【3分でわかる】欧州サイバーレジリエンス法（CRA）のすべて

欧州サイバーレジリエンス法（CRA）は、欧州市場でデジタル要素を含む製品を展開する企業が遵守すべき法規制です。全面適用は2027年12月11日からですが、実際には2026年から一部の義務が先行して適用されます。

十分な猶予があると判断して対応を先延ばしにすれば、事業上のリスクを招きかねません。早期に要件を整理し、段階的に準備を進める必要があります。

本記事では、CRAの対象製品や適用スケジュール、押さえておくべきポイント、具体的な対策まで全体像をわかりやすく解説します。

CRA（欧州サイバーレジリエンス法）の基本

欧州サイバーレジリエンス法（CRA：Cyber Resilience Act）とは、EU域内で販売されるデジタル要素を備えた製品に対し、企画・設計の段階からセキュリティを組み込むこと、さらに販売後も継続的に脆弱性へ対応することを義務付ける法規制です。

その目的は、EU全体のサイバーセキュリティを向上させ、デジタル要素を備えた製品の共通のセキュリティ基準を確立することです。

これまで製品のセキュリティ対策は、メーカーの自主的な取り組みや業界ガイドラインに委ねられる側面が強くありました。しかし、サイバー攻撃が高度化し、IoT機器を悪用した大規模インシデントが増加するなか、欧州は法的な強制力によって市場全体のセキュリティ水準を引き上げる方針を打ち出しました。

CRAの本質は、ベンダーが製品のライフサイクル全体にわたってセキュリティ責任を負う点にあります。

たとえば、精密機器メーカーの品質保証部門で海外出荷を担当している場合、従来の安全性評価に加え、サイバーセキュリティがCEマーク取得の必須要件として加わると考えると理解しやすいでしょう。

対象製品

CRAの適用範囲は非常に広いものです。対象となるのはデジタル要素を備えた製品（Products with Digital Elements：PDE）であり、ソフトウェアまたはハードウェアを含み、データ接続（有線・無線を問わず）が可能なほぼすべての製品が該当します。

具体例としては、ノートPCやスマートフォンなどの情報機器、ネットワークカメラ、スマート家電、産業用制御システム、各種センサー、組み込みソフトウェアなどが挙げられます。通信機能を持つ製品の多くが、この定義に含まれると考えてよいでしょう。

ただし、すでに厳格な規制が適用されている分野については、二重規制を避けるためCRAの対象外となっています。

• 医療機器（欧州医療機器規則：MDRなどが適用）
• 体外診断用医薬品（IVDRが適用）
• 民間航空機（航空安全規制が適用）
• 自動車（既存の型式認証規制が適用）

このように、既存の安全規制が整備されている分野を除き、幅広いデジタル製品がCRAの対象となります。

違反したらどうなる？

CRAの遵守を怠った場合、厳しい制裁が科されます。制裁金は違反の内容に応じて段階的に設定されています。

• 最大1,500万ユーロ、または前年度の世界売上高の2.5％のいずれか高い方（サイバーセキュリティ要件への不適合など）
• 最大1,000万ユーロ、または前年度の世界売上高の2.0％のいずれか高い方（報告義務などその他の義務違反）

金銭的なペナルティだけではありません。市場監視当局から製品の回収（リコール）や流通停止を命じられる可能性もあります。これはブランドの信頼を損なうだけでなく、事業継続そのものに影響を与える重大なリスクです。

たとえば、欧州向けに投入した新製品で重大な脆弱性が発見され、適切な報告や修正が行われなかった場合、当局によって販売が停止される可能性があります。

施行スケジュール

CRAはすでに2024年12月に発効しており、段階的に義務化が進められています。主なスケジュールは次の通りです。

• 2024年12月10日：CRA発効
• 2026年9月11日：脆弱性およびインシデント報告義務の開始
• 2027年12月11日：全面適用（すべての要件が義務化）

とくに注意すべき点は、全面適用の1年以上前から報告義務が開始されることです。2027年の全面適用だけを見据えて準備を進めていると、2026年に必要となる報告体制の整備が間に合わない可能性があります。

今から準備を始めることが、事業リスクを最小化する第一歩となります。

CRAで押さえておくべきポイント

CRAには、製品の性質に応じた分類や適合性を証明するための具体的な仕組みが組み込まれています。自社製品がどの区分に該当し、どのようなルールで評価されるのかを正確に理解しておく必要があります。

従来の製品開発では、出荷時の動作検証に重点が置かれることが一般的でした。しかしCRAの下では、出荷はあくまで通過点にすぎません。その後の長期的なセキュリティ維持までが法的責任として定義されています。

