サイバーレジリエンス法 規則 (EU) 2024/2847

第7条

重要なデジタル要素を有する製品

  1. 1. 附属書IIIに定める製品区分の中核的機能を有するデジタル要素を有する製品は、重要なデジタル要素を有する製品とみなすものとし、第32条第2項及び第3項に規定する適合性評価手続に服するものとする。附属書IIIに定める製品区分の中核的機能を有するデジタル要素を有する製品を、他の製品に統合したことそれ自体をもって、当該統合先の製品が第32条第2項及び第3項に規定する適合性評価手続に服することにはならない。
  2. 2. 本条第1項にいうデジタル要素を有する製品の区分は、附属書IIIに定めるとおりクラスI及びクラスIIに区分され、少なくとも次の基準のいずれか一に適合するものとする。
    1. 当該デジタル要素を有する製品が、主として、認証及びアクセスの保護、侵入の防止及び検知、エンドポイント・セキュリティ又はネットワーク保護を含め、他の製品、ネットワーク又はサービスのサイバーセキュリティにとって重要な機能を果たすこと。
    2. 当該デジタル要素を有する製品が、その強度及び多数の他の製品を妨害し、制御し、又は損害を与える能力、あるいは、中央システム機能(ネットワーク管理、構成制御、仮想化又は個人データの処理を含む。)のような直接的な操作を通じて、その利用者の健康、保安又は安全に損害を及ぼす能力という観点から、重大な悪影響のリスクを伴う機能を果たすこと。
  3. 3. 委員会は、第61条に従い、附属書IIIを改正するため、デジタル要素を有する製品の区分の各クラスについて新たな区分を一覧に追加し、その定義を特定し、製品の区分を一方のクラスから他方のクラスへ移し、又は既存の区分を当該一覧から削除する委任行為を採択する権限を付与される。附属書IIIに定める一覧を改正する必要性を評価するに当たり、委員会は、本条第2項にいう基準に照らして、デジタル要素を有する製品が有するサイバーセキュリティ関連機能若しくはその機能、及びそれらの製品がもたらすサイバーセキュリティ・リスクの水準を考慮するものとする。
    本項第一副段落に規定する委任法令は、適切な場合には、特に、Annex IIIに定めるところにより、デジタル要素を有する重要な製品の新たな類型がクラスI又はIIに追加される場合、又はクラスIからIIに移される場合には、Article 32(2)及び(3)に規定する関連する適合性評価手続の適用開始前に、少なくとも12か月の経過期間を設けるものとする。ただし、緊急性に関するやむを得ない理由により、これより短い経過期間が正当化される場合は、この限りでない。
  4. 4. Commissionは、2025年12月11日までに、Annex IIIに定めるクラスI及びIIのデジタル要素を有する製品の類型の技術的記述並びにAnnex IVに定めるデジタル要素を有する製品の類型の技術的記述を特定する実施法令を採択するものとする。当該実施法令は、Article 62(2)に規定する審査手続に従って採択されるものとする。