用語集
EUサイバーレジリエンス法および関連ガイダンスに定義された用語と概念。
C
- CEマーキング
- 製品がCRAの必須サイバーセキュリティ要件を含むすべての適用EU法令の要件を 満たしていることを示すために製造業者が製品に表示する可視マーク。EU市場への 製品投入前にCEマーキングが必要である。
E
- EU適合宣言書(EU-DoC)
- 製造業者がデジタル要素を含む製品がCRAの必須サイバーセキュリティ要件を 満たすことを自己の責任において宣言する文書。EU適合宣言書は附属書Vに定める 要素を含み、EU公用語のいずれかで作成されなければならない。少なくとも 10年間保管することが必要である。
O
- OSSスチュワード
- 製造業者以外の、商業活動向けの特定のフリー・オープンソースソフトウェア製品の 開発支援を継続的・体系的に提供し、それらの製品の存続可能性を確保することを 目的または目標とする法人。OSSスチュワードはCRAの下で軽量な専用規制体制の 恩恵を受ける。
イ
- インポーター
- EU外に拠点を置く者の名称またはブランドを冠したデジタル要素を含む製品を EU市場に投入するEU域内に拠点を置く自然人または法人。インポーターは市場 投入前の適合性確認について独自の責任を負い、CRAに基づく固有の義務を有する。
ク
- クリティカル製品
- その機能または用途により特に高いサイバーセキュリティリスクをもたらすと みなされ、CRA附属書IIIクラスIIに列挙されているデジタル要素を含む製品。 クリティカル製品は第三者機関による強制的な適合性評価、すなわち欧州 サイバーセキュリティ認証スキームによる認証が必要である。
サ
- サポート期間
- 製造業者が附属書I第II部に従ってデジタル要素を含む製品の脆弱性を効果的に 対応することが義務付けられる期間。製品の予想耐用年数が短い場合を除き、 サポート期間は少なくとも5年間でなければならない。
ソ
- ソフトウェア部品表(SBOM)
- ソフトウェア製品に含まれるコンポーネント、ライブラリ、モジュールを一般的な 機械読み取り可能な形式で記録した公式の文書。CRA附属書I第II部に基づき、 製造業者は製品の最上位の依存関係を少なくとも網羅したSBOMを作成しなければ ならない。
デ
- デジタル要素を含む製品(PDE)
- 意図する、または合理的に予見可能な使用にデバイスまたはネットワークへの 直接的・間接的な論理的・物理的なデータ接続を含むソフトウェアまたは ハードウェア製品とそのリモートデータ処理ソリューション。セクター固有の 適用除外が適用されない限り、CRAはPDEに適用される。
フ
- フリー・オープンソースソフトウェア(FOSS)
- ユーザーに実行・コピー・配布・研究・変更・改良の自由を付与するライセンスで 提供されるソフトウェア。CRAは商業活動の範囲外で提供されるFOSSに特別な 地位を与え、適用除外としている。ただし商業活動の一環として提供されるFOSSは CRAの適用を受ける。
リ
- リモートデータ処理ソリューション(RDPS)
- デジタル要素を含む製品がその機能の一つを実行するために必要なリモートサービス。 RDPSはPDEの一部を構成し、製品自体と同一のCRA義務の適用を受ける。三部構成の テスト(遠隔、機能的依存性、製造業者の責任)によりリモートサービスが RDPSに該当するかを判断する。
協
- 協調的脆弱性開示(CVD)
- 脆弱性の発見者が脆弱性情報を製造業者または指定コーディネーターに直接報告 することで、製造業者が公開前にパッチを開発・リリースできるようにする構造化 プロセス。CRAは製造業者にCVDポリシーの策定と脆弱性報告のための連絡先の指定 を義務付けている。
実
- 実質的な変更
- 製品が市場に投入された後に行われる変更のうち、附属書I第I部に定める必須 サイバーセキュリティ要件への製品の適合性に影響を与えるもの、または製造業者 が宣言した意図する用途を変更するもの。
市
- 市場提供
- 商業活動の過程でEU市場における配布・消費・使用のためにデジタル要素を含む 製品を有償・無償で供給すること。「市場投入」(最初の供給)とは異なり、 「市場提供」はインポーターや販売業者による供給を含むサプライチェーン内の それ以降のすべての供給を対象とする。
- 市場監視
