【第4回】製品のリスク分類と、CEマーク取得に向けた適合性評価の手順

はじめに

製品がCRA（欧州サイバーレジリエンス法）の必須セキュリティ要件を満たしていることを証明するためには、所定の「適合性評価（Conformity Assessment）」を実施し、「CEマーク」を製品に貼付する必要があります。

しかし、すべての製品に対して同じ評価基準が適用されるわけではありません。

CRAでは、製品のセキュリティリスクやネットワークへの影響度に応じて製品を3つの階層に分類し、それぞれ異なる評価手順を規定しています。本記事では、このリスク分類とCEマーク取得までのステップを解説します。

3つのリスクに基づく製品分類

CRAは、対象となる「デジタル要素を含む製品」を以下の3つに分類しています。自社製品がどこに該当するかを見極めることが、適合性評価の第一歩です。

1. デフォルト製品（Default products）

後述する「重要な製品」や「特に重要な製品」に該当しない、すべての一般的なデジタル製品がここに含まれます。スマート家電、一般的なIoT機器、標準的なソフトウェアなどが該当します。対象製品の大部分（およそ90%と推測されています）がこの分類に入ります。

2. 重要なデジタル製品（Important products with digital elements）

サイバー攻撃を受けた際の影響が大きい、あるいは他システムへのアクセス経路として機能する製品群です。さらにリスクに応じて「クラスI」と「クラスII」に細分化されます。（附属書IIIにリストアップされています） 

クラスIの例：

ブラウザ、オペレーティングシステム（OS）、ルーターやモデム、ネットワーク管理システム、ID管理システム、セキュリティ機能を持つスマートホーム製品（スマートロックや防犯カメラ、スマートアシスタントなど）。 

クラスIIの例：

ファイアウォール、侵入検知/防御システム（IDS/IPS）、ハイパーバイザ、コンテナランタイムなど。

3. 特に重要なデジタル製品（Critical products with digital elements）

国の重要インフラや極めて機密性の高い環境で使用される製品です。（附属書IVにリストアップされています）

対象の例：

ハードウェアセキュリティデバイス、セキュアボックス付きデバイス、スマートメーター、スマートカードなど。

リスク区分に応じた「適合性評価」の手順

製品の分類によって、CEマークを取得するために必要な適合性評価のアプローチが異なります。

デフォルト製品の場合

メーカーは「自己適合宣言（Internal Control）」によって要件を満たしていることを証明できます。メーカー自身がリスクアセスメントを行い、テストを実施し、要件に適合していることを文書化します。

重要なデジタル製品（クラスI）の場合

原則として、欧州の整合規格（Harmonised Standards）等に完全に準拠している場合は「自己適合宣言」による証明が可能です。しかし、該当する規格がない場合や完全に準拠していない場合は、第三者認証機関（Notified Body）による審査を受けるか、特定の欧州サイバーセキュリティ認証スキームを適用する必要があります。

重要なデジタル製品（クラスII）および 特に重要なデジタル製品の場合

原則として、第三者認証機関（Notified Body）による厳格な型式審査（EU-type examination）、または完全な品質保証プロセスの監査が必須となります。自己適合宣言だけでは市場に出すことはできません。

技術文書の作成とCEマークの貼付

適合性評価プロセスにおいて、メーカーは製品の設計情報、リスクアセスメント結果、SBOM、脆弱性対応プロセスなどを網羅した「技術文書（Technical Documentation）」を作成しなければなりません。

これらがすべて承認（または自己宣言による完備）されると、「EU適合宣言書（EU Declaration of Conformity）」を発行し、製品またはパッケージにCEマークを貼付します。

まとめ

第4回では、製品分類とCEマーク取得について解説しました。

関連情報