欧州サイバーレジリエンス法（CRA）の施行はいつから？規制の目的や対象、日本企業への影響などを解説

EU市場でデジタル製品を展開する企業にとって、2024年に成立した新たな規制への対応が急務となっています。

欧州サイバーレジリエンス法（CRA）は、IoTデバイスやソフトウェアをはじめとするデジタル要素を持つ製品に対し、共通のサイバーセキュリティ基準の遵守を義務付けるEUの規則です。

「CRAはいつから適用されるのか」「自社製品は対象になるのか」「何から準備を始めればよいのか」
本記事では、こうした疑問を持つ品質保証担当者やコンプライアンス責任者の方々に向けて、CRAの全体像・施行スケジュール・課題をわかりやすく整理します。

EU CRAの概要をわかりやすく

CRAとは、EU市場で販売・提供されるデジタル製品のサイバーセキュリティ水準の確保を義務付けるEUの規制です。

正式名称はCyber Resilience Act（サイバーレジリエンス法）であり、CRAはその略称です。2024年11月20日にEU官報に掲載され、2024年12月10日に発効しました。

CRAの規制に反する製品はEU域内での販売や輸出ができなくなるため、EU市場に関わるすべての企業にとって対応が不可欠です。製品のサイバーセキュリティ要件を満たし、CEマークを取得することが市場参入の条件となります。

EU CRAの目的は？

もともとCRAは、EU諸国に流通するデジタル製品のセキュリティレベルを向上させ、サイバー攻撃のリスクを防ぐために策定されました。

近年、IoT機器やネットワーク接続製品の急増にともない、製品の脆弱性を突いたサイバー攻撃が世界的に増加しています。従来のEU製品安全規制ではサイバーセキュリティへの対応が十分でなかったため、CRAによって共通の枠組みを設けることになりました。

CRAのねらいは企業・消費者の双方を守ることにあります。

製品の設計・開発段階から徹底したセキュリティ管理を義務付けるとともに、脆弱性が発見された場合のスピーディーな対応と復旧対応もCRAの射程に含まれます。これにより、サイバー攻撃によるリスクや打撃を最小限にとどめる環境の整備が期待されています。

CRAの施行はいつから？

EU CRAの施行は2024年12月10日であり、この日以降は法的効力をもちます。ただし、すべての義務が即時に適用されるわけではなく、義務ごとに移行期間が設けられています。自社への影響を正確に把握するには、以下のスケジュールの理解が不可欠です。

報告義務

2026年9月11日からは、セキュリティインシデントや脆弱性に関連する、ENISAへの報告義務が発生します。重大なインシデントを認識した場合には24時間以内の初期報告、72時間以内の詳細報告を行う義務があります。

全面運用までのいわば準備期間にあたる重要なタイミングであり、この間に対象製品を製造・販売する事業者は、適切なリスクレベルの評価とリスク管理体制の構築が求められます。

全面運用の開始

2027年12月11日に全面運用となり、CRAのすべての要件が適用されます。この日以降、EU市場に新規流通する製品はCRAへの適合が必須となります。この日以前にリリースした製品には適合義務の経過措置が設けられますが、報告義務は適用されます。

要件を満たしていない事業者や製品には罰則が設けられており、準備期間を最大限活用することが重要です。

CRA施行のスケジュール

CRAの正式施行までのスケジュールを整理します。製造業者の義務や注意点とあわせて把握しておきましょう。

2025年時点から準備を開始することで、2026年9月の報告義務先行適用にも余裕をもって対応できます。とくに報告義務遵守のために必要な対策を早期に把握することが、混乱を防ぐ上での最重要ポイントです。

CRAの規制対象となるデジタル製品と必須要件

CRAの対象はEU市場に提供される「デジタル要素をもつ製品（Products with Digital Elements、PDE）」と定義されています。具体的には、ネットワークやデバイスへの接続機能をもつハードウェアおよびソフトウェア製品が広く含まれます。

