | 附属書 VI 簡易 EU 適合宣言書 |
| The simplified EU declaration of conformity referred to in Article 13(20) shall be provided as follows: | 第13条(20)で言及されている簡易EU適合宣言は,次のようにプロバイダされなければならない: |
| Hereby, … [name of manufacturer] declares that the product with digital elements type … [designation of type of product with digital element] is in compliance with Regulation (EU) 2024/2847 (1). | これにより、...[製造事業者名]は、デジタル要素を含む製品タイプ...[デジタル要素を含む製品のタイプの指定]が規則(EU)2024/2847(1)に適合していることを宣言する。 |
| The full text of the EU declaration of conformity is available at the following internet address: … | EU適合宣言の全文は、以下のインターネットアドレスから入手できる: ... |
| (1) OJ L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj. | (1) OJ L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj. |
| ANNEX VII CONTENT OF THE TECHNICAL DOCUMENTATION | 附属書 VII 技術文書の内容 |
| The technical documentation referred to in Article 31 shall contain at least the following information, as applicable to the relevant product with digital elements: | 附属書VII 技術文書の内容 第31条の技術文書には,デジタル要素を含む製品に該当する場合,少なくとも次の情報を含まなけれ ばならない: |
| 1. a general description of the product with digital elements, including: | 1. デジタル要素を含む製品の一般的な説明: |
| (a) its intended purpose; | (a) 意図された目的; |
| (b) versions of software affecting compliance with essential cybersecurity requirements; | (b) 重要なサイバーセキュリティ要件への準拠に影響を及ぼすソフトウェアのバージョン; |
| (c) where the product with digital elements is a hardware product, photographs or illustrations showing external features, marking and internal layout; | (c)デジタル要素を含む製品がハードウェア製品である場合、外観の特徴、マーキング、内部レイアウトを示す写真または図版; |
| (d) user information and instructions as set out in Annex II; | (d) 附属書Ⅱに定める使用者情報及び説明書; |
| 2. a description of the design, development and production of the product with digital elements and vulnerability handling processes, including: | 2. デジタル要素を含む製品の設計、開発及び製造並びに脆弱性処理プロセスに関する説明: |
| (a) necessary information on the design and development of the product with digital elements, including, where applicable, drawings and schemes and a description of the system architecture explaining how software components build on or feed into each other and integrate into the overall processing; | (a)デジタル要素を含む製品の設計及び開発に関する必要な情報(該当する場合、図面及び図式、並びにソフトウ ェアコンポーネントが相互にどのように構築され、又は相互にどのように供給され、全体的な処理に統合され るかを説明するシステムアーキテクチャの記述を含む); |
| (b) necessary information and specifications of the vulnerability handling processes put in place by the manufacturer, including the software bill of materials, the coordinated vulnerability disclosure policy, evidence of the provision of a contact address for the reporting of the vulnerabilities and a description of the technical solutions chosen for the secure distribution of updates; | (b) ソフトウェア部品表、調整された脆弱性開示方針、脆弱性を報告するための連絡先が提供されている証拠、アップデートを安全に配布するために選択された技術ソリューションの説明を含む、製造事業者が実施する脆弱性処理プロセスの必要な情報と仕様; |
| (c) necessary information and specifications of the production and monitoring processes of the product with digital elements and the validation of those processes; | (c) デジタル要素を含む製品の製造・監視プロセスの必要な情報・仕様、およびそれらのプロセスの妥当性確認; |
| 3. an assessment of the cybersecurity risks against which the product with digital elements is designed, developed, produced, delivered and maintained pursuant to Article 13, including how the essential cybersecurity requirements set out in Part I of Annex I are applicable; | 3. デジタル要素を含む製品が、附属書ⅠのパートⅠに定めるサイバーセキュリティの必須要件がどのように適用されるかを含め、第 13 条に従って設計、開発、製造、引渡し及び保守されるサイバーセキュリティリスクのアセスメント; |
| 4. relevant information that was taken into account to determine the support period pursuant to Article 13(8) of the product with digital elements; | 4. デジタル要素を含む製品の第13条(8)に基づくサポート期間を決定するために考慮された関連情報; |
| 5. a list of the harmonised standards applied in full or in part the references of which have been published in the Official Journal of the European Union, common specifications as set out in Article 27 of this Regulation or European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 pursuant to Article 27(8) of this Regulation, and, where those harmonised standards, common specifications or European cybersecurity certification schemes have not been applied, descriptions of the solutions adopted to meet the essential cybersecurity requirements set out in Parts I and II of Annex I, including a list of other relevant technical specifications applied. In the event of partly applied harmonised standards, common specifications or European cybersecurity certification schemes, the technical documentation shall specify the parts which have been applied; | 5. 欧州連合官報に参照文献が公表されている全部又は一部が適用された整合規格、本規則第 27 条に定める共通仕様、又は本規則第 27 条(8)に従い規則(EU)2019/881 に従って採択された欧州サイバーセキュリティ認証制度のリスト、及び、これらの整合規格、共通仕様又は欧州サイバーセキュリティ認証制度が適用されていない場合は、適用された他の関連技術仕様のリストを含め、附属書 I の第 I 部及び第 II 部に定める必須のサイバーセキュリティ要件を満たすために採用された解決策の説明。整合標準,共通仕様,または欧州サイバーセキュリティ認証スキームが部分的に適用されている場合,技術文書には適用された部分を明記しなければならない; |
