OBL-ART23-01Binding
サプライチェーンのトレーサビリティ記録の維持と要求時の提供
すべての経済事業者は、市場監視機関の要求に応じて、(a) 製品を供給した経済 事業者、および (b) 製品を供給した先の経済事業者を特定できなければなりません。 記録は各取引から10年間保管する必要があります。
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
役割
Art. 3(14)オープンソースステワード
オープンソースソフトウェアステワードとは、その意図された使用が商業的であると合理的に期待できる無料/オープンソースソフトウェア製品の開発に対して体系的な支援を提供するすべての法人を指します。
主要な事実
- 個々の開発者を罰することなくOSSに対応するためにCRAが導入した新しいカテゴリ
- 製造業者よりも軽い義務(CEマーク不要、DoC不要)
- サイバーセキュリティポリシーを策定し当局と協力する必要あり
- OSSプロジェクトが対象範囲に含まれるかどうかは商業活動テストで判断
- ステワードのステータスはソフトウェアをパッケージ化/配布する下流のユーザーには適用されない
主要な期限
1
2024年12月11日 — CRA発効
規則が法的に有効となります。この日以降に市場に出荷された製品は、適用日に達した時点でCRAに準拠する必要があります。
2026年9月11日 — 脆弱性報告義務が適用
第14条に基づくENISAへの脆弱性・インシデント報告が義務化されます。これが最初の厳格な期限です。製造業者はこの日付の前に報告プロセスを整備しておく必要があります。
3
2027年6月11日 — 適合性評価機関の通知
加盟国は適合性評価機関を欧州委員会に通知しなければなりません。
4
2027年12月11日 — 規制が全面適用
すべてのCRA要件がすべての対象製品に適用されます。準拠していない新製品はEU市場に出荷できなくなります。
義務(5件)
OBL-ART24-01Binding
オープンソースソフトウェアに関するサイバーセキュリティポリシーの策定および文書化
オープンソースソフトウェア管理者は、支援するオープンソースソフトウェアコンポーネントを含む、セキュアな製品の開発を促進し、 脆弱性の効果的な対処を可能にするサイバーセキュリティポリシーを策定し文書化しなければならない。
Art. 24(1)
Open-source steward
OBL-ART24-02Binding
積極的に悪用された脆弱性および重大インシデントの通知
オープンソースソフトウェア管理者は、管理するオープンソースソフトウェアコンポーネントに含まれる積極的に悪用された脆弱性、 および当該コンポーネントのセキュリティに影響する重大インシデントを、コーディネーターとして指定されたCSIRTに不当な遅延なく通知しなければならない。
Art. 24(2)
Open-source steward
OBL-ART24-03Binding
市場監視当局との協力
オープンソースソフトウェア管理者は、要請に応じて市場監視当局と協力し、規制上の任務の遂行に必要なすべての情報を提供しなければならない。
Art. 24(3)
Open-source steward
OBL-ART24-04Binding
要請に応じた技術文書の作成
市場監視当局からの要請に応じて、オープンソースソフトウェア管理者は管理するオープンソースソフトウェアコンポーネントに関する技術文書を作成し最新の状態に保たなければならない。 サイバーセキュリティのコンプライアンス評価に十分な内容が必要である。
Art. 24(4)
Open-source steward