ここでは、CRAを理解するうえで押さえておくべき4つのポイントを整理します。

製品によって審査の厳しさが異なる

CRAでは、製品が持つサイバーリスクの度合いに応じて分類が行われ、それぞれに異なる適合性評価の手続きが求められます。すべての製品に同じレベルの第三者審査が課されるわけではありません。

分類の概要は以下の通りです。

市場に流通するデジタル製品の約90%はデフォルトに分類されると予測されています。デフォルト製品の場合、欧州委員会が指定した整合規格に沿って開発・検証を行えば、自社による評価のみでCEマークを付与できます。

一方で、重要製品（Class I / Class II）に該当する場合は、外部機関による評価が必要になります。

さらに、より高いリスクを持つ重要製品（Critical Products）に該当する場合は、欧州サイバーセキュリティ機関による欧州サイバーセキュリティ認証スキームへの適合が求められるなど、より厳格な要件が課されます。

そのため、まずは自社製品がどの分類に該当するかを正確に把握することが重要です。

水平・垂直がセットのサイバーセキュリティ要件

CRAの要求事項を理解するうえで混乱しやすいのが、「水平法規」と「垂直規格」の関係です。

CRA自体は水平法規であり、デジタル要素を含むほぼすべての製品に共通して適用されるサイバーセキュリティの基本原則を定めています。いわば、安全なデジタル製品を開発・提供するための共通基盤です。

CRAへの適合を示す手段として、整合規格の活用があります。この整合規格には、特定の製品カテゴリや業界を対象とした垂直規格、製品の種類を問わず幅広く適用できる水平規格があります。

整合規格に指定された規格を適用して開発を行えば、その範囲においてCRAの要件を満たしていると法的に推定されます。

ただし、現時点（2026年3月）ではCRAの整合規格はまだ正式に発行されておらず、産業用制御システム向けの「IEC 62443シリーズ」や家庭向けIoT機器向けの「ETSI EN 303 645」なども、整合規格として参照される可能性が検討されている段階にすぎません。

また、業界によっては参照できる既存規格が存在しない場合もあります。そのため、整合規格の動向を継続的にチェックしつつ、規格間のギャップや未カバー領域を自社で確認する作業が引き続き必要です。

販売して終わりではない

CRAがもたらす大きな変化の一つが、販売後の継続的な責任です。

従来のように、製品を出荷して検収が完了すれば終了という考え方は、セキュリティの観点では通用しなくなります。ベンダーは、製品の想定ライフサイクル、または原則5年間のいずれか短い期間にわたり、セキュリティ上の欠陥（脆弱性）へ対応する義務を負います。

もし製品に脆弱性が発見された場合、製造業者は修正プログラムを無償で提供しなければなりません。これは、保守・運用のコスト構造に大きな影響を与える可能性があります。

たとえば、10年以上稼働する産業機器を欧州市場で展開する場合、その期間にわたってセキュリティパッチを提供できる体制を維持しなければ、法令違反となるリスクが生じます。

2026年9月から脆弱性報告義務が開始

CRAは2027年12月に全面適用されますが、それ以前から一部の義務が先行して開始されます。

2026年9月11日（予定）から、脆弱性およびインシデントに関する国際的な報告義務が適用されます。自社製品において悪用されている脆弱性や重大なセキュリティインシデントを確認した場合、欧州の専門機関（ENISA）などが設置するプラットフォームへ報告しなければなりません。

全面適用前であっても、この報告義務を怠れば制裁金の対象となる可能性があります。そのため、社内でどのように脆弱性情報を収集し、誰が判断して報告を行うのかという対応体制を早期に整備しておく必要があります。

報告期限は原則として24時間以内とされており、迅速なインシデント対応体制の構築が求められます。

CRAに向けて企業が行うべき対策と手順

CRAへの適合は、単なる書類対応ではなく、開発プロセス全体の見直しを意味します。開発現場のエンジニアと連携しながら、法規制の要求をどのように実務へ落とし込むかが重要な課題となります。

具体的な対策に入る前に、製品を欧州市場へ投入するまでの基本的な流れを整理しておきましょう。

• 設計段階：リスクアセスメントを実施し、安全な設計を行う（SBOMの作成を含む）
• 検証段階：テストを実施し、その結果を裏付ける技術文書を作成する
• 審査段階：適合性評価手続きを実施する（自己評価または第三者審査）
• 販売後：脆弱性が発見された場合は当局へ報告し、サポート期間（原則5年以上）にわたり修正プログラムを提供する

