CRAとは
EU サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EU市場で販売される「デジタル要素を持つ製品」すべてにサイバーセキュリティ要件を義務付けるEU規則です。2024年に成立し、2027年12月から完全適用されます。
EU市場に製品を販売する日本企業も適用対象であり、製造業・ソフトウェア開発企業に大きな影響があります。
対象製品
- ハードウェア:IoT機器、ネットワーク機器、産業用制御機器、スマート家電等
- ソフトウェア:OS、アプリケーション、ファームウェア等
- 除外:医療機器(MDR適用)、自動車(UNECE適用)、航空機器等の既存規制が適用される製品
製品は重要度に応じてClass I / Class II / Defaultに分類され、Class IIは第三者認証が必要です。
主な要件
| 要件 | 内容 |
|---|---|
| セキュリティ・バイ・デザイン | 設計段階からセキュリティを組み込む |
| 脆弱性管理 | 製品のライフサイクル全体(最低5年)での脆弱性管理義務 |
| セキュリティアップデート | 脆弱性発見時のセキュリティパッチの無償提供義務 |
| SBOM(ソフトウェア部品表) | 製品に含まれるソフトウェアコンポーネントの一覧を作成・管理 |
| インシデント報告 | 悪用された脆弱性を24時間以内にENISA(EU機関)に報告 |
| CEマーキング | CRA適合を示すCEマーキングの貼付が必要 |
日本企業への影響
- EU向けに製品を輸出する製造業:すべてのデジタル要素を持つ製品がCRA対象。適合しなければEU市場で販売不可
- ソフトウェア開発企業:EU向けのソフトウェア製品もCRA対象。脆弱性管理とSBOMの作成が義務化
- 部品メーカー:完成品メーカーからCRA適合のための要件が課される
対応の準備
- 自社製品のうちEU市場向け製品を特定し、CRAの適用範囲を確認
- SBOMの作成・管理体制を構築
- 脆弱性管理プロセス(発見→評価→パッチ提供→報告)を整備
- セキュリティ・バイ・デザインの開発プロセスを導入
まとめ
CRAは2027年12月に完全適用され、EU市場にデジタル製品を販売するすべての企業に影響します。SBOM管理、脆弱性管理プロセス、セキュリティ・バイ・デザインの導入を今から進めましょう。