適合性評価機関に関する欧州委員会への通知について

2024年12月19日、欧州委員会は各国のサイバーセキュリティ認証機関(NCCA)によって欧州サイバーセキュリティ証明書を発行する権限を付与された適合性評価機関について、欧州委員会に向けた通知発出の制度整備を行う実施規則(EU)2024/3143を公布しました。

背景

■　EUサイバーセキュリティ法(EU) 2019/881に基づき、各国のサイバーセキュリティ認証機関(NCCA)は欧州サイバーセキュリティ証明書を発行する権限を付与された適合性評価機関を欧州委員会に通知する責任があり、その通知によって欧州委員会に届けられる情報は最新の状態に保たれなくてはならないとされています。

■　また、同法において、欧州委員会は欧州サイバーセキュリティ認証スキームの発効から1年後に、欧州官報に同スキームに基づいて情報提供された適合性評価機関のリストを公表することが義務付けられています。

■　そのため、整合性のとれた通知手法を確保しつつ、サイバーセキュリティ認証機関(NCCA)による通知プロセスを容易にするべきであり、「欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)」の適用を視野に入れながら、通知に関する諸事情、書式、手順を規定する必要があると考えられています。

■　認可された適合性評価機関が通知されたということは、そういった機関がEUサイバーセキュリティ法(EU)2019/881に従って評価・認証活動を行ううえでの信頼性を確保し、欧州のサイバーセキュリティ認証制度の全体的な評価に貢献することにつながります。したがって、届出済の適合性評価機関が必要要件を満たし、長期にわたって適合性評価機関としての義務を果たすことを保証することが不可欠であると指摘されています。

概要

■　通知された適合評価機関のリストは、欧州官報への掲載という欧州委員会の義務に影響を与えることなく、欧州委員会が開発および管理する電子通知ツールを介して行われる必要があります。

■　公表された適合性評価機関のリストは、EUサイバーセキュリティ法(EU)2019/881に規定された要件等への適合を反映し、正確かつ最新に保つため、サイバーセキュリティ認証機関(NCCA)による通知は過度の遅滞なく行われなくてはなりません。

■　サイバーセキュリティ認証機関(NCCA)は適合性評価機関が欧州サイバーセキュリティ認証制度に準拠していることを確認し、通知の正確性を確保する責任を負うため、ピアアセスメントの対象となります。届出適合性評価機関の継続的な実施能力に関する懸念は、サイバーセキュリティ認証機関(NCCA)、欧州委員会、利害関係者が提起できます。

■　通知に含まれるべき情報は、サイバーセキュリティ認証スキームの名称などの一般的な情報から、 通知を行う国家のサイバーセキュリティ認証機関(NCCA)に関する情報、適合評価機関に関する情報なども含まれます。

目次

第1条  対象

第2条  通知手続き

第3条  識別番号およびリスト

第4条  通知の変更

第5条  発効日

附属書 本規則第2条第3項で言及されている、サイバーセキュリティ法(EU)2019/881第61条第1項に基づく欧州サイバーセキュリティ認証スキームに基づく適合性評価機関の通知に含まれる情報

参考情報

実施規則(EU)2024/3143