- 加盟国が指定したデジタル要素を含む製品のCRAへの適合性を市場で監視・執行する 国家機関。市場監視当局は技術文書の要請、監査・試験の実施、および不適合製品に 対する是正措置や市場撤退の命令を行う権限を持つ。
- 市場投入
- EU市場においてデジタル要素を含む製品を初めて提供すること。製造業者が 商業活動の過程でEU内の販売業者、インポーター、またはユーザーに有償・無償を 問わず初めて製品を供給したときに市場投入が行われる。
必
- 必須サイバーセキュリティ要件
- 製造業者がCRA附属書Iに基づき自社のデジタル要素を含む製品に確保しなければ ならない必須の技術的特性およびプロセス要件。要件は製品の特性(第I部)と 脆弱性対応プロセス(第II部)の二つに分けられる。これらの要件を満たすことが CEマーキング取得の条件となる。
技
- 技術文書
- 製造業者が製品の市場投入前に作成し、サポート期間全体を通じて維持しなければ ならない包括的な文書のセット。製品および製造業者のプロセスが附属書Iの必須 サイバーセキュリティ要件に適合していることを示すすべての情報を含む。最低限の 内容は附属書VIIに定められている。少なくとも10年間保管しなければならない。
授
- 授権代理人
- EU外に拠点を置く製造業者からCRAに基づく特定の義務を代行する権限を書面で 付与されたEU域内に拠点を置く自然人または法人。EU外に所在する製造業者は EU市場への製品投入前に授権代理人を指定しなければならない。
整
- 整合規格
- 欧州委員会の要請に基づき、公認の欧州標準化機関(CEN、CENELEC、ETSI)が 採択した欧州技術規格。EUの官報に掲載された整合規格への適合により、CRAの 必須サイバーセキュリティ要件への適合が推定される。
積
- 積極的に悪用されている脆弱性
- デジタル要素を含む製品において、悪意のある主体が実際に悪用しているという 信頼できる証拠が存在する脆弱性。製造業者は、認識してから24時間以内にENISA に報告する義務がある。この要件はCRAが定めるCVD体制の一部を構成する。
脆
- 脆弱性
- 脅威主体によって悪用され、当該製品または接続されたシステムのセキュリティを 侵害する可能性があるデジタル要素を含む製品の弱点。CRAは製造業者に対し、 サポート期間全体を通じて脆弱性の特定、修正、開示に関する広範な義務を 課している。
被
- 被通告機関
- CRAに基づく第三者適合性評価手続きを実施するために加盟国機関が指定し欧州委員会 に通告した独立した認定第三者機関。被通告機関はCEマーキングが貼付される前に 重要製品およびクリティカル製品が必須サイバーセキュリティ要件を満たしているか を評価する。
製
- 製造業者
- デジタル要素を含む製品を開発・製造する(またはその設計・開発・製造を 委託する)自然人または法人で、有償・収益化・無償を問わず自社名または 商標のもとで市場投入するもの。CRAに基づく義務を担う主要な役割である。
販
- 販売業者
- 製造業者またはインポーター以外の、EU市場においてデジタル要素を含む製品を 流通させるサプライチェーン内の自然人または法人。販売業者はCRA第20条に基づく 独自の検証義務を負うが、その責任の範囲は製造業者またはインポーターより 限定的である。
適
重
- 重要製品
- その機能または用途によりサイバーセキュリティリスクが高いとみなされ、 CRA附属書IIIクラスIに列挙されているデジタル要素を含む製品。重要製品は デフォルト製品より厳格な適合性評価手続きが必要であり、製造業者は被通告機関 を関与させるか欧州サイバーセキュリティ認証スキームによる認証を取得しなければ ならない。
- 重大インシデント
- デジタル要素を含む製品の開発・製造・保守に使用される製造業者のネットワーク および情報システムのセキュリティに実際の悪影響を及ぼすインシデント。その ようなインシデントの発見は製造業者に対し、24時間以内に関連するCSIRTおよび ENISAへの強制的な通知義務を生じさせる。
附
- 附属書I
- CRAの主要な技術的要件の一覧。第I部は製品が市場投入時に満たさなければ ならない必須サイバーセキュリティ要件を定める。第II部は製造業者が製品の サポート期間全体を通じて維持しなければならない脆弱性対応の要件を規定する。