サイバーレジリエンス法 規則 (EU) 2024/2847
第I部
デジタル要素を有する製品の特性に関するサイバーセキュリティ要件
- 1. デジタル要素を有する製品は、リスクに基づき、適切な水準のサイバーセキュリティを確保するように設計され、開発され、及び製造されなければならない。
- 2. 第13条(2)にいうサイバーセキュリティ・リスク評価に基づき、かつ該当する場合には、デジタル要素を有する製品は、次の要件を満たさなければならない。
- 既知の悪用可能な脆弱性がない状態で市場に提供されること。
- デジタル要素を有する特注製品に関して製造業者と業務利用者との間で別段の合意がある場合を除き、製品を元の状態に復元する可能性を含め、デフォルトで安全な設定で市場に提供されること。
- 脆弱性に対して、セキュリティ更新によって対処できることを確保すること。この中には、該当する場合には、適切な期間内にインストールされる自動セキュリティ更新をデフォルト設定として有効にすること、利用者に対して明確かつ使いやすいオプトアウトの仕組みを設けること、利用可能な更新について利用者に通知すること、及び更新を一時的に延期する選択肢を設けることが含まれる。
- 認証、ID管理若しくはアクセス管理システムを含むがこれらに限定されない適切な制御機構により、権限のないアクセスからの保護を確保し、かつ、起こり得る権限のないアクセスについて報告すること。
- 保存され、送信され、又はその他の方法で処理されるデータ(個人データその他のデータ)について、保存時又は送信時の関連データを最新技術水準の仕組みにより暗号化することその他の技術的手段により、その秘密性を保護すること。
- 保存され、送信され、又はその他の方法で処理されるデータ(個人データその他のデータ)、コマンド、プログラム及び設定について、利用者により許可されていないいかなる操作又は変更からもその完全性を保護し、かつ、破損について報告すること。
- デジタル要素を有する製品の予定された目的との関係で適切であり、関連性があり、かつ必要なものに限定されたデータ(個人データその他のデータ)のみを処理すること(データ最小化)。
- インシデント後においても、サービス拒否攻撃に対するレジリエンス及び緩和措置を含め、不可欠な機能及び基本的な機能の可用性を保護すること。
- 当該製品自体又は接続された機器により、他の機器又はネットワークによって提供されるサービスの可用性に及ぼす悪影響を最小限に抑えること。
- 外部インターフェースを含め、攻撃対象領域を限定するように設計され、開発され、及び製造されること。
- 適切な悪用緩和のための仕組み及び技術を用いて、インシデントの影響を低減するように設計され、開発され、及び製造されること。
- 利用者のためのオプトアウトの仕組みを設けた上で、データ、サービス又は機能へのアクセス又はこれらの変更を含む関連する内部活動を記録し、及び監視することにより、セキュリティ関連情報を提供すること。
- 利用者が、すべてのデータおよび設定を安全かつ容易に恒久的に削除できるようにし、また、当該データを他の製品又はシステムに移転できる場合には、それが安全な方法で行われることを確保すること。