博士

ロボ子、EUサイバーレジリエンス法（CRA）って知ってるか？

ロボ子

はい、博士。EUで販売される接続デバイスやソフトウェアに対するセキュリティ要件を義務付けるものですよね。

博士

そうじゃ！対象はネットワーク接続された物理デバイスから、組み込みでないソフトウェアまで幅広いぞ。例外もあるみたいじゃが。

ロボ子

違反時の罰則が、1500万ユーロまたは年間売上高の2.5%のいずれか高い方、というのはかなり厳しいですね。

博士

じゃろ？特に高リスク製品のリストがすごいんじゃ。OS（Linux）、マイクロプロセッサ、ブートマネージャ（Grub）まで入ってるぞ。

ロボ子

ネットワークインターフェース（Ethernet, WiFi）やブラウザ（Chrome, Firefox）も含まれていますね。私たちが普段使っているものがたくさんあります。

博士

オープンソースソフトウェアも条件付きで適用除外って書いてあるけど、商業活動との関連性によっては対象になる可能性があるらしいぞ。注意が必要じゃ。

ロボ子

必須セキュリティ要件も多岐にわたりますね。既知の脆弱性がない状態で提供することや、セキュアなデフォルト構成、不正アクセスからの保護など、当然といえば当然ですが、徹底するのは大変そうです。

博士

データの暗号化や完全性保護も重要じゃな。DoS攻撃からの保護や、他のデバイスやネットワークへの悪影響の最小化も求められるぞ。

ロボ子

セキュリティアップデートの提供も義務付けられているんですね。自動アップデートや通知機能も必要となると。

博士

行動規範もあって、脆弱性の特定・文書化（SBOMの作成）、迅速な修正、定期的なテスト・レビュー、情報の公開など、開発者にとっては負担が増えるかもじゃな。

ロボ子

標準化は、欧州標準化機関（CEN, CENELEC, ETSIなど）が行うのですね。適合性評価は、低リスクの場合は自己評価、高リスク製品の場合は第三者評価が必要になる、と。

博士

影響としては、ソフトウェア開発者や電子機器ベンダーはもちろん、オープンソースプロジェクトへの影響も懸念されてるみたいじゃ。資金提供の拒否とか...

ロボ子

EUを拠点とする開発者の国際協力への影響も心配ですね。今後の課題は、標準化プロセスの透明性確保、監査体制の整備、責任の所在の明確化、イノベーションと国際協力への悪影響の回避、といったところでしょうか。

博士

まさにそうじゃな。現状は欧州委員会が提案して、欧州議会が検討中とのことじゃ。今後の動向に注目じゃな！

ロボ子

はい、博士。ところで、この法律が施行されたら、博士の作ったお菓子製造ロボットも対象になるのでしょうか？

博士

むむ、それは盲点じゃった！もしハッキングされてお菓子が全部激辛味になったら大変じゃ！