EU統一のサイバーセキュリティ認証制度の確立が目的
2024年02月07日、欧州官報にてサイバーセキュリティ認証制度(EUCC)の実施規則が公布されました。
2024年02月27日に発効し、2025年02月27日に適用されました。
EUCCは、EUサイバーセキュリティ法・(EU)規則2019/881に定められた欧州サイバーセキュリティ認証フレームワークに基づいた欧州初の認証制度です。
EUCCは、ICT製品のライフサイクルにおける認証方法に関する欧州連合(EU)全体の規則と手続きを提供するものです。
EUCCは自主的スキームで、EU内のすべてのハードウェアおよびソフトウェア製品に拘束力のあるサイバーセキュリティ要件を導入するサイバーレジリエンス法を補完する位置付けとなっています。
この認証制度により認証されたICT製品は、ユーザーがより安心して利用できるようになります。
背景
EUのサイバーセキュリティに関する取り組みは、2004年の欧州ネットワーク情報セキュリティ庁(ENISA)設立に始まり、2013年にEUサイバーセキュリティ戦略が採択され、2016年にはネットワークおよび情報セキュリティ指令(NIS指令)を施行と着実に進んできました。
近年の社会の急速なデジタル化やパンデミック、ロシアとの地政学的緊張の高まりにより、サイバーセキュリティ対応強化やEU全体としての統一運用などが課題として認識されるようになりました。
2019年06月27日に施行されたEUサイバーセキュリティ法は、EUにおけるデジタル関連製品・サービス・プロセスのサーバーセキュリティ認証の枠組みを設定し、EUサイバーセキュリティ庁(ENISA)の職務権限を強化しました。
この実施規則は、EUサイバーセキュリティ法に基づくICT製品に対する欧州共通基準に基づくサイバーセキュリティ認証制度(EUCC)を確立する実施規則です。
概要
この実施規則は、EUサイバーセキュリティ法に定められた欧州サイバーセキュリティ認証フレームワークに従って、サイバーセキュリティ認証制度 (EUCC)の役割、規則、義務、構造を規定しています。
EUCCは、任意の認証制度です。
EUCCによって、ICTセキュリティ製品(ファイアウォール、暗号化デバイス、電子署名デバイスなど)およびセキュリティ機能が組み込まれたICT製品(ルーター、スマートフォン、銀行カードなど)に対する一連のセキュリティ要件が導入されます。
要点
- 認証は、第三者の評価に基づきます。
- EUCC制度では、確立された国際基準に合わせた7つの評価保証レベル (EAL) を想定しています。
- EUCC に基づいて使用されるマークとラベルは、認定された ICT 製品の信頼性をユーザーに示し、ICT 製品を購入する際に情報に基づいた選択ができるようにします。
- EUCC証明書は、ICT製品のライフサイクルを鑑みて、最長5年間発行されます。
- 2種類の独立した適合性評価機関があります。ITセキュリティ評価施設 (ITSEF)は、ICT製品の校正及び試験活動を行い、認証機関は認証および検査活動を行います。
目次
第1章 一般条項
第1条 主題と範囲
第2条 定義
第3条 評価基準
第4条 保証レベル
第5条 ICT製品認証方法
第6条 適合性自己評価
第2章 ICT製品認証
セクション1 評価の特定基準と要件
第7条 ICT製品の評価基準と方法
セクション2 EUCC認定書の発行、更新、取り消し
第8条 認証に必要な情報
第9条 EUCC証明書発行条件
第10条 EUCC証明書の内容とフォーマット
第11条 マークとラベル
第12条 EUCC証明書の有効期間
第13条 EUCC証明書のレヴュー
第14条 EUCC証明書の取り消し
第3章 保護プロファイルの認証
セクション1 評価の特定基準と要件
第15条 評価基準と方法
セクション2 保護プロファイルの EUCC 証明書の発行、更新、および取り消し
第16条 保護プロファイルの認定に必要な情報
第17条 保護プロファイルの EUCC 証明書の発行
第18条 保護プロファイルの EUCC証明書の有効期間
第19条 保護プロファイルの EUCC 証明書のレヴュー
第20条 保護プロファイルの EUCC 証明書の取り消し
第4章 適合性評価機関
第21条 認証機関の追加または特定要件
第22条 ITSEFの追加または特定要件
第23条 認証機関の通知
第24条 ITSEFの通知
第5章 監視、不適合および非準拠
セクション1 コンプライアンスの監視
第25条 国家サイバーセキュリティ認証局による監視活動
第26条 認証機関による監視活動
第27条 証明書保持者による監視活動
セクション2 適合と準拠
第28条 認定された ICT 製品または保護プロファイルの不適合による結果
第29条 証明書保持者による非準拠の結果
第30条 EUCC証書の停止
第31条 適合性評価期間による不適合の結果
第6章 脆弱性の管理と開示
第32条 脆弱性管理の範囲
セクション1 脆弱性管理
第33条 脆弱性管理手続き
第34条 脆弱性影響分析
第35条 脆弱性影響分析報告書
第36条 脆弱性の救済策
セクション2 脆弱性の開示
第37条 国家サイバーセキュリティ認証局と共有される情報
第38条 他の国家サイバーセキュリティ認証機関との協力
第39条 脆弱性の公表
第7章 情報の保持、開示、保護
第40条 認証機関および ITSEF による記録の保持
第41条 証明書保持者によって公開される情報
第42条 ENISAによって公開される情報
第43条 情報の保護
第8章 第三国との相互承認協定
第44条 条件
第9章 認証機関の相互評価
第45条 相互評価手続き
第46条 相互評価段階
第47条 相互評価報告書
第10章 スキームの維持
第48条 EUCCの維持
第11章 最終条項
第49条 EUCCの対象になる国家制度
第50条 発効
附属書I テクニカルドメインと最先端のドキュメント
附属書II AVA_VAN レベル4または5で認定された保護プロファイル
附属書III 推奨保護プロファイル (附属書I のテクニカルドメインを示す)
附属書IV 保証の継続性と証明書のレビュー
附属書V 認証報告書の内容
附属書VI 相互評価の範囲とチーム構成
附属書VII EUCC証明書の内容
附属書VIII 保証パッケージ宣言
附属書IX マークとラベル
参考情報
- サイバーセキュリティ認証制度(EUCC)実施規則(EU) 2024/482
- プレスリリース
- EUCC実施規則について
- サイバーセキュリティ法(EU2019/881)
- EUサーバーセキュリティ認証枠組み(欧州委員会)
- サイバーセキュリティ認証枠組み(ENISA)
※ 特別無料記事