サイバーレジリエンス法 規則 (EU) 2024/2847

第IV部

完全品質保証に基づく適合性(モジュールHに基づく)

  1. 1. 完全品質保証に基づく適合性とは、製造業者が本部の第2項及び第5項に定める義務を履行し、かつ、対象となるデジタル要素を有する製品又は製品カテゴリが附属書I第I部に定める必須サイバーセキュリティ要件を満たし、並びに製造業者が導入した脆弱性対応プロセスが附属書I第II部に定める要件を満たすことを、自らの単独の責任において確保し、かつ宣言する適合性評価手続をいう。
  2. 2. デジタル要素を有する製品の設計、開発、生産及び脆弱性対応
    製造業者は、対象となるデジタル要素を有する製品の設計、開発、最終製品の検査及び試験並びに脆弱性対応について、第3項に定める承認済みの品質システムを運用し、支援期間を通じてその有効性を維持し、かつ、第4項に定める監督を受けるものとする。
  3. 3. 品質システム
    3.1. 製造業者は、対象となるデジタル要素を有する製品について、その選択する認証機関に対し、自らの品質システムの評価申請を行うものとする。
    申請には、次のものを含めるものとする。
    1. 製造業者の氏名又は名称及び住所、並びに申請が授権代理人により行われる場合には、当該授権代理人の氏名又は名称及び住所
    2. 製造又は開発を予定するデジタル要素を有する製品の各カテゴリにつき、各1つのモデルに関する技術文書。当該技術文書には、該当する場合には、少なくとも附属書VIIに定める要素を含めるものとする。
    3. 品質システムに関する文書
    4. 同一の申請を他のいずれの認証機関にも提出していない旨の書面による宣言
    3.2. 品質システムは、デジタル要素を有する製品が附属書I第I部に定める必須サイバーセキュリティ要件に適合すること、及び製造業者が導入した脆弱性対応プロセスが附属書I第II部に定める要件に適合することを確保するものとする。
    製造業者が採用するすべての要素、要件及び規定は、方針、手順及び指示を書面化したものとして、体系的かつ整然とした方法で文書化されるものとする。当該品質システム文書は、品質プログラム、計画、マニュアル及び記録について、一貫した解釈を可能にするものでなければならない。
    当該文書には、特に、次の事項について適切な記述を含めるものとする。
    1. 品質目標並びに設計、開発、製品品質及び脆弱性対応に関する組織体制並びに経営陣の責任及び権限
    2. 適用される技術上の設計及び開発仕様(規格を含む。)並びに関連する整合規格又は技術仕様が全面的には適用されない場合には、デジタル要素を有する製品に適用される附属書I第I部に定める必須サイバーセキュリティ要件が満たされることを確保するために用いられる手段
    3. 適用される手続仕様(規格を含む。)並びに関連する整合規格又は技術仕様が全面的には適用されない場合には、製造業者に適用される附属書I第II部に定める必須サイバーセキュリティ要件が満たされることを確保するために用いられる手段
    4. 対象となる製品カテゴリに属するデジタル要素を有する製品の設計及び開発に当たり用いられる、設計及び開発の管理並びに設計及び開発の検証の手法、プロセス及び体系的措置
    5. 用いられる対応する生産、品質管理及び品質保証の手法、プロセス及び体系的措置
    6. 生産の前、生産中及び生産後に実施される検査及び試験並びにその実施頻度
    7. 品質記録(例えば、検査報告書及び試験データ、校正データ並びに関係する要員の資格報告書);
    8. 要求される設計及び製品品質の達成並びに品質システムの有効な運用を監視する手段。
    3.3. 認証機関は、品質システムが3.2項に定める要求事項を満たしているか否かを判断するため、当該品質システムを評価しなければならない。
    認証機関は、関連する整合規格又は技術仕様を実施する国内規格の対応する仕様に適合する品質システムの要素については、当該要求事項への適合を推定しなければならない。
