CRAの脆弱性はJPCERTに通報? EUの通報先CSIRTの決め方
CRAの脆弱性はJPCERT/CCではなくEUの調整役CSIRT 1か所にENISA経由で通報します。EU拠点がない日本メーカーの通報先の決め方とEU27か国のCSIRT対応表をまとめました。
この記事の内容
製品に積極的に悪用されている脆弱性が見つかったとき、日本メーカーの反射的な行動はJPCERT/CCへの連絡です。CRA(サイバーレジリエンス法)の文脈では、これは誤りです。JPCERT/CCはCRAの通報先ではありません。
CRAでは、通報先はEUの「調整役CSIRT」1か所です。ENISA(欧州サイバーセキュリティー庁)の単一報告プラットフォーム(SRP)を経由して1回だけ提出し、ENISAが同時に受領します。受領した調整役が、製品の販売先である各EU加盟国のCSIRTへ転送します。27か国に個別に出すのではありません。
EUに拠点がない日本メーカーは、AR・輸入者・販売者・利用者の順に、最初に該当する加盟国の調整役CSIRTを選びます。下表で27加盟国の現時点の候補を確認できます。
要約
- 通報は1回だけ。ENISA SRP経由で、1か所の調整役CSIRTへ提出します。
- EU拠点がある場合は、その国の調整役CSIRTへ通報し、カスケードは適用されません。
- EU拠点がない場合のみ、認定代理人・輸入者・販売者・利用者の順に通報先を決めます。
- 通報先はJPCERT/CCではありません。JPCERT/CCへの通報でCRAの義務は果たせません。
- EU27か国の通報先CSIRTは、誤送信しやすい国がいくつもあります(後述の対応表を参照)。
- 公式の通報先一覧はまだ公開されていません(2026年9月11日より前に公開見込み)。
通報は1回、調整役CSIRT 1か所へ
CRAの通報は、製品の販売先すべてに個別に出すものではありません。ENISA SRP経由で、調整役CSIRT 1か所へ1回提出します。ENISAも同時に受け取ります。
その調整役が、製品を販売していると申告した各加盟国のCSIRTへ転送します。転送はメーカーではなく調整役の役割です。
つまり、メーカーが手を動かすのは1回だけです。27回ではありません。
EU拠点の有無による通報先の分岐
最初に判定するのは、EU域内で製品のサイバーセキュリティに関する意思決定を主に行う拠点があるかどうかです。
その拠点がある場合は、その加盟国の調整役CSIRTへ通報します。この場合、以下のカスケード(優先順位の段階判定)は走りません。EUに子会社があるメーカーは、まずここを確認してください。
EU域内に主たる拠点がない場合に限り、次のカスケードで通報先を決めます。最初に当てはまった段階で止まり、その国の調整役CSIRTが通報先になります。
- 認定代理人(AR)の国。最も多くの製品を扱うARの所在国。該当すればここで確定します。
- 輸入者の国。ARがいなければ、最も多くの製品を市場に投入する輸入者の所在国。
- 販売者の国。輸入者もいなければ、最も多くの製品を市場で提供する販売者の所在国。
- 利用者が最も多い国。上のいずれにも当たらない場合の最終段階。
例で示します。ARがドイツ、最大の輸入者がオランダの場合、通報先はドイツの調整役、つまりBSI(CERT-Bund)です。ARが輸入者より先に当たるためです。
起点になるのは「最も多く扱う」事業者です。割合の閾値はありません。最も多くの製品を扱うARや輸入者の国、という基準です。
EU27か国の通報先CSIRT対応表
各国の通報先CSIRTを下表にまとめました。状態の凡例は次のとおりです。確定(指定済み)、見込み(各国のCVD調整役。国内法整備待ちで、ENISAの公式リスト公開時に更新)、未確定(分割または未指定)。
| # | 国 | 通報先CSIRT | 状態 |
|---|---|---|---|
| 1 | オーストリア | CERT.at/GovCERT(暫定) | 未確定(NISG 2026は2026年10月1日施行) |
| 2 | ベルギー | CCB/CERT.be | 確定 |
| 3 | ブルガリア | CERT Bulgaria(CERT.bg) | 見込み |
| 4 | クロアチア | NCSC-HR(CERT.hr/CARNETではない) | 確定 |
| 5 | キプロス | CSIRT-CY(DSA傘下) | 見込み |
| 6 | チェコ | NÚKIB/GovCERT.CZ(CSIRT.CZではない) | 確定 |