この一連のサイクルを実行するための主要なステップを以下で解説します。

製品の棚卸しとリスク分類

最初に取り組むべき工程は、自社製品をCRAの基準にもとづいて分類し直すことです。現在欧州で販売している製品、または今後展開予定の製品をすべてリストアップし、それぞれがデフォルト、重要 Class I、重要 Class II、Criticalのどれに該当するかを判定してください。

この分類が重要なのは、第三者機関による審査の有無が決まり、プロジェクトの予算やスケジュールに直接影響するためです。たとえば、これまで自社基準のテストのみで出荷していた製品がClass IIに該当する場合、外部審査の費用や審査期間を考慮した計画の見直しが必要になります。

まずは自社製品の位置付けを正確に把握することが、CRA対応の出発点となります。

セキュア・バイ・デザインの導入とSBOMの作成

CRAの核心は、セキュリティを後付けではなく、企画・設計段階から組み込む「セキュア・バイ・デザイン」の徹底にあります。その実践において重要となるのが、リスクアセスメントの実施とSBOM（ソフトウェア部品表）の作成です。

リスクアセスメントとは、製品がどのような攻撃を受ける可能性があるのかを分析し、それに対する対策を設計に反映させるプロセスです。分析結果にもとづき、具体的なセキュリティ対策を製品設計へ組み込んでいきます。

SBOMとは、製品に含まれるソフトウェアコンポーネントを一覧化したものです。食品の原材料表示のように、どのライブラリやソフトウェアが組み込まれているかを明確にする役割を持ちます。これにより、新たな脆弱性が発見された際にも迅速な対応が可能になります。

CRAでは、SBOMの一般公開義務こそないものの、当局から要求があった場合にSBOMを提示できる状態を維持しておく必要があります。これは安全設計を証明すると同時に、長期的な脆弱性管理を支える基盤となります。

24時間以内の報告体制の構築

2026年9月から開始される報告義務は、企業にとって運用面で大きな負担となる要件の一つです。悪用されている脆弱性や重大なインシデントを検知した場合、24時間以内に初期報告を、72時間以内に詳細報告を行う必要があります。

これを実現するためには、現場のエンジニアが問題を発見してから品質保証部門を経て欧州当局へ報告するまでの手順を明確にしておく必要があります。国際企業の場合、時差や言語の違いも考慮した体制構築が不可欠です。

インシデント対応訓練などを通じて組織全体の対応能力を高めておくことが、制裁金リスクを抑えるうえでも重要になります。

適合性評価とCEマークの取得

最終段階となるのが、適合性評価の完了とCEマークの貼付です。製品カテゴリに応じた評価プロセス（自己評価または第三者審査）を経て、EU適合宣言書を作成します。

この際、製品の設計、製造、運用に関する証拠をまとめた技術文書（Technical Documentation）の作成が義務付けられます。この文書は、製品の市場投入から10年間、またはサポート期間、のいずれか長い期間において保管し、当局から要求があれば提出できる状態を維持するというものです。

つまり、CEマークの取得は単なるラベルの貼付ではありません。その裏付けとなる設計情報、試験結果、運用データを継続的に管理する体制まで含めて、CRAへの適合が評価されることになります。

迅速なCRAへの対応が喫緊の課題

欧州でデジタル製品を展開するすべての企業は、欧州サイバーレジリエンス法（CRA）への対応を推進する必要があります。2027年の全面適用を待つまでもなく、2026年には脆弱性報告義務が開始されることを考えると、準備に残された時間は決して多くありません。

とくに注意すべきなのは、対応の遅れがサプライチェーン全体の停滞や高額な制裁金という形で企業経営に影響を及ぼす可能性です。

一方で、この変化を機に、設計段階からセキュリティを組み込むセキュア・バイ・デザインを社内文化として定着させ、SBOM（ソフトウェア部品表）を活用した透明性の高い管理体制を整備できれば、それは欧州市場だけでなくグローバル市場における大きな競争優位性となります。

セキュリティ技術者の不足や最新規制への理解不足など、現場にはさまざまな課題があるかもしれません。しかし、すべてを自社だけで抱え込む必要はありません。リスクアセスメントの妥当性確認や複雑な適合性評価プロセスの整理などは、専門的な知見を持つパートナーの支援を受けながら進めることも有効な選択肢です。

まずは、自社製品の棚卸しとリスク分類という最初のステップから着手してみてください。その取り組みが、将来的な法的リスクを回避すると同時に、顧客からの信頼をより強固なものにしていくはずです。

2026年4月22日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。