以下のような製品が対象の例として挙げられます。

• スマートフォン・PC
• ルーター・ネットワーク機器
• スマート家電
• IoT製品
• 産業用制御システム

法人に限らず個人も対象となり、EU市場に製品を販売・提供するすべての主体に適用されます。

規制対象外の製品

CRAの対象外とされるのは、EUの規定で定められた医療機器や航空関連機器、自動車関連機器などです。これらはすでに他のEU法によって厳格に規制されており、高いセキュリティレベルが確保されているためです。

加えて、国家安全保障・防衛・国家機密に関わる機器も対象外となっています。自社製品が適用除外かどうかは、製品の機能・用途・既存規制との関係を踏まえて慎重に確認する必要があります。

サイバーセキュリティ要件

先に挙げたデジタル製品に加え、「重要な製品（クラスI）（クラスII）」「クリティカル製品（附属書IV）」も規制対象となります。

クラスIにはブラウザーやパスワードマネージャーなどが、クラスIIには産業用制御システムや重要インフラ向け製品が含まれ、第三者機関による認証が必要です。クリティカル製品はさらに高いレベルのEUサイバーセキュリティ認証スキームへの適合が求められます。

いずれの製品にも共通する必須要件として、セキュリティ・バイ・デザインの原則にもとづいた設計・開発が求められます。これはコードレビューや脆弱性スキャン、ペネトレーションテストなどの具体的な活動を通じて実現されます。

また、セキュリティアップデートの提供義務（製品の想定ライフサイクル全体または最低5年間のいずれか長い方）や、SBOM（ソフトウェア部品表）の整備も必須要件に含まれます。

SBOMはシステム内部のソフトウェアコンポーネントを一覧化したデータであり、当局から要求された際に速やかに提出できる体制が必要です。

CRAが日本企業にもたらす影響

EU諸国だけでなく、CRAの施行は日本企業にも幅広く影響があると想定されています。直接輸出という形以外にも、EU域内に現地拠点をもつ企業との取引を通じて間接的にCRAの対象となるケースがあるためです。

そのため、EU市場向けのサービスや製品を提供している日本企業は、いち早く自社への影響を確認しなければいけません。以下では、CRAが日本企業にもたらす影響を解説します。

市場・流通の準備

自社製品がCRAの対象となっているかを確認したうえで、EU市場に参入・継続するためには「CEマーク」の取得準備が必要です。

CEマークはCRAへの適合性を証明するものであり、取得には適合性評価の完了とEU適合宣言書の作成が求められます。デフォルトカテゴリの製品は自己宣言が可能ですが、それでも適切な技術文書の整備と内部テストの実施が必要です。

サプライチェーンへの影響

自社が製造・販売している部品やソフトウェアコンポーネントがCRA対象製品に利用される場合も、CRAの規制に準拠していることが必要となります。

サプライチェーン全体のセキュリティリスクの見直し、および管理体制の強化が求められ、取引先へのCRA対応確認も重要な課題です。サプライチェーン関連の義務への対応にあたっては、SBOMを起点としたコンポーネント管理の仕組みの導入が有効です。

訴訟のリスク

CRAに違反した場合、厳格な罰則が設けられています。重大な違反に対しては売上高の最大2.5%、あるいは1,500万ユーロの制裁金（いずれか高い方）が科される可能性があり、CRAに関連する企業は罰金や訴訟のリスクを十分に考慮する必要があります。

加えて、製品の欠陥によってエンドユーザーに損害が生じた場合には民事上の損害賠償請求が発生するリスクもあります。コンプライアンス対応を体系的に行うことが企業の信頼を守ることにもつながります。

製品に関する見直し

CRAに関連する製品は「セキュリティ・バイ・デザイン」の基準を満たさなくてはなりません。この基準は製品の設計や開発環境から見直しを行い、セキュリティを最初から組み込む考え方です。

