CRA製品分類:デフォルト、重要、クリティカルのどれに該当するか?

CRAはデジタル要素を含む全製品を4つのティアに分類する。分類によって自己認証か認証機関(NB)による評価が必要かが決まる。Annex III・IVで確認する方法を解説。

CRA Evidence Team 公開 2026年4月3日 更新 2026年5月1日
CRA製品分類の4カテゴリ(デフォルト・重要Class I/II・クリティカル)を示す分類チャート
この記事の内容

CRAの適合性評価ルートは製品分類によって決まります。「重要」および「クリティカル」製品は第三者機関による評価が義務付けられます。「デフォルト」製品は自己認証が可能です。

要約

  • CRAは4つのカテゴリを定義します:デフォルト、重要 Class I、重要 Class II、クリティカル
  • デフォルト:自己評価(Module A)が可能
  • 重要 Class I:整合規格を完全適用する場合を除き、第三者評価が必要
  • 重要 Class II およびクリティカル:第三者評価が必須
  • 分類は市場セクターではなく、製品の機能とリスクに基づく
  • 判断に迷う場合は上位分類を選びます(施行リスクの観点から安全)

ヒント: 製品の約90%はデフォルトカテゴリに該当します。まずAnnex IIIおよびIVをご確認ください。記載がなければデフォルトです。

CRA製品分類の決定ツリー:デフォルト、重要 Class I/II、クリティカルカテゴリ

CRAの4つの製品カテゴリ

CRAはデジタル要素を含む製品をサイバーセキュリティリスクに基づき4つのティアに分類しています。

CRA製品カテゴリ概要:デフォルト、重要 Class I/II、クリティカルと適合性評価ルート

デフォルト製品

製品の大多数がここに該当します。Annex IIIまたはIVに具体的に記載されていない製品は「デフォルト」です。

適合性評価: 自己評価(Module A)で十分です。

例:

  • 単純なIoTセンサー
  • 基本的な民生電子機器
  • 標準的なビジネスソフトウェア
  • 汎用アプリケーション
  • ネットワーク非接続の組み込みデバイス

重要製品 Class I(Annex III, Part I)

機能またはユーザー基盤によりリスクが高い製品。

適合性評価: 関連する整合規格を完全適用する場合は自己評価が可能。それ以外は第三者評価が必要。

Annex III, Part I の全リスト:

  1. アイデンティティ管理システムおよび特権アクセス管理ソフトウェア・ハードウェア(生体認証リーダーを含む認証・アクセス制御リーダーを含む)
  2. スタンドアロンおよび組み込みブラウザ
  3. パスワードマネージャー
  4. 悪意のあるソフトウェアを検索、削除、または隔離する機能を持つ製品
  5. VPN(仮想プライベートネットワーク)機能を持つデジタル要素を含む製品
  6. ネットワーク管理システム
  7. セキュリティ情報・イベント管理(SIEM)システム
  8. ブートマネージャー
  9. 公開鍵基盤およびデジタル証明書発行ソフトウェア
  10. 物理および仮想ネットワークインターフェース
  11. オペレーティングシステム
  12. インターネット接続向けルーター、モデム、およびスイッチ
  13. セキュリティ関連機能を持つマイクロプロセッサ
  14. セキュリティ関連機能を持つマイクロコントローラ
  15. セキュリティ関連機能を持つASICおよびFPGA
  16. スマートホーム汎用バーチャルアシスタント
  17. スマートドアロック、セキュリティカメラ、ベビーモニタリングシステム、警報システムを含むセキュリティ機能を持つスマートホーム製品
  18. ソーシャル・インタラクティブ機能(発話・撮影など)または位置追跡機能を持つ、Directive 2009/48/EC の対象となるインターネット接続玩具
  19. 健康モニタリング(追跡など)を目的とし、Regulation (EU) 2017/745 または (EU) No 2017/746 の対象外となる個人用ウェアラブル製品、または子どもが使用することを意図した個人用ウェアラブル製品

重要製品 Class II(Annex III, Part II)