| 7 | デンマーク | FE、ポータル cvd.sit-wb.dk | 見込み |
| 8 | エストニア | CERT-EE(RIA傘下) | 見込み |
| 9 | フィンランド | NCSC-FI(Traficom) | 確定 |
| 10 | フランス | ANSSI/CERT-FR | 見込み |
| 11 | ドイツ | BSI/CERT-Bund | 確定 |
| 12 | ギリシャ | NCSAのCSIRT(軍のHellenic CSIRTではない) | 確定 |
| 13 | ハンガリー | NKI/NCSC-HU | 見込み |
| 14 | アイルランド | NCSC Ireland | 見込み |
| 15 | イタリア | CSIRT Italia(ACN) | 確定 |
| 16 | ラトビア | CERT.LV | 確定 |
| 17 | リトアニア | NKSC(CERT-LT) | 確定 |
| 18 | ルクセンブルク | CIRCL(GOVCERT.LUではない) | 確定 |
| 19 | マルタ | CSIRTMalta | 確定 |
| 20 | オランダ | NCSC-NL | 確定 |
| 21 | ポーランド | CSIRT NASK(CERT.PL) | 確定 |
| 22 | ポルトガル | CERT.PT(CNCS) | 確定 |
| 23 | ルーマニア | DNSC(CERT-ROではない) | 確定 |
| 24 | スロバキア | SK-CERT(NBU) | 確定 |
| 25 | スロベニア | SI-CERT | 確定 |
| 26 | スペイン | INCIBE-CERT/CCN-CERT | 未確定(分割モデル) |
| 27 | スウェーデン | CERT-SE(MCF、旧MSB) | 見込み |
確定が17か国、見込みが8か国、未確定が2か国です。見込みと未確定の行は、公式リストが公開され次第更新します。
よくある誤送信
各国には名前の似た複数の組織があり、CRAの通報先ではない先へ誤送信しやすい点があります。スペイン、チェコ、デンマーク、スウェーデンが特に間違えやすい国です。
- スペイン:INCIBE-CERTとCCN-CERTで役割が分かれており、通報先が一本化されていません。
- チェコ:通報先はGovCERT.CZで、CSIRT.CZではありません。
- クロアチア:通報先はNCSC-HRで、CERT.hrではありません。
- ルーマニア:通報先はDNSCで、CERT-ROではありません。
- ギリシャ:通報先はNCSA傘下のCSIRTで、軍のHellenic CSIRTではありません。
- ルクセンブルク:通報先はCIRCLで、GOVCERT.LUではありません。
- デンマーク:CSIRTが国防情報機関(FE)の内部に置かれています。
- スウェーデン:所管がMSBからMCFへ移管されました。
JPCERT/CCは別の枠組み
JPCERT/CCはCRAの通報には関与しません。CRAの通報先は、上の手順で決まるEUの調整役CSIRTです。
日本の国内法が、JPCERT/CCへの別の報告義務を課す場合があります。それはCRAとは並行・追加の義務です。JPCERT/CCへの報告でCRAの義務が果たせるわけではなく、逆にCRAの通報が国内の義務を置き換えるわけでもありません。両者は別々に存在します。
通報先の「AR」とSBOMの誤解
「ARの国へ通報する」は、「ARに報告を送る」という意味ではありません。通報の窓口はENISAのSRPであり、ARのプラットフォームではありません。
ARは法的な連絡先であり、文書の保管者です。EU適合宣言書と技術ファイルを保管し、市場監視当局からの照会に応じます。脆弱性通報のハブではありません。
報告としてSBOM(ソフトウェア部品表)を送るわけでもありません。提出するのは24時間以内の早期警告、72時間以内の詳細通知、そして最終報告(脆弱性は14日以内、重大インシデントは1か月以内)です。SBOMは技術ファイルの中に保管します。
まだ未確定の点と公式リストの状況
ENISAは、CRAのSRP向け電子通報エンドポイントの公式リストをまだ公開していません。公開は2026年9月11日より前の見込みです。