| 6. reports of the tests carried out to verify the conformity of the product with digital elements and of the vulnerability handling processes with the applicable essential cybersecurity requirements as set out in Parts I and II of Annex I; | 6. デジタル要素を含む製品及び脆弱性処理プロセスが、附属書 I の第 I 部及び第 II 部に規定される適用されるサイバーセキュリティ必須要件に適合していることを検証するために実施された試験の報告書; |
| 7. a copy of the EU declaration of conformity; | 7. EU適合宣言書の写し; |
| 8. where applicable, the software bill of materials, further to a reasoned request from a market surveillance authority provided that it is necessary in order for that authority to be able to check compliance with the essential cybersecurity requirements set out in Annex I. | 8. 市場監視当局が附属書Ⅰに定めるサイバーセキュリティの必須要件への適合を確認できるようにするために必要であることを条件として、市場監視当局からの合理的な要請に基づくソフトウェア部品表(該当する場合)。 |
| ANNEX VIII CONFORMITY ASSESSMENT PROCEDURES | 附属書 VIII 適合性評価手順 |
| Part I Conformity assessment procedure based on internal control (based on module A) | 第 I 部 内部統制に基づく適合性評価手順(モジュール A に基づく) |
| 1. Internal control is the conformity assessment procedure whereby the manufacturer fulfils the obligations set out in points 2, 3 and 4 of this Part, and ensures and declares on its sole responsibility that the products with digital elements satisfy all the essential cybersecurity requirements set out in Part I of Annex I and the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I. | 1. 内部統制とは、製造事業者が本編の 2、3、4 に定める義務を履行し、デジタル要素を含む製 品が附属書 I の第 I 部に定めるすべてのサイバーセキュリティ必須要件を満たし、かつ製造事業 者が附属書 I の第 II 部に定めるサイバーセキュリティ必須要件を満たしていることを、自らの 責任において保証し宣言する適合性評価手順である。 |
| 2. The manufacturer shall draw up the technical documentation described in Annex VII. | 2. 製造事業者は、附属書 VII に記載された技術文書を作成しなければならない。 |
| 3. Design, development, production and vulnerability handling of products with digital elements | 3. デジタル要素を含む製品の設計、開発、製造および脆弱性の取り扱い |
| The manufacturer shall take all measures necessary so that the design, development, production and vulnerability handling processes and their monitoring ensure compliance of the manufactured or developed products with digital elements and of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Parts I and II of Annex I. | 製造事業者は、設計、開発、製造及び脆弱性処理のプロセス並びにそれらの監視が、デジタル要素を含む製造又は開発された製品及び製造事業者が実施するプロセスが附属書Ⅰの第Ⅰ部及び第Ⅱ部に定めるサイバーセキュリティの必須要件に適合することを保証するために必要なあらゆる措置を講じなければならない。 |
| 4. Conformity marking and declaration of conformity | 4. 適合マーキング及び適合宣言 |
| 4.1. The manufacturer shall affix the CE marking to each individual product with digital elements that satisfies the applicable requirements set out in this Regulation. | 4.1. 製造事業者は、本規則に定める適用要件を満たすデジタル要素を含む個々の製品に、CE マーキングを貼付しなければならない。 |
| 4.2. The manufacturer shall draw up a written EU declaration of conformity for each product with digital elements in accordance with Article 28 and keep it together with the technical documentation at the disposal of the national authorities for 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. The EU declaration of conformity shall identify the product with digital elements for which it has been drawn up. A copy of the EU declaration of conformity shall be made available to the relevant authorities upon request. | 4.2. 製造事業者は、第28条に従って、デジタル要素を含む製品ごとにEU適合宣言書を作成し、技術文書とともに、デジタル要素を含む製品が上市されてから10年間、またはサポート期間のいずれか長い方の期間、国家当局の手元に保管しなければならない。EU適合宣言書は、それが作成されたデジタル要素を含む製品を特定しなければならない。EU適合宣言書の写しは、要請に応じて関係当局に提供されなければならない。 |
| 5. Authorised representatives | 5. 認定代表者 |
| The manufacturer’s obligations set out in point 4 may be fulfilled by its authorised representative, on its behalf and under its responsibility, provided that the relevant obligations are specified in the mandate. | 第4項に定める製造事業者の義務は、関連する義務が委任状に明記されている場合に限り、その代表者がその代表者に代わり、その責任の下で履行することができる。 |
| Part II EU-type examination (based on module B) | 第Ⅱ部 EUタイプ審査(モジュールBに基づく) |
| 1. EU-type examination is the part of a conformity assessment procedure in which a notified body examines the technical design and development of a product with digital elements and the vulnerability handling processes put in place by the manufacturer, and attests that a product with digital elements meets the essential cybersecurity requirements set out in Part I of Annex I and that the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I. | 1. EU 型審査は、適合性評価手続の一部であり、被認証団体が、デジタル要素を含む製 品の技術的設計及び開発、並びに製造事業者が実施する脆弱性処理プロセスを審査し、デジ タル要素を含む製品が附属書 I の第 I 部に定めるサイバーセキュリティの必須要件を満たし、かつ、製 造事業者が附属書 I の第 II 部に定めるサイバーセキュリティの必須要件を満たしていることを証 明する。 |
