サイバーレジリエンス法 規則 (EU) 2024/2847

第13条

製造業者の義務

  1. 1. 製造業者は、デジタル要素を有する製品を市場に投入するに際し、当該製品が附属書I第I部に定める不可欠なサイバーセキュリティ要件に従って設計、開発及び製造されていることを確保しなければならない。
  2. 2. 第1項を遵守するため、製造業者は、デジタル要素を有する製品に関連するサイバーセキュリティ・リスクの評価を実施しなければならず、また、サイバーセキュリティ・リスクを最小化し、インシデントを防止し、かつ、利用者の健康及び安全に関するものを含め、その影響を最小化することを目的として、当該評価の結果を、当該製品の企画、設計、開発、製造、提供及び保守の各段階において考慮しなければならない。
  3. 3. サイバーセキュリティ・リスク評価は、文書化されなければならず、また、本条第8項に従って定められるサポート期間中、適宜更新されなければならない。当該サイバーセキュリティ・リスク評価には、少なくとも、デジタル要素を備えた製品意図された目的および合理的に予見可能な使用、ならびに運用環境又は保護されるべき資産等の使用条件に基づくサイバーセキュリティ・リスクの分析が含まれなければならず、その際、当該製品が使用されることが見込まれる期間の長さを考慮しなければならない。サイバーセキュリティ・リスク評価は、附属書I第I部第(2)号に定めるセキュリティ要件が、関連するデジタル要素を備えた製品に適用されるか否か、適用される場合にはいかなる態様で適用されるか、ならびに当該要件がサイバーセキュリティ・リスク評価を踏まえてどのように実施されるかを示さなければならない。また、製造業者が、附属書I第I部第(1)号及び附属書I第II部に定める脆弱性取扱要件をどのように適用するかについても示さなければならない。
  4. 4. 製造業者は、デジタル要素を備えた製品を上市する際、本条第3項にいうサイバーセキュリティ・リスク評価を、第31条及び附属書VIIに基づいて要求される技術文書に含めなければならない。第12条にいうデジタル要素を備えた製品であって、他の連合法令の適用も受けるものについては、サイバーセキュリティ・リスク評価は、当該連合法令により要求されるリスク評価の一部を構成することができる。一定の不可欠なサイバーセキュリティ要件が当該デジタル要素を備えた製品に適用されない場合には、製造業者は、その旨の明確な正当化理由を当該技術文書に記載しなければならない。
  5. 5. 製造業者は、第1項を遵守するため、第三者から調達した構成部品を統合する際には、当該構成部品デジタル要素を備えた製品サイバーセキュリティを損なわないよう、相当の注意を払わなければならない。これには、商業活動の過程で市場に提供されたものではないフリー・オープンソース・ソフトウェア構成部品を統合する場合も含まれる。
  6. 6. 製造業者は、デジタル要素を備えた製品に統合された構成部品(オープンソース構成部品を含む。)に脆弱性を特定した場合には、当該脆弱性を当該構成部品を製造し又は保守する者又は団体に報告し、かつ、附属書I第II部に定める脆弱性取扱要件に従って、当該脆弱性に対処し、これを是正しなければならない。製造業者が、当該構成部品脆弱性に対処するためのソフトウェア又はハードウェアの変更を開発した場合には、適当なときは機械可読形式により、関連するコード又は文書を、当該構成部品を製造し又は保守する者又は団体と共有しなければならない。
  7. 7. 製造業者は、デジタル要素を備えた製品に関する関連するサイバーセキュリティ上の側面(把握した脆弱性及び第三者から提供された関連情報を含む。)を、その性質及びサイバーセキュリティ・リスクに応じた態様で、体系的に文書化しなければならず、また、該当する場合には、当該製品のサイバーセキュリティ・リスク評価を更新しなければならない。
  8. 8. 製造業者は、デジタル要素を備えた製品上市する時点において、かつサポート期間中、当該製品(その構成部品を含む。)の脆弱性が、附属書I第II部に定める不可欠なサイバーセキュリティ要件に従い、効果的に取り扱われることを確保しなければならない。
    製造業者は、特に、利用者の合理的な期待、製品の性質(その意図された用途を含む。)並びにデジタル要素を有する製品の耐用期間を定める関連する連合法を考慮し、当該製品が使用されることが見込まれる期間の長さを反映するように、サポート期間を決定しなければならない。製造業者は、サポート期間を決定するに当たり、他の製造業者により上市され、類似の機能を提供するデジタル要素を有する製品サポート期間、運用環境の利用可能性、中核的機能を提供し第三者から調達される統合部品のサポート期間、並びに第52条第15項に基づき設置される専門の行政協力グループ(ADCO)及び欧州委員会が提供する関連指針も考慮することができる。サポート期間を決定するために考慮すべき事項は、比例性が確保される方法で考慮されなければならない。
