企業は法的拘束力を持つサイバーレジリエンス法に今からどう備えればよいのか、ピルツが関連情報や仕様を満たすためのヒントを提供します。

先日、サイバーレジリエンス法（CRA）が欧州連合官報に掲載されました。この規則では、デジタル要素を備えた製品のサイバーセキュリティに関する仕様が規定されています。対象となる企業には、CRAの要件を満たすまでに36か月の猶予期間が与えられます。ただし、一定の報告義務は今後21か月以内に果たす必要があります。具体的に誰がその責任を負うことになるのでしょうか？そして、CRAの要求事項とはどのようなものなのでしょうか？

サイバーレジリエンスに関するEUの法律: CRAの目的は、サイバー攻撃に対する消費者と企業の保護を強化することです。CRAには、他の製品との通信が可能な、デジタル要素を備えた製品の製造業者、輸入業者、および販売業者が満たすべき各種仕様が規定されています。対象となる製品には、ハードウェア製品とソフトウェア製品の両方が含まれます。そのため、スマートフォンやロボット掃除機のようなB2Cセグメントの製品や、コントローラやセンサのようなB2Bセグメントの製品に加えて、オペレーティングシステムのような純粋なソフトウェア製品も法律の適用対象となります。CRAは、2024年11月20日付の欧州連合官報に掲載されました。規則上、この法律はEU加盟国で直ちに適用されます。

機械の製造業者に対する重要な要求事項

• リスクアセスメントと保証： 製造業者は、製品のライフサイクル全体で適度なサイバーセキュリティが保証されるように製品を設計・開発する必要があります。
• 脆弱性管理： 製造業者は、製造業者と商用ユーザーの間で別段の合意がない限り、無償のセキュリティ更新を通じて既知の脆弱性を排除する必要があります。
• 文書化： 製造業者は、製品の脆弱性とコンポーネントを特定し、文書化する必要があります。
• 報告義務： 製造業者は、脆弱性が悪用されたことを認識してから24時間以内にENISA（European Union Agency for Cybersecurity）の報告プラットフォームを通じて報告する必要があります。

機械の製造業者が今できること

安全でセキュアなオートメーションのエキスパートとしてピルツが推奨するのは、すべての機械メーカが今すぐCRAの要件と向き合い、部品メーカやオペレータと共に共同コンセプトを構築することです。どのネットワークゾーンで機械を運用するのか？ソフトウェアの更新をどのように処理するのか？このような疑問を事前に解消しておくことで、各事業者が新たな組織的義務・技術的義務を果たせるようになります。ピルツは数十年にわたり、設備・機械の安全面で機械メーカおよびユーザをサポートしてきました。ここには、産業サイバーセキュリティの新しい要件を満たすためのサポートも含まれています。なぜなら、セキュリティが確保されない限りは、どのような安全対策を施した機械でも脆弱であり、保護されないためです。予防措置は必須なのです。

CRAに規定された仕様を満たすための2つの実用的なアドバイス

1. 常に最新の情報を入手する: eur-lex.europa.euのニュースレターやRSSフィードを購読することで、EUレベルの法改正に関する情報を継続的に入手できます。
2. 標準化されたオープンソースのフレームワーク "Common Security Advisory Framework（CSAF）" を利用することで、機械可読セキュリティアドバイザリ（脆弱性情報および緩和策情報）の通信・自動配信が可能になります。

• 産業サイバーセキュリティに関する詳細はこちらをご覧ください。