6. メーカーは、デジタル要素を含む製品に統合されたオープンソースコンポーネントを含むコンポーネントの脆弱性を特定した場合、そのコンポーネントを製造またはメンテナーする個人または団体にその脆弱性を報告し、附属書IのパートIIに定める脆弱性処理要件に従ってその脆弱性に対処し、修正するものとする。
8. メーカーは、デジタル要素を含む製品を市場に投入する際、およびサポート期間中、その製品(コンポーネントを含む)の脆弱性が、附属書IのパートIIに定められた不可欠なサイバーセキュリティ要件に従って効果的に処理されることを保証しなければならない。
メーカーは、特に合理的なユーザーの期待、意図された目的を含む製品の性質、デジタル要素を含む製品の寿命を決定する関連EU法を考慮し、製品が使用されると予想される期間を反映するようにサポート期間を決定するものとする。
サポート期間を決定する際、メーカーは以下の要素を考慮することができる。
- 他のメーカーが市場に投入した同様の機能を提供するデジタル要素を持つ製品のサポート期間
- オペレーティング環境の利用可能性
- コア機能を提供するサードパーティ製の統合コンポーネントのサポート期間
- 第52条(15)および委員会に従って設立された専門行政協力グループ(ADCO)が提供する関連ガイダンス
サポート期間を決定するために考慮すべき事項は、比例性を確保する方法で考慮されるものとする。
第2項を損なうことなく、サポート期間は少なくとも5年間とする。デジタル要素を含む製品が5年未満の使用が見込まれる場合、サポート期間は予想される使用時間に対応するものとする。
第52条(16)で言及されているADCOの推奨事項を考慮し、委員会は、市場監視データが不適切なサポート期間を提案している特定の製品カテゴリーの最低サポート期間を仕様書で指定することにより、本規則を補完するために、第61条に従って委任法を採択することができる。
メーカーは、デジタル要素を含む製品のサポート期間を決定する際に考慮した情報を、附属書VIIに定められた技術ドキュメントに含めるものとする。
メーカーは、内部または外部ソースから報告されたデジタル要素を含む製品に潜在する脆弱性をプロセスし、改善するための適切な方針および手順(調整された脆弱性開示方針を含む)を、ANNEX IのPART2(5)に記載されているものに従って整備しなければならない。
対応相当のANNEXⅠPART1セキュリティ要件
(2) 第13条(2)に言及されたサイバーセキュリティリスク評価に基づき、また、該当する場合には、デジタル要素を含む製品は、以下を行うものとする。
- (a) 既知の悪用可能な脆弱性なしに市場で利用可能であること。
対応相当のANNEXⅠPART2脆弱性処理要件
-
(1) デジタル要素を含む製品に含まれる脆弱性およびコンポーネントを特定し、ドキュメント化すること。これには、少なくとも製品の最上位レベルの依存関係をカバーする、一般的に使用され、機械が読み取り可能なフォーマットでソフトウェア部品表を作成することが含まれる。
-
(2) デジタル要素を含む製品に内在するリスクに関して、セキュリティアップデートの提供を含め、遅滞なく脆弱性に対処し、改善すること。技術的に可能な場合、新たなセキュリティアップデートは機能アップデートとは別に提供すること。
-
(4) セキュリティアップデートが利用可能になった場合、修正された脆弱性に関する情報を共有し、公開すること。これには以下の情報が含まれる。
- 脆弱性の説明
- 影響を受けるデジタル要素を含む製品をユーザーが特定できる情報
- 脆弱性の影響、重要度
- 脆弱性を修正する際にユーザーを支援する明確でアクセスしやすい情報
-
正当に正当化される場合、メーカーが公表によるセキュリティ上のリスクがセキュリティ上の利益を上回ると判断した場合は、修正パッチを適用する機会がユーザーに提供されるまで、修正された脆弱性に関する情報を公表することを遅らせることができる。
CRA の基礎知識