第三者評価が義務付けられる高リスク製品。

適合性評価: 認証機関(Notified Body)による第三者評価が必須です。自己評価の選択肢はありません。

Annex III, Part II の全リスト:

  1. オペレーティングシステムおよび類似環境の仮想化実行をサポートするハイパーバイザおよびコンテナランタイムシステム
  2. ファイアウォール、侵入検知・防止システム
  3. 耐タンパー性マイクロプロセッサ
  4. 耐タンパー性マイクロコントローラ

クリティカル製品(Annex IV)

最高リスクカテゴリです。ハードウェアセキュリティモジュール等が該当します。

適合性評価: 第三者評価に加え、EU サイバーセキュリティ認証(EUCC)の「substantial」レベル以上が必要。

Annex IV の全リスト:

  1. セキュリティボックスを持つハードウェアデバイス
  2. Directive (EU) 2019/944 Article 2(23) に定義されるスマートメーターシステム内のスマートメーターゲートウェイ、およびセキュア暗号処理を含む高度なセキュリティ目的のその他のデバイス
  3. スマートカードまたはセキュアエレメントを含む類似デバイス

決定ツリー:カテゴリの特定手順

以下の手順で製品を分類する:

スタート:製品はデジタル要素を含むか?
│
├─ いいえ → CRAの対象外。終了。
│
└─ はい → Annex IV(クリティカル製品)に記載されているか?
     │
     ├─ はい → クリティカル
     │        第三者評価 + EUCC 認証が必要
     │
     └─ いいえ → Annex III, Part II(重要製品 Class II)に記載されているか?
          │
          ├─ はい → 重要製品 CLASS II
          │        第三者評価が必要
          │
          └─ いいえ → Annex III, Part I(重要製品 Class I)に記載されているか?
               │
               ├─ はい → 重要製品 CLASS I
               │        整合規格適用時は自己評価、それ以外は第三者評価
               │
               └─ いいえ → デフォルト
                        自己評価(Module A)が可能

カテゴリ別の適合性評価ルート

CRAカテゴリ別適合性評価ルート:Module A、B+C、H、EUCC

モジュール 利用可能な対象 認証機関(NB)
A(内部生産管理) デフォルト;整合規格を適用したClass I 不要
B+C(EU型式試験 + 生産管理) 整合規格非適用のClass I;Class II;クリティカル 必要
H(完全品質保証) 全カテゴリ(B+Cの代替手段) 必要
EUCC(EU サイバーセキュリティ認証) クリティカル(Annex IV)のみ、B+CまたはHに加えて 必要

Module A は完全な自己評価サイクルです。技術ファイル、EU 適合性宣言、CE マーキングで構成され、外部監査機関は関与しません。

Module B+C は作業を分割します。認証機関が型式標本を検査し証明書を発行し(Module B)、製造業者はその後すべての生産品がその型式に適合していることを保証します(Module C)。

Module H は製品ごとのアプローチの代わりに製造業者の品質管理システムを監査します。大規模な製品ポートフォリオを持つ場合に適しています。

EUCC はクリティカル製品向けに Module B+C または H の上に位置付けられます。EU サイバーセキュリティ法に基づき「substantial」保証レベル以上で認定適合性評価機関が発行します。

境界ケース:判断の方法

すべての製品が明確に当てはまるわけではありません。代表的なケースを以下に示します。

複数機能製品

規則: いずれかの機能が上位カテゴリをトリガーした場合、製品全体がそのレベルに分類されます。

例: 以下を含むスマートホームハブ:

  • 基本オートメーション制御(デフォルト)
  • VPN 機能(重要 Class I)
  • セキュリティカメラ統合(重要 Class I)

分類: 重要 Class I(トリガーされた最上位カテゴリ)

CRA複数機能製品の規則:全機能の中で最上位カテゴリが適用される

組み込みコンポーネント

規則: セキュリティ関連コンポーネントが分類をトリガーするかどうかを検討します。

例: 以下を含む民生デバイス:

  • 汎用マイクロコントローラ → デフォルト
  • 「セキュリティ関連機能を持つ」マイクロコントローラ → 重要 Class I

重要な問い: マイクロコントローラはセキュリティ機能(暗号化、認証、セキュアブート)を実行するか。

「意図された用途」に関する考慮

Annex III の一部の項目は意図された用途または製品コンテキストを規定しています(例:「Directive 2009/48/EC の対象となる接続玩具」や Regulation 2017/745・2017/746 を参照する健康モニタリングウェアラブル)。

製品がこれらのコンテキストで使用される可能性があるものの、具体的にそれを意図していない場合、分類が適用されない可能性があります。意図された用途は明確に文書化してください。

オペレーティングシステム

オペレーティングシステムは Annex III Part I(重要 Class I)にのみ記載されています。Class II にオペレーティングシステムのカテゴリは存在しません。

OS の種類 分類
組み込み OS(RTOS、ファームウェア) デフォルト(通常)
汎用 OS 重要 Class I

例: 組み込みデバイス向けカスタム Linux ディストリビューションは通常、重要 Class I となります。Ubuntu Server は重要 Class I です。

ソフトウェア対ハードウェア

分類は市場に投入された製品として検討されます。

  • スタンドアロンソフトウェア:ソフトウェア機能に基づいて分類
  • 組み込みソフトウェアを含むハードウェア:複合的な機能に基づいて分類
  • 個別販売のソフトウェアコンポーネント:独立して分類

業種別ガイダンス

IoT デバイスメーカー

ほとんどの IoT デバイスは、以下に該当しない限りデフォルトです。

  • VPN 機能を含む → Class I
  • スマートホームセキュリティデバイス → Class I
  • 産業用 IoT → Class I または II
  • 耐タンパー性セキュリティ機能を含む → Class II

ソフトウェア企業

具体的に記載されない限り、ほとんどのソフトウェアはデフォルトです。

  • ブラウザ、パスワードマネージャー、マルウェア対策 → Class I
  • ネットワークセキュリティツール(ファイアウォール、IDS) → Class II
  • オペレーティングシステム → Class I

組み込みシステム

分類は以下に大きく依存します。

  • マイクロコントローラ・プロセッサのセキュリティ機能
  • 製品が産業・業務用途かどうか
  • 対象デプロイ環境(重要インフラか否か)

医療機器

医療機器は CRA スコープから除外されています(MDR/IVDR の対象)。ただし、付随するソフトウェアや非医療機能は引き続きスコープ内となる可能性があります。

認証機関(Notified Body)の探し方

第三者評価が必要な製品向けの手順は以下のとおりです。

  1. NANDO データベースを確認する:EU 公式の認証機関リスト
  2. CRA 固有の指定を確認する:機関は CRA 適合性評価向けに指定されている必要があります
  3. キャパシティを考慮する:CRA 初期フェーズでは NB の空きが限られます
  4. 地域的考慮:所在地域内の NB と連携するほうが進めやすい場合があります

CRA の認証機関指定プロセスは進行中です。現在の指定機関リストは NANDO データベースで直接ご確認ください。

よくある分類ミス

重要: 分類は市場セクター、企業規模、製品の複雑さではなく、製品の機能に基づきます。常に Annex III および IV のリストをご確認ください。

「民生製品 = デフォルト」

誤りです。 分類は機能によるものであり、市場によるものではありません。

消費者向けに販売されるスマートドアロックは、対象市場に関わらず「セキュリティ機能を持つスマートホーム製品」として重要 Class I に該当します。

「B2B なので分類は低い」

誤りです。 B2B か B2C かは分類に影響しません。

法人顧客向けの産業用 IoT 製品も、機能によっては重要 Class I または II となります。

「小型・シンプルな製品なのでデフォルト」

これも誤りである可能性があります。 サイズと複雑さは分類を決定しません。

セキュリティ機能を持つ小型マイクロコントローラは重要 Class I となる場合があります。リスト記載機能を持たない大型・複雑な製品はデフォルトとなる場合があります。

