サイバーセキュリティ認証制度(EUCC) の実施に伴う適合性評価機関の認定及び通知についての最新の詳細要件を確立するのが目的

2024年09月20日、欧州委員会は、サイバーセキュリティ認証制度(EUCC) に関する2つの実施規則案につき意見募集を開始しました。 期限は2024年10月18日です。実施規則案の採択は、2024年第3四半期の予定です。

1つ目は、2024年02月27日発効したサイバーセキュリティ認証制度（EUCC）の実施規則（EU) 2024/482 の要件を最新化する修正案です。

2つ目は、認証を発行する適合性評価機関についての委員会への通知要件に関する実施規則案です。

(EU) 2024/482の2025年02月27日適用前に内容を最新化し、また(EU) 2024/482の中に含まれていた適合性評価機関についての委員会への通知要件の条項削除し、別途詳しく規定するものです。

背景

EUのサイバーセキュリティに関する取り組みは、2004年の欧州ネットワーク情報セキュリティ庁(ENISA)設立に始まり、2013年にEUサイバーセキュリティ戦略が採択され、2016年にはネットワークおよび情報セキュリティ指令(NIS指令)を施行と着実に進んできました。

2019年06月27日に施行されたEUサイバーセキュリティ法は、EUにおけるデジタル関連製品・サービス・プロセスのサーバーセキュリティ認証の枠組みを設定し、EUサイバーセキュリティ庁（ENISA）の職務権限を強化しました。

EUサイバーセキュリティ法に基づくICT製品に対する欧州共通基準に基づくサイバーセキュリティ認証制度（EUCC）を確立する実施規則(EU) 2024/482が2024年02月に公布されました。

今回の実施規則案は、その2025年02月の適用の前に内容を最新化するものです。

更に、各国のサイバーセキュリティ認証機関が、自国で欧州サイバーセキュリティ証明書を発行する権限を持つ適合性評価機関を欧州委員会に通知する際の、適合性評価機関の通知する際の状況、形式、手順を定める実施規則案を発行しました。

概要

1. 2024/482の修正案

1)評価の共通基準を明記

• 共通基準」とは、ISO/IEC 15408-1:2022、ISO/IEC 15408-2:2022、ISO/IEC 15408-3:2022、ISO/IEC 15408-4:2022、ISO/IEC 15408-5:2022に規定されている情報技術セキュリティ評価のための共通基準
• 「共通評価方法論」とは、ISO/IEC 18045:2022に規定されている情報技術セキュリティ評価のためのコモン方法論

2) 適合性評価機関の統一認定に関する最新文書を明記 (附属書 I)

1. 「EUCC 向け ITSEF 認定」バージョン 1.1
2. 「EUCC 向け ITSEF 認定」バージョン 1.6b
3. 「EUCC 向け CB 認定」バージョン 1.6a

2. 適合性評価機関についての委員会への通知要件の実施規則案

• 各国のサイバーセキュリティ認証機関は、委員会が開発し管理する電子通知ツールで、附属書に明記された情報を委員会に通知します。
• 委員会は、通知を受けた適合性評価機関に識別番号を割り当てます。

参考情報

• サイバーセキュリティ認証制度（EUCC）実施規則(EU) 2024/482
• 実施規則(EU) 2024/482修正案 
• サイバーセキュリティ適合性評価機関通知の実施規則案
• サイバーセキュリティ法（EU）2019/881 
• EUサーバーセキュリティ認証枠組み(欧州委員会）
• サイバーセキュリティ認証枠組み（ENISA)