第2の壁:2027年12月までの「セキュア開発と適合義務」
報告義務開始から約1年後、2027年12月に全面適用が始まります。ここで、CRAの核心である必須要件への適合と、CEマークの貼付が必須となります。
CRA第13条に基づき、製造者が果たさなければならない義務は多岐にわたります。
表3:第13条 製造業者の義務抜粋
| 第13条 | 製造業者の義務 |
|---|---|
| #1 | 設計、開発および製造において、AnnexⅠ- PartⅠの「サイバーセキュリティ必須要件」を満たすこと |
| #2 |
サイバーセキュリティリスク評価を実施し、製品ライフサイクル全体でリスクと影響を最小化すること |
| #5 | 第三者(ベンダー)やOSSなどの部品を統合する際に、デューデリジェンスを実施すること |
| #6 | 製品のサイバーセキュリティ関連情報を体系的に文書化し、コンポーネントの脆弱性を発見した場合はその保守元(個人・団体)へ通知・共有すること |
| #8 | 予想される製品寿命、または最低5年間のサポート期間を定め、AnnexⅠ- PartⅡの「脆弱性ハンドリング要件」を満たすこと |
| #10 | 量産製品が継続して要件に適合し続けるためのプロセスを整備すること |
| #15 | AnnexⅡに従い、ユーザーへの情報および指示を分かりやすい言語で提供すること |
| #18、#20 | 技術文書およびEU適合宣言を製品が市場に出てから10年間保管し、EU適合宣言(またはそのリンク)をユーザーに提供・公開すること |
| #22 | 市場監視当局からの合理的な要請に対し、リスク対応および情報・文書提供に協力すること |
| #23 | 事業停止により義務を遵守できなくなった場合、市場監視当局およびユーザーに速やかに通知すること |
表中の「#1:AnnexⅠ–PartⅠのセキュリティ必須要件(セキュアな設計など)」や、「#2:サイバーセキュリティリスク評価の実施」、「#6:関連情報の文書化」などは、製品が出荷される前に完了していなければならない事項です。
これらの開発要件を具体化し、製品ライフサイクル全体に適用するための指針となるのがEN 40000-1-2です。
| Clause | 概要 |
|---|---|
|
6 Risk management (リスク管理プロセス) |
製品の「意図された用途」や「運用環境」を定義し、資産と脅威を特定した上でリスクアセスメントを実施するプロセスを定義。これを基に、製品に必要なセキュリティ要件を決定 |
|
7 Cybersecurity activities (サイバーセキュリティ活動) |
「Security by Design」などの原則に基づき、要件定義からアーキテクチャ設計、セキュアな実装、テスト(V&V)、さらには安全な製造・流通(デリバリー)に至るまで、製品ライフサイクル全般にわたるセキュリティ活動を定義 |
2027年の要件を満たすためには、開発の最終工程でテストを行うだけでなく、企画・設計の初期段階からこの規格に沿ったプロセスを回し、その証跡を技術文書として残す必要があります。
この記事は参考になりましたか?
- 欧州CRA入門! 製品セキュリティ対応をマスターしよう連載記事一覧
-
- CRA対応、2つのデッドライン:2026年「報告義務」/2027年「適合義務」で必要な実務...
- 欧州サイバーレジリエンス法への備えは大丈夫か?製品セキュリティの規制が加速する理由と対応の...
- この記事の著者
-
薫田 康弘(クンダ ヤスヒロ)
GMOサイバーセキュリティbyイエラエ株式会社 グローバル戦略部 シニアエンジニア国内セキュリティベンダーに入社し、製品に対するペネトレーションテストやマルウェア解析トレーニング講師を務めるなど、技術基盤を確立。その後、大手コンサルティングファームにて、車載機器の脅威分析やOEMサプライヤに対する標...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
