RE指令 サイバーセキュリティ要件
EUでは現時点では認証制度ではありませんが、RE指令 2014/53/EUはサイバーセキュリティに関連する要求事項があり、製造メーカーがEU市場で無線製品を販売する場合、RE指令2014/53/EUを補足するDR(EU)2022/30が適用されるまでにその要求事項に準拠することが必要です。
RE指令 2014/53/EU サイバーセキュリティに関連する要求事項
-
3.3.d ネットワークレジリエンスの向上
無線製品は通信ネットワークに影響を与えないようにする、またWebサイトや他のサービスの妨害に悪用されないよう対策を実装すること。 -
3.3.e 消費者の個人情報保護を強化
無線製品は個人情報データ保護を担保する対策を実装すること。子供の権利の保護は必須。メーカーは不正アクセスや個人情報のデータの送信を防ぐ対策を実装すること。 -
3.3.f 経済犯罪のリスクを軽減
無線製品は電子決済時の犯罪のリスクを最小化する対策を実装すること。支払い詐欺を回避できるようユーザの認証のコントロールを強化すること。
DR(EU)2022/30の適用日は2024年8月1日に予定されていますが、欧州委員会に対し1年延ばす提言がなされており、提言が受け入れられれば、2025年8月1日に延期されます。
一方、要件の仕様を記載している整合規格(Harmonized Standard)についても、DRに先んじて2024年6月30日発行に延期する提言がなされており、DR(EU)2022/30適用予定日が2024年8月1日から1年延期になれば整合規格が発行されてから約1年、延期にならなければ1か月で対応する必要があります。
現時点でRE指令サイバーセキュリティ要件への対応として以下3つの選択が考えられます。
① 一般的なIoT製品であればEN 303 645適合性評価を行い、その試験レポートをもとにNB(Notified Body)がType Examinationを実施。Type Examinationを利用して製造メーカーはRE指令適合の自己宣言を行う。
② 産業向製品であればIEC62443適合性評価を行い、その試験レポートをもとにNB(Notified Body)がType Examinationを実施。Type Examinationを利用して製造メーカーはRE指令適合の自己宣言を行う。
③ 整合規格の発行までとくに対応はせず、整合規格が発行されてから整合規格の要件に準じて適合性評価を行う。整合規格がDraftの段階では、製造メーカーがRE指令適合の自己宣言をするにはNBによるType Examinationが必要。整合規格の正式版が発行されれば製造メーカーはNBによるType ExaminationはなしでRE指令適合の自己宣言が可能。
③ の選択をした場合、DR(EU)2022/30適用予定日が2024年8月1日から1年延期され、整合規格発行から1年の猶予が与えられたとしても、整合規格の要件への適合を一から対応することはDRの強制化に間に合わないリスクが依然残ります。
お客様の製品がDRの強制化までに、RE指令サイバーセキュリティに対応し、滞りなくEUへ出荷できるよう、ビューローベリタスでは現存する規格であるEN 303 645あるいはIEC62443による適合性評価を提案しています。
EN 303 645あるいはIEC62443による適合性評価のプロセス
STEP1 |
STEP2 |
●STEP2でEN 303 645を選んだ場合 STEP3 STEP4 STEP5 |
●STEP2でIEC62443を選んだ場合 STEP3 STEP4 STEP5 |
スマートフォンやタブレットなど多機能・多用途の製品の場合はEN 303 645やIEC62443では対応できないため、コモンクライテリアによるアセスメントやGSMA認証(2023年秋以降にスタート予定)をご紹介しております。
詳細につきましては、ぜひお問い合わせください。