サイバーレジリエンス法(CRA・EU規則2024/2847)
EU CRA(サイバーレジリエンス法): 日本のメーカー向け実務ガイド
デジタル要素を含む製品をEU市場に投入する日本のメーカーには、CRAが直接適用されます。最初の期限は2026年9月11日、完全施行は2027年12月11日です。本ページでは、適用範囲と罰則、EU側で必要になる実務、そして自動車系列サプライヤーが直面するJAMA/JAPIAガイドラインとの接続を整理します。
CRAはEU市場に投入されるデジタル製品への規制です
サイバーレジリエンス法は2024年12月に発効したEU規則2024/2847で、デジタル要素を含むほぼ全ての製品が対象です。施行は二段階、違反時には全世界売上を基準とした高額の制裁金が科されます。
- 第14条施行
- 2026年9月11日・悪用されている脆弱性は24時間、深刻な事案は72時間、最終報告は14日以内にENISAへ届出
- 完全施行
- 2027年12月11日・EU市場に新規投入する全製品へ附属書I要件を適用
- 違反時の制裁金
- 最大1,500万ユーロまたは全世界年間売上高の2.5%のいずれか高い方
- サポート義務
- 製品ライフサイクル全期間、最低でも5年間、セキュリティ更新を無償で提供
規則本文の日本語訳はEUR-Lexで直接参照できます。
自社製品はCRAの対象ですか
ソフトウェアまたはファームウェアを含み、EU市場に直接または間接に投入される製品が対象です。輸出動向はJETROの欧州CRA解説と併せてご確認ください。
適用可否が曖昧な場合はCRA適用可否チェックツールで点検できます。
EU現地でしか回らない3つの役割
日本側の組織だけでは運用が難しく、EU現地の時差と言語を前提に設計すべき作業です。権限代理人の役割自体は担わず、選定支援に限ります(詳細はサービスページ§対象外)。
- EU加盟国公用語への技術文書翻訳。セキュリティリスク評価、EU適合宣言、ユーザー向けセキュリティ情報は、製品が販売される加盟国の公用語で用意する必要があります。既存の英語版を出発点に、販売予定国ごとに翻訳と現地表現調整を進めます。
- 市場監視当局からの問い合わせ対応。EU加盟国の市場監視当局がメーカーに直接、技術的な照会を送る運用です。初回対応の期限は国によって異なり、記録された回答は後続調査の前提資料になります。社内のJPCERT/CC早期警戒パートナーシップの運用記録を出発点に、書面回答の一次案を整理します。
- EU域内の単一受け皿としての代理人選定。CRA第18条により、EU域内に拠点を持たないメーカーにはEU権限代理人の任命が求められます。当方はこの役割自体を担わず、候補の比較観点と契約レビュー観点だけを提供します(本件の範囲外表明は本ページ内で1回のみ)。
アセスメント → ワークフロー統合 → 文書化 → 継続運用の段階別成果物はサービスページに整理しています。
JC-STAR・IEC 62443・ISMS・JCMVP・CC・CCDSがCRA附属書Iとどこまで重なるかはサービスページのマッピング表に整理しています。
自動車・系列サプライヤー向け: JAMA/JAPIAガイドラインとCRAの接続
自社ブランドでEU直輸出していなくても、EU向け完成車・ECU・充電機器を輸出する国内OEMに納入するTier-1・Tier-2は、JAMA/JAPIAの自己点検とCRA双方の論点を同時に抱えます。
一般社団法人日本自動車工業会(JAMA)は、日本自動車部品工業会と共同で「自動車産業サイバーセキュリティガイドライン」を改訂しており、Tier-1以下のサプライヤーに対して37要求・153達成基準の自己点検を求めます。一方、欧州向け完成品を出荷する企業がCRA附属書Iを満たす必要があるため、系列サプライヤーは国内基準の自己点検と、EU適合の技術文書整備を並走する構図になります。
重なる領域は少なくありません。セキュア開発ライフサイクル、脆弱性管理、インシデント対応、ソフトウェア構成管理の項目は、JAMA/JAPIAの要求とCRA附属書I第II部で目的が共通します。しかしCRA固有の義務(SBOM、第14条の24/72/14時間の届出、EU適合宣言、EU権限代理人、5年以上のセキュリティサポート)はJAMA/JAPIAだけでは満たせません。JAPIAの最新版ガイドラインを出発点に、CRAとの差分を特定することで重複作業を避けられます。
実務上の優先順位: (1) 自社製品がどのOEMのどのEU向け車両・機器に組み込まれるかをマッピング、(2) OEMが送付する品質協定・セキュリティ付属書の最新版を入手、(3) 国内IoT製品のセキュリティ適合性評価制度であるIPA JC-STARの既取得分を棚卸し、(4) CRA第14条届出ルートとJPCERT/CC早期警戒パートナーシップの並行運用ルールを文書化。
日本のメーカーがまず押さえる4本
アセスメント申込前の社内検討に使えるトピック別ガイドです。
CRA製品分類ガイド
附属書III・IVの一般製品・重要製品Class I/II・クリティカル製品の区分。自己適合宣言可否と第三者認証の必須条件を整理。
分類基準を見る 第14条届出CRA第14条のENISA届出運用
24時間・72時間・14日の三段階期限と、稟議文化・JPCERT既存運用との両立方法。
届出フローを見る JC-STAR × CRAJC-STARとEU CRAのギャップ分析
IPA/METIのJC-STAR★1〜★4がCRA要求事項をどこまでカバーし、どこに差分が残るかを条項レベルで対照。
マッピングを見る 産業ロボット・FA産業ロボット・FA機器メーカーのCRA対応
組込コントローラ・HMI・PLCを中心に、CRAと機械規則の重なりと分離、技術文書の準備順序を整理。
FA向け解説を見る英語版SaaSツールも提供しています
CRA Evidence はコンサルティングだけでなく、SBOM・HBOM、脆弱性管理、VEX、附属書VII技術文書、監査用エビデンスを一元管理する英語版SaaSプラットフォームも運用しています。日本企業の場合は、まずアセスメントで製品分類、EU輸出経路、既存認証とのギャップを確認し、コンサルティング中心か、プラットフォーム併用かを決めます。
EU現地のコンサルティング・本社 Oviedo, スペイン(Senda Tech Solutions S.L., 2026年設立)。会社情報は紹介ページに整理しています。