EUサイバーレジリエンス法案(EU Cyber Resilience Act)は、欧州連合(EU)によって提案された法案である。この法案は、デジタル製品と関連サービスのセキュリティ基準を強化し、EU市場におけるサイバーレジリエンスを高めることを目的としている。2022年に草案が定義、提案され、2027年の適用に向けて審議が行われている(2024年2月時点)。
この法案の制定背景には、増加するサイバー攻撃と、それに伴う経済的・社会的影響がある。特に重要インフラを標的とした攻撃や個人データの漏洩が増加している現状があり、EUは市民や企業をサイバー脅威から守るために統一された基準を設けることが必要だと判断し、法案の策定が行われた。
法案では、デジタル製品とサービスのメーカーやプロバイダーに対して、製品の設計、開発、および保守段階でのサイバーセキュリティリスクへの対応義務が課され、ソフトウェアの脆弱性を定期的に監視し、必要に応じて迅速に修正する責任も含まれている。また、製品が市場に出る前にサイバーセキュリティ基準に適合していることを確認するための適切な認証プロセスの実施が求めらてれいる。
製造業を中心に多くの企業が、この法案に対応するためにセキュリティ対策を強化することが期待されている。たとえば、製品開発の初期段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の原則を取り入れたり、継続的なセキュリティアップデートを提供するなどの対策である。この法案は、今後数年間でEU加盟国間での調整と、最終的な承認を経て実施される見込みであり、企業側の対策準備も進んでいる。