| 2. EU-type examination shall be carried out by assessing the adequacy of the technical design and development of the product with digital elements through the examination of the technical documentation and supporting evidence referred to in point 3, and the examination of specimens of one or more critical parts of the product (combination of production type and design type). | 2. EU型審査は、デジタル要素を含む製品の技術的設計および開発の妥当性を、3.で言及された技術文書および裏付け証拠の審査、ならびに製品の1つまたは複数の重要部分(生産型と設計型の組み合わせ)の試料の審査を通じてアセスメントすることにより実施される。 |
| 3. The manufacturer shall lodge an application for EU-type examination with a single notified body of its choice. | 3. 製造事業者は、選択した一つの被認証団体にEU型審査を申請しなければならない。 |
| The application shall include: | 申請書には以下を記載する: |
| 3.1. the name and address of the manufacturer and, if the application is lodged by the authorised representative, the name and address of that authorised representative; | 3.1.製造事業者の名称及び住所、並びに申請が委任代表者によって行われる場合は、その委任代表者の名称及び住所; |
| 3.2. a written declaration that the same application has not been lodged with any other notified body; | 3.2. 同一の申請を他の被認定団体に申請していないことの宣言書; |
| 3.3. the technical documentation, which shall make it possible to assess the conformity of the product with digital elements with the applicable essential cybersecurity requirements as set out in Part I of Annex I and the manufacturer’s vulnerability handling processes set out in Part II of Annex I and shall include an adequate analysis and assessment of the risks. The technical documentation shall specify the applicable requirements and cover, as far as relevant for the assessment, the design, manufacture and operation of the product with digital elements. The technical documentation shall contain, wherever applicable, at least the elements set out in Annex VII; | 3.3. 技術文書。この技術文書は、附属書 I の第 I 部に規定される適用されるサイバーセキュリティ必須要件及び附属書 I の第 II 部に規定される製造事業者の脆弱性処理プロセスへのデジタル要素を含む製品の適合性を評価することを可能にし、リスクの適切な分析及びアセスメントを含まなければならない。技術文書には、適用される要求事項を明記し、アセスメントに関連する限り、デジタル要素を含む製品の設計、製造、運用を網羅しなければならない。技術文書には,該当する場合,少なくとも附属書 VII に定める要素を含まなければならない; |
| 3.4. the supporting evidence for the adequacy of the technical design and development solutions and vulnerability handling processes. This supporting evidence shall mention any documents that have been used, in particular where the relevant harmonised standards or technical specifications have not been applied in full. The supporting evidence shall include, where necessary, the results of tests carried out by the appropriate laboratory of the manufacturer, or by another testing laboratory on its behalf and under its responsibility. | 3.4. 技術的設計・開発ソリューション及び脆弱性処理プロセスの妥当性を裏付ける証拠。この裏付け証拠は、特に関連する整合標準又は技術仕様が完全に適用されていない場合に、使用された文書に言及しなければならない。裏付け証拠には、必要な場合、製造事業者の適切な試験所、又は製造事業者に代わり製造事業者の責任の下で他の試験所が実施した試験結果を含めなければならない。 |
| 4. The notified body shall: | 4. 被認定団体は,次のことを行わなければならない: |
| 4.1. examine the technical documentation and supporting evidence to assess the adequacy of the technical design and development of the product with digital elements with the essential cybersecurity requirements set out in Part I of Annex I and of the vulnerability handling processes put in place by the manufacturer with the essential cybersecurity requirements set out in Part II of Annex I; | 4.1. 技術文書及び裏付け証拠を調査し、デジタル要素を含む製品の技術設計及び開発が附属書 I の第 I 部に定めるサイバーセキュリティの必須要件に適合していること、並びに製造事業者が実施する脆弱性処理プロセスが附属書 I の第 II 部に定めるサイバーセキュリティの必須要件に適合していることを評価する; |
| 4.2. verify that specimens have been developed or manufactured in conformity with the technical documentation, and identify the elements which have been designed and developed in accordance with the applicable provisions of the relevant harmonised standards or technical specifications, as well as the elements which have been designed and developed without applying the relevant provisions of those standards; | 4.2. 試料が技術文書に準拠して開発又は製造されていることを検証し、整合規格又は技術仕様の適 用規定に従って設計及び開発された要素、並びにこれらの規格の関連規定を適用せずに設計 及び開発された要素を特定する; |
| 4.3. carry out appropriate examinations and tests, or have them carried out, to check that, where the manufacturer has chosen to apply the solutions in the relevant harmonised standards or technical specifications for the requirements set out in Annex I, they have been applied correctly; | 4.3. 製造事業者が附属書Ⅰに定める要件に対して関連整合規格又は技術仕様の解決策を適用することを選択 した場合,それらが正しく適用されていることをチェックするために適切な検査及び試験を実施する, 又は実施させる; |
