EUサイバーレジリエンス法での課題と機会(2024年7-8月号)
マーク・ティール[*]
サイバー犯罪の頻度が高まる中、規制当局は世界中の組織に対し、サイバーセキュリティ対策とレジリエンス態勢の強化を求めている。この目的のため、EUは、EU加盟27カ国のサイバーセキュリティを規制するための法案であるサイバーレジリエンス法(CRA)を提唱した。この法律は、デジタル製品または「デジタル要素を持つ製品」に対する共通のサイバーセキュリティ基準を確立し、EUでの接続されたハードウェアとソフトウェアのエコシステム全体にセキュリティ義務を課する。また、EUの単一市場におけるサイバーセキュリティポリシーを標準化し、エンドユーザーのソフトウェアとハードウェアの安全性の向上に役立つ規制措置を課すことで、サイバー脅威に対する協力と準備を強化する。
法律の遵守を確実にするために、指定された市場監視機関は、是正措置、市場からの撤退、違反に対する罰金を執行することができる。CRAは2024年後半に正式に採択され、経済事業者およびEU加盟国には36ヶ月の猶予が与えられる。唯一の例外は、悪用された脆弱性とインシデントを積極的に報告することを製造業者に義務づけることであり、これは同法の施行日から21か月後に適用される。遵守を促進するため、欧州委員会は対象製品カテゴリーに関する技術基準の策定を正式に要請する。
CRAの要求事項を見直すと、製造業者やソフトウェア開発者にとって、こうした遵守は困難な課題となる可能性がある。しかし、CRAは、サイバー犯罪に大きな影響を与える可能性のある規則や規制を最終的に整合させる機会も生み出している。
CRAの重要な要素は、多くの製品におけるサイバーセキュリティのレベルが不十分であることと、そのような製品やソフトウェアに対して行われたセキュリティの更新が不十分であることを認識していることである。また、多くの消費者や組織は、どの製品が安全かを判断する洞察力も、その保護を確実にするためにそれらを構成する知識も持っていないことも認識している。
EUの声明によると、CRAは:
- デジタルコンポーネントを伴う製品やソフトウェアを上市する際の規則を調和させる
- そうした製品の計画、設計、開発、保守を管理する枠組みを確立し、バリューチェーンのあらゆる段階において、サイバーセキュリティに関する要求事項を満たすことを義務付ける
- 製造業者にそうした製品の全ライフサイクルにわたる注意義務を義務付ける
完全に実施されると、CRAの法令順守基準に合格した製品とソフトウェアにはCE (Conformité Européenne)マークが付く。これは現在、消費者に安全性を伝えるために他の欧州製品で使用されている。とはいえ、CEマークの取得は必ずしも容易ではない。
CRA遵守での課題
ハードウェア製造者とソフトウェア開発者の課題の1つは、サプライチェーンのサードパーティプロバイダがCRA基準を満たすようにすることである。多くの組織には、サプライチェーン全体の脆弱性を特定する効果的な第三者リスク管理(TPRM)プログラムがある。これは、すべての組織が製品やサービスのCEマークの達成を計画する際に検討すべきベストプラクティスである。
多くの組織が、TPRMを含むようにリスク・プログラムを近代化することは困難であると感じている。有用な情報源の1つは、連邦預金保険預金公社(FDIC)による、第三者を理解し管理するための正式なリスクベースのアプローチであり、これは昨年更新された。しかし、そのような情報を提供する主体がいたとしても、あまりにも多くのグローバル組織は、サプライチェーン内にすでに存在するかもしれないリスクに積極的に立ち向かうのではなく、前回の混乱の再発を防止しようとしている。
規制環境が絶えず発展するにつれ、多くの組織はすでに同様の規制要件を遵守する必要があり、CRA要件を具体的に満たすためにやるべきことはそれほど多くないかもしれない。ただし、社内の経験が不足している組織では、CRAの遵守に向けてサイバーセキュリティフレームワークに組み込むためのベストプラクティス情報を収集するために、マネージドサービスプロバイダーや外部のコンサルタントの支援が必要になる場合がある。
CRA遵守のためのヒント
CRAの遵守を確実にするために、組織は以下のステップを踏むことができる:
- 環境の現状と将来予測される状況との間のギャップ分析を行う
- 途中で予測できなかった障壁がある可能性が高いので、遵守への取り組みを早期に開始する
- ガイドライン、枠組み、規制要件について実施経験のある企業に相談する
これらのステップを踏むことで、組織はCRA基準を遵守するだけでなく、全体的なレジリエンス態勢を強化することができる。
CRAのグローバルな含意
CRAが最終的に実施され、製造業者が完全な遵守を達成すると、欧州委員会はCRAを定期的にレビューし、サイバーセキュリティの改善の進捗状況を報告する。組織は、採択に至る長い期間において、異なる地域およびグローバルな安全保障文化、絶えず進化するサイバーリスクの状況、およびEU加盟国間で既存の規制や統治機関との間で調整することの複雑さのために、途中で修正や変更が行われることを予想する必要がある。
CRAは、EU市場に参加するすべての組織に影響を及ぼす。遵守を達成することで、企業は製品開発プロセス全体を通じて強固なサイバーセキュリティポリシーを導入したことを顧客に保証できるだけでなく、サイバー脅威に対する全体的なレジリエンスを強化することにもつながる。
トピックス
コンプライアンス、国際、セキュリティ、サプライチェーン、技術
注意事項:本翻訳は“Challenges and Opportunities of the EU Cyber Resilience Act ”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2024/08/08/challenges-and-opportunities-of-the-eu-cyber-resilience-act) August 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
マーク・ティール(GSEC資格取得者)はフュージョン・リスク・マネジメント社サイバーセキュリティ担当管理者。