欧州サイバーレジリエンス法は、欧州連合市場に投入されるあらゆるデジタル製品に対するセキュリティ要件を規定しています。テストシステムは、これらの要件を満たすための重要な要素です。
CRAとは
欧州連合は、EUサイバーセキュリティ戦略の一環として、2020年にサイバーレジリエンス法 (CRA) を発表しました。CRAは、2024年3月に可決され、2024年後半に発効しました。一部の要件は2025年に有効になり、すべての要件は2027年までに有効になります。
EU CRAは、不十分なセキュリティ機能を搭載した製品の販売を禁止することで消費者を保護しています。CRAには、製品が新しい規格に適合していることを示すCEマークが必要です。これには、すべての製造元と小売業者が自社の製品でサイバーセキュリティを優先する必要があります。ネットワークまたは他のデバイスに直接または間接的に接続するすべての製品に適用されます。この幅広い定義には、スマートウォッチやベビーモニタからスマートカー、電力網までが含まれます。
EU CRAの要件は、付属書Iに記載されています。これらの要件がテストチームにどのように適用されるかは、お客様に提供する製品 (お客様に提供する製品を変更するか、完全なテストシステムを構築して提供するか) によって異なります。
欧州に配送する製品のテスト
欧州向けの製品をテストする場合、CRA要件がテストシステムにどのように適用されるかを判断するために、セキュリティチームと連携する必要があるかもしれません。セキュリティチームは、テストシステムのセキュリティ脆弱性が出荷製品のセキュリティ適合性に影響を及ぼすリスクを評価する必要があります。アナログ信号を介してのみデバイスに接続するテストシステムでは、リスクは非常に低くなるでしょう。しかし、テストシステムがネットワーク接続またはその他のテストインタフェースを介してデバイスに接続されている場合、テストシステムからデバイスに攻撃が広がる可能性が高くなります。
数年前、一部の消費者向けデジタルフォトフレームにウイルスがインストールされて出荷されていることが判明し、エンドユーザーのネットワーク上の他のコンピュータを攻撃しました。調査担当者は、ウイルスが製造プロセス中にインストールされたことを突き止めました。テストシステムのセキュリティは、このような事態を防ぐことを目的としています。
欧州でのテストシステムの構築
欧州でテストシステムを構築するためのコンポーネントを購入する場合、2027年から新しいCEマークを取得した部品を使用する必要があります現在システムの計画を始めるにあたり、NIのようなサプライヤーと連携し、欧州CRAを認識し、適合できるようにすることが重要です。NIでは、すでにお客様と面会し、CRA適合に向けた計画を共有することで、今後もお客様に信頼いただけるよう取り組んでいます。