サイバーレジリエンス法(EU規則2024/2847)
サイバーレジリエンス法(CRA):日本のメーカー向け概要
EUに製品を輸出する日本のメーカーが対応すべきEUサイバーレジリエンス法(CRA/EU規則2024/2847)の概要、義務、スケジュール、罰則を整理しました。社内検討用にそのままご利用いただけます。
サイバーレジリエンス法(CRA)とは
サイバーレジリエンス法(CRA/EU規則2024/2847)は、デジタル要素を含む製品をEU市場に上市するすべてのメーカー、輸入業者、流通業者に、製品ライフサイクル全体を通じたサイバーセキュリティ対応を義務付けるEU規則です。2024年12月10日に発効し、2026年9月11日からは脆弱性報告義務(第14条)、2027年12月11日からは全ての義務が完全施行されます。
対象は、ソフトウェアまたはファームウェアを含み、直接または間接的にネットワークや他のデバイスに接続できるすべての製品です。本社所在地にかかわらず、EU市場に製品を投入する場合に適用されます。EU域外で製造され、流通業者経由で間接的にEU市場に投入される場合も対象に含まれます。
- 規制名
- サイバーレジリエンス法(Cyber Resilience Act)
- 規則番号
- EU規則2024/2847
- 発効日
- 2024年12月10日
- 第14条施行
- 2026年9月11日(脆弱性・インシデント報告義務)
- 完全施行
- 2027年12月11日(EU市場の全製品に適用)
- 対象
- デジタル要素を含む製品のメーカー・輸入業者・流通業者
CRAは自社製品に適用されるか
対象は「デジタル要素を含む製品」(products with digital elements)です。具体的には、IoTセンサー、産業用PLC、通信モジュール、ファームウェアを含む家電製品、ソフトウェア製品、組込ソフトウェアを含む物理製品が含まれます。一部の医療機器、航空部品、自動車など、同等の要件を持つ分野別規制に従う製品は対象外です。
自社製品が対象に該当するかの判定には、CRA適用可否チェックツールをご利用ください。
製造業者・輸入業者・流通業者の義務
CRA上の役割により義務が異なります。自社の役割を最初に確定する必要があります。
製造業者(メーカー)
CRA第13条- サイバーセキュリティリスクアセスメントの実施・文書化
- 附属書VII技術文書の作成
- 適合性評価の実施
- EU適合宣言書の作成
- CEマーキングの貼付
- 第14条に基づく脆弱性報告義務(24時間/72時間/14日)
- 製品ライフタイム(最低5年)のセキュリティアップデート提供
輸入業者
CRA第19条- 上市前にCEマーキングが貼付されていることを確認
- 製造業者が適合性評価を実施し、技術文書を作成していることを確認
- 不適合製品を上市させない義務
- 不適合判明時の是正措置・リコール
- 市場監視当局からの照会への対応
流通業者
CRA第20条- 流通前にCEマーキングを確認
- 製造業者・輸入業者がCRA上の義務を履行していることを確認
- 不適合製品を流通させない義務
- 不適合判明時の是正措置・リコール
EU認定代理人(CRA第18条・任意)
EU域内に拠点を持たない製造業者は、CRA第18条第1項により書面委任で認定代理人を選任することができます。選任は任意です(MDR第11条・RED第5条のような義務規定はCRA本文に存在しません)。第18条第3項に定める文書保管・当局対応・是正措置協力をEU域内の単一窓口に集約する運用上の選択肢として位置付けられます。第18条第2項により、第13条の実体的なサイバーセキュリティ義務は委任対象から除外され、製造業者が最終責任主体として残ります。
製造業者が整備すべき7つの成果物
EU市場に製品を投入するために、CRAが製造業者に求める主要な成果物です。
- SBOM(ソフトウェア部品表):製品に含まれるすべてのソフトウェアコンポーネント、ライブラリ、依存関係のインベントリ。CycloneDXまたはSPDX形式。リリースごとに更新。
