【受付中】【2027年本格適用】いよいよ本格対応フェーズへ、欧州サイバーレジリエンス法（CRA）

～関連指令への弊社対応実績から、いまから注意しておくべきポイントを探る～

【2027年本格適用、欧州サイバーレジリエンス法（CRA）】
EUは2024年12月に「サイバーレジリエンス法（CRA）」を公布しました。2026年9月に脆弱性報告義務が始まり、2027年12月から全面適用されます。

本規制は一般消費者向け・産業向け等の幅広い製品が対象となり、企業は製品のセキュリティアセスメントや脆弱性対策など、さまざまなセキュリティ要件に準拠する必要があります。もし準拠しない場合は、EU市場で販売できなくなる恐れがあります。

【CRAの適用範囲と求められる実務対応】
CRAの適用範囲は広く、設計段階だけでなく、開発やリリース後のサポートまで製品ライフサイクル全体に及びます。セキュリティアセスメントの義務化により、開発者は初期段階から脅威分析を行う必要があります。また、SBOMの整備やリリース後の脆弱性モニタリング、定期的なアップデート提供も求められることになります。

そのため、企業にとっては一般的なセキュリティ規格の遵守だけでは不十分であり、ライフサイクル全体を見据えた包括的な対応が不可欠です。

【整合規格は直前公開、先行準備が必須】
しかしながら、CRAに関する整合規格や技術的要件は依然として不透明です。欧州標準化機関（CEN、CENELEC、ETSI）の委員会で検討が続いていますが、全面適用の時期が刻一刻と迫っているにもかかわらず、現時点では企業が準拠の目安とすべき具体的要件は示されていません。

現時点での見通しでは、整合規格の正式公開は段階的に行われる予定ですが、最も遅いものは2027年12月頃（以降と予測される）となっており、EU市場で製品を展開する企業は、要件の公開を待つ余裕はなく、先行的な準備が求められる状況です。

【関連指令を手がかりに、今すぐ着手すべきポイントを読み解く】
それでは、このように、整合規格の詳細が未だ不透明な現状で、企業は今、どのような準備を進めればよいのでしょうか。

本セミナーでは、CRA対応を迫られる経営層や開発部門の責任者、品質保証・セキュリティ担当者に向けて、法規制の背景や国内外の関連制度を整理し、CRAや関連するセキュリティ指令・規格との関係性を踏まえ、求められる対応事項を具体例とともに示し、企業が今備えるべき体制やプロセスを明らかにします。

オージス総研は、IoT機器や組み込みシステムの開発に携わる企業に対して、『コンサルティング』『診断』『開発』『研修トレーニング』など、幅広いソリューションを提供しています。欧州CRAに関しても、セキュリティ規格に準拠したリスクアセスメント支援を通じて、組織の課題解決をサポートします。

欧州CRA対応に課題を抱える方だけでなく、これから組み込み製品のセキュリティ対応を進めたい方全般にお薦めするセミナーです。

※当セミナーは、オンラインでの開催となり、Zoomを利用します。お申し込みいただいたお客様へ、後日、開催URLをご連絡いたします。
※当セミナーの詳細なご案内やお申し込みについては、以下ボタンを押した外部リンク先でご確認ください。

※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。

• このセミナー・イベントへの
  お申し込みはこちら