欧州サイバーレジリエンス法（CRA）が適用される製品や時期、製造業向けの義務を解説

EU市場にデジタル製品をリリースする場合、今後は「欧州サイバーレジリエンス法（CRA）」が関わります。一部例外を除き、CRAの適用範囲はデジタル要素を含むあらゆる製品です。したがって、製造業者はCRAのルールを製品設計に反映しなくてはいけません。この記事では、CRAの適用製品や開始時期、製造業者が守るべき義務を詳しく解説します。

CRAが適用される製造業の義務やルールは？

EUのサイバーセキュリティ規制であるCRA（Cyber Resilience Act）は、「前文（Recital）」「全71の条文（Article）」「附属書（Annex）」で構成されています。CRAが適用されるのは、純粋なソフトウェアだけではなく、IoT機器や産業機器、精密機器、組み込みシステムといったデジタル要素を持つ幅広い製品です。こうした製品の設計・開発・製造に関わる企業は、具体的にCRAのどの部分が重要になるのでしょうか。製造業者に関わる主な義務やルールを見ていきましょう。

第13～14条: 製造業者の義務を定義

製造業者（Manufacturers）に対しては、CRA条文の第13～14条で義務を定義しています。製造業者がデジタル製品をEU市場へ投入する際の基本義務を列挙し、他の条文や附属書でさらに詳しく規定する構造です。基本的な義務は、次の通りです。

• 附属書I「必須セキュリティ要件」にもとづく製品の設計・開発・製造
• セキュリティリスク評価の実施
• SBOMを含む技術文書の作成
• 製品へのCEマーク表示
• 製品出荷後の脆弱性管理やセキュリティアップデートの提供

CRAは製造業者に対し、製品ライフサイクル全体にわたって適切なセキュリティレベルを確保するように求めています。なお、製造業者の他にもCRAが適用される輸入業者（Importer）の義務は第19条、販売業者（Distributor）の義務は第20条で規定されています。

第27〜30条: 適合性の推定やEU適合宣言を規定

CRAの第27〜30条は、製品が規制要件を満たしていると示す仕組みを記載しています。たとえば、第27条は「整合規格 （Harmonised standards）」に準拠した製品は必須セキュリティ要件への適合が推定されるルールの項目です。また、第28条は製品が必須セキュリティ要件を満たすと宣言する「EU適合宣言（EU declaration of conformity）」を、第29〜30条は製品に貼り付ける「CEマーク」のルールを記載しています。

第31条: 技術文書の作成を規定

CRAの第31条では、製造業者が作成すべき技術文書について規定しています。技術文書は、必須セキュリティ要件を満たす製品であると示す重要な資料です。附属書VIIのルールにもとづき、ソフトウェアのコンポーネントを可視化したSBOM、製品の設計・開発・製造の説明、セキュリティ対策、リスク評価および必須セキュリティ要件への適合方法といった情報を文書化します。また、製造業者は、市場監視当局の要請があった際には技術文書を提出できるように保管する必要があります。

第32条: 適合性評価の手順を規定

CRA第32条は、製品が必須セキュリティ要件を満たす実証として行う「適合性評価」について定めた項目です。セキュリティ上のリスクが低いとされる製品群は、製造業者による自己評価が認められています。一定のリスクが見込まれる製品群は、第三者の認証機関（Notified body）による適合性評価が必要です。適合性評価をクリアすることで自社製品がCRAにもとづき設計・製造されていると証明され、CEマークを取得できます。

附属書: 技術的な詳細や具体的な製品を規定

CRAは条文の他にI〜VIIIの附属書も設けて、技術面や製品などの詳細なルールを示しています。附属書の内容は、以下の一覧表をご覧ください。

CRAが適用されるデジタル製品

CRAが適用されるデジタル製品は、4つの区分が設けられています。各区分の概要と、CRA適用外の製品を紹介します。

一般製品（Default category of products）

一般製品とは、CRAの附属書IIIとIVで指定されていないデジタル製品を指します。つまり、CRAが適用される製品のうち、重要製品とクリティカル製品に該当しないすべての製品が該当します。セキュリティリスクの観点から他の区分よりも影響度が低いカテゴリに位置づけられており、スマート家電やBluetoothスピーカーといった製品が分類されます。適合性評価は原則として自己評価で完結できますが、第三者機関への依頼も選択可能です。

