サイバーセキュリティの最新基準への移行について

2024年12月19日、サイバーセキュリティの認証スキームに対して、国際基準の変更適用等について規定する実施規則(EU)2024/3144が公布されました。本規則は欧州官報掲載日から20日後に発効しますが、第1条4項は2025年01月08日から適用されます。

背景

■　欧州サイバーセキュリティ認証フレームワークは、サイバーセキュリティ認証について加盟国間で分断や障壁が生じるリスクを低減するために構築された共通制度です。

■　実施規則(EU)2024/482では、欧州サイバーセキュリティ認証フレームワークに基づく「欧州共通基準に基づくサイバーセキュリティ認証スキーム」(EUCC)の役割、規則、義務、構造が規定されています。

■　同実施規則には、国際標準化機構(ISO)および国際電気標準会議(IEC)によって維持されている「共通基準」および「共通評価手法」といった国際基準に依拠しています。しかし、同実施規則上では適用されるバージョンが特定されていません。

■　国際基準は更新される場合があります。そして、新たなシステムにおける新基準への移行を円滑にするためには、関係者が必要な調整を行うための十分な時間を持つための規則が必要です。

■　国際承認アレンジメント(CCRA)によれば、「共通基準」および「共通評価手法」の開発に貢献した政府機関は、ISOやIECと共同で著作権を保有するとされており、「欧州共通基準に基づくサイバーセキュリティ認証スキーム」(EUCC)の認証における基盤として活用する必要があります。

概要

■　実施規則(EU)2024/482はISO/IEC 15408および18045の以前のバージョンに基づいていることを踏まえ、同バーションを引き続き適用できる状況や最新の国際標準への移行方法が明確化されます。

■　移行期間中、利害関係者は関連する技術領域とプロテクション・プロファイルの更新を優先しなくてはなりません。

■　最新基準への円滑な移行を確保するため、「欧州共通基準に基づくサイバーセキュリティ認証スキーム」(EUCC)において、以前の基準に基づくプロテクション・プロファイルを求めるEU法の下で証明書を発行することが実施規則(EU)2016/799、電子取引識別・信託サービス規則(EU)910/2014、決定(EU)2016/650が適用されるケースにおいて、継続的に許容されます。

■　実施規則(EU)2024/482にICT製品およびプロテクション・プロファイルの評価に適用される最新文書のバージョンが明記されます。

目次

第1条

※実施規則(EU)2024/482の改正内容(国際基準等)

第2条

※実施規則(EU)2024/482の改正内容(プロテクション・プロファイロおよび認証等)

第3条

※発効

附属書I

※技術領域を支援する最先端文書およびその他の最先端文書

附属書II

※認証の証明書や報告書等

参考情報

実施規則(EU)2024/3144

欧州サイバーセキュリティ認証フレームワーク