EU統一のサイバーセキュリティ認証制度の確立が目的

2024年02月07日、欧州官報にてサイバーセキュリティ認証制度（EUCC）の実施規則が公布されました。

2024年02月27日に発効し、2025年02月27日に適用されました。

EUCCは、EUサイバーセキュリティ法・(EU)規則2019/881に定められた欧州サイバーセキュリティ認証フレームワークに基づいた欧州初の認証制度です。

EUCCは、ICT製品のライフサイクルにおける認証方法に関する欧州連合（EU）全体の規則と手続きを提供するものです。

EUCCは自主的スキームで、EU内のすべてのハードウェアおよびソフトウェア製品に拘束力のあるサイバーセキュリティ要件を導入するサイバーレジリエンス法を補完する位置付けとなっています。

この認証制度により認証されたICT製品は、ユーザーがより安心して利用できるようになります。

背景

EUのサイバーセキュリティに関する取り組みは、2004年の欧州ネットワーク情報セキュリティ庁(ENISA)設立に始まり、2013年にEUサイバーセキュリティ戦略が採択され、2016年にはネットワークおよび情報セキュリティ指令(NIS指令)を施行と着実に進んできました。

近年の社会の急速なデジタル化やパンデミック、ロシアとの地政学的緊張の高まりにより、サイバーセキュリティ対応強化やEU全体としての統一運用などが課題として認識されるようになりました。

2019年06月27日に施行されたEUサイバーセキュリティ法は、EUにおけるデジタル関連製品・サービス・プロセスのサーバーセキュリティ認証の枠組みを設定し、EUサイバーセキュリティ庁（ENISA）の職務権限を強化しました。

この実施規則は、EUサイバーセキュリティ法に基づくICT製品に対する欧州共通基準に基づくサイバーセキュリティ認証制度（EUCC）を確立する実施規則です。

概要

この実施規則は、EUサイバーセキュリティ法に定められた欧州サイバーセキュリティ認証フレームワークに従って、サイバーセキュリティ認証制度 (EUCC)の役割、規則、義務、構造を規定しています。

EUCCは、任意の認証制度です。

EUCCによって、ICTセキュリティ製品（ファイアウォール、暗号化デバイス、電子署名デバイスなど）およびセキュリティ機能が組み込まれたICT製品（ルーター、スマートフォン、銀行カードなど）に対する一連のセキュリティ要件が導入されます。

要点

• 認証は、第三者の評価に基づきます。
• EUCC制度では、確立された国際基準に合わせた7つの評価保証レベル (EAL) を想定しています。
• EUCC に基づいて使用されるマークとラベルは、認定された ICT 製品の信頼性をユーザーに示し、ICT 製品を購入する際に情報に基づいた選択ができるようにします。
• EUCC証明書は、ICT製品のライフサイクルを鑑みて、最長5年間発行されます。
• 2種類の独立した適合性評価機関があります。ITセキュリティ評価施設 (ITSEF)は、ICT製品の校正及び試験活動を行い、認証機関は認証および検査活動を行います。

目次

第1章　一般条項
第1条　主題と範囲
第2条　定義
第3条　評価基準
第4条　保証レベル
第5条　ICT製品認証方法
第6条　適合性自己評価

第2章　ICT製品認証

セクション1　評価の特定基準と要件
第7条　ICT製品の評価基準と方法

セクション2　EUCC認定書の発行、更新、取り消し
第8条　認証に必要な情報
第9条　EUCC証明書発行条件
第10条　EUCC証明書の内容とフォーマット
第11条　マークとラベル
第12条　EUCC証明書の有効期間
第13条　EUCC証明書のレヴュー
第14条　EUCC証明書の取り消し

第3章　保護プロファイルの認証

セクション1　評価の特定基準と要件
第15条　評価基準と方法

セクション2　保護プロファイルの EUCC 証明書の発行、更新、および取り消し
第16条　保護プロファイルの認定に必要な情報
第17条　保護プロファイルの EUCC 証明書の発行
第18条　保護プロファイルの EUCC証明書の有効期間
第19条　保護プロファイルの EUCC 証明書のレヴュー
第20条　保護プロファイルの EUCC 証明書の取り消し

第4章　適合性評価機関

第21条　認証機関の追加または特定要件
第22条　ITSEFの追加または特定要件
第23条　認証機関の通知
第24条　ITSEFの通知

第5章　監視、不適合および非準拠

セクション1　コンプライアンスの監視
第25条　国家サイバーセキュリティ認証局による監視活動
第26条　認証機関による監視活動
第27条　証明書保持者による監視活動

セクション2　適合と準拠
第28条　認定された ICT 製品または保護プロファイルの不適合による結果
第29条　証明書保持者による非準拠の結果
第30条　EUCC証書の停止
第31条　適合性評価期間による不適合の結果

第6章　脆弱性の管理と開示
第32条　脆弱性管理の範囲

セクション1　脆弱性管理
第33条　脆弱性管理手続き
第34条　脆弱性影響分析
第35条　脆弱性影響分析報告書
第36条　脆弱性の救済策

セクション2　脆弱性の開示
第37条　国家サイバーセキュリティ認証局と共有される情報
第38条　他の国家サイバーセキュリティ認証機関との協力
第39条　脆弱性の公表

第7章　情報の保持、開示、保護
第40条　認証機関および ITSEF による記録の保持
第41条　証明書保持者によって公開される情報
第42条　ENISAによって公開される情報
第43条　情報の保護

第8章　第三国との相互承認協定
第44条　条件

第9章　認証機関の相互評価
第45条　相互評価手続き
第46条　相互評価段階
第47条　相互評価報告書

第10章　スキームの維持
第48条　EUCCの維持

第11章　最終条項
第49条　EUCCの対象になる国家制度
第50条　発効

附属書I　テクニカルドメインと最先端のドキュメント
附属書II　AVA_VAN レベル4または5で認定された保護プロファイル
附属書III　推奨保護プロファイル (附属書I のテクニカルドメインを示す)
附属書IV　保証の継続性と証明書のレビュー
附属書V　認証報告書の内容
附属書VI　相互評価の範囲とチーム構成
附属書VII　EUCC証明書の内容
附属書VIII　保証パッケージ宣言
附属書IX　マークとラベル

参考情報

• サイバーセキュリティ認証制度（EUCC）実施規則(EU) 2024/482
• プレスリリース
• EUCC実施規則について
• サイバーセキュリティ法（EU2019/881) 
• EUサーバーセキュリティ認証枠組み(欧州委員会）
• サイバーセキュリティ認証枠組み（ENISA)

※　特別無料記事