    監査チームは、品質マネジメントシステムに関する経験に加え、少なくとも1名、関連する製品分野及び当該製品技術における評価者としての経験を有する者を含まなければならず、かつ、本規則に定める適用要件に関する知識を有していなければならない。監査には、当該施設が存在する場合には、製造業者の施設への評価訪問を含めなければならない。監査チームは、製造業者が本規則に定める適用要件を特定し、デジタル要素を有する製品がそれらの要件に適合することを確保するために必要な検査を実施する能力を有することを検証するため、3.1(b)に定める技術文書を審査しなければならない。
    製造業者又はその授権代理人には、決定を通知しなければならない。
    当該通知には、監査の結論及び理由を付した評価決定を記載しなければならない。
    3.4. 製造業者は、承認された品質システムから生ずる義務を履行し、かつ、当該品質システムが引き続き適切かつ有効であるよう維持することを約さなければならない。
    3.5. 製造業者は、品質システムを承認した認証機関に対し、品質システムに加える予定のあらゆる変更を通知し続けなければならない。
    認証機関は、提案された変更を評価し、変更後の品質システムが引き続き3.2項に定める要求事項を満たすか、又は再評価が必要かを決定しなければならない。
    認証機関は、その決定を製造業者に通知しなければならない。当該通知には、審査の結論及び理由を付した評価決定を記載しなければならない。
  4. 4. 認証機関の責任の下で行う監視
    4.1. 監視の目的は、製造業者が承認された品質システムから生ずる義務を適正に履行していることを確認することにある。
    4.2. 製造業者は、評価の目的のため、認証機関に対し、設計、開発、製造、検査、試験及び保管の場所への立入りを認めるとともに、特に次のすべての必要な情報を提供しなければならない。
    1. 品質システム文書;
    2. 品質システムの設計部分により作成される品質記録(例えば、分析、計算及び試験の結果);
    3. 品質システムの製造部分により作成される品質記録(例えば、検査報告書及び試験データ、校正データ並びに関係する要員の資格報告書)。
    4.3. 認証機関は、製造業者が品質システムを維持し、かつ適用していることを確認するため、定期的な監査を実施し、監査報告書を製造業者に提供しなければならない。
  5. 5. 適合表示及び適合宣言
    5.1. 製造業者は、附属書I第I部に定める要求事項を満たす個々のデジタル要素を有する製品ごとに、CEマーキングを表示し、かつ、3.1項に定める認証機関の責任の下で、当該認証機関の識別番号を付さなければならない。
    5.2. 製造業者は、各製品モデルについて書面による適合宣言を作成し、デジタル要素を有する製品上市された後10年間又はサポート期間のいずれか長い期間、国内当局が利用できるよう保持しなければならない。適合宣言には、それが作成された対象である製品モデルを特定しなければならない。
    適合宣言の写しは、要請に応じて、関係当局に提供されなければならない。
  6. 6. 製造業者は、デジタル要素を有する製品が上市された後少なくとも10年間又はサポート期間のいずれか長い期間が終了するまで、国内当局が利用できるよう、次のものを保持しなければならない。
    1. 3.1項に規定する技術文書
    2. 3.1項に規定する品質システムに関する文書
    3. 承認されたものとして、3.5項に規定する変更
    4. 3.5項及び4.3項に規定する認証機関の決定及び報告書
  7. 7. 各認証機関は、付与した又は撤回した品質システム承認について、その通知当局に通知しなければならず、また、定期的に又は要請に応じて、拒否され、停止され、又はその他の制限が課された品質システム承認の一覧をその通知当局が利用できるようにしなければならない。
    各認証機関は、拒否し、停止し、又は撤回した品質システム承認について他の認証機関に通知しなければならず、また、要請に応じて、付与した品質システム承認について通知しなければならない。
  8. 8. 授権代理人
    3.1項、3.5項、5及び6に定める製造業者の義務は、関係する義務が委任状に明記されている場合には、その授権代理人が、製造業者に代わって、かつその責任の下で履行することができる。