サイバーセキュリティ規則をより強化したEUの法律であるサイバーレジリエンス法。デジタル要素を含むほとんどの製品が、この法律によりサイバーセキュリティ要件に関する規制の対象となります。施行が近く、注目されているサイバーレジリエンス法の最新動向について、3月6日オンラインセミナーで、テュフ ラインランド ジャパンの専門家が解説、約70名のお客様にご参加いただきました。
セミナー第2回目では、3月12日に発行された最終版ドラフトをもとに、さらに明確になった内容について解説!
CRA正式発効にむけて、理解を深めましょう
CRA(サイバーレジリエンス法)は適用となる対象製品の幅が広いことが特徴の一つに挙げられています。最新の欧州内の議論では、対象製品の定義についても議論が進んでいます。対象製品を扱う製造業者は、CRAの目的と内容だけでなく最新動向を理解したうえで、どのような評価手順をとるべきか十分に考慮しなければなりません。報告義務や義務への違反に対しては、高額の罰金が科せられるケースもありますので注意が必要です。
CRAの主な要素の一部として以下が紹介されました。
- 新たな法的枠組みに基づく規制である
- 製造業者、販売業者、輸入業者の義務である
- 適合性評価はリスクのレベルによって区別される
新たな法的枠組み(NLF:New Legislative Framework)に基づき、製造業者は製品に関する要求事項を満たすために適合性評価のプロセスを選択できます。
参考:ECプレスリリース
欧州理事会と欧州議会、デジタル製品のセキュリティ要件で合意
適合性評価の対象となるものは、デフォルトカテゴリー、クラスI、クラスIIと、リスクの高さで3つのカテゴリーに分けられています。多くはデフォルトカテゴリーに該当し、第三者による認証は不要で、自己宣言が可能です。
注)クラス・カテゴリーは今後変更の可能性があります。
テュフ ラインランドの認証サービスのひとつであるIEC 62443との関連性についても解説
安全に関する規則とサイバーセキュリティに関する法律との関連についても説明し、IEC62443シリーズを参照した必要な対応を整理してお話しました。
IEC 62443は産業用オートメーションおよび制御システムのセキュリティに関する規格で、ここ5年で日本のお客様への認証発行が年々増加しております。この規格はサイバーセキュリティのリスクアセスメントの基礎として、またCRA対応のためにも活用できるものです。
セミナーでは、IEC62443とCRAの関連と、IEC62443-4-1と4-2の説明によりCRAへの適合イメージを持って頂けるよう説明をしました。欧州の指令や規則にはサイバーセキュリティへの対応を求めるものも増えており、CRAの対象外であっても、サイバーセキュリティ要件へ適用させる可能性はあります。
CRAにより、サイバーセキュリティインシデントが減少し、それに伴いインシデント対応にかかる費用が削減、製品・企業イメージへの被害を減少させ、逆にその信頼を高め、さらに製品の需要を高める、という流れが期待されます。サイバ-セキュリティへの要求が増す今、このような法律や規則が時々刻々と変わっているため、継続して最新の情報を追っていくことも重要です。
受講者のみなさまにも理解を深めていただきました
ご参加いただいたお客様からは理解が進んだといったご感想もいただきました。
「CRAとIEC62443とのマッピング対応についての説明が参考になった」
「CRAと規格との関連について上手く整理されていて、他のセミナーで理解できなかったところがクリアで理解しやすかった」
「CRAの最新の情報が得られ、自社製品への参考となりました」
本セミナー講師|テュフ ラインランド ジャパン インダストリー&サイバーセキュリティ事業部 サイバーセキュリティ&機能安全部 中尾 征嵩
セミナー第2回目では、3月12日に発行された最終版ドラフトをもとに、さらに明確になった内容について解説!
皆様のそばでスキルアップのお手伝いをします! テュフ ラインランド ジャパンでは、電気機器、医療機器、自動車関連機器などあらゆる製品分野を 対象とした企業向けセミナーを提供します。 品質・環境マネジメントシステムや化学物質管理、食品安全関連のトピックも提供。 |
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 5/20/2024