欧州委員会、デジタル製品に新たなサイバーセキュリティの要件を課す法案を公表

２０２２年９月１５日、欧州委員会はEU市場に流通するハードウェア及びソフトウェア製品のライフサイクル全体に適用される単一のサイバーセキュリティ規則を導入するEU初の法律「サイバーレジリエンス法（Cyber Resilience Act）」の法案を公表しました。

この法案は、デジタル製品を購入又は使用するEUの企業及び消費者を脆弱なサイバーセキュリティ機能から生じるリスクから保護することを目的としています。この規則は、機器やネットワークに接続された「デジタル要素を持つ製品」に適用され、既存のEUサイバーセキュリティの枠組み（NIS1指令（まもなくNIS2指令に置き換わります）、サイバーセキュリティ法）を補完することになります。

サイバーレジリエンス法を簡潔に説明すると以下のとおりになります。

• デジタル要素を含む製品の設計、開発、製造、配送、保守について、サイバー脅威から保護するための必須要求事項を定めています。
• 製造者の義務を定めています。デジタル製品を市場に流通させる前に、製造者は関連するすべてのサイバーセキュリティリスクを文書化し、脆弱性とインシデントを報告すること、想定される製品のライフサイクル又は５年間にわたり効果的な脆弱性対応プロセスを提供すること、当該製品の使用に関する指示を提供しセキュリティ更新を発行すること、製品に悪用された脆弱性を２４時間以内に欧州連合サイバーセキュリティ機関（ENISA）に通知することが義務付けられることになります。
• 市場に流通させる製品に関して、輸入業者と販売業者のサイバーセキュリティの義務を定めています。
• サイバーセキュリティ要件への準拠を実証するために設計された適合性評価プロセスを定めています。非重要製品については、自己評価が義務付けられています。重要製品（例えば、ID管理システムソフトウェア、ブラウザ、パスワードマネージャー、VPN、ネットワーク管理システム、ネットワークトラフィック監視システム、MDMソフトウェア、ネットワークインターフェース、ファイアーウォール、サーバ用OS、PKIインフラ、マイクロプロセッサ、スマートカード）については、第三者機関による適合性評価が求められています。
• 監視とエンフォースメントに関する規則を定めています。各加盟国は、規制の執行に責任をもつ市場監視当局を任命しなければなりません。違反した場合、当局は事業者（つまり、製造者、正規代理店、輸入業者、販売業者又は規則で定められた義務を負うその他の自然人又は法人）に対し、是正措置、製品の流通制限、又は撤退を命じることができます。また当局は罰金（最高１５００万ユーロ又は事業者の世界総売上高の2.5%まで）を課すことができるようになる予定です。

本提案は、今後欧州議会と欧州理事会で審議されます。採択された場合、製造者、通知機関（ノーティファイドエンティティ）、及び加盟国は新しい要件に適用するために２年の期間が与えられることになります（ただし、脆弱性とインシデントの報告義務については１年後にのみ適用されます）。

本アラートは、EUで事業を行う日本企業にとって重要なトピックと考えられることから紹介する次第です。詳細は、Jones Day Alert “European Commission Proposes Legislation Imposing New Cybersecurity Requirements on Digital Products”（オリジナル英語版）をご参照ください。