「サイバー脅威は急速に進化し、ますます複雑で適応性があります。市民とインフラを保護するためには、常に数歩先を見据える必要があります。ヨーロッパのレジリエントで自律的なサイバーセキュリティシールドは、私たちの専門知識と知識を活かして、より迅速に検出し対応することを可能にし、潜在的な被害を最小限に抑え、レジリエンスを高めることができます。サイバーセキュリティへの投資は、オンライン環境の健全な未来と戦略的自律性への投資です。」
Thierry Breton 氏, 欧州委員会内部市場担当委員
新しいAI技術の登場、接続技術の進歩、そして新型コロナウイルス感染症(COVID-19)以降のリモートワークの変革などの文化的発展によって、サイバーセキュリティの状況は大きく変わりました。個人、企業、さらには政府までもが、さまざまな種類のサイバー脅威の対象となるケースが増えています。最新の予測によると、接続デバイスの数は2030年までに世界で320億台に達すると見込まれています。同時に、8社に1社がすでにサイバー攻撃の影響を受けており、サイバー犯罪による世界的な損失は2025年までに年間10.5兆ドルに達すると推定されています。このような背景の中で、欧州議会は消費者と企業をよりよく保護するために、より厳格で標準化されたサイバーセキュリティ要件の必要性を認識しました。欧州議会は2024年3月に新しいサイバーレジリエンス法(CRA)を承認し、完全な立法手続きを経た後、2024年中頃から後半にかけて正式に採択される予定です。
EUサイバーレジリエンス法(CRA)とは?
EUサイバーレジリエンス法は、欧州連合で提供されるハードウェアおよびソフトウェア製品にデジタル要素(PDEs)が含まれるものに対して、製品のライフサイクル全体で統一された徹底したサイバーセキュリティアプローチを要求する法的枠組みです。この要求を満たさない場合、最大で前年度のグローバル年間売上高の2.5%または1年前の最大売上の15百万ユーロの罰金が課せられる可能性があります。
法律が2024年に承認される見込みですが、コンプライアンス要件の施行は、要件に応じて最大36ヶ月後に行われる予定です。
EUサイバーレジリエンス法(CRA)の適合が必要な製品の種類
CRAの適合対象となる製品は非常に広範囲であり、そのデジタル要素(PDE)が製品の主要な機能であるかどうかにかかわらず、以下のようなものが含まれますが、これらに限定されません:
ごく低リスクのアイテムには一部の例外がありますが、それらは非常に限られています。最小限のデジタル機能を備えた製品の大部分がCRAの対象となります。また、CRAはフリーソフトウェアおよびオープンソースソフトウェア(FOSS)も対象に含んでいますが、詳細な要件と仕様はまだ明確化されていない状態です。Qt Groupは密に追跡し、より多くの情報が明らかになるにつれてFOSSのCRA適合性を評価する予定です。
CRAが課す義務
CRAは広範な立法枠組みですが、義務のハイライトとしては以下が挙げられます。
Qt GroupのEUサイバーレジリエンス法(CRA)への適合性
Qt Groupが提供するQtフレームワークおよびその他の製品は、立法の変更の影響を受ける可能性がありますが、Qt Groupは積極的にCRAの要件を評価し、監視し、実施する取り組みを進めています。特に製品提供、製品ライフサイクル、および必要なサポートプロセスの更新に焦点を当てています。私たちは、お客様とのパートナーシップを大切にし、すべての製品がさまざまな市場と地域で適合して使用されることを可能にするために努力しています。
さらなる情報については、Qt Group公式ブログで「Cybersecurity」タグをフォローしてください。