サイバーレジリエンス法

EU理事会（閣僚理事会）と欧州議会は2023年11月、「サイバーレジリエンス法（cyber resilience act、以下「CRA」）について、一連の立法手続を経て、暫定的な政治合意に達したと発表した。

CRAは、デジタル要素を備えた製品の製造業者および開発業者に対し、ハードウェアとソフトウェアの両方を対象とする共通のサイバーセキュリティ規則を導入するものであり、デジタル要素を備えた全ての製品が対象となっており、デバイスやネットワークに直接的/間接的に接続されるものも含むのが特徴である。

ハードウェアおよびソフトウェアを製造する者に対して、セキュリティ・サポート、ソフトウェア・アップデートの提供、製品に関するサイバーセキュリティに関する情報の提供などを義務付けることで、製造業者の責任を強化し、利用者側のサイバーセキュリティの確保と向上を目指すものである。

CRAは製品を欧州市場で販売するために必要な「CEマーキング」の要件となる予定で、CRAの要求事項を満たさないということは、製品にCEマークを貼付できないということになるうえ、場合によっては製品回収命令が出ることも想定される。

製造業者に課せられる罰金内容

不正確、誤解を招く情報の提供違反

最高500万ユーロまたは全世界売上高1.0%の高い方

輸入流通業者の義務違反、下記以外のCRA違反

最高1000万ユーロまたは全世界売上高2.0%の高い方

必須要件・適合性評価・製造者義務（報告）違反

最高1500万ユーロまたは全世界売上高2.5%の高い方

主に製造業者向けだが、輸入流通業者にも必須要件に準拠しているか確認の義務が発生する