- 協調的脆弱性開示(CVD)ポリシーと公開連絡先:外部研究者からの脆弱性報告を受け付ける窓口と運用手順。
- 技術文書(附属書VII):製品設計、リスクアセスメント結果、セキュリティ対策、適合性評価記録を含む文書一式。
- EU適合宣言書:CRA要件への適合を製造業者が宣言する文書。
- CEマーキング:製品本体への貼付。
- ユーザー向けセキュリティ情報:製品が販売されるEU加盟国の公用語で提供。
- 第14条報告体制:積極的に悪用されている脆弱性とインシデントをENISAと関係する各国CSIRTに通報する社内プロセス(24時間/72時間/14日のタイムライン)。
CRAの主要な期限
規則発効
EU規則2024/2847が欧州連合官報(OJ)に掲載され、発効。本格的な義務適用までの準備期間が開始。
適合性評価機関に関する規定の適用開始
第32条に基づく認証機関(Notified Body)の指定プロセスに関する規定が適用開始。
第14条(脆弱性・インシデント報告義務)施行
製造業者に対し、積極的に悪用されている脆弱性および重大なインシデントをENISAおよび関係する各国CSIRTに通報する義務が発生。タイムラインは24時間(早期警告)/72時間(詳細通知)/14日(最終報告)。
CRA完全施行
EU市場に上市されるすべての製品に対し、附属書Iの必須サイバーセキュリティ要件、技術文書、EU適合宣言書、CEマーキングが必須となる。2027年12月11日以前に上市された製品には経過措置が適用。
違反時の制裁金と執行
制裁金(CRA第64条)
必須サイバーセキュリティ要件(附属書I)または製造業者の義務(第13条)の違反:最大1,500万ユーロ または 全世界年間売上高の2.5%(いずれか高い方)。
その他の義務の違反:最大1,000万ユーロ または 全世界年間売上高の2%。
不正確・不完全・誤解を招く情報を当局に提供した場合:最大500万ユーロ または 全世界年間売上高の1%。
執行はEUレベルで調整されており、ある加盟国の市場監視当局による決定は27か国すべてで効力を持ちます。当局は制裁金に加え、製品の市場投入禁止、EU市場からの強制撤退、エンドユーザーからの強制リコールを命じる権限を持ちます。
中小企業(SME)に対する取り扱い
CRAには中小企業向けの特別な経過措置がいくつか含まれています。第33条は加盟国に対し、中小企業(特にスタートアップ・マイクロ企業)への規制負担軽減のための支援措置を求めています。ただし、義務そのものの免除はありません。SMEであっても、SBOM、技術文書、EU適合宣言書、CEマーキング、脆弱性報告は必須です。前文(Recital)71はSMEへの罰則適用に際して、企業規模を考慮することを当局に求めています。
CE マーキング、RED、機械規則との重複
CRAは既存のCEマーキング要件に代わるものではなく、その上に義務的なサイバーセキュリティ要件を追加するものです。複数のEU規則の対象となる製品では、重複箇所を特定し、二重作業を回避する必要があります。
- 無線機器指令(RED)第3条3項(d)(e)(f):2025年8月発効のサイバーセキュリティ要件。無線製品についてはREDとCRAが大幅に重複しており、一つの技術評価で双方を満たすことができます。
- 機械規則(Machinery Regulation 2023/1230):2027年1月発効。安全関連の制御機能にサイバーセキュリティ要件が含まれ、IEC 62443が参照されています。CRAはソフトウェアコンポーネントに対して個別に適用されます。
- 医療機器規則(MDR):医療機器はCRAの適用範囲から大部分が除外されますが、同一メーカーの一般向けウェルネスや非医療製品に含まれるソフトウェアは除外されません。
- NIS2指令:製品(CRA)と組織のサイバーセキュリティ管理(NIS2)は別の規制スコープですが、重要インフラ事業者は両方への対応が必要です。
既存の日本認証とCRAのギャップ
JC-STAR★1はCRA要求事項の約30%をカバーします。既存認証を出発点にギャップを特定し、重複作業を避けます。