    第2副段落を妨げることなく、サポート期間は少なくとも5年としなければならない。デジタル要素を有する製品の使用見込期間が5年未満である場合、サポート期間は、その使用見込期間に対応するものとする。
    欧州委員会は、第52条第16項にいうADCOの勧告を考慮し、市場監視データがサポート期間の不十分性を示唆している場合には、第61条に従って委任行為を採択し、特定の製品カテゴリーについて最低サポート期間を特定することにより、本規則を補足することができる。
    製造業者は、デジタル要素を有する製品サポート期間を決定するに当たり考慮した情報を、附属書VIIに定める技術文書に記載しなければならない。
    製造業者は、附属書I第II部の第(5)号にいう、内部又は外部の情報源から報告されたデジタル要素を有する製品における潜在的な脆弱性を処理し是正するため、協調的脆弱性開示方針を含む適切な方針及び手続を備えなければならない。
  9. 9. 製造業者は、附属書I第II部の第(8)号にいう各セキュリティ更新について、サポート期間中に利用者に提供されたものが、当該更新の提供後、少なくとも10年間又はサポート期間の残余期間のいずれか長い期間、引き続き利用可能であることを確保しなければならない。
  10. 10. 製造業者ソフトウェア製品のその後の実質的に変更された版を上市した場合には、当該製造業者は、附属書I第II部の第(2)号に定める必須サイバーセキュリティ要件への適合を、自らが最後に上市した版についてのみ確保することができる。ただし、先に上市された版の利用者が、無償で最後に上市された版にアクセスすることができ、かつ、当該製品の元の版を使用しているハードウェア及びソフトウェアの環境を調整するための追加費用を負担しないことを条件とする。
  11. 11. 製造業者は、利用者による過去の版へのアクセスを向上させる公開ソフトウェア・アーカイブを維持することができる。その場合、利用者は、サポートされていないソフトウェアの使用に伴うリスクについて、容易にアクセス可能な方法により、明確に知らされなければならない。
  12. 12. 製造業者は、デジタル要素を有する製品上市する前に、第31条にいう技術文書を作成しなければならない。
    製造業者は、第32条にいう選択された適合性評価手続を実施し、又はこれを実施させなければならない。デジタル要素を備えた製品附属書I第I部に定める必須サイバーセキュリティ要件への適合性、及び製造業者が導入したプロセスの附属書I第II部に定める必須サイバーセキュリティ要件への適合性が、当該適合性評価手続により立証された場合には、製造業者は、第28条に従ってEU適合宣言を作成し、かつ、第30条に従ってCEマーキングを表示しなければならない。
  13. 13. 製造業者は、デジタル要素を備えた製品上市された後少なくとも10年間又はサポート期間のいずれか長い方の期間、市場監視当局が技術文書及びEU適合宣言を利用できるようにしておかなければならない。
  14. 14. 製造業者は、連続生産の一部を成すデジタル要素を備えた製品が、引き続き本規則に適合することを確保するための手続を整備しなければならない。製造業者は、デジタル要素を備えた製品の適合性が宣言される際に参照される、又はその適合性が検証される際に適用される、第27条にいう整合規格、欧州サイバーセキュリティ認証スキーム又は共通仕様に変更があった場合と同様に、開発及び製造工程又はデジタル要素を備えた製品の設計若しくは特性における変更を適切に考慮しなければならない。
  15. 15. 製造業者は、自らのデジタル要素を備えた製品に、その識別を可能にする型式番号、バッチ番号若しくはシリアル番号又はその他の要素を表示しなければならず、それが不可能な場合には、その情報を包装又は当該デジタル要素を備えた製品に添付される文書に記載しなければならない。
  16. 16. 製造業者は、製造業者の名称、登録商号又は登録商標並びに郵便上の住所、電子メールアドレス若しくはその他のデジタル連絡先の詳細、並びに該当する場合には製造業者への連絡が可能なウェブサイトを、デジタル要素を備えた製品、その包装又は当該デジタル要素を備えた製品に添付される文書に表示しなければならない。当該情報は、附属書IIに定める利用者向け情報及び指示にも含めなければならない。連絡先の詳細は、利用者及び市場監視当局が容易に理解できる言語によるものとしなければならない。
  17. 17. 本規則の適用上、製造業者は、利用者が製造業者と直接かつ迅速に連絡を取ることを可能にする単一の連絡窓口を指定しなければならず、これには、デジタル要素を備えた製品脆弱性に関する報告を容易にすることも含まれる。