重要製品・クラスI（Important products Class I）

附属書IIIで定義される重要製品は、「クラスI」と「クラスII」の2つに分かれます。重要製品・クラスIは、システムの認証や通信の安全性を保つソリューションが主に含まれます。具体的には、ID管理システムやVPN製品、マルウェア対策ソフトウェアなどの製品です。「整合規格に準拠する」といった条件を満たす場合、自己評価によって適合性評価を進められます。条件を満たさない場合、第三者評価となります。

重要製品・クラスII（Important products Class II）

重要製品・クラスIIは、クラスIよりも高いセキュリティリスクを持つ製品に適用されるカテゴリです。ネットワーク等の防御機能を担う製品が対象となっており、侵害されると広範な影響をもたらすリスクがあります。たとえば、不正侵入検知システム（IDS）、不正侵入防止システム（IPS）、ファイアウォールなどの製品が当てはまります。適合性評価は、第三者機関による評価しか認められていません。

クリティカル製品（Critical products）

クリティカル製品とは、附属書IVに記載されている製品を含む区分です。電力インフラで使用されるスマートメーターシステムのゲートウェイなど、社会インフラや高度なセキュリティ用途に関係する製品に適用されます。そのため、サイバー攻撃等のインシデントが発生した場合の影響は大きくなると予想されます。適合性評価は第三者機関への依頼が必須となり、自己評価は選択できません。

【補足】適用外のデジタル製品

CRAはEU市場に流通するデジタル製品に適用されますが、明確に適用外として指定されている製品も存在します。

CRAの適用製品が利用できる「整合規格」

CRAが適用されるデジタル製品は、必須セキュリティ要件を満たす必要があります。ただし、CRAの条文自体には具体的な技術等を示す実装方法までは記載されていません。そこで、要求事項への適合を示すために活用される規格が「整合規格（Harmonised standards）」です。

整合規格（Harmonised standards）とは

整合規格とは、EUの法規制で定められた要求事項を満たすための具体的な技術仕様の規格です。欧州委員会の要請にもとづき、CEN、CENELEC、ETSIなどの欧州標準化機関が策定します。CRAは第27条にて、製品を整合規格に準拠させることで必須セキュリティ要件を満たすと推定する決まりを設けています。

注意点として、整合規格の使用はあくまで任意であり、義務ではありません。義務となるのは必須セキュリティ要件の遵守であり、「どのような技術で実装するのか」は任意です。しかし、第27条による適合推定の制度があることから、多くの製品開発者にとって整合規格は実務上重要な指針となります。

特定分野に求められる「垂直規格」

整合規格の中には、特定の製品分野のみに対応した「垂直規格（Vertical standards）」が含まれます。附属書III・IVに示される製品カテゴリを含め、特定分野の製品特性に応じた具体的な実装方法を示しています。2026年3月時点で垂直規格を含む整合規格はまだ整備中であり、正式な内容は確定していません。整合規格は欧州標準化機関による検討が進められており、2027年10月30日までの整備が予定されています。

CRA適用のスケジュール

CRAは公布後すぐにすべての規定が適用されるわけではなく、段階的に施行されています。CRAが適用される製品の製造業者は、各規定の適用時期を把握しておくことが重要です。ここでは、CRAの主要なスケジュールを整理します。

2024年12月10日: CRA発行

CRAはすでに成立しており、2024年12月10日に正式に発効されています。ただし、発効と同時にすべての義務が適用されるわけではなく、多くの規定には約3年間の移行期間が設けられています。

2026年9月11日: 報告義務の開始

脆弱性および重大インシデントの報告義務は、2026年9月11日から先行して適用開始される予定です。製造業者の報告義務は、CRA第14条にて規定されています。製造業者は、自社製品に「悪用されている脆弱性」または「セキュリティに重大な影響をもたらすインシデント」を把握した場合、指定されたCSIRTやENISAに報告しなくてはいけません。また、原則として24時間以内に初期通知を行い、さらに72時間以内に詳細な報告を提出する必要があります。

