欧州サイバーレジリエンス法（案）パブリックコメントを反映した3つの主な論点

2023-08-28

2022年9月に「欧州サイバーレジリエンス法（EU Cyber Resilience Act）（案）」^*1（以下、CRA原案）が公表されてから、2023年1月のパブリックコメントによる意見収集^*2を経て、CRA原案に対する修正案がこの3月^*3と5月^*4-1、2に示されました。本稿では、示された修正案の主な論点について整理します。現時点では複数の修正提案が示されている状態であり、どの案が採用される見通しかは判明していませんが、今後の欧州サイバーレジリエンス法（以下、CRA）対応の参考にしてください。

パブリックコメントを反映した3つの主な論点

1. 後ろ倒しの議論が見られる適用時期

CRA原案では、発効から12カ月後に11条（ENISAへの報告義務）が適用され、24カ月後に全要件を満たしたことを適合宣言するCEマークを付した上市が適用される予定でした。この内容に対して、ENISAへの報告義務の適用は20カ月後や24カ月後などへ後ろ倒しする案、全要件の適用は36カ月後や48カ月後などへ後ろ倒しする案が出ています。

ENISAへの報告対象や、各要件の適合基準は具体的ではなく不明瞭な点が多いため、製造者からは「原案による規制の適用は拙速である」との反応が強かったと推測されます。

一方、CRA発効後に提示される具体的な内容を記した委任法令（Delegated Act、例：付属書Iに適用する製品リスト、ユーザへの通知要素の補足など）は、原案では12カ月以内に採択される予定でしたが、「それでは遅い」との反応があったからか、修正案では6カ月後や9カ月後との案が示されました。

まだまだCRAの適用タイミングが明確になるのは先のようです。

2. 明確化で調整されるセキュリティ品質のレベルと保証期間

CRA原案は、製品の製造者に対して、以下の点を保証することを要求していました。

a）製品は悪用可能な既知の脆弱性がない状態で提供されること

b）第三者から提供されたコンポーネントがCRAに準拠していることを保証すること

c）製品寿命または製品の市場投入から5年間のいずれ短い期間、脆弱性対応すること

これらに対しても、以下のような修正案が示されました。

a）に対しては、脆弱性を修正するアップデートなどの補完的措置がある前提で、製品出荷時の既知の脆弱性を容認するという付帯条件がつけられました。これは、開発期間中に既知となった脆弱性に対策することが製品開発途上において難しい段階であれば、その既知の脆弱性があり、今後修正対応予定であることがユーザに了承されていれば販売してよい、と理解されます。実際、既知の脆弱性を100％排除した形で製品をリリースすることは極めて困難であり、また排除する必要性もない脆弱性もあるため、現実的な形の修正案が示されたと言えます。

b）については、第三者から提供されたコンポーネントとして、OSS（Open Source Software）も対象であることが修正案において明確化されました。現実的にみて、OSSコミュニティはどのように使われるか分からないOSS自体のCRA要件準拠を提示することは難しく、それを製造者が事前に確認することも非常に困難であるため、OSSの取り扱いについては、今後も議論が続くと考えられます。

c）は、これまで一般的な製品保証期間が1年ないし3年程度であったことに対して、品質保証の考え方を大きく変えなければいけない要件です。これについても議論を呼んでいるようで、いくつかの観点で明確化を図る修正案が出されています。まず期間については、原案では製品寿命もしくは市場投入から5年の短い期間（つまり最長5年の保証）のセキュリティ保守を保証することが要求されていましたが、これをいずれか長い期間とする案（つまり、最短5年の保証）が出されています。また、その保証期間を製品購入者が購入時に把握できるように、製品寿命や保守提供期間をオンラインもしくはパッケージなどで明記することなどが提案されています。この点、ユーザ視点で望ましい対応が模索されていると推察されます。

3. 実効性ある形が模索されるインシデント報告対象と期限

CRA原案のなかで、多くのPSIRTが「最もチャンレンジングである」と表明していた要件が、ENISAへの24時間以内の報告です。多くのPSIRTが困惑していたのは、「何を認識してから24時間以内に報告するのか」という24時間のイベント起点の観点と、「認知した脆弱性は何でも全て報告するのか」という報告対象の観点でした。

まず前者の観点では、段階的に報告する案が示されました。24時間で早期報告、72時間でより詳細な状況報告を行い、その後に中期報告、最終報告を行うなどの手順が詳細化されています。また、報告対象の観点では、重大なインシデントのみをENISAとユーザに対して24時間以内に報告する案が挙げられています。いずれも、実際にPSIRTの取り組みを経験すれば、24時間でできることは非常に限られますので、パブリックコメントなどを通じて、より現実的に実行可能な対応方法へ修正されていくことと推察します。

上記の論点以外にも、細かい内容や条項について、削除や表現の見直しがなされており、最終的な要件がどこに落ち着くかはまだ判明していません（7月20日時点）。しかし、複数の情報によると、産業政策を担当するITRE委員会は7月19日に最終案をまとめた模様です。来年6月初旬にはEU議会の改選が予定されており、今期中に法案を通すというモチベーションから、年内もしくは来年初には最終化されていくと多くの専門家が予想しています。

PwCでは、今後も本法案についての調査を継続し、最終要件が分かり次第ご報告していくとともに、要件の対応方法や取るべき対策について、より具体的に解説してまいります。また、CRA要件の準拠に必要な一連の取り組みについて、PwCグローバルネットワークを通じて総合的にクライアントを支援する体制を整えていきます。

*1: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454

*2: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-Resilience-Act/feedback_en?p_id=31490443

*3: https://www.europarl.europa.eu/doceo/document/IMCO-PA-742490_EN.pdf

*4-1: https://www.europarl.europa.eu/doceo/document/ITRE-AM-746920_EN.pdf

*4-2: https://www.europarl.europa.eu/doceo/document/ITRE-AM-746921_EN.pdf

執筆者

奥山謙

ディレクター, PwCコンサルティング合同会社

亀井啓

シニアマネージャー, PwCコンサルティング合同会社

山口直幹

マネージャー, PwCコンサルティング合同会社

渡邊紘貴

シニアアソシエイト, PwCコンサルティング合同会社

林翔鷺

シニアアソシエイト, PwCコンサルティング合同会社

PSIRTが認知すべき海外法規制解説

27 results

2025-04-08

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

2025-03-17

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

2025-03-11

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

2025-02-14

オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―

オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。

本ページに関するお問い合わせ

フォーム

欧州サイバーレジリエンス法（案）パブリックコメントを反映した3つの主な論点