以前のブログでは、サイバーレジリエンス法(草案)と機械規則(案)との接点について確認し、PLCなどのデジタル要素を含む製品には、サイバーレジリエンス法の適合が必要になっていくことを述べました。ここからは、産業用機械メーカーがサイバーレジリエンス法の適合に向けて行うことを確認していきます。今回はサイバーレジリエンス法の第2章 Article 10に焦点を当て、製造業者が準拠すべき重要な点を解説します。
この法律は、デジタル要素を含む製品のサイバーセキュリティリスクを最小限に抑えることを目的としています。機械および制御系の設計エンジニアの皆さんにとって理解しておくべき重要な内容が含まれています。
サイバーレジリエンス法適合に向けて、製造業者の義務(Article 10)
以下が製造業者が果たす義務です。
- 製品の設計、開発、製造プロセス
製品が市場に投入される際、製造業者は、デジタル要素を含む製品が附属書Iのセクション1に記載された必須要件に従って設計、開発、および製造されていることを確認する必要があります。これには、製品に関連するサイバーセキュリティリスクの評価を行い、その結果を製品の企画、設計、開発、生産、配送、および保守の各フェーズで考慮に入れることが含まれます。(1) - サイバーセキュリティリスク評価の文書化
デジタル要素を含む製品を市場に投入する際、製造業者は技術文書にサイバーセキュリティリスク評価を含める必要があります(Article 23およびAnnex V参照)。また、必須要件が適用されない製品については、その理由を文書に明確に記載する必要があります。(2,3) - 第三者からの部品の統合に対する注意
製造業者は、デジタル要素を含む製品に第三者から調達した部品を統合する際に注意を払い、それらの部品が製品のセキュリティを損なわないことを確認しなければなりません。(4) - 製品の脆弱性の取り扱い
製造業者は、製品に関連するサイバーセキュリティの側面を、システマティックに文書化し、製品のリスク評価を更新しなければなりません。また製品が市場に投入された後、製造業者は、製品の脆弱性が効果的に取り扱われ、附属書Iのセクション2に記載された必須要件に従っていることを確認しなければなりません。製品の寿命または市場投入から5年間のどちらか短い期間、製造業者は、内部または外部の情報源から報告されたデジタル要素を含む製品の潜在的な脆弱性を処理および修正するための適切な方針と手順を持つ必要があります。(5,6) - 適切な技術文書と適合性評価
手続きの実施 製造業者は、デジタル要素を含む製品を市場に投入する前に、Article 23に記載された技術文書を作成し、Article 24に記載された適合性評価手続きを実施するか、実施させる必要があります。製品が附属書Iのセクション1およびセクション2の必須要件に適合していることが適合性評価手続きによって証明された場合、製造業者はArticle 20に従ってEU適合宣言を作成し、Article 22に従ってCEマーキングを行います。(7) - 技術文書とEU適合宣言の保管
製造業者は、デジタル要素を含む製品が市場に投入されてから10年間、技術文書とEU適合宣言を市場監視当局の要求に応じて提供できるよう保管しなければなりません。(8) - 製品の適合性維持のための手続き
製造業者は、一連の製品に対して適合性が維持される手続きを確立し、製品の開発や生産プロセス、デザイン、特性の変更や整合規格、欧州サイバーセキュリティ認証スキーム、またはArticle 19で参照される共通仕様の変更を適切に考慮する必要があります。(9) - 製品に添付される情報と指示
製造業者は、デジタル要素を含む製品に、Annex IIに記載された情報と指示を、電子または物理的な形式で提供する必要があります。これらの情報と指示は、ユーザーが容易に理解できる言語で記載され、明確で理解しやすく、分かりやすく、かつ読みやすいものでなければなりません。また、デジタル要素を含む製品の安全なインストール、操作、および使用が可能となるようにする必要があります。(10) - EU適合宣言の提供
製造業者は、デジタル要素を含む製品にEU適合宣言を提供するか、Annex IIに記載された指示および情報に、EU適合宣言にアクセスできるインターネットアドレスを含める必要があります。(11) - 製品の不適合性に対する対応
市場投入後(5年間または予想寿命のいずれか短い期間)、製造業者がデジタル要素を含む製品または製造業者のプロセスが附属書Iに記載された必須要件に適合していないと知るか、理由があってそう信じる場合、製造業者は、その製品またはプロセスを適合させるために必要な是正措置を直ちに講じるか、適切に製品を撤回または回収しなければなりません。(12) - 市場監視当局との協力
製造業者は、市場監視当局からの合理的な要求に応じて、デジタル要素を含む製品と製造業者のプロセスが附属書Iに記載された必須要件に適合していることを示すために必要なすべての情報と文書を提供し、市場監視当局と協力する必要があります。また、製造業者は、市場に投入した製品によって引き起こされるサイバーセキュリティリスクを排除するための措置について、当局の要求に応じて協力しなければなりません。(13) - 業務停止時の対応
製造業者が業務を停止し、その結果、この規制に定められた義務を果たせなくなる場合、業務停止が発効する前に、関連する市場監視当局にその状況を通知し、可能な範囲で、市場に投入された関連するデジタル要素を含む製品のユーザーにも通知しなければなりません。(14)
ポイントは、
- 附属書Iのセクション1への準拠
- サイバーセキュリティリスク評価の文書化(リスクアセスメントの実施)
- 調達した部品への考慮(製品全体でのセキュリティ設計)
- 製品のライフサイクルでの脆弱性への継続管理と対処(附属書Iのセクション2への準拠を含む)
です。
まとめ
サイバーレジリエンス法における製造業者の義務は、デジタル要素を含む製品のサイバーセキュリティリスクを軽減し、市場での安全性を確保することを目的としています。これらの義務を遵守することで、機械および制御系の設計エンジニアは、製品のセキュリティと安全性を向上させ、市場投入後の問題を最小限に抑えることができます。法律に適合することは、製造業者の評判や信頼性を維持し、長期的にはビジネスの成功に繋がります。
今回のブログで解説した内容が、皆さんにとって有益であることを願っています。機械安全とサイバーセキュリティに関する最新情報や法令の変更については、今後も当ブログでお伝えしていきますので、ぜひチェックしてください。