| 4.4. carry out appropriate examinations and tests, or have them carried out, to check that, where the solutions in the relevant harmonised standards or technical specifications for the requirements set out in Annex I have not been applied, the solutions adopted by the manufacturer meet the corresponding essential cybersecurity requirements; | 4.4. 関連整合規格又は附属書Ⅰに定める要件に関する技術仕様の解決策が適用されていない場 合,製造事業者が採用した解決策が対応するサイバーセキュリティの必須要件を満たしている ことを確認するために,適切な検査及び試験を実施する,又は実施させる; |
| 4.5. agree with the manufacturer on a location where the examinations and tests will be carried out. | 4.5. 審査及び試験を実施する場所について製造事業者と合意する。 |
| 5. The notified body shall draw up an evaluation report that records the activities undertaken in accordance with point 4 and their outcomes. Without prejudice to its obligations vis-à-vis the notifying authorities, the notified body shall release the content of that report, in full or in part, only with the agreement of the manufacturer. | 5. 被認定団体は、4.に従って実施された活動及びその結果を記録した評価報告書を作成しなければならない。認定機関に対する義務を損なうことなく,被認定団体は,製造事業者の同意を得た場合に限り,その報告書の内容の全部又は一部を公表しなければならない。 |
| 6. Where the type and the vulnerability handling processes meet the essential cybersecurity requirements set out in Annex I, the notified body shall issue an EU-type examination certificate to the manufacturer. The certificate shall contain the name and address of the manufacturer, the conclusions of the examination, the conditions (if any) for its validity and the necessary data for identification of the approved type and vulnerability handling processes. The certificate may have one or more annexes attached. | 6. 型式及び脆弱性処理プロセスが附属書Ⅰに定めるサイバーセキュリティの必須要件を満たす場合、被認証団体は製造事業者に対してEU型式審査証明書を発行する。この証明書には、製造事業者の名称及び住所、審査の結論、妥当性確認のための条件(もしあれば)、並びに承認された型式及び脆弱性処理プロセスを識別するために必要なデータが含まれるものとする。証明書には、1 つ以上の附属書を添付することができる。 |
| The certificate and its annexes shall contain all relevant information to allow the conformity of manufactured or developed products with digital elements with the examined type and vulnerability handling processes to be evaluated and to allow for in-service control. | 証明書及びその附属書には、審査された型式及び脆弱性処理プロセスへのデジタル要素を含む製 造事業者又は開発製品の適合性を評価できるようにするため、及び稼働中の管理を可能にするため のすべての関連情報を含まなければならない。 |
| Where the type and the vulnerability handling processes do not satisfy the applicable essential cybersecurity requirements set out in Annex I, the notified body shall refuse to issue an EU-type examination certificate and shall inform the applicant accordingly, giving detailed reasons for its refusal. | 型式及び脆弱性処理プロセスが附属書Ⅰに定める該当するサイバーセキュリティ必須要件を満たさない場合、被認証団体はEU型式審査証明書の発行を拒否し、その詳細な理由を付して申請者に通知しなければならない。 |
| 7. The notified body shall keep itself apprised of any changes in the generally acknowledged state of the art which indicate that the approved type and the vulnerability handling processes may no longer comply with the applicable essential cybersecurity requirements set out in Annex I, and shall determine whether such changes require further investigation. If so, the notified body shall inform the manufacturer accordingly. | 7. 被認証団体は、承認された型式及び脆弱性処理プロセスがもはや附属書Ⅰに定める適用されるサイバーセキュリティの必須要件に適合しない可能性があることを示す、一般に認められている技術状況のいかなる変化にも常に注意を払い、そのような変化がさらなる調査を必要とするかどうかを判断しなければならない。その場合、被認証団体は製造事業者にその旨を通知しなければならない。 |
| The manufacturer shall inform the notified body that holds the technical documentation relating to the EU-type examination certificate of all modifications to the approved type and the vulnerability handling processes that may affect the conformity with the essential cybersecurity requirements set out in Annex I, or the conditions for validity of the certificate. Such modifications shall require additional approval in the form of an addition to the original EU-type examination certificate. | 製造事業者は、EU型式審査証明書に関する技術文書を保有する被認証団体に対し、附属書Ⅰに定めるサイバーセキュリティ必須要件への適合性又は証明書の妥当性確認条件に影響を及ぼす可能性のある、承認型式及び脆弱性対応プロセスに対するすべての変更について通知しなければならない。このような変更は、元の EU 型式審査証明書に追加する形で追加承認を必要とする。 |
| 8. The notified body shall carry out periodic audits to ensure that the vulnerability handling processes as set out in Part II of Annex I are implemented adequately. | 8. 被認定団体は、附属書 I の第 II 部に定める脆弱性処理プロセスが適切に実施されていることを確 認するために、定期的な監査を実施するものとする。 |
| 9. Each notified body shall inform its notifying authorities concerning the EU-type examination certificates and any additions thereto which it has issued or withdrawn, and shall, periodically or upon request, make available to its notifying authorities the list of certificates and any additions thereto refused, suspended or otherwise restricted. | 9. 各被認証団体は、発行または撤回した EU タイプ検査証明書およびその追加について、認 証機関に通知するものとし、定期的にまたは要求に応じて、拒否、一時停止、その他制限され た証明書およびその追加のリストを認定機関に提供するものとする。 |