上の表に挙げたCSIRTは、各国のNIS2におけるCVD調整役であり、CRAの通報先になる見込みのものです。提出の時点で、ENISAのSRPページで必ず確認してください。表の最終確認は2026年6月です。見込み・未確定の各行は、公式リストが公開され次第、行ごとに更新します。
いくつかの点は規則上まだ明確ではありません。断定はできない範囲です。
- メーカーが複数のARを選任できるかは確定していません。「ARは1社のみ」とは断定できません。
- 「最も多く扱う」の数え方(SKU単位か、出荷台数か、製品ファミリー単位か)と「利用者」は、規則上定義されていません。割合のルールも示されていません。
- ARの選任はCRAでは任意です。委任の内容に「当社に代わって通報する」を加えることもできますが、それも任意です。
提出前の棚卸しチェック
通報の瞬間に通報先を探し始めると、24時間の早期警告に間に合いません。先に準備しておく項目を挙げます。
□ AR・輸入者・販売者のEU域内での所在を今のうちに棚卸しする
→ 通報先は「最も多く扱う」事業者の国で決まります。
日頃から把握していないと、提出時に通報先を確定できません。
□ SRPが開設されたら事前登録する
→ 提出は1回・1か所ですが、未登録だとその1回が出せません。
公式リスト公開後すぐに動けるようにしておきます。
□ 早期警告の記載項目をテンプレート化しておく
→ 24時間以内に出すのは製品の特定と初期評価です。
様式が手元になければ、社内調査の遅れがそのまま期限超過になります。
通報体制が間に合わない場合の制裁は、最大1,500万ユーロ または 全世界売上の2.5%です。
よくある質問
CRAの脆弱性は自国のCERT(JPCERT/CC)に通報すればよいですか?
いいえ。CRAの通報先はEUの調整役CSIRT 1か所であり、JPCERT/CCではありません。ENISAのSRPを経由して提出します。自社の通報先がどの国に決まるか整理したい場合は、無料アセスメントで確認できます。
EUに拠点がない場合、どのEU CSIRTに通報しますか?
認定代理人(AR)の国、輸入者の国、販売者の国、利用者が最も多い国の順で、最初に当てはまった国の調整役CSIRTへ通報します。最初に当たった段階で確定し、それ以降は判定しません。報告義務そのものの全体像は脆弱性報告義務の解説記事で扱っています。
製品を販売しているEU全加盟国で通報する必要がありますか?
ありません。提出は1か所の調整役CSIRTへ1回だけです。受領した調整役が、販売先として申告した各国のCSIRTへ転送します。27回の個別提出は不要です。
報告は認定代理人(AR)に送るのですか?
いいえ。通報の窓口はENISAのSRPであり、ARではありません。ARは法的な連絡先であり、EU適合宣言書と技術ファイルの保管者です。「ARの国へ通報する」は通報先の国を決める基準であって、ARに報告を送る意味ではありません。
複数のEU諸国に輸入者や販売者がいる場合はどうなりますか?
優先順位の段階ごとに、最も多くの製品を扱う事業者の国を選びます。ARがいればARの国で確定し、輸入者や販売者の判定には進みません。本文の決定木に、段階ごとの判定の流れをまとめています。
CRA通報先の公式リストはもう公開されていますか?
まだ公開されていません。ENISAによる公式の電子通報エンドポイント一覧は、2026年9月11日より前の公開見込みです。提出時にはENISAのSRPページで最新の通報先を確認してください。
自国のCERT(JPCERT/CC)への通報でCRAの義務を果たせますか?
果たせません。JPCERT/CCはCRAの通報には関与しません。日本の国内法がJPCERT/CCへの別の報告義務を課す場合がありますが、それは並行・追加の義務であり、CRAの義務とは別です。
CRA Evidence のコンサルティング支援
CRA Evidence は、日本メーカー向けに、通報先CSIRTの特定、EU域内のAR・輸入者・販売者の棚卸し、早期警告テンプレートの整備までを支援します。自社の通報先がどの国に決まるかを確認したい場合は、無料アセスメントをご予約ください。適用範囲の自己診断にはCRA適用判定ツールもご利用いただけます。
本記事は情報提供のみを目的とし、法的助言を構成するものではありません。具体的なコンプライアンス対応については、有資格の専門家にご相談ください。
関連記事
CRAはあなたの製品に適用されますか?
6つの質問に答えるだけで、あなたの製品がEUサイバーレジリエンス法の適用範囲に該当するかどうかがわかります。2分以内で結果を確認できます。