欧州サイバーレジリエンス法 (CRA) における「通常のデジタル製品」の適合性評価

はじめに

前回の記事「 欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法 」では、 欧州サイバーレジリエンス法 (Cyber Resilience Act、以降 CRA と表記 ) における製造業者への要求事項と、要求事項に対応するためのサイバートラストのサービスを紹介しました。

本記事では、2027 年 12 月 11 日以降に EU (Eupropean Union) 加盟国に「通常のデジタル製品」を出荷する場合に必要となる、適合性評価について見ていきたいと思います。

通常のデジタル製品の適合性評価

「通常のデジタル製品」とは、「重要なデジタル製品」または「特に重要なデジタル製品」に、該当しないデジタル製品です。

CRA でのデジタル製品の分類については、 前回の記事 をご参照ください。

通常のデジタル製品の適合性評価については、「 第 32 条 デジタル製品の適合性評価手順 」の第 1 項で定められています。

製造業者は、デジタル製品が「附属書 I サイバーセキュリティの必須要件」に合致するかどうか、以下 (a) ～ (d) のいずれかの方法で適合性を示す必要があります。

1. 「 附属書 VIII 適合性評価手順 」で定められているモジュール A を基にした内部統制手順
2. 「 附属書 VIII 適合性評価手順 」で定められているモジュール B を基にした EU 型式審査 と、「 附属書 VIII 適合性評価手順 」で定められているモジュール C を基にした内部製造管理に基づく EU 型式への適合
3. 「 附属書 VIII 適合性評価手順 」で定められているモジュール H を基にした完全な品質保証に基づく適合性評価
4. デジタル製品が利用可能である場合には「 第 27 条 適合性の推定 」の第 9 項にしたがった欧州サイバーセキュリティ認証スキーム

本記事で、上記 (a) の「モジュール A を基にした内部統制手順」について見ていきたいと思います。

そもそもモジュール A とは？

まず、モジュール A について見ていきたいと思います。

上述の (a) ～ (c) の文中内のモジュールについては、CRA ではなく、「欧州議会・理事会決定 No 768 / 2008 / EC」の「 附属書 II 適合性評価手順 」で定められています。

モジュール A については

Module A
Internal production control
1. Internal production control is the conformity assessment procedure whereby the manufacturer fulfils the obligations laid down in points 2, 3 and 4, and ensures and declares on his sole responsibility that the products concerned satisfy the requirements of the legislative instrument that apply to them.

※以降で取り上げる箇所を太字にしています。

と定められています。

まず、

原文 : Internal production control is the conformity assessment procedure
和訳 : 内部製造統制とは適合性評価手順である

と定められています。

続いて、

原文 : the manufacturer fulfils the obligations laid down in points 2, 3 and 4
和訳 : 製造業者が第 2 項、第 3 項、第 4 項に定められた義務を履行する

と定められています。なお、第 2 項、第 3 項、第 4 項には技術文書、製造過程、適合マークと適合宣言書について定められています。

さらに、

原文 : the manufacturer ( 中略 ) declares on its sole responsibility
和訳 : 製造業者が自己の責任において宣言を行う

と定められています。

つまり、モジュール A とは「定められた手順に従った自己適合宣言」のことを指しています。

モジュール A を基にした内部統制手順

ここで、CRA に話を戻します。

手順 (a) 「モジュール A を基にした内部統制手順」については、「 附属書 VIII 適合性評価手順 」の 「Part I モジュール A を基にした内部統制に基づく適合性評価手順」に定められています。

Part I の第 1 項にて、

Internal control is the conformity assessment procedure whereby the manufacturer fulfils the obligations set out in points 2, 3 and 4 of this Part, and ensures and declares on its sole responsibility that the products with digital elements satisfy all the essential cybersecurity requirements set out in Part I of Annex I and the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I.

※以降で取り上げる箇所を太字にしています。

と定められています。

まず、上述のモジュール A と同様に

原文 : Internal control is the conformity assessment procedure
和訳 : 内部統制とは適合性評価手順である

と定められています。

次に、こちらもモジュール A と同様に、

原文 : the manufacturer ( 中略 ) declares on its sole responsibility
和訳 : 製造業者が自己の責任において宣言を行う

と定められています。

以上のことから、「通常のデジタル製品」に対する「モジュール A を基にした内部統制手順（= 適合性評価手順）」の場合には、自己適合宣言で対応可能と判断しています。

そして、Part I の第 1 項で定められているように、「モジュール A を基にした内部統制手順（= 適合性評価手順）」にて自己適合宣言を行う場合には、以下を実施する必要があります。

• 附属書 VIII 適合性評価手順
  Part I モジュール A を基にした内部統制に基づく適合性評価手順
  
  • 第 2 項
    ・ 附属書 VII に定められている技術文書の作成
  • 第 3 項
    ・ 「附属書 I サイバーセキュリティの必須要件」 への準拠
  • 第 4 項
    ・ CE マークの貼付
    ・ 第 28 条 に従い EU 適合宣言書を作成し保管 (10 年もしくは製品サポート期間の長い方 )

さいごに

本記事では、「通常のデジタル製品」を EU 加盟国に出荷する際に必要となる適合性評価について見てきました。

「通常のデジタル製品」の場合、「モジュール A を基にした内部統制手順（適合性評価手順）」の場合には、「 附属書 VIII 適合性評価手順 」に従い自己適合宣言を行うことによって、CRA に対応することが可能です。

サイバートラストでは、「IoT セキュリティコンサルティングサービス 」にて「欧州サイバーレジリエンス法自己適合宣言書作成支援（仮）」の提供を予定しています。

また、「欧州サイバーレジリエンス法支援ソリューション」に、CRA の基礎知識や CRA 対応を支援するサイバートラストのサービスについてわかりやすくまとめていますので、こちらのページもご参照ください。

CRA 対応でお困りの際は、ぜひサイバートラストにお声がけください。

本記事に関連するリンク

• 欧州サイバーレジリエンス法 (CRA) 支援ソリューション
• 欧州サイバーレジリエンス法 (CRA) における製造業者への要求事項と対応方法
• 対応急務！2024 年に施行される「欧州サイバーレジリエンス法案」とは
• 欧州サイバーレジリエンス法案対応とともに知るべき、セキュリティ標準規格の対策レベルと攻撃者の目的とは
• 欧州サイバーレジリエンス法案がもたらす影響とは？ IoT 機器が狙われる理由と CRA で押さえておくべき条文
• 欧州サイバーレジリエンス法案への対応に必要な工程や時間、求められる要件とは？