欧州連合の議員は、「スマート」洗濯機や接続されたおもちゃなど、インターネットに接続されたハードウェアのメーカーに、デバイスのセキュリティに十分な注意を払うよう強制することを目的とした、スマート デバイスに適用する新しい一連の製品規則を提案しました。
提案されたEU サイバーレジリエンス法 ブロック全体で販売されている「デジタル要素」を備えた製品に必須のサイバーセキュリティ要件を導入し、要件はライフサイクル全体に適用されます。つまり、ガジェットメーカーは、新たな脆弱性にパッチを当てるために継続的なセキュリティサポートと更新を提供する必要があります。 今日言った.
規制草案は、スマート デバイス メーカーが消費者に「十分かつ正確な情報」を伝えることにも重点を置いています。これは、購入者が購入時にセキュリティに関する考慮事項を把握し、購入後にデバイスを安全にセットアップできるようにするためです。
「不可欠な」サイバーセキュリティ要件の不遵守に対して委員会が提案した罰則は、1,500 万ユーロまたは世界の年間売上高の 2.5% の上限まで拡大され、その他の規制義務違反には最大で 1,000 万ユーロまたは売上高の 2% の制裁金が科せられます。
EUの幹部は、提案された規制は、「直接的または間接的に別のデバイスまたはネットワークに」接続されているすべての製品に適用されると述べました.航空と車。
スマート デバイス セキュリティに関する EU 全域の規則
に基づく提案された措置の要約では、 法的枠組み 2008 年に更新された EU 製品法について、欧州委員会は次のように規定すると述べました。
(a) サイバーセキュリティを確保するためのデジタル要素を備えた製品の市場投入に関する規則。
(b) デジタル要素を含む製品の設計、開発、および生産に関する必須要件、およびこれらの製品に関連する経済運営者の義務。
(c) ライフサイクル全体にわたってデジタル要素を備えた製品のサイバーセキュリティを確保するためにメーカーが実施する脆弱性処理プロセスの必須要件、およびこれらのプロセスに関連する経済運営者の義務。 メーカーはまた、積極的に悪用された脆弱性やインシデントを報告する必要があります。
(d) 市場の監視と執行に関する規則。
「新しい規則は、EU市場で入手可能なデジタル要素を備えた製品のセキュリティ要件への適合を保証しなければならない製造業者に対する責任のバランスを取り直すだろう」とそれは書いている. プレスリリース. 「結果として、セキュリティ特性の透明性を高め、デジタル要素を備えた製品への信頼を促進し、基本的権利のより良い保護を確保することにより、デジタル製品を使用する企業だけでなく、消費者や市民にも利益をもたらすでしょう。プライバシーとデータ保護として。」
委員会 質疑応答 このイニシアチブでは、製造業者が「製品に関連する特定の要件が満たされているかどうかを実証するための適合性評価のプロセス」を受けることをさらに規定しています。 これは、「問題の製品の重要性に応じて」、自己評価または第三者の適合性評価によって行われる可能性があることに注意してください。
該当する要件への準拠が実証された場合、デバイス メーカーは EU の CE マークを付けることができます。これは、デジタル要素が製品セキュリティ規制に準拠していることを示します。
不遵守は加盟国によって任命された市場監視当局によって取り扱われ、執行の責任を負うことになります。不遵守の停止を命じるだけでなく、製品の販売を禁止するか、その他の方法で制限することによって「リスクを排除する」権限が提案されています。その市場の可用性。 管轄当局は、侵害製品の撤回またはリコールを命じることもできます。 規制当局や監視当局に誤った、不完全な、または誤解を招くような情報を提供すると、最大 500 万ユーロまたは売上高の 1% の罰金が科せられる可能性があります。
欧州委員会のデジタル戦略担当 EVP である Margrethe Vestager 氏は、声明の中で次のようにコメントしています。 CE マークが付いたおもちゃや冷蔵庫を信頼できるように、Cyber Resilience Act は、私たちが購入する接続されたオブジェクトとソフトウェアが強力なサイバーセキュリティ保護に準拠していることを保証します。 それは、製品を市場に出す人々と共に、それが属する場所に責任を置きます。」
スマート デバイスは、何年もの間、セキュリティ ホラー ストーリーの温床でした。 明らかなセキュリティギャップを埋めるための以前の立法措置がありましたが.
英国はまた、コネクテッド ガジェットの「セキュリティ バイ デザイン」法に長年取り組んできており、草案は 2019 年に公開されました (ただし、この 製品保証法案通信インフラストラクチャのセキュリティ規定をまとめたもので、現在も英国議会を通過しています)。
EU は、スマート デバイスのセキュリティに最初に取り組んだわけではありませんが、その初期のアプローチが国際的な基準になることを望んでおり、欧州委員会のプレス リリースでは次のように示唆しています。グローバル市場における EU サイバーセキュリティ業界の資産です。」
しかし、欧州議会と理事会が草案を検討する必要があり、修正を求める可能性があるため、提案がEU法になるまでにはまだかなり長い道のりがあります.
欧州委員会はまた、機器メーカーと EU 加盟国が新しい規則の完全な適用に適応するために、規則が採用された後、2 年間の時間枠を提案しています。 したがって、この規制は 2025 年まではあまり効果を発揮しないでしょう。
とはいえ、「積極的に悪用された脆弱性とインシデント」の製造業者に対する報告義務の期間は短くなっています。これは、規制の発効日から 1 年間適用されます。 .