    製造業者は、当該単一の連絡窓口が利用者にとって容易に識別可能であることを確保しなければならない。また、附属書IIに定める利用者向け情報及び指示にも当該単一の連絡窓口を含めなければならない。
    当該単一の連絡窓口は、利用者が希望する連絡手段を選択することを可能にするものとし、かつ、当該手段を自動化ツールのみに限定してはならない。
  18. 18. 製造業者は、デジタル要素を有する製品に、附属書IIに定める利用者向けの情報及び指示を、紙媒体又は電子的形式により添付しなければならない。かかる情報及び指示は、利用者及び市場監視当局が容易に理解できる言語で提供されなければならない。また、それらは、明確で、理解しやすく、意味が明瞭であり、かつ判読可能でなければならない。それらは、デジタル要素を有する製品の安全な設置、操作及び使用を可能にするものでなければならない。製造業者は、附属書IIに定める利用者向けの情報及び指示を、当該デジタル要素を有する製品上市された後少なくとも10年間、又はサポート期間のいずれか長い期間、利用者及び市場監視当局が利用できるようにしておかなければならない。かかる情報及び指示がオンラインで提供される場合には、製造業者は、それらがアクセス可能で、利用しやすく、かつ当該デジタル要素を有する製品が上市された後少なくとも10年間、又はサポート期間のいずれか長い期間、オンラインで利用可能であることを確保しなければならない。
  19. 19. 製造業者は、第8項にいうサポート期間の終了日(少なくとも月及び年を含む。)が、購入時に、容易にアクセス可能な方法で、かつ、該当する場合には、デジタル要素を有する製品上、その包装上又はデジタル手段により、明確かつ理解しやすく表示されることを確保しなければならない。
    デジタル要素を有する製品の性質に照らして技術的に実行可能である場合には、製造業者は、当該デジタル要素を有する製品がそのサポート期間の終了に達したことを利用者に知らせる通知を表示しなければならない。
  20. 20. 製造業者は、デジタル要素を有する製品に、EU適合宣言書の写し又は簡略化されたEU適合宣言書のいずれかを添付しなければならない。簡略化されたEU適合宣言書を提供する場合には、完全なEU適合宣言書にアクセスすることのできる正確なインターネットアドレスを記載しなければならない。
  21. 21. 製造業者は、上市の時からサポート期間中において、デジタル要素を有する製品又は製造業者が整備した工程が附属書Iに定める必須サイバーセキュリティ要件に適合していないことを知り、又はそのように信ずべき理由がある場合には、直ちに、状況に応じて、当該デジタル要素を有する製品又は製造業者の工程を適合させるために必要な是正措置を講じ、又は当該製品を市場から撤去し、若しくは回収しなければならない。
  22. 22. 製造業者は、市場監視当局から理由を付した要請があった場合には、当該当局が容易に理解できる言語により、紙媒体又は電子的形式で、デジタル要素を有する製品及び製造業者が整備した工程が附属書Iに定める必須サイバーセキュリティ要件に適合していることを証明するために必要なすべての情報及び文書を当該当局に提供しなければならない。製造業者は、自己が上市したデジタル要素を有する製品によって生ずるサイバーセキュリティ上のリスクを除去するために講じられるいかなる措置についても、当該当局の要請に応じて、これに協力しなければならない。
  23. 23. 製造業者がその事業を終了し、その結果として本規則を遵守することができなくなる場合には、当該製造業者は、事業終了の効力が生ずる前に、関係する市場監視当局に対し、並びに、利用可能なあらゆる手段により、かつ可能な限り、上市された関係するデジタル要素を有する製品の利用者に対し、差し迫った事業終了について通知しなければならない。
  24. 24. 委員会は、欧州又は国際的な標準及び最良の慣行を考慮した上で、実施法行為により、附属書I第II部第(1)号に規定するソフトウェア部品表の様式及び構成要素を定めることができる。当該実施法行為は、第62条第2項に規定する審査手続に従って採択するものとする。
  25. 25. 加盟国及び連合全体としてのソフトウェア構成要素への依存、特に自由かつオープンソースのソフトウェアに該当する構成要素への依存を評価するため、ADCOは、デジタル要素を有する製品の特定の類型について、連合全体にわたる依存性評価を実施することを決定することができる。この目的のため、市場監視当局は、当該類型のデジタル要素を有する製品製造業者に対し、附属書I第II部第(1)号に規定する関連するソフトウェア部品表の提供を求めることができる。市場監視当局は、当該情報に基づき、ソフトウェア依存関係に関する匿名化され、かつ集計された情報をADCOに提供することができる。ADCOは、依存性評価の結果に関する報告書を、指令(EU) 2022/2555第14条に基づき設置された協力グループに提出するものとする。