EUサイバーレジリエンス法:2026年9月の脆弱性報告義務、日本のメーカーが知らない「既存製品にも適用される」という事実

EU CRAの脆弱性・インシデント報告義務(第14条)は2026年9月11日から発効。第69条第3項により既存製品にも適用されます。24時間報告期限と稟議文化の構造的矛盾、EU連絡窓口の整備(第18条認定代理人は任意)、ENISAへの報告体制構築など、2026年9月11日までに準備すべき8つのステップを解説。

CRA Evidence Team 公開 2026年3月24日 更新 2026年5月1日
EU CRA第14条の脆弱性報告期限2026年9月11日を示すコンプライアンス文書と日本の印鑑
この記事の内容

2026年9月11日。あと約5カ月で、この日からEU市場に製品を供給する全メーカーに対し、脆弱性の悪用を認識してから24時間以内にENISAへ報告する義務が生じます。

見落とされがちな事実があります。この義務は「2027年12月の新製品」だけを対象としていません。今日EU市場で流通している既存製品にも、2026年9月11日から適用されます。

このブログでは、CRA第14条が何を求めているのか、なぜ日本企業にとって構造的に難しいのか、そして2026年9月11日までに準備すべき8つのステップを解説します。

要約

  • 2026年9月11日:ENISA脆弱性・インシデント報告義務が発効
  • 既存製品にも適用:CRA第69条第3項により、2027年以前に市場投入した製品も対象
  • 24時間:悪用を認識してからENISAへの早期警告までの法定期限
  • 72時間:詳細通知の期限(24時間以内の早期警告に続く)
  • 14日 / 30日:最終報告の期限(脆弱性 / インシデント)
  • 日本特有の課題:稟議・根回し文化と24時間期限の構造的矛盾
  • JC-STAR取得だけでは対応できない:第14条の報告義務はJC-STARの範囲外
  • 今すぐ準備を:体制構築には最低6〜12カ月かかります

CRA第14条とは何か

CRA(EU規則2024/2847)第14条は、デジタル要素を含む製品のメーカーに対し、以下の2つの事象について当局への通知を義務付けています。

対象となる2つの事象

1. 積極的に悪用されている脆弱性(Actively Exploited Vulnerability)

製品の脆弱性が悪意のある行為者によって実際に使用されていることが判明した場合。公開された脆弱性や研究者からの報告だけでは対象になりません。実際の悪用が要件です。

2. 深刻なインシデント(Severe Incident)

製品のセキュリティに影響を与えるインシデント、開発環境の侵害、または広範なユーザーへの影響が確認された場合。

3段階の報告タイムライン

ENISAインシデント報告タイムライン:24時間、72時間、14日

早期警告(24時間以内):悪用を認識してから24時間以内にENISAと国家CSIRTへ通知。詳細な分析は不要ですが、製品の特定・深刻度の初期評価・悪用の確認状況を含む必要があります。

詳細通知(72時間以内):脆弱性の技術的詳細、影響バージョン、悪用手法(判明している場合)、対応状況を提出。

最終報告(脆弱性:修正後14日以内 / インシデント:通知後30日以内):根本原因分析、対応措置、影響評価を含む完全な報告書。

報告先:ENISAが運営する単一報告プラットフォーム(SRP)と、製品が流通する国の国家CSIRT。

日本企業が見落としている事実:既存製品にも適用される

CRAの一般的な認識として「2027年12月まで猶予がある」という理解が広まっています。これは部分的にしか正しくありません

CRA第69条第2項は確かに「2027年12月以前に市場投入した製品はCRA要件の適用除外」と規定しています。しかし、同条第3項はこの除外から第14条を明示的に除いています

つまり:

製品の状況 CE認証・技術ファイル 第14条報告義務
2026年9月以前から市場投入済み 2027年12月まで猶予(大規模変更なければ) 2026年9月11日から適用
2026年9月〜2027年12月に市場投入 CRAフル対応が必要 適用
2027年12月以降に市場投入 CRAフル対応が必要 適用

警告: 「2027年まで猶予がある」という理解は部分的に正しいにすぎません。CE認証・SBOMの猶予は存在しますが、脆弱性報告義務の猶予は存在しません。今日EU市場で販売しているIoT機器、産業用機器、組み込みシステムは、5カ月後から報告義務の対象です。

日本企業にとってなぜ特に難しいのか:稟議文化と24時間の壁

これは日本特有の問題であり、欧州向けのCRAコンテンツでは一切触れられていない論点です。

標準的な日本企業のインシデント対応フロー

多くの日本企業でセキュリティインシデントが発生した場合の標準的な対応は次のような流れをたどります:

