サイバーレジリエンス法とは【用語集詳細】
サイバーレジリエンス法(Cyber Resilience Act、略称:CRA)は、2022年9月時点で、EUにおいて審議中の法案です。
サイバーレジリエンス法では、ネットワーク接続機能のあるIoTやハードウェア、ソフトウェア、リモートデータ処理ソリューションに対し、セキュリティ基準を課すことで、EUにおける消費者やビジネスの安全性を向上させる目的で作成されました。
EUはこの法案の主要目的を、セキュアなデジタル製品を開発させるための条件を作ること、ユーザーがサイバーセキュリティを製品選定の際に考慮できる条件を作ることとしています。
この法案が、企業に課すセキュリティ基準をいくつか挙げると、以下のとおりです。
- 対象となる製品・サービスをリリースするためには、製品のクラスに応じたセキュリティ施策を満たしていることの証明が必要となります。
- ソフトウェア・製品開発ライフサイクルを通じたセキュリティ対策の実施が要求されます。この対策には、SBOMの実装や、アップデート、消費者に対する情報開示などが含まれます。
- 脆弱性管理に関する法規適合状況を自己調査あるいは第三者機関による調査を通じて証明する必要が生じます。
- 製品が保有する脆弱性の悪用や、重大な影響を与えるインシデントが発生した時は、24時間以内にENISAに通報し、また消費者に通知する義務が生じます。
法案が施行されることで、製造メーカーは自社製品のセキュリティに対しより強い責任を負うことになります。
サイバーレジリエンス法は、EU域内だけでなくグローバル市場にも影響を与えると推定されています。
なお、既に個別の法規制が存在する医療機器、体外診断用医療機器、自動車製品、航空機、デジタル機器と関連しないSaaSソリューション等は、法案の対象外です。
法案に対し、プログラミング言語Pythonに関する米国の非営利団体であるPythonソフトウェア財団は、現行法案がオープンソース製作者とそれを利用する企業に同等の法的責任を負わせることになり、フリーかつオープンソースのソフトウェア(FOSS)コミュニティを委縮させる可能性があるとして懸念を表明しました。
同種の懸念が、Eclipse Foundation等複数のオープンソース・コミュニティから発されています。