既存製品が基準を満たしていない場合は、設計や開発の段階からの根本的な見直しが必要です。CRA対応を契機に製品アーキテクチャを刷新することで、品質と市場競争力の向上にもつながります。

CRA運用に向けた課題とは

EUという大規模な市場への参入条件となるCRAですが、その遵守には、万全の準備をして、着実に課題をクリアしていく必要があります。以下では、CRA運用に向けた課題を整理します。

CRA適用製品を確認

まずは、自社が製造・開発・販売している製品や部品がCRAの適用範囲内かを確認します。

その上で、CRAのセキュリティ要件を満たせるように改善を行います。重要な製品やクリティカル製品は第三者機関の認証が必要となるため、準備期間内に審査を実施しておきましょう。

認証取得にはリソースや開発コストがかかる点にも注意が必要です。場合によっては開発段階からセキュリティレベルを考慮した設計が求められます。

セキュリティレベルの評価

製品にはCRAが規定する厳しいサイバーセキュリティ要件を満たすことが義務付けられています。

以下の3つの観点を適正に評価する体制の構築が必要です。

• セキュリティ特性要件: 既知の脆弱性がない状態での出荷、デフォルトの安全な設定、最小権限の原則、データの暗号化などの技術的要件への適合
• 脆弱性対応: 発見した脆弱性を速やかに修正し、セキュリティアップデートを継続的に提供する体制の整備
• 脆弱性管理: SBOM（ソフトウェア部品表）の整備と、当局への報告プロセスの確立

また、製品のカテゴリごとにセキュリティレベルを公正に評価する体制を構築することも重要です。IEC 62443やISO/IEC 27001などの規格も参照基準として活用できます。

社内体制の整備

EUと関わる、または間接的に欧州に部品を供給している企業は、CRA対策として社内体制の整備が急務です。企画から開発、出荷にいたるまで「セキュリティ要件の遵守」ができているかをマネジメントし、チェックする体制の構築が欠かせません。

また、脆弱性が検知されたときの報告手順などをマニュアル化しておくことも有効です。こうした体制構築にはサイバーセキュリティの専門知識をもつ人材が不可欠であり、積極的に採用情報を発信しながら、社員教育と外部ソリューションの活用を組み合わせた対応が現実的です。

CRAに関する理解を深める

CRAの施行は、社内全体で共有すべき重要事項です。CRAやサイバーセキュリティに関するセミナーや研修などを積極的に導入し、社員全員がセキュリティに対する意識や知見を深められるようにしましょう。

CRAの英語原文や欧州委員会・ENISAが公表する最新のガイダンス文書にもあたることで、法令の本質的な意図を正確に把握できます。

製品出荷後は保守管理

製品や部品を出荷した後も、脆弱性への対応と管理は継続的に必要です。新たな脆弱性や情報システムへの攻撃手法が発見された際には、速やかに製品へのアップデートを適用・提供する義務があります。

サポート期間は製品の想定ライフサイクル全体または最低5年間のいずれか長い方であるため、出荷後も長期にわたる保守管理体制を維持しましょう。2026年9月の報告義務先行適用に備え、ENISAへの報告手順を含む製品保守プランを早急に策定してください。

EU CRA（欧州サイバーレジリエンス法）全面運用に向けて万全の準備を

2027年12月11日に本格運用が始まるEU CRAは、EU市場への参入条件そのものを変える重大な規制です。

「まだまだ先」と思っていても、製品の開発や設計段階からの見直し、社内体制の整備といった事前準備には相応の時間が必要です。まずは自社の製品ラインアップをスクリーニングし、CRA対象製品の特定と適用カテゴリの確認を行いましょう。

セキュリティレベルの評価や認証取得には専門的な知識が求められ、外部の専門家やCRA対応ソリューションの力を借りるケースも多くあります。最新のガイダンス情報を常に収集し、関連セミナーや研修を活用しながら計画的に準備を進めることが重要です。

EU市場でのビジネスを継続・拡大するために、万全の準備をして法令遵守を心がけてください。

2026年5月22日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。