  1. 脆弱性・インシデントの検知
  2. 事実確認・社内調査(1〜3日)
  3. 担当部署での報告準備・稟議書作成(2〜5日)
  4. 部長・役員への稟議回覧と承認取得(3〜7日)
  5. 法務・広報への確認(+2〜3日)
  6. 経営判断・対外発表(14〜30日以降)

このプロセスは「根回し」と「稟議」という日本企業の意思決定文化を反映したものであり、合理的かつ実績のあるアプローチです。しかし、CRA第14条の24時間という期限とは根本的に相容れません。

JPCERT/CCモデルとCRA第14条:異なる哲学

日本のセキュリティコミュニティが慣れ親しんでいるJPCERT/CC主導の協調的脆弱性開示(CVD)モデルは、ベンダーが修正パッチを準備する時間を確保した上で開示するという「ベンダー優先」の思想に基づいています。標準的な調整期間は45日以上です。

CRA第14条は根本的に異なります。修正が完了していなくても、悪用を認識した時点から24時間以内に当局へ通知することを義務付けています。「解決策が出てから発表する」という文化的規範とは正面からぶつかります。

稟議フローとCRA第14条報告の比較

構造的に必要なこと

24時間のカウントダウンは次のことを前提としています:

  1. 事前承認された報告者:稟議の完了を待たずにENISAへ早期警告を提出できる権限を持つ担当者
  2. 24時間365日の対応体制:ゴールデンウィーク・年末年始・週末も含む
  3. EU向けインフラ:ENISA SRPへのアカウント登録、EU拠点のない場合はEU連絡窓口の確保(第18条第1項により認定代理人の選任は任意。選任しない場合は輸入業者経由または本社直接で運用)
  4. 「解決策なしでの開示」の受容:早期警告は速報であり、詳細や修正は後続の通知で提供できる

「悪用が確認された」とはどういう意味か

日本企業に多いパターンとして、「確実な証拠が出るまで待つ」という傾向があります。しかしCRAの基準は**「合理的な根拠(reasonable belief)」**であり、法的証明ではありません。

シナリオ 報告必要? 理由
セキュリティ研究者から非公開で脆弱性報告 不要 悪用なし。CVDプロセスで対応
GitHubにPoC公開 不要 PoC公開 ≠ 悪用
顧客から不審な動作の報告(脆弱性と一致) 悪用の証拠
脅威インテリジェンスが自社製品を標的と示唆 合理的な根拠あり
SBOMコンポーネントに既知の悪用済み脆弱性 評価が必要 自社製品への影響を確認

注記: 「確実性」を待つ必要はありません。24時間の期限は合理的な根拠が生じた時点から始まります。詳細通知(72時間)で状況を更新できます。不確かな場合は早めに報告する方が、期限超過よりはるかに良い結果をもたらします。

報告のタイムライン 

flowchart LR
    A["🔴 悪用を認識\n(Day 0)"] -->|"24時間以内"| B["📤 早期警告\nENISA + 国家CSIRT"]
    B -->|"72時間以内"| C["📋 詳細通知\n深刻度・範囲・\n初期対応状況"]
    C -->|"修正後14日以内\n(インシデントは30日)"| D["📁 最終報告書\nENISAへ提出"]

社内トリアージフロー

flowchart TD
    A["🔔 脆弱性報告の受信\n(内部発見・外部報告)"] --> B{"悪用の証拠はあるか?"}
    B -->|"あり"| C["⏰ 24時間カウントダウン開始\n事前承認済み報告者へ即エスカレーション"]
    B -->|"不明"| D["技術トリアージ\n(4時間以内)"]
    B -->|"なし"| E["通常のCVDプロセスへ\nJPCERT/CC連携など"]
    D --> F{"悪用の合理的な\n根拠はあるか?"}
    F -->|"あり"| C
    F -->|"なし"| E
    C --> G["ENISAへ早期警告提出\n(24時間以内)"]
    G --> H["詳細通知準備\n(72時間以内)"]
    H --> I["修正・最終報告\n(14日/30日以内)"]

自社は対象か:日本企業の4つのケース

ケースA:EU向け輸出メーカー(EU拠点なし)

CRAにおける「メーカー」として直接義務を負います。EU拠点がない場合、CRA第18条第1項により認定代理人(Authorised Representative)を書面委任で選任することができます(任意)。選任する場合はENISA報告プロセスの連絡窓口を兼ねるため、24時間対応できる体制を委任契約で確認します。選任しない場合は本社直轄または輸入業者経由で当局対応ルートを設計します。詳細はEU認定代理人とCRA第18条を参照してください。

ケースB:欧州現地法人経由で販売

現地法人が「輸入者」として機能している場合、一次的な義務は現地法人に生じますが、日本の親会社は技術文書・脆弱性情報の提供義務を負います。24時間の報告チェーンを日本本社と欧州子会社間で事前に確立しておく必要があります。

