- 1. 製造業者は、デジタル要素を有する製品及び製造業者が導入したプロセスについて、附属書Iに定める不可欠なサイバーセキュリティ要件が満たされているか否かを判断するための適合性評価を実施しなければならない。製造業者は、次のいずれかの手続を用いて、不可欠なサイバーセキュリティ要件への適合性を立証しなければならない。
- 2. 附属書IIIに定めるクラスIに該当する重要なデジタル要素を有する製品及びその製造業者が導入したプロセスについて、附属書Iに定める不可欠なサイバーセキュリティ要件への適合性を評価するに当たり、製造業者が整合規格、共通仕様又は少なくとも第27条にいう「substantial」の保証水準を有する欧州サイバーセキュリティ認証スキームを適用していない場合若しくはこれらを一部にしか適用していない場合、又は当該整合規格、共通仕様若しくは欧州サイバーセキュリティ認証スキームが存在しない場合には、当該デジタル要素を有する製品及び製造業者が導入したプロセスは、当該不可欠なサイバーセキュリティ要件に関して、次のいずれかの手続に付されなければならない。
- 3. 当該製品が附属書IIIに定めるクラスIIに該当する重要なデジタル要素を有する製品である場合には、製造業者は、附属書Iに定める不可欠なサイバーセキュリティ要件への適合性を、次のいずれかの手続を用いて立証しなければならない。
- 附属書VIIIに定めるEU型式審査手続(モジュールBに基づく)に引き続き、附属書VIIIに定める内部生産管理に基づくEU型式適合性(モジュールCに基づく)。
- 附属書VIIIに定める完全品質保証に基づく適合性評価(モジュールHに基づく)。又は
- 利用可能であり、かつ適用可能である場合には、規則(EU)2019/881に基づく少なくとも「substantial」の保証水準を有する、本規則第27条第9項に基づく欧州サイバーセキュリティ認証スキーム。
- 4. 附属書IVに掲げる重大なデジタル要素を有する製品は、次のいずれかの手続を用いて、附属書Iに定める不可欠なサイバーセキュリティ要件への適合性を立証しなければならない。
- 第8条第1項に従った欧州サイバーセキュリティ認証スキーム。又は
- 第8条第1項の条件が満たされない場合には、本条第3項に規定するいずれかの手続。
- 5. 附属書IIIに定めるカテゴリーに該当する自由かつオープンソースのソフトウェアに該当するデジタル要素を有する製品の製造業者は、第31条に規定する技術文書が当該製品の上市時に公衆に利用可能とされることを条件として、本条第1項に規定するいずれかの手続を用いて、附属書Iに定める不可欠なサイバーセキュリティ要件への適合性を立証することができる。
- 6. 適合性評価手続に係る手数料を設定するに当たっては、スタートアップを含む零細企業及び中小企業の特有の利益及びニーズを考慮しなければならず、当該手数料は、それらの特有の利益及びニーズに応じて比例的に引き下げなければならない。
サイバーレジリエンス法 規則 (EU) 2024/2847
第32条