Qtブログ(日本語)

EUで提供されるデジタル製品の安全性とセキュリティの向上:EUサイバーレジリエンス法(CRA)を理解する

作成者: Qt Group 日本オフィス|Jun 28, 2024 2:20:56 AM

本稿は「Improving the Safety and Security of Digital Products Made Available in the European Union - Understanding the European Cyber Resilience Act (CRA)」の抄訳です。

 

「サイバー脅威は急速に進化し、ますます複雑で適応性があります。市民とインフラを保護するためには、常に数歩先を見据える必要があります。ヨーロッパのレジリエントで自律的なサイバーセキュリティシールドは、私たちの専門知識と知識を活かして、より迅速に検出し対応することを可能にし、潜在的な被害を最小限に抑え、レジリエンスを高めることができます。サイバーセキュリティへの投資は、オンライン環境の健全な未来と戦略的自律性への投資です。」

Thierry Breton 氏, 欧州委員会内部市場担当委員

 

新しいAI技術の登場、接続技術の進歩、そして新型コロナウイルス感染症(COVID-19)以降のリモートワークの変革などの文化的発展によって、サイバーセキュリティの状況は大きく変わりました。個人、企業、さらには政府までもが、さまざまな種類のサイバー脅威の対象となるケースが増えています。最新の予測によると、接続デバイスの数は2030年までに世界で320億台に達すると見込まれています。同時に、8社に1社がすでにサイバー攻撃の影響を受けており、サイバー犯罪による世界的な損失は2025年までに年間10.5兆ドルに達すると推定されています。このような背景の中で、欧州議会は消費者と企業をよりよく保護するために、より厳格で標準化されたサイバーセキュリティ要件の必要性を認識しました。欧州議会は2024年3月に新しいサイバーレジリエンス法(CRA)を承認し、完全な立法手続きを経た後、2024年中頃から後半にかけて正式に採択される予定です。

 

EUサイバーレジリエンス法(CRA)とは?

EUサイバーレジリエンス法は、欧州連合で提供されるハードウェアおよびソフトウェア製品にデジタル要素(PDEs)が含まれるものに対して、製品のライフサイクル全体で統一された徹底したサイバーセキュリティアプローチを要求する法的枠組みです。この要求を満たさない場合、最大で前年度のグローバル年間売上高の2.5%または1年前の最大売上の15百万ユーロの罰金が課せられる可能性があります。

法律が2024年に承認される見込みですが、コンプライアンス要件の施行は、要件に応じて最大36ヶ月後に行われる予定です。

 

EUサイバーレジリエンス法(CRA)の適合が必要な製品の種類

CRAの適合対象となる製品は非常に広範囲であり、そのデジタル要素(PDE)が製品の主要な機能であるかどうかにかかわらず、以下のようなものが含まれますが、これらに限定されません:

  • インターネットに接続されたデバイス(IoT)
  • 産業制御システムなどのオペレーショナルテクノロジー
  • スマート家電や消費者向け電子機器
  • デジタル要素を持つおもちゃや育児製品
  • 汎用コンピューティングハードウェアおよびソフトウェア
  • 半導体チップなどのコンポーネント

ごく低リスクのアイテムには一部の例外がありますが、それらは非常に限られています。最小限のデジタル機能を備えた製品の大部分がCRAの対象となります。また、CRAはフリーソフトウェアおよびオープンソースソフトウェア(FOSS)も対象に含んでいますが、詳細な要件と仕様はまだ明確化されていない状態です。Qt Groupは密に追跡し、より多くの情報が明らかになるにつれてFOSSのCRA適合性を評価する予定です。

 

CRAが課す義務

CRAは広範な立法枠組みですが、義務のハイライトとしては以下が挙げられます。

  • CRAは製品の重要度に応じて分類構造を設定し、その製品がどれだけ重要であるかに基づいて異なる適合構造を定めます。
  • デジタル要素を持つ製品に対する適合性評価の実施要件が含まれます。
  • レコード保持要件や脆弱性およびインシデント処理要件など、サイバーセキュリティ対策の実施要件が含まれます。

 

Qt GroupのEUサイバーレジリエンス法(CRA)への適合性

Qt Groupが提供するQtフレームワークおよびその他の製品は、立法の変更の影響を受ける可能性がありますが、Qt Groupは積極的にCRAの要件を評価し、監視し、実施する取り組みを進めています。特に製品提供、製品ライフサイクル、および必要なサポートプロセスの更新に焦点を当てています。私たちは、お客様とのパートナーシップを大切にし、すべての製品がさまざまな市場と地域で適合して使用されることを可能にするために努力しています。

さらなる情報については、Qt Group公式ブログで「Cybersecurity」タグをフォローしてください。