- 1. 欧州連合官報にその参照が公表された整合規格又はその一部に適合するデジタル要素を有する製品及び製造業者が整備した工程は、当該規格又はその一部が対象とする附属書Iに定める基本的サイバーセキュリティ要件に適合しているものと推定される。
委員会は、規則(EU)No 1025/2012第10条第1項に従い、本規則の附属書Iに定める基本的サイバーセキュリティ要件に関する整合規格を起草するよう、一又は複数の欧州標準化機関に要請するものとする。委員会は、本規則に関する標準化要請を作成するに当たり、規則(EU)No 1025/2012に従って整合規格の策定を簡素化するため、既に存在する又は策定中のサイバーセキュリティに関する欧州及び国際規格を考慮に入れるよう努めるものとする。 - 2. 委員会は、本規則の適用範囲に含まれるデジタル要素を有する製品について、附属書Iに定める必須サイバーセキュリティ要件への適合を確保するための手段を提供する技術的要件を対象とする共通仕様を定める実施法行為を採択することができる。
これらの実施法行為は、次の条件が満たされる場合にのみ採択されるものとする。- 委員会が、規則(EU)No 1025/2012第10条第1項に従い、附属書Iに定める必須サイバーセキュリティ要件に関する整合規格の策定を一又は複数の欧州標準化機関に要請しており、かつ、次のいずれかに該当すること。
- 本規則の附属書Iに定める関連する必須サイバーセキュリティ要件を対象とする整合規格の参照が、規則(EU)No 1025/2012に従って欧州連合官報に掲載されておらず、かつ、そのような参照が合理的な期間内に掲載される見込みもないこと。
これらの実施法行為は、第62条第2項に定める審査手続に従って採択されるものとする。 - 3. 委員会は、本条第2項に規定する実施法行為案を作成する前に、規則(EU)No 1025/2012第22条に規定する委員会に対し、本条第2項の条件が満たされていると判断する旨を通知するものとする。
- 4. 委員会は、第2項に規定する実施法行為案を作成するに当たり、関連機関の見解を考慮し、かつ、すべての関連する利害関係者と適切に協議するものとする。
- 5. 本条第2項に規定する実施法行為により定められた共通仕様又はその一部に適合するデジタル要素を有する製品及び製造業者が導入したプロセスは、当該共通仕様又はその一部が対象とする附属書Iに定める必須サイバーセキュリティ要件に適合しているものと推定される。
- 6. 整合規格が欧州標準化機関により採択され、かつ、その参照を欧州連合官報に掲載する目的で委員会に提案された場合、委員会は、規則(EU)No 1025/2012に従って当該整合規格を評価するものとする。整合規格の参照が欧州連合官報に掲載されたときは、委員会は、本条第2項に規定する実施法行為又はその一部のうち、当該整合規格が対象とする必須サイバーセキュリティ要件と同一の要件を対象とするものを廃止するものとする.
- 7. 加盟国は、共通仕様が附属書Iに定める必須サイバーセキュリティ要件を完全には満たしていないと判断する場合には、詳細な説明を付してその旨を委員会に通知するものとする。委員会は、当該詳細な説明を評価し、必要に応じて、当該共通仕様を定める実施法行為を改正することができる。
- 8. 規則(EU)2019/881に基づいて採択された欧州サイバーセキュリティ認証制度の下でEU適合宣言書又は証明書が発行されたデジタル要素を有する製品及び製造業者が導入したプロセスは、EU適合宣言書若しくは欧州サイバーセキュリティ証明書又はその一部が当該要件を対象とする限りにおいて、附属書Iに定める必須サイバーセキュリティ要件に適合しているものと推定される。
- 9. 委員会は、本規則第61条に従い、本規則を補足するため、欧州議会・理事会規則 (EU) 2019/881 に基づいて採択された欧州サイバーセキュリティ認証制度のうち、本規則附属書Iに定める必須サイバーセキュリティ要件又はその一部について、デジタル要素を備える製品の適合性を立証するために使用することができるものを特定する委任法令を採択する権限を与えられる。さらに、当該制度に基づいて発行された欧州サイバーセキュリティ証明書(少なくとも保証レベル「substantial」のもの)がある場合には、本規則第32条第2項(a)及び(b)並びに第32条第3項(a)及び(b)に定める対応する要件について、製造者が第三者適合性評価を実施する義務は免除される。
サイバーレジリエンス法 規則 (EU) 2024/2847
第27条