私は対象ですか?
製品にソフトウェアまたはファームウェアが含まれており、EU諸国のいずれかに販売している場合、対象となる可能性が高いです。適用チェッカーで確認してください。
CRAが自社製品に適用されるか確認する →あなたの役割:メーカーか輸入業者か?
EU流通業者や輸入業者を通じて販売している場合でも、2027年以降の発注前にコンプライアンス文書を契約上要求されます。
CRAが要求する文書
- SBOM — 製品に含まれるすべてのソフトウェアコンポーネントの完全なインベントリ
- 脆弱性開示プロセスおよび公開コンタクトポイント
- 製品設計とセキュリティ対策を文書化した技術文書
- EU適合宣言(EU DoC)
- 製品へのCEマーキング
- 必要なEU市場言語でのユーザー説明書
継続的な義務
- 出荷済みコンポーネントに影響する新しいCVEのモニタリング
- 製品ライフタイム(最低5年)にわたるセキュリティアップデートの提供
- 積極的に悪用されている脆弱性が発見された場合、24時間以内にENISAに通知
- セキュリティインシデント報告:24時間早期警告、72時間完全通知、30日最終レポート
主要用語
役立つ無料ツール
- SyftおよびCdxgen — コードベースまたはコンテナからのSBOM生成
- Trivy — コンポーネントのCVEスキャン
- OSV.dev — パッケージ名とバージョンによるCVEルックアップ