- 1. Commissionは、本RegulationのAnnex IVに定める製品類型の中核的機能を有するデジタル要素を有する製品のうち、本RegulationのAnnex Iに定める必須サイバーセキュリティ要件又はその一部への適合性を実証するため、Regulation (EU) 2019/881に基づき採択された欧州サイバーセキュリティ認証スキームの下で、少なくとも「実質的」の保証水準における欧州サイバーセキュリティ証明書の取得を義務付けるべきものを定めるために、本Regulationを補足する委任法令を、Article 61に従って採択する権限を有する。ただし、当該デジタル要素を有する製品の類型を対象とする欧州サイバーセキュリティ認証スキームがRegulation (EU) 2019/881に基づいて採択されており、かつ製造業者が利用可能である場合に限る。当該委任法令は、デジタル要素を有する製品に関連するサイバーセキュリティ・リスクの水準に比例した必要保証水準を特定するものとし、その意図された目的(Directive (EU) 2022/2555のArticle 3(1)に規定する重要主体が当該製品に重大に依存していることを含む。)を考慮に入れるものとする。
Commissionは、このような委任法令を採択する前に、想定される措置が市場に及ぼし得る影響の評価を行い、かつ、Regulation (EU) 2019/881に基づいて設置されたEuropean Cybersecurity Certification Groupを含む関係利害関係者との協議を実施するものとする。当該評価は、関連する欧州サイバーセキュリティ認証スキームを実施するためのMember Statesの準備状況及び能力水準を考慮に入れるものとする。本項第一副段落に規定する委任法令が採択されていない場合には、Annex IVに定める製品類型の中核的機能を有するデジタル要素を有する製品は、Article 32(3)に規定する適合性評価手続に従うものとする。
第一副段落に規定する委任法令は、少なくとも6か月の経過期間を設けるものとする。ただし、緊急性に関するやむを得ない理由により、これより短い経過期間が正当化される場合は、この限りでない。 - 2. Commissionは、重要なデジタル要素を有する製品の類型を追加し又は削除することによりAnnex IVを改正するため、本Regulationを補足する委任法令を、Article 61に従って採択する権限を有する。本Articleのparagraph 1に従い、当該重要なデジタル要素を有する製品の類型及び必要保証水準を決定するに当たり、Commissionは、Article 7(2)に規定する基準を考慮に入れ、かつ、デジタル要素を有する製品の類型が少なくとも次の基準の一に適合することを確保するものとする。
- Directive (EU) 2022/2555のArticle 3に規定する重要主体が、当該デジタル要素を有する製品の類型に重大に依存していること。
- デジタル要素を有する製品のカテゴリーに関するインシデント及び悪用された脆弱性は、域内市場全体にわたり重要なサプライチェーンに深刻な混乱を生じさせるおそれがある。
これらの委任法令を採択する前に、委員会は、第1項に規定する種類の評価を実施しなければならない。
第1副段落に規定する委任法令は、最低6か月の経過措置期間を定めるものとする。ただし、緊急のやむを得ない理由により、これより短い経過措置期間が正当化される場合は、この限りでない。
サイバーレジリエンス法 規則 (EU) 2024/2847
第8条