| Each notified body shall inform the other notified bodies concerning the EU-type examination certificates and any additions thereto which it has refused, withdrawn, suspended or otherwise restricted, and, upon request, concerning the certificates and additions thereto which it has issued. | 各被認証団体は、拒否、撤回、一時停止またはその他の制限を行ったEU型式検査証明書およびその追加について、また、要請があれば、発行した証明書およびその追加について、他の被認証団体に報告しなければならない。 |
| The Commission, the Member States and the other notified bodies may, on request, obtain a copy of the EU-type examination certificates and any additions thereto. On request, the Commission and the Member States may obtain a copy of the technical documentation and the results of the examinations carried out by the notified body. The notified body shall keep a copy of the EU-type examination certificate, its annexes and additions, as well as the technical file including the documentation submitted by the manufacturer, until the expiry of the validity of the certificate. | 欧州委員会、加盟国およびその他の被認証団体は、要請があれば、EU型式検査証明書およびその追加の写しを入手することができる。欧州委員会および加盟国は、要請に応じて、被認証団体が実施した技術文書および審査結果の写しを入手することができる。被認証団体は、EU型式審査証明書、その附属書および追補の写し、ならびに製造事業者が提出した文書を含む技術資料を、証明書の妥当性確認期間が満了するまで保管しなければならない。 |
| 10. The manufacturer shall keep a copy of the EU-type examination certificate, its annexes and additions together with the technical documentation at the disposal of the national authorities for 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. | 10. 製造事業者は、デジタル要素を含む製品が上市されてから10年間、またはサポート期間のいずれか長い方の期間、EU型審査証明書、その附属書および追補の写しを、技術文書とともに国家当局の手元に保管しなければならない。 |
| 11. The manufacturer’s authorised representative may lodge the application referred to in point 3 and fulfil the obligations set out in points 7 and 10, provided that the relevant obligations are specified in the mandate. | 11. 製造事業者の公認代表者は,関連義務が指令に規定されていることを条件として,3 に述べた申請 を行い,7 及び 10 に規定した義務を果たすことができる。 |
| Part III Conformity to type based on internal production control (based on module C) | 第 III 部 内部製造管理に基づく型式への適合(モジュール C に基づく) |
| 1. Conformity to type based on internal production control is the part of a conformity assessment procedure whereby the manufacturer fulfils the obligations set out in points 2 and 3 of this Part, and ensures and declares that the products with digital elements concerned are in conformity with the type described in the EU-type examination certificate and satisfy the essential cybersecurity requirements set out in Part I of Annex I and that the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I. | 1. 内部製造管理に基づく型式への適合は、製造事業者が本編の第 2 項及び第 3 項に定める義務を履行し、当該デジタル要素を含む製品が EU 型式審査証明書に記載された型式に適合し、附属書 I の第 I 部に定めるサイバーセキュリティの必須要件を満たしていること、及び製造事業者が附属書 I の第 II 部に定めるサイバーセキュリティの必須要件を満たしていることを保証し、宣言する適合性評価手順の一部である。 |
| 2. Production | 2. 製造 |
| The manufacturer shall take all measures necessary so that the production and its monitoring ensure conformity of the manufactured products with digital elements with the approved type described in the EU-type examination certificate and with the essential cybersecurity requirements as set out in Part I of Annex I and ensures that the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I. | 製造事業者は、製造及びその監視により、デジタル要素を含む製造製品がEU型式検査証明書に記載された承認型式及び附属書Ⅰの第Ⅰ部に規定されたサイバーセキュリティの必須要件に適合していることを保証し、かつ、製造者が附属書Ⅰの第Ⅱ部に規定されたサイバーセキュリティの必須要件を満たすことを保証するために必要なすべての措置を講じなければならない。 |
| 3. Conformity marking and declaration of conformity | 3. 適合マーキングおよび適合宣言 |
| 3.1. The manufacturer shall affix the CE marking to each individual product with digital elements that is in conformity with the type described in the EU-type examination certificate and satisfies the applicable requirements set out in this Regulation. | 3.1. 製造事業者は、EU 型式審査証明書に記載された型式に適合し、本規則に定める適用要件を満たすデジタル要素を含む個々の製品に、CE マーキングを貼付しなければならない。 |
| 3.2. The manufacturer shall draw up a written declaration of conformity for a product model and keep it at the disposal of the national authorities for 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. The declaration of conformity shall identify the product model for which it has been drawn up. A copy of the declaration of conformity shall be made available to the relevant authorities upon request. | 3.2. 製造事業者は、製品モデルについて書面による適合宣言書を作成し、デジタル要素を含む製品が上市されてから 10 年間又はサポート期間のいずれか長い方の期間、国家当局の手元に保管しなければならない。適合宣言書は、それが作成された製品モデルを特定しなければならない。適合宣言書の写しは、要求に応じて関係当局に提供されなければならない。 |
