9月15日、欧州委員会は、不十分なセキュリティ機能を備えた製品から消費者と企業を保護するための新たなサイバーレジリエンス法に関する提案を提示した。この種のものとしてはEU全域で初めてとなるこの法律は、デジタル要素を含む製品に対し、そのライフサイクル全体を通じてサイバーセキュリティの必須要件を導入するものである。

2021年9月にウルスラ・フォン・デア・ライエン大統領がEU一般教書演説で発表したこの法律は、2020年EUサイバーセキュリティ戦略および2020年EUセキュリティ連合戦略を基に、無線・有線製品やソフトウェアなどのデジタル製品がEU全域の消費者にとってより安全になることを保証する。製造者にセキュリティサポートや特定した脆弱性に対応するソフトウェア更新を義務付け、責任を強化するだけではなく、消費者は購入・使用している製品のサイバーセキュリティについて十分な情報を得られるようになる予定だ。

ランサムウェア攻撃は世界中で11秒に1つの組織を襲い、サイバー犯罪の世界的な年間コストは2021年には5兆5千億ユーロ（約797兆円）に達すると推定されている（サイバーセキュリティ・ベンチャーズは、共同研究センターのレポート（2020）から引用しています）。高いレベルのサイバーセキュリティを確保し、攻撃成功の主な手段の一つであるデジタル製品の脆弱性を減らすことは、これまで以上に重要な課題となっている。スマート製品やコネクテッド製品の増加に伴い、1つの製品におけるサイバーセキュリティの事故がサプライチェーン全体に影響を及ぼし、場合によっては域内市場全体の経済・社会活動に深刻な混乱をもたらし、セキュリティを損ねたり、生命を脅かすことさえあり得る。

今回提案された措置は、EU製品法に関する新たな立法枠組みに基づくものであり、以下を規定するものである。

１．デジタル要素を含む製品のサイバーセキュリティを確保するための上市に関する規則
デジタル要素を含む製品の設計、開発、製造に関する必須要件、およびこれらの製品に関連する経済事業者の義務。
ライフサイクル全体を通じてデジタル要素を含む製品のサイバーセキュリティを確保するために製造業者が実施する脆弱性対応プロセスに関する必須要件、およびこれらのプロセスに関連する経済事業者の義務。また、製造業者は、積極的に悪用された脆弱性やインシデントを報告する必要がある。
２．市場監視と執行に関する規則
新規則は、EU市場で販売されるデジタル製品について、セキュリティ要件への適合を保証しなければならない製造業者に、その責任の重点を移すことになる。その結果、セキュリティ特性の透明性を高め、デジタル要素を含む製品の信頼を促進し、プライバシーやデータ保護といった基本的権利の保護を強化することにより、デジタル製品を使用する企業のみならず、消費者や市民にも利益をもたらすことになる。

世界中の他の管轄区域がこれらの問題への対処を検討している中、サイバーレジリエンス法は、EUの域内市場を超えて、国際的な参照点となる可能性が高い。サイバーレジリエンス法に基づくEU標準は、その実施を容易にし、グローバル市場におけるEUのサイバーセキュリティ産業の資産となる。

提案されている規制は、他の機器やネットワークに直接または間接的に接続されるすべての製品に適用される。ただし、医療機器、航空、自動車など、既存のEU規則でサイバーセキュリティの要件が定められている製品については、いくつかの例外がある。

今後、欧州議会と理事会がサイバーレジリエンス法の草案を検討することになる。採択された場合、経済事業者と加盟国は新しい要件に適応するために2年間の猶予を与えられる。この規則の例外は、積極的に悪用される脆弱性やインシデントに関する製造業者への報告義務である。この義務は、他の新しい義務に比べて組織的な調整を必要としないため、発効日からすでに1年間適用されることになる。欧州委員会は、サイバーレジリエンス法を定期的に見直し、その機能性について報告する。

【参照ページ】
（原文）State of the Union: New EU cybersecurity rules ensure more secure hardware and software products