OBL-ART13-02Binding
市場への投入前のサイバーセキュリティリスクアセスメントの実施
- 対象者
- Manufacturer
- 出典引用
- Art. 13(2)Annex I Part I §1
Last reviewed
わかりやすい説明
製品を販売する前に、そのセキュリティリスクを書面で評価しなければならない。これは形式的なチェックボックス作業ではなく、 その結果が製品の設計・構築方法に変更をもたらすものでなければならない。どのような脅威を検討したか、どのようなリスクを発見したか、 そしてそれらにどのように対処したかを文書化すること。
法律条文
規則(EU)2024/2847第13条第2項は、デジタル要素を含む製品の製造業者は、附属書I第I部に定める基本的なサイバーセキュリティ要件を考慮した上で、デジタル要素を含む製品に関連するサイバーセキュリティリスクのアセスメントを実施することを義務付けている。
当該アセスメントは、サイバーセキュリティリスクを最小化し、セキュリティインシデントを防止し、そのようなインシデントの影響を最小化することを目的として、製品の企画・設計・開発・製造・出荷・保守の各段階において考慮されなければならない。
主な要件
- 市場投入前リスクアセスメント——製品を市場に投入する前に完了する
- リスク情報を活用した設計——アセスメントの結果を製品設計の意思決定に反映させる
- ライフサイクル全体のスコープ——企画・設計・開発・製造・出荷・保守をカバーする
- 文書化——リスクアセスメントは附属書VIIが求める技術文書の一部を構成する
- 比例性——アセスメントの深さはリスクに比例したものでなければならない
他の義務との関係
本義務は他のほとんどの第13条の義務の基礎となる。リスクアセスメントは以下を規定する:
- 附属書I第I部のどの要件がどのように適用されるか
- 適切な適合性評価ルート(モジュールA、B+C、またはH)
- 宣言されたサポート期間(OBL-ART13-08)
- 配布前に対処すべき脆弱性(OBL-ART13-05)
必要となり得る証拠
- サイバーセキュリティリスクアセスメント文書(STRIDE、TARA、または同等の手法)
- 攻撃対象領域の分析を含む脅威モデル
- 設計上の選択に紐付いたリスク対処の意思決定記録
- 製品変更時にアセスメントが更新されたことを示す記録