EU、スマートデバイスのセキュリティ計画を発表
欧州連合の議員らは、「スマート」洗濯機やインターネットに接続された玩具など、インターネットに接続されたハードウェアのメーカーに対し、デバイスのセキュリティに細心の注意を払わせることを目的とした、スマートデバイスに適用する新たな製品規則を提案した。
提案されているEUサイバーレジリエンス法は、域内全域で販売される「デジタル要素」を含む製品に必須のサイバーセキュリティ要件を導入し、その要件はライフサイクル全体にわたって適用される。つまり、ガジェットメーカーは継続的なセキュリティサポートと、新たな脆弱性にパッチを当てるためのアップデートを提供する必要がある、と欧州委員会は述べた。今日は言いました。
規制草案では、購入者が購入時にセキュリティ上の考慮事項を把握し、購入後にデバイスを安全にセットアップできるようにするために、スマートデバイスメーカーが消費者に「十分かつ正確な情報」を伝えることにも焦点を当てている。
「必須」サイバーセキュリティ要件の不遵守に対する欧州委員会が提案する罰金は、1,500万ユーロまたは世界の年間売上高の2.5%のいずれか高い方まで拡大され、その他の規制義務違反の場合は最大1,000万ユーロまたは売上高の2%の制裁が科せられる。
EU幹部は、提案されている規制は「別の機器やネットワークに直接的または間接的に」接続されているすべての製品に適用されると述べた。ただし、医療機器など既存のEU規則でサイバーセキュリティ要件がすでに定められている製品は一部例外となる。航空と自動車。
2008年に更新されたEU製品法の立法枠組みに基づいた提案された措置の概要の中で、欧州委員会は以下の内容を定めると述べた。
(a) サイバーセキュリティを確保するための、デジタル要素を備えた製品の市場投入に関する規則。
(b) デジタル要素を備えた製品の設計、開発、生産の必須要件、およびこれらの製品に関連する経済運営者の義務。
(c) ライフサイクル全体を通じてデジタル要素を備えた製品のサイバーセキュリティを確保するためにメーカーが導入する脆弱性処理プロセスの必須要件、およびこれらのプロセスに関連する経済事業者の義務。 メーカーはまた、積極的に悪用された脆弱性やインシデントを報告する必要があります。
(d) 市場の監視と執行に関する規則。
「新規則は、EU市場で販売されるデジタル要素を備えた製品のセキュリティ要件への適合を保証しなければならないメーカーに対する責任を再調整するものだ」とプレスリリースで述べた。 「その結果、セキュリティ特性の透明性を高め、デジタル要素を備えた製品への信頼を促進するだけでなく、次のような基本的権利の保護を強化することにより、デジタル製品を使用する企業だけでなく、消費者や国民にも利益をもたらすでしょう。」プライバシーとデータ保護として。」
この取り組みに関する欧州委員会のQ&Aではさらに、製造業者は「製品に関連する指定された要件が満たされているかどうかを実証するための適合性評価のプロセス」を受けると規定されている。 同報告書は、これは「当該製品の重要性に応じて」自己評価または第三者の適合性評価によって行われる可能性があると述べている。
該当する要件への準拠が証明された場合、デバイスメーカーは、デジタル要素が製品セキュリティ規制に準拠していることを示す EU の CE マークを付けることができます。
不遵守は加盟国が任命した市場監視当局が取り締まりを担当し、不遵守の停止を命令するだけでなく、製品の販売を禁止するなどの制限を行うことで「リスクを除去」する権限も提案されている。市場での入手可能性。 管轄当局は、侵害製品の回収または回収を命令することもできる。 一方、不正確、不完全、または誤解を招く情報を規制当局や監視当局に提供すると、最大 500 万ユーロまたは売上高の 1% の罰金が科せられるリスクがあります。
スマート デバイスは、長年にわたってセキュリティに関する恐ろしい話の温床となってきました。 ただし、明らかなセキュリティ上のギャップを埋めるための立法措置は以前にもありました。たとえば、メーカーがデバイスに簡単に推測できるデフォルトのパスワードを設定することを禁止する 2018 年のカリフォルニア州法などです。
英国もまた、コネクテッドガジェットのための「セキュリティ・バイ・デザイン」法に何年も取り組んでおり、2019年に草案を発表した(ただし、通信インフラストラクチャのセキュリティ条項をまとめたこの製品セキュリティ法案はまだ審議中である)英国議会)。
スマートデバイスのセキュリティに関して最初に取り組んでいないにもかかわらず、EUはその初期段階のアプローチが国際的な参照点になることを期待しており、欧州委員会のプレスリリースでは次のように示唆されている。世界市場における EU サイバーセキュリティ業界の資産となる。」
しかし、欧州議会と欧州理事会は草案を検討する必要があり、修正を求める可能性があるため、この案がEU法となるまでにはまだかなり長い道のりがある。
欧州委員会はまた、機器メーカーとEU加盟国が新たな規則の全面的対応に適応するために、この規則が採択されてから2年の期間を設けることも提案している。 したがって、この規制は 2025 年まではあまり影響を及ぼさない可能性が高い。
そうは言っても、「積極的に悪用された脆弱性やインシデント」に関する製造業者の報告義務の期限は短く、欧州委員会はこの部分の実施がより容易であると期待しているため、規制発効日から 1 年が適用されることになる。 。
英国のIoT「セキュリティ・バイ・デザイン」法はスマートフォンも対象に