| 4. Authorised representative | 4. 認定代表者 |
| The manufacturer’s obligations set out in point 3 may be fulfilled by its authorised representative, on its behalf and under its responsibility, provided that the relevant obligations are specified in the mandate. | 製造事業者は、その委任に関連する義務が明記されていることを条件として、製造事業者に代わり、その責任の下で、委任された代表者により、3 に定める義務を履行することができる。 |
| Part IV Conformity based on full quality assurance (based on module H) | 第 IV 部 完全な品質保証に基づく適合性(モジュール H に基づく) |
| 1. Conformity based on full quality assurance is the conformity assessment procedure whereby the manufacturer fulfils the obligations set out in points 2 and 5 of this Part, and ensures and declares on its sole responsibility that the products with digital elements or product categories concerned satisfy the essential cybersecurity requirements set out in Part I of Annex I and that the vulnerability handling processes put in place by the manufacturer meet the requirements set out in Part II of Annex I. | 1. 完全な品質保証に基づく適合とは、製造事業者が本編の第 2 項及び第 5 項に定める義務を満たし、デジタル要素を含む製品又は当該製品カテゴリーが附属書 I の第 I 部に定めるサイバーセキュリティの必須要件を満たしていること、及び製造事業者が実施する脆弱性対応プロセスが附属書 I の第 II 部に定める要件を満たしていることを、自らの責任において保証し宣言する適合性評価手続きである。 |
| 2. Design, development, production and vulnerability handling of products with digital elements | 2. デジタル要素を含む製品の設計、開発、製造、脆弱性処理 |
| The manufacturer shall operate an approved quality system as specified in point 3 for the design, development and final product inspection and testing of the products with digital elements concerned and for handling vulnerabilities, maintain its effectiveness throughout the support period, and shall be subject to surveillance as specified in point 4. | 製造事業者は、当該デジタル要素を含む製品の設計、開発、最終製品の検査および試験、ならびに脆弱性の取り扱いのために、ポイント3に規定する承認された品質システムを運用し、サポート期間を通じてその有効性を維持し、ポイント4に規定するサーベイランスを受けなければならない。 |
| 3. Quality system | 3. 品質システム |
| 3.1. The manufacturer shall lodge an application for assessment of its quality system with the notified body of its choice, for the products with digital elements concerned. | 3.1. 製造事業者は、当該デジタル要素を含む製品について、自ら選択した被認証団体に品質システムのアセスメントを申請しなければならない。 |
| The application shall include: | 申請書には次の事項を含めなければならない: |
| (a) the name and address of the manufacturer and, if the application is lodged by the authorised representative, the name and address of that authorised representative; | (a) 製造事業者の名称及び住所,並びに承認代表者が申請する場合は,その承認代表者の名称及び住所; |
| (b) the technical documentation for one model of each category of products with digital elements intended to be manufactured or developed. The technical documentation shall, wherever applicable, contain at least the elements as set out in Annex VII; | (b) 製造又は開発を意図するデジタル要素を含む製品のカテゴリーごとに,1モデルの技術文書。技術文書には,該当する場合,少なくとも附属書VIIに定める要素を含まなければならない; |
| (c) the documentation concerning the quality system; and | (c) 品質システムに関する文書 |
| (d) a written declaration that the same application has not been lodged with any other notified body. | (d) 同一の申請が他の被認定団体に提出されていないことの宣言書 |
| 3.2. The quality system shall ensure compliance of the products with digital elements with the essential cybersecurity requirements set out in Part I of Annex I and compliance of the vulnerability handling processes put in place by the manufacturer with the requirements set out in Part II of Annex I. | 3.2. 品質システムは,デジタル要素を含む製品が附属書ⅠのパートⅠに規定するサイバーセキュリティの必須要件に適合し,製造事業者が実施する脆弱性処理プロセスが附属書ⅠのパートⅡに規定する要件に適合することを保証しなければならない。 |
| All the elements, requirements and provisions adopted by the manufacturer shall be documented in a systematic and orderly manner in the form of written policies, procedures and instructions. That quality system documentation shall permit a consistent interpretation of the quality programmes, plans, manuals and records. | 製造事業者が採用するすべての要素、要求事項及び規定は、文書化された方針、手順書及び指示書の形で体系的かつ整然と文書化されなければならない。品質システム文書は,品質プログラム,計画,マニュアル及び記録の一貫した解釈を可能にするものでなければならない。 |
| It shall, in particular, contain an adequate description of: | 品質システム文書には、特に次の事項が適切に記述されていなければならない: |
| (a) the quality objectives and the organisational structure, responsibilities and powers of the management with regard to design, development, product quality and vulnerability handling; | (a) 品質目標、並びに設計、開発、製品品質及び脆弱性処理に関する管理者の組織構造、責任及び権限; |
| (b) the technical design and development specifications, including standards, that will be applied and, where the relevant harmonised standards or technical specifications will not be applied in full, the means that will be used to ensure that the essential cybersecurity requirements set out in Part I of Annex I that apply to the products with digital elements will be met; | (b) 標準を含む,適用される設計及び開発の技術仕様,並びに,関連する整合標準又は技術仕様が完全に適用されない場合には,デジタル要素を含む製品に適用される附属書 I の第 I 部に規定されるサイバーセキュリティの必須要件が満たされることを確保するために使用される手段; |