ケースC:OEM供給(EU顧客がラベルを貼って販売)

EU顧客が自社ブランドで市場投入する場合、CRA上の「メーカー」はEU顧客になります。ただし、OEM元の日本企業はSBOMデータおよび脆弱性情報を迅速に提供する契約上の義務が生じます。EU顧客が24時間のカウントダウン中に情報を求めてくることを想定した体制が必要です。

ケースD:産業機器・B2B製品(直接エンドユーザーに販売しない)

B2B製品もCRAの対象外ではありません。「大手システムインテグレーターにしか販売していない」という事実は、メーカーとしての地位を変えません。IEC 62443認証は第14条の報告義務を充足しません。

次のステップ

2026年9月11日までに準備する8つのステップ

  1. ステップ1:CRAスコープ確認。EU市場に出荷している全製品を一覧化し、「デジタル要素を含む製品」に該当するか確認します。ファームウェアを含む組み込み機器、ネットワーク接続製品、スマート家電はほぼ該当します。
  2. ステップ2:EU連絡窓口の整備。EU拠点がない場合、CRA第18条第1項に基づき認定代理人(Authorised Representative)を書面委任で選任するか、輸入業者経由または本社直接で当局対応ルートを設計します。認定代理人を選任する場合は24時間対応できる事務所を選び、ENISA SRPへの登録を併せて進めます。判断基準はEU認定代理人とCRA第18条を参照。
  3. ステップ3:事前承認済み報告権限者の設定。24時間以内にENISAへ通知する権限を持つ人物を事前に指定します。「稟議なしで報告できる人」を決める、経営判断が必要な組織変更です。
  4. ステップ4:脆弱性受付チャネルの整備。security.txtの設置、セキュリティ報告フォーム、専用メールアドレスを確認します。JPCERT/CCとの連携プロセスも確認し、CRAの24時間義務との調整ルールを文書化します。
  5. ステップ5:悪用判断フローの文書化。「悪用されたか否か」を誰がどう判断するか、社内プロセスを文書化します。24時間後が土日祝日・ゴールデンウィーク・年末年始でも動作するプロセスにします。
  6. ステップ6:ENISAへの報告テンプレート準備。早期警告・詳細通知・最終報告書のテンプレートを事前に用意します。インシデント中にゼロから作成する時間はありません。英語対応も確認します。
  7. ステップ7:24時間対応体制の構築。オンコール体制、代理対応者を確認します。ゴールデンウィーク・年末年始も含みます。欧州の国家CSIRTへの連絡先も確認・登録しておきます。
  8. ステップ8:卓上演習(TTX)の実施。2026年6月〜8月の間に最低1回実施します。推奨シナリオ:「金曜17時に顧客から自社製品の不審動作の報告を受けた。翌月曜はゴールデンウィーク明けの最初の営業日。どう対応するか。」

JC-STARを取得済みの場合

JC-STAR(経済産業省・IPA主導のIoTセキュリティ適合性評価制度、2025年3月開始)に取り組んでいる企業へ:

重要: JC-STARはIoT製品のセキュリティ要件(ETSI EN 303 645等に準じた要件)を対象とした制度ですが、CRA第14条の報告義務はJC-STARの対象範囲外です。

JC-STARが対応するもの JC-STARが対応しないもの
製品設計・開発のセキュリティ要件
ENISAへの24時間報告プロセス
EU認定代理人の検討(第18条・任意)
SBOMの技術ファイル(EU形式)
EU適合性宣言(EU DoC

JC-STARの取得はCRA準備の重要な土台となりますが、第14条への対応は別途必要です。

関連記事:JC-STAR取得済み? EU CRAにはまだ足りない7つの要求事項

SME(中小企業)向けの注意事項

EU SMEの定義(従業員250名未満、売上高5,000万ユーロ以下)に該当する場合、24時間・72時間の期限違反に対する罰則は猶予されます。ただし、これは報告義務の免除ではありません

日本の中小メーカーに特有の課題として:

  • 報告義務の体制を構築する専任のセキュリティチームがない場合が多い
  • EU SME向け「SECURE補助金」(最大3万ユーロ)はEU域内企業が対象であり、日本のメーカーには適用されない
  • 罰則猶予は「報告が遅れても罰金を免除される」というものであり、報告プロセス自体を構築する必要はなくならない

注記: SMEであっても最終報告書の提出義務は残ります。また、EU市場監視機関が調査に入った際に対応できる体制が必要です。罰則の免除は準備コストを下げるものではありません。

よくある質問

EU輸入業者経由で販売している場合、第14条は当社にも適用されますか?