「ISO 27001 を取得しているので対応済み」

誤りです。 ISO 27001 は組織の情報セキュリティ管理向けであり、製品の適合性評価ではありません。

CRA は組織認証に関わらず製品固有の適合性評価を要求します。

製品分類チェックリスト 

製品分類チェックリスト

製品名:_______________________________________
日付:_________________________________________

初期スコープ確認:
[ ] 製品はデジタル要素を含む(ソフトウェアおよび/またはデータ接続)
[ ] 製品はEU市場に投入される
[ ] 製品は除外対象でない(医療、自動車、航空、軍事)

Annex IV 確認(クリティカル):
[ ] セキュリティボックスを持つハードウェアデバイスではない
[ ] スマートメーターゲートウェイ(Directive (EU) 2019/944 Art. 2(23) の定義による)または高度セキュリティ目的のデバイスではない
[ ] スマートカードまたはセキュアエレメントを含む類似デバイスではない

上記のいずれかに該当する → クリティカル(ここで終了)

Annex III Part II 確認(重要製品 Class II):
[ ] ハイパーバイザまたはコンテナランタイムシステムではない
[ ] ファイアウォール、侵入検知・防止システムではない
[ ] 耐タンパー性マイクロプロセッサではない
[ ] 耐タンパー性マイクロコントローラではない

上記のいずれかに該当する → 重要製品 CLASS II(ここで終了)

Annex III Part I 確認(重要製品 Class I):
[ ] 19カテゴリの全リストを確認する
[ ] 複数機能の影響を検討する
[ ] コンポーネントのセキュリティ関連機能を確認する

いずれかのカテゴリが該当する → 重要製品 CLASS I(ここで終了)

デフォルト:
[ ] いずれのAnnexにも記載なし
[ ] 分類:デフォルト

適合性評価ルート:
[ ] Module A(自己評価):デフォルト、整合規格適用時のClass I
[ ] Module B+C(第三者評価):整合規格非適用のClass I、Class II
[ ] Module H(品質保証):B+Cの代替手段
[ ] EUCC 認証:クリティカル製品のみ

文書化:
[ ] 分類の根拠を文書化済み
[ ] 複数機能の分析を完了済み
[ ] 意図された用途を明確に定義済み
[ ] 必要な場合は認証機関(NB)を特定済み

分類担当者:_________________________________
日付:_________________________________________

よくある質問

Annex IIIにもAnnex IVにも記載のない製品はデフォルトと判定できますか?

はい、Annex IIIおよびAnnex IVに該当しない製品はデフォルトに分類され、Module Aによる自己評価で適合性宣言が可能です。ただし複数機能製品では、一部の機能が上位カテゴリに該当する場合、製品全体がそのレベルに分類されます。組み込みコンポーネントのセキュリティ関連機能(暗号化、認証、セキュアブート)の有無も判定要素となるため、機能単位での精査が必要です。一次判定にはCRA適用判定ツールをご利用ください。

重要製品クラスIで自己評価(Module A)が認められる条件は何ですか?

クラスI製品でModule Aの自己評価が認められるのは、対象製品に関する整合規格(harmonised standards)が発行されており、かつ製品が当該規格に完全適合している場合に限られます。整合規格が未発行、または部分適合にとどまる場合は、認証機関(Notified Body)によるModule B+CまたはModule Hでの第三者評価が必須となります。CRAの整合規格はCEN/CENELECとETSIで策定中であり、発行状況の継続的な監視が実務上必要です。

VPN機能とパスワードマネージャー機能の双方を備える製品はどう分類されますか?

複数機能ルールにより、最上位の分類が適用されます。VPN機能とパスワードマネージャーはいずれもAnnex III Part Iに記載される重要製品クラスIです。製品全体の分類は重要製品クラスIとなり、整合規格適用時のModule A、または第三者評価のModule B+CやModule Hが必要となります。デフォルトの自己評価ルートは適用されません。

JC-STARラベルを取得した製品のCRA分類は変わりますか?