| (c) the procedural specifications, including standards, that will be applied and, where the relevant harmonised standards or technical specifications will not be applied in full, the means that will be used to ensure that the essential cybersecurity requirements set out in Part II of Annex I that apply to the manufacturer will be met; | (c) 適用される標準を含む手続き仕様、及び関連する整合標準又は技術仕様が完全に適用されない場合、製造事業者に適用される附属書Ⅰの第Ⅱ部に規定されるサイバーセキュリティの必須要件が満たされることを確保するために使用される手段; |
| (d) the design and development control, as well as design and development verification techniques, processes and systematic actions that will be used when designing and developing the products with digital elements pertaining to the product category covered; | (d) 対象となる製品カテゴリーに関連するデジタル要素を含む製品を設計・開発する際に使用される、設計・開発管理、設計・開発検証技術、プロセス及び体系的な措置; |
| (e) the corresponding production, quality control and quality assurance techniques, processes and systematic actions that will be used; | (e) 対応する生産、品質管理、品質保証の技術、プロセス、および使用される体系的な措置; |
| (f) the examinations and tests that will be carried out before, during and after production, and the frequency with which they will be carried out; | (f) 生産前、生産中、生産後に実施される検査と試験、およびそれらの実施頻度; |
| (g) the quality records, such as inspection reports and test data, calibration data and qualification reports on the personnel concerned; | (g) 検査報告書や試験データ、校正データ、関係者の資格報告書などの品質記録; |
| (h) the means of monitoring the achievement of the required design and product quality and the effective operation of the quality system. | (h) 要求される設計及び製品品質の達成、並びに品質システムの効果的な運用を監視する手段。 |
| 3.3. The notified body shall assess the quality system to determine whether it satisfies the requirements referred to in point 3.2. | 3.3. 被認定団体は,品質システムが3.2で言及した要求事項を満たしているかどうかを判断するため,品質システ ムのアセスメントを行わなければならない。 |
| It shall presume conformity with those requirements in respect of the elements of the quality system that comply with the corresponding specifications of the national standard that implements the relevant harmonised standard or technical specification. | 品質システムの要素のうち,関連する整合規格又は技術仕様を実施する国家標準の対応する仕様に準拠 するものについては,これらの要件への適合を推定しなければならない。 |
| In addition to experience in quality management systems, the auditing team shall have at least one member experienced as an assessor in the relevant product field and product technology concerned, and shall have knowledge of the applicable requirements set out in this Regulation. The audit shall include an assessment visit to the manufacturer’s premises, where such premises exist. The auditing team shall review the technical documentation referred to in point 3.1 (b), to verify the manufacturer’s ability to identify the applicable requirements set out in this Regulation and to carry out the necessary examinations with a view to ensuring compliance of the product with digital elements with those requirements. | 審査チームは、品質マネジメントシステムの経験に加え、当該製品分野及び製品技術の審査員としての経験を有し、かつ、本規則に定める適用要求事項に関する知識を有する者を少なくとも1名含まなければならない。審査には、製造事業者の施設がある場合は、その施設へのアセスメント訪問を含むものとする。審査チームは、3.1(b)で言及された技術文書を審査し、製造事業者が本規則に規定された該当する要求事項を識別し、デジタル要素を含む製品がこれらの要求事項に適合していることを保証するために必要な審査を実施する能力を検証するものとする。 |
| The manufacturer or its authorised representative shall be notified of the decision. | 製造事業者またはその認定代表者は、決定を通知されるものとする。 |
| The notification shall contain the conclusions of the audit and the reasoned assessment decision. | 通知には、審査の結論及び理由付きアセスメント決定を含まなければならない。 |
| 3.4. The manufacturer shall undertake to fulfil the obligations arising out of the quality system as approved and to maintain it so that it remains adequate and efficient. | 3.4. 製造事業者は,承認された品質システムから生じる義務を履行し,それが適切かつ効率的であり続けるよう維持することを約束しなければならない。 |
| 3.5. The manufacturer shall keep the notified body that has approved the quality system informed of any intended change to the quality system. | 3.5. 製造事業者は,品質システムを承認した被認証団体に対し,品質システムに意図された変更があることを通知し続けなければならない。 |
| The notified body shall evaluate any proposed changes and decide whether the modified quality system will continue to satisfy the requirements referred to in point 3.2 or whether a reassessment is necessary. | 被認定団体は,提案された変更を評価し,変更後の品質システムが3.2で言及した要求事項を引き続き満たすか,又は再評価が必要かどうかを決定しなければならない。 |
| It shall notify the manufacturer of its decision. The notification shall contain the conclusions of the examination and the reasoned assessment decision. | その決定を製造事業者に通知しなければならない。通知には,審査の結論及び理由付きアセスメント決定を含まなければならない。 |
