必須サイバーセキュリティ要件
製造業者がCRA附属書Iに基づき自社のデジタル要素を含む製品に確保しなければ ならない必須の技術的特性およびプロセス要件。要件は製品の特性(第I部)と 脆弱性対応プロセス(第II部)の二つに分けられる。これらの要件を満たすことが CEマーキング取得の条件となる。
出典引用
概要
規則(EU)2024/2847第6条は製造業者に対し、附属書Iに規定する必須サイバー セキュリティ要件への適合を確保することを義務付けている。
第I部 — 製品の特性
主な要件:
- 市場投入時に既知の悪用可能な脆弱性がないこと
- 工場出荷時状態へのリセット機能を含むデフォルトセキュアな構成
- ベストプラクティスに基づく認証
- 転送中・保存中のデータ保護
- 攻撃面の最小化
- 個人データの安全な消去
- コンポーネントの検証を含むサプライチェーンのセキュリティ
第II部 — 脆弱性対応プロセス
プロセス要件:
- 脆弱性管理プロセスの実施(SBOM、脆弱性追跡)
- 協調的脆弱性開示(CVD)
- サポート期間全体を通じたセキュリティアップデートの提供
- 積極的に悪用されている脆弱性のENISAへの報告
適合性評価
製造業者は製品カテゴリに応じて附属書VIIIの適切な手続きを選択する。