CRAって一体何？

今年（2024年）10月にEU加盟各国はEUの新指令であるNIS2（Network and Informaiton Security Directiveの別名）に準拠した国内法を整備しなければいけないという件が話題を呼んでいるが、今年の3月に、またもや新法が認証され、追ってEU指令として発令される事となった。その名もCRA(Cybersecurity Resilience Act)。これを聞いて「マジかよー」と嘆かれるIT担当は少なくないはず。やっとNIS2について対応プロジュエクトを起こしたばかりなのに、また新しい法律が来るのか、と。なので、CRAの詳しい事はまた近日中に勉強会を開きたいと思うが、その前に概要だけでもお伝えしておこう。

まずは以下を参照いただきたい。（現時点で参考にできるのは認証前のプロポーザル段階なので、これが変わる可能性もなきにしもあらず）

Part I Cybersecurity requirements relating to the properties of products with digital elements

(1)  Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks;
(2)  On the basis of the cybersecurity risk assessment referred to in Article 13(2) and where applicable, products with digital elements shall:
(a)  be made available on the market without known exploitable vulnerabilities;(b)  be made available on the market with a secure by default configuration, unless otherwise agreed between manufacturer and business user in relation to a tailor-made product with digital elements, including the possibility to reset the product to its original state;
(c)   ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic security updates that are installed within an appropriate timeframe enabled as a default setting, with a clear and easy-to-use opt-out mechanism, through the notification of available updates to users, and the option to temporarily postpone them;
(d)  ensure protection from unauthorised access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems, and report on possible unauthorised access;
(e)  protect the confidentiality of stored, transmitted or otherwise processed data, personal or other, such as by encrypting relevant data at rest or in transit by state of the art mechanisms, and by using other technical means;
(f)  protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorised by the user, and report on corruptions;
(g)  process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended purpose of the product with digital elements (minimisation of data);
(h)  protect the availability of essential and basic functions, also after an incident, including through resilience and mitigation measures against denial-of-service attacks;
(i)  minimise the negative impact by the products themselves or connected devices on the availability of services provided by other devices or networks;
(j)  be designed, developed and produced to limit attack surfaces, including external interfaces;
(k)  be designed, developed and produced to reduce the impact of an incident using appropriate exploitation mitigation mechanisms and techniques;
(l)  provide security related information by recording and monitoring relevant internal activity, including the access to or modification of data, services or functions, with an opt-out mechanism for the user;
(m)   provide the possibility for users to securely and easily remove on a permanent basis all data and settings and, where such data can be transferred to other products or systems, ensure that this is done in a secure manner.

この指令ではデジタルコミュニケーションが発生するIT器材の生産、輸入、流通、販売に関わるすべての企業が対象となり、上記でご覧いただいた様に開発プロセス管理、アクセス管理、個人情報保護、脆弱性管理、サービスの継続性や復旧性などを含む盛り沢山の法律となっている。　裏側では既存の各種基準（例えばISOなど）との比較がすでに出回っており、そうとう実践的な指令となると予想される。

気になる対象だが、「情報を何らかの方法で通信する器材」の生産と取り扱い企業とされていて要約すればWIFIやBluetooth等を介し、データを送受信できる器材をあつかうすべての企業となる。現時点での「わたし」の理解ではITとOTの区別はなく、何のデータを通信しているかの制限もない。となると、優先、無線等でデータ通信しないIT/OT器材ってこのご時世あるのか、なんて話になりかねず、そうとうの広範囲の対象となるわけだ。前述した様に、あくまでも器材の生産や販売に限られるので、ユーザー側への負担は無いと判断する。

ちなみに上記（h）の様にデータやサービスが使うサーバーへのDOS攻撃まで含めているので、安定したサービスの供給もカバー範囲というわけだ。

後一つ、インシデントを検知した場合、NIS2と同様、検知後２４時間以内に当局への報告が義務化されているので、NIS2,CRA対象になる企業は、CSIRT（欧州完結型）の構築は避けられないと考える。ただし、今までにGDPRやCOBIT, ISO27001（ISMS)などにきちっと準拠している企業であれば、基本新たな対応は必要ないと考える。

CRAについてのお問い合わせは info@blueprintsecurity.nl までお気軽にご連絡ください。