| 4. Surveillance under the responsibility of the notified body | 4. 被認定団体の責任によるサーベイランス |
| 4.1. The purpose of surveillance is to make sure that the manufacturer duly fulfils the obligations arising out of the approved quality system. | 4.1. サーベイランスの目的は,製造事業者が承認された品質システムから生じる義務を正式に履行している ことを確認することである。 |
| 4.2. The manufacturer shall, for assessment purposes, allow the notified body access to the design, development, production, inspection, testing and storage sites, and shall provide it with all necessary information, in particular: | 4.2. 製造事業者は,アセスメントのため,被認定団体が設計,開発,製造,検査,試験及び保管の現場に立ち入ること を許可しなければならず,特に,すべての必要な情報を被認定団体に提供しなければならない: |
| (a) the quality system documentation; | (a) 品質システム文書 |
| (b) the quality records as provided for by the design part of the quality system, such as results of analyses, calculations and tests; | (b) 分析,計算及び試験の結果など,品質システムの設計部分にプロバイダとして規定されている品質記録; |
| (c) the quality records as provided for by the manufacturing part of the quality system, such as inspection reports and test data, calibration data and qualification reports on the personnel concerned. | (c) 検査報告書や試験データ、校正データ、関係者の資格認定報告書など、品質システムの製造事業者が規定する品質記録。 |
| 4.3. The notified body shall carry out periodic audits to make sure that the manufacturer maintains and applies the quality system and shall provide the manufacturer with an audit report. | 4.3. 被認定団体は,製造事業者が品質システムを維持し適用していることを確認するために定期的な 監査を実施し,製造事業者に監査報告書を提供しなければならない。 |
| 5. Conformity marking and declaration of conformity | 5. 適合マーキング及び適合宣言書 |
| 5.1. The manufacturer shall affix the CE marking, and, under the responsibility of the notified body referred to in point 3.1, the latter’s identification number to each individual product with digital elements that satisfies the requirements set out in Part I of Annex I. | 5.1. 製造事業者は,附属書 I の第 I 部に規定する要件を満たすデジタル要素を含む個々の製品に,CE マーク及び第 3.1 項の被認定団体の責任の下,被認定団体の識別番号を付さなければならない。 |
| 5.2. The manufacturer shall draw up a written declaration of conformity for each product model and keep it at the disposal of the national authorities for 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer. The declaration of conformity shall identify the product model for which it has been drawn up. | 5.2. 製造事業者は,製品モデルごとに書面による適合宣言書を作成し,デジタル要素を含む製 品の上市後 10 年間又はサポート期間のいずれか長い方の期間,国家当局の手元に置かなければな らない。適合宣言書は、それが作成された製品モデルを特定しなければならない。 |
| A copy of the declaration of conformity shall be made available to the relevant authorities upon request. | 適合宣言書の写しは、要請に応じて関係当局に提供されなければならない。 |
| 6. The manufacturer shall, for a period ending at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer, keep at the disposal of the national authorities: | 6. 製造事業者は,デジタル要素を含む製品が上市されてから少なくとも 10 年又はサポート期間の いずれか長い方の期間,国家当局の手元に置かなければならない: |
| (a) the technical documentation referred to in point 3.1; | (a) 3.1項で述べた技術文書; |
| (b) the documentation concerning the quality system referred to in point 3.1; | (b) 3.1項で述べた品質システムに関する文書 |
| (c) the change referred to in point 3.5, as approved; | (c) 承認された3.5項で言及した変更; |
| (d) the decisions and reports of the notified body referred to in points 3.5 and 4.3. | (d) 3.5及び4.3に言及した被認定団体の決定及び報告書。 |
| 7. Each notified body shall inform its notifying authorities of quality system approvals issued or withdrawn, and shall, periodically or upon request, make available to its notifying authorities the list of quality system approvals refused, suspended or otherwise restricted. | 7. 各被認証団体は,発行又は撤回された品質システム承認を認定機関に通知しなければならず,また,定期的に又は要求があれば,品質システム承認の拒否,一時停止又はその他の制限のリストを認定機関に提供しなければならない。 |
| Each notified body shall inform the other notified bodies of quality system approvals which it has refused, suspended or withdrawn, and, upon request, of quality system approvals which it has issued. | 各被認証団体は,他の被認証団体に対し,その団体が拒否,一時停止又は撤回した品質システム承認について, 及び要求があれば,その団体が発行した品質システム承認について,通知しなければならない。 |
| 8. Authorised representative | 8. 認定代表者 |
| The manufacturer’s obligations set out in points 3.1, 3.5, 5 and 6 may be fulfilled by its authorised representative, on its behalf and under its responsibility, provided that the relevant obligations are specified in the mandate. | 3.1,3.5,5 及び 6 に規定する製造事業者の義務は,関連する義務が委任文書に規定されていることを 条件として,その代表者がその代表者に代わり,その責任の下で果たすことができる。 |
| A statement has been made with regard to this act and can be found in OJ C, 2024/6786, 20.11.2024, ELI: [web] . | この行為に関する声明はOJ C, 2024/6786, 20.11.2024, ELI: [web] 。 |
| ELI: [web] | ELI: [web] |
| ISSN 1977-0677 (electronic edition) | ISSN 1977-0677(電子版) |
Comments