サイバーレジリエンス法 規則 (EU) 2024/2847

第II部

EU型式審査(モジュールBに基づく)

  1. 1. EU型式審査は、適合性評価手続の一部であり、認証機関が、デジタル要素を備えた製品の技術上の設計及び開発並びに製造業者が導入した脆弱性処理プロセスを審査し、当該デジタル要素を備えた製品附属書I第I部に定めるサイバーセキュリティに関する必須要件に適合しており、かつ、製造業者附属書I第II部に定めるサイバーセキュリティに関する必須要件に適合していることを証明するものである。
  2. 2. EU型式審査は、3に掲げる技術文書及び裏付け証拠の審査、並びに製品の1以上の重要部分の試料の審査(生産型式と設計型式の組合せ)を通じて、デジタル要素を備えた製品の技術上の設計及び開発の適切性を評価することにより実施しなければならない。
  3. 3. 製造業者は、自ら選択する単一の認証機関に対して、EU型式審査の申請を行わなければならない。
    申請には、次のものを含めなければならない。
    3.1. 製造業者の氏名又は名称及び住所、並びに授権代理人が申請を行う場合には、当該授権代理人の氏名又は名称及び住所
    3.2. 同一の申請が他のいかなる認証機関にも行われていないことを記載した書面による宣言
    3.3. 技術文書。当該技術文書は、デジタル要素を備えた製品附属書I第I部に定める適用されるサイバーセキュリティに関する必須要件に適合していること、及び製造業者脆弱性処理プロセスが附属書I第II部に定める要件に適合していることを評価することを可能にするものでなければならず、かつ、リスクの適切な分析及び評価を含まなければならない。技術文書は、適用される要件を明示し、評価に関連する範囲において、デジタル要素を備えた製品の設計、製造及び運用を対象としなければならない。技術文書には、該当する場合には、少なくとも附属書VIIに定める要素を含めなければならない。
    3.4. 技術上の設計及び開発の解決策並びに脆弱性処理プロセスの適切性に関する裏付け証拠。当該裏付け証拠には、特に、関連する整合規格又は技術仕様が全面的には適用されていない場合において、使用された文書を記載しなければならない。裏付け証拠には、必要な場合には、製造業者の適切な試験機関が実施した試験、又は製造業者に代わってその責任の下で他の試験機関が実施した試験の結果を含めなければならない。
  4. 4. 認証機関は、次のことを行わなければならない。
    4.1. 技術文書及び裏付け証拠を審査し、デジタル要素を備えた製品の技術上の設計及び開発が附属書I第I部に定めるサイバーセキュリティに関する必須要件に照らして適切であること、並びに製造業者が導入した脆弱性処理プロセスが附属書I第II部に定めるサイバーセキュリティに関する必須要件に照らして適切であることを評価すること。
    4.2. 試料が技術文書に適合して開発され、又は製造されていることを検証し、かつ、関連する整合規格又は技術仕様の適用される規定に従って設計及び開発された要素、並びに当該規格の関連規定を適用することなく設計及び開発された要素を特定すること。
    4.3. 製造業者が、附属書Iに定める要件について、関連する整合規格又は技術仕様に定める解決策を適用することを選択した場合に、それらが正しく適用されていることを確認するため、適切な審査及び試験を実施し、又は実施させること。
    4.4. 関連する整合規格又は附属書Iに定める要件に係る技術仕様に含まれる解決策が適用されていない場合において、製造業者が採用した解決策が、対応する必須サイバーセキュリティ要件を満たしていることを確認するため、適切な検査及び試験を実施し、又は実施させること。
    4.5. 検査及び試験を実施する場所について、製造業者と合意すること。
  5. 5. 認証機関は、第4項に従って実施した活動及びその結果を記録した評価報告書を作成する。通報当局に対する義務を損なうことなく、認証機関は、当該報告書の内容の全部又は一部を、製造業者の同意がある場合に限り開示する。
  6. 6. 型式及び脆弱性対応プロセスが附属書Iに定める必須サイバーセキュリティ要件に適合している場合には、認証機関は、製造業者に対し、EU型式審査証明書を発行する。当該証明書には、製造業者の名称及び住所、審査の結論、その有効性の条件(ある場合)、並びに承認された型式及び脆弱性対応プロセスを識別するために必要なデータを記載するものとする。当該証明書には、1又は2以上の附属書を添付することができる.
    当該証明書及びその附属書には、製造され又は開発されたデジタル要素を有する製品と、審査対象となった型式及び脆弱性対応プロセスとの適合性を評価し、かつ使用中の管理を可能にするために必要なすべての関連情報を記載するものとする.
    型式及び脆弱性対応プロセスが附属書Iに定める適用される必須サイバーセキュリティ要件を満たしていない場合には、認証機関は、EU型式審査証明書の発行を拒否し、その拒否の詳細な理由を付して申請者に通知する。
  7. 7. 認証機関は、承認された型式及び脆弱性対応プロセスが、附属書Iに定める適用される必須サイバーセキュリティ要件に、もはや適合しない可能性があることを示す、一般に認められた最新技術水準のあらゆる変更について常に把握し、当該変更が更なる調査を要するか否かを判断する。その場合には、認証機関は、その旨を製造業者に通知する。
    製造業者は、EU型式審査証明書に関する技術文書を保有する認証機関に対し、承認された型式及び脆弱性対応プロセスについて行うすべての変更であって、附属書Iに定める必須サイバーセキュリティ要件への適合性又は当該証明書の有効条件に影響を及ぼすおそれのあるものを通知する。当該変更については、当初のEU型式審査証明書への追補の形式による追加承認を要する。
  8. 8. 認証機関は、附属書IのパートIIに定める脆弱性対応プロセスが適切に実施されていることを確保するため、定期監査を実施する。
  9. 9. 各認証機関は、自らが発行し、又は取り消したEU型式審査証明書及びこれに対するあらゆる追補について、通報当局に通知するものとし、また、定期的に又は要請に応じて、拒否され、停止され、又はその他の制限を受けた証明書及びこれに対するあらゆる追補の一覧を通報当局が利用できるようにする。
    各認証機関は、自らが拒否し、取り消し、停止し、又はその他の制限を課したEU型式審査証明書及びこれに対するあらゆる追補について、他の認証機関に通知するものとし、また、要請に応じて、自らが発行した証明書及びこれに対する追補について通知する。
    委員会、加盟国及びその他の認証機関は、要請に応じて、EU型式審査証明書及びその追補の写しを入手することができる。
    委員会及び加盟国は、要請に応じて、技術文書の写し並びに認証機関が実施した審査の結果を入手することができる。
    認証機関は、EU型式審査証明書、その附属書及び追補の写し、並びに製造業者が提出した文書を含む技術ファイルを、当該証明書の有効期間が満了するまで保管しなければならない。
  10. 10. 製造業者は、EU型式審査証明書、その附属書及び追補の写しを技術文書とともに、デジタル要素を備える製品が上市された後10年間又はサポート期間のいずれか長い期間、国内当局が利用できるよう保持しなければならない。
  11. 11. 製造業者授権された代理人は、委任において関係する義務が明記されている場合には、第3項に規定する申請を行い、かつ、第7項及び第10項に定める義務を履行することができる。