第14条の報告義務はCRA上の「メーカー」に課されます。OEM供給でEU顧客が自社ブランドで販売する場合、CRA上のメーカーはEU顧客となりますが、日本の製造元はSBOMと脆弱性情報を迅速に提供する契約上の義務を負います。自社ブランドでEU市場に輸出している場合は、輸入業者が介在してもメーカーとしての報告義務は変わりません。製品分類の詳細は CRA製品分類ガイド をご参照ください。

2026年9月11日時点でEU市場に既に流通している製品も対象となりますか?

対象となります。CRA第69条第2項は2027年12月以前に市場投入した製品をCE認証・技術ファイル等の要件から除外していますが、第69条第3項により第14条の報告義務はこの除外から明示的に除かれています。したがって、現在EU市場で流通している既存のIoT機器、産業用機器、組み込みシステムも2026年9月11日から報告義務の対象です。

JC-STAR(IoT適合性評価制度)を取得していれば第14条に対応できますか?

対応できません。JC-STARはIoT製品のセキュリティ要件に関する制度であり、第14条の報告義務は対象範囲外です。JC-STAR取得はCRA準備の土台となりますが、ENISAへの24時間通知プロセス、EU適合宣言書の作成などは別途必要です。EU認定代理人の選任はCRA第18条第1項により任意であり、選任する場合の業務もJC-STARの対象外です。詳細は JC-STAR取得済み? EU CRAで追加対応が必要な6つの要求事項と認定代理人の論点 を参照してください。

24時間以内の早期警告でどこまでの技術的詳細を提出する必要がありますか?

早期警告は速報であり、完全な分析は不要です。必要な情報は、製品の特定、深刻度の初期評価、悪用が確認された状況の概要です。SBOMや詳細な脆弱性分析は72時間以内の詳細通知、および最終報告書(脆弱性は修正後14日以内、インシデントは通知後30日以内)で提出します。事前にテンプレートを用意しておけば、インシデント発生時のゼロからの作成時間を削減できます。

EU域内に拠点がない場合、EU認定代理人の選任は必須ですか?

必須ではありません。CRA第18条第1項は「製造業者は、書面による委任により、認定代理人を選任することができる」と規定しており、選任は任意です。MDR第11条やRED第5条のように域外製造業者に対する選任義務とする条項はCRA本文に存在しません。第14条の報告義務はあくまで製造業者本体に課されるものであり、認定代理人の有無に関わらず適用されます。選任した場合、第18条第3項により認定代理人はEU適合宣言書および附属書VII技術文書の10年間保管、市場監視当局からの合理的要請への応答、是正措置への協力を担います。第14条のENISA通報そのものは、第18条第2項により認定代理人への委任対象から除外されている第13条関連の実体的義務と密接に関係するため、最終責任は製造業者に残ります。実務上の選択肢としては、(a)認定代理人を選任してEU域内の単一窓口を設ける、(b)EU子会社・輸入業者経由でENISA SRP登録と当局対応を運用する、(c)日本本社直轄で24時間対応体制を構築する、のいずれかが採られます。詳細はEU認定代理人とCRA第18条を参照してください。

第14条の報告義務に違反した場合、どのような罰則が科されますか?

CRA第64条により、第14条の報告義務違反には最大1,500万ユーロまたは全世界年間売上高の2.5%のいずれか高い方が科されます。EU SME(従業員250名未満、売上高5,000万ユーロ以下)は24時間・72時間期限違反に対する罰則が猶予されますが、報告義務自体は免除されず、最終報告書の提出義務は残ります。自社の対応状況に不安がある場合は CRA Evidenceの無料アセスメント をご予約ください。

CRA Evidence のコンサルティング支援

CRA Evidenceは、EU CRAへの対応を検討している日本のメーカー向けに、専門家によるコンサルティングサービスを提供しています。

  • 第14条対応に必要な社内体制の整備支援
  • EU認定代理人の選定支援(弊社は代理人を務めません)
  • ENISA報告プロセスの文書化と卓上演習の実施支援
  • JC-STARとEU CRAのギャップ分析

サービスの全体像と4段階の進め方についてはCRAコンサルティングサービスの概要をご覧ください。具体的な相談は無料アセスメントから開始できます。

CRA Evidenceに問い合わせる →

本記事は情報提供を目的としており、法的アドバイスを構成するものではありません。EU製品規制に関する具体的なコンプライアンス対応については、EU規制に精通した法律の専門家にご相談ください。

CRA JC-STAR 脆弱性管理 タイムライン 日本製造業
Share

関連記事

記事一覧に戻る

CRAはあなたの製品に適用されますか?

6つの質問に答えるだけで、あなたの製品がEUサイバーレジリエンス法の適用範囲に該当するかどうかがわかります。2分以内で結果を確認できます。

今すぐ確認