2027年10月30日まで: 整合規格の整備

2027年10月30日までに、CRAに対応する整合規格の整備が進められる予定です。欧州標準化機関が整合規格の整備に着手しており、2026年から2027年にかけて段階的に公開されていく見込みです。ただし、整合規格の正式な採択を待ってから対応を始めると、CRAの全面施行に間に合わない可能性があります。したがって、すでに公開されているドラフト版を参照しつつ、製品のセキュリティ設計や脆弱性管理体制の整備を進めておくことが望ましいでしょう。

2027年12月11日: CRAの全面施行

2027年12月11日には移行期間が終了し、CRAが全面的に施行される予定です。CRAが適用される製品をEU市場に投入する場合、すべての製造業者は必須セキュリティ要件を満たす義務が生じます。CRAに違反した場合、市場監視当局によって製品の販売停止やリコールといった是正措置を命じられる場合があります。また、重大な違反は第64条が定める行政罰の対象となる点に注意が必要です。「最大1,500万ユーロ」または「前年度の全世界年間売上高の2.5%」のいずれか高い額の罰金を科されるおそれがあります。

CRAの適用に向けた準備

CRAの全面的な適用までに、対象製品の製造会社はどのような準備をすればいいのでしょうか。CRA適用に向けて企業が準備すべき5つのポイントを説明します。

自社製品にCRAが適用されるか確認する

まずは、そもそも自社製品がCRAの適用対象となる「デジタル要素を持つ製品」に該当するかを確認しましょう。明確に適用外となる医療機器や国家安全保障といった分野を除き、CRAはソフトウェアやネットワーク接続機能を持つ機器に幅広く適用されます。さらに、CRAが適用される製品はセキュリティリスクに応じて分類されているため、自社製品の区分も正しく把握する必要があります。

脆弱性対応の体制を構築する

CRAは、製品出荷後の脆弱性対応も製造業者の責任として定めています。したがって、製品の脆弱性を継続的に監視し、発見された問題へすばやく対応できる体制の構築が必要です。脆弱性に対応する組織構造としては、PSIRTが広く採用されています。PSIRTは脆弱性情報の収集から対処、ユーザー対応まで一貫して行います。脆弱性対応の体制を整備することで、インシデント発生時もスムーズな対処が可能になるでしょう。

技術文書を作成する

CRAが適用される製品を扱う場合、SBOMを含む技術文書の作成が不可欠です。技術文書に含める情報は附属書VIIで規定されており、製品の設計情報やリスク評価、セキュリティ機能の説明が求められます。また、技術文書の他に、EU適合宣言書や製品の添付文書も必要です。各種文書は市場監視当局から提出を求められる場合があるため、適切に管理しましょう。

適合性評価を行う

CRAの対象製品をEU市場に投入するためには、規則で定められた手順に沿って適合性評価を実施する義務があります。たとえば、製品カテゴリの中でも、重要製品クラスIIとクリティカル製品は第三者機関による認証が必須となります。適合性評価により製品が必須セキュリティ要件を満たしているかを確認し、結果を文書化して保管しましょう。適合性評価によって認証されなければ、EU市場へ製品は流通させられません。

セキュリティ法規対応支援を検討する

自社製品にCRAが適用される場合、セキュリティ法規対応支援の活用も選択肢となります。CRAは前文や本文、附属書で構成されており、正確に理解するためには膨大な情報をひとつひとつ読み解かなくてはいけません。自社のみで対応するのであれば、多大なリソースや専門知識を必要とするでしょう。

オージス総研は、CRAに対応した法規支援サービスを提供しています。CRA対応計画の策定、脅威分析の実施、CRAに準拠した開発プロセスの組み込みなど、幅広いサポートに対応可能です。CRAの全面適用までに対応を進めたい企業様は、ぜひお気軽にご相談ください。

CRAの全面的な適用開始までに対応を進めよう

CRAが適用される製品の製造会社には、多くの対応すべき事項があります。必須セキュリティ要件の準拠、適合性評価の実施、文書作成に加えて、製品出荷後の脆弱性対応も求められます。CRAは2027年12月11日に全面適用されるため、それまでに設計・開発プロセスの見直しや社内体制の整備といった対応を進めましょう。

2026年6月2日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。