分類は変わりません。CRA分類は製品の機能とリスクに基づきAnnex IIIおよびAnnex IVのリストで判定され、JC-STARの取得有無とは独立です。ただしJC-STARの取得実績は、CRA附属書I Part Iの製品セキュリティ要件に対するエビデンスとして部分的に再利用できます。両制度の対応関係と差分はJC-STARとEU CRAの差分分析に整理しています。

第三者評価が必要となる場合、附属書VII技術文書には何を含めますか?

CRA附属書VIIに準拠した技術文書は、製品説明、設計仕様、リスク評価、適用規格との整合性の証拠、SBOM(CycloneDXまたはSPDX形式)、適合性評価の結果、安全更新ポリシー、協調的脆弱性開示(CVD)ポリシーを含む包括的なパッケージです。技術文書は市場投入後10年間の保管が義務付けられ、市場監視当局からの照会に応じて提示できる体制が必要です。

製品分類を誤った場合の罰則と再分類リスクはどう想定されますか?

CRA第64条により、適合性評価手続きの不適合は最大1,500万ユーロまたは全世界年間売上高の2.5%の罰金対象となります。市場監視当局(MSA)が分類を見直し上位カテゴリへの再分類を要求した場合、第三者評価とCEマーキングの再取得が必要となり、リコールや販売停止のリスクも生じます。分類判断に不安がある場合は無料アセスメントからご相談ください。

次のステップ

分類確定後に着手する7つの実務ステップ

  1. 製品ポートフォリオの一覧化と分類記録。EU市場に投入している全製品をリスト化し、Annex IIIとAnnex IVに突き合わせて重要製品クラスI、クラスII、クリティカル、デフォルトに振り分けます。判定根拠を技術文書の一部として文書化します。CRA適用判定ツールで一次評価が可能です。
  2. 複数機能と組み込みコンポーネントの精査。VPN、パスワード管理、暗号処理、生体認証などの機能を持つ製品は、機能単位で分類トリガーを確認します。複数機能ルールにより、最上位の機能が製品全体の分類を決定するため、機能の棚卸しが必須です。
  3. 整合規格(harmonised standards)の発行状況確認。クラスI製品が自己評価で対応できるか、第三者評価が必要かは、整合規格の発行状況に依存します。CEN/CENELECとETSIの公表状況を継続監視し、製品ラインごとに評価ルートを更新します。
  4. 附属書VII技術文書テンプレートの整備。製品説明、リスク評価、SBOM(CycloneDXまたはSPDX形式)、適合性評価結果、安全更新ポリシー、CVDポリシーを含むテンプレートを作成します。文書は市場投入後10年間の保管が義務です。
  5. 認証機関(Notified Body)のリサーチと連絡開始。クラスII、クリティカル、または整合規格不在のクラスI製品は、第三者評価のため認証機関との早期接点が必要です。NANDOデータベースでCRA指定済み機関を確認し、空き状況と評価期間を打診します。
  6. EU認定代理人の検討(EU拠点を持たない製造業者)。CRA第18条第1項により、認定代理人の選任は任意です(MDR第11条・RED第5条のような義務規定はCRA本文に存在しません)。第18条第3項に定める文書保管・市場監視当局対応・是正措置協力を担う窓口としてEU域内主体を確保するか、これらを製造業者本体で運用するかを判断します。詳細はEU認定代理人とCRA第18条を参照してください。
  7. 関連分野の補完情報の確認。第14条のENISA通報義務はCRA第14条 ENISA通報の解説、JC-STAR取得済み製造業者はJC-STARとEU CRAの差分分析、FA・産業用ロボットメーカーはFAメーカー向けCRAガイドを併せて参照します。

本記事は情報提供を目的としており、法的アドバイスを構成するものではありません。EU製品規制に関する具体的なコンプライアンス対応については、EU規制に精通した法律の専門家にご相談ください。

CRA 製品分類 適合性評価 CEマーキング
Share

関連記事

記事一覧に戻る

CRAはあなたの製品に適用されますか?

6つの質問に答えるだけで、あなたの製品がEUサイバーレジリエンス法の適用範囲に該当するかどうかがわかります。2分以内で結果を確認できます。

今すぐ確認