Japan
サイト内の現在位置
EUサイバーレジリエンス法(EU CRA法)が求める要件
NECセキュリティブログ―製品の製造者に求められる対応を整理する ―2026年6月5日
EU Cyber Resilience Act(EU CRA)
[1]は、EU市場で提供される「デジタル要素を含む製品」に対して、設計・開発から運用・保守までのライフサイクル全体にわたり、サイバーセキュリティ要件を義務付ける新たな規則です。本記事では、まず第一弾としてEU CRAの概要や適用範囲、対象製品の製造者に求められる主な義務について整理し、セキュリティエンジニアの視点から実務上のポイントを解説します。
目次
1 EU CRAの概要と適用範囲
1-1. EU CRAの概要
EU Cyber Resilience Act(EU CRA)は、EU市場に流通するハードウェアおよびソフトウェア製品のサイバーセキュリティ水準を底上げすることを目的としたEU規則(Regulation (EU) 2024/2847)[2]です。
「製品として安全であることを前提に市場へ提供する」という考え方が求められています。
本規則は2024年12月に発効しており、2026年9月11日に悪用されている脆弱性や重大なインシデントを認識した場合の報告義務が適用開始され、2027年12月11日から全面的に適用されるスケジュールとなります。
1-2. 適用範囲と対象となる製品
EU CRAは、「デジタル要素を含み、直接または間接的にネットワークや他の機器と接続される製品」を幅広く対象としています。
IoT機器、ネットワーク機器、組込みソフトウェアなどが含まれ、ネットワーク接続性を持つ製品であればEU CRAの適用対象となる可能性があります。
なお、一部のデジタル製品については例外が設けられています。(図1)
1-3. 適用対象者
EU CRAでは、製品に関わる主体として「製造者」「輸入者」「販売者」の3つの立場ごとに、それぞれ異なる義務が定められています。また、OSS管理者(open-source software stewards)にも一定の義務が課されます。中でも製造者は中心的な責任主体と位置付けられており、輸入者や販売者には確認義務や是正対応義務が求められます。
そのため、EU市場に製品を投入する企業は、自社がどの立場に該当するかを明確にしたうえで、必要な確認プロセスや対応体制を整備しておく必要があります。
| 主体 | 主な役割 |
| 製造者(Manufacturer) | EU CRAにおける中心的責任主体。製品のサイバーセキュリティ要件への適合、リスク評価、適合性評価、技術文書作成、EU適合宣言、CEマーキング、「悪用された脆弱性」や「重大インシデント」発生時の報告までを包括的に担う |
| 輸入者(Importer) | 製造者がCRA義務を果たしていること(CEマーキング、技術文書、EU適合宣言等)を確認し、不適合や重大なリスクを認識した場合は是正・当局通知を行う |
| 販売者(Distributor) | CEマーキングの有無や適切な流通管理を確認し、問題を把握した場合は販売停止・関係者への連絡を行う |
2 製造者に求められる主な義務
2-1. サイバーセキュリティ要件
EU CRAでは、製品の企画・設計・開発段階からANNEX I Part Iに定められた13のセキュリティ要件とPart IIに定められた8の脆弱性対応要件を満たす必要があり、「Security by Design」の考え方をもとに攻撃を被る機会を最小限に抑え、初期設定の状態から安全であることが求められます。
2-2. 脆弱性対応と報告義務
製品のリリース後も、脆弱性対応を継続する義務があります。
特に、悪用された脆弱性や重大なセキュリティインシデントについては、指定された「CSIRT」および「ENISA」に対して「認知してから24時間以内の早期警告」、「72時間以内の脆弱性通知およびインシデント通知」、「是正措置が利用可能になってから14日以内、または72時間通知の提出から1ヶ月以内に最終報告」を実施する必要があります。
この報告義務は、他の要件に先行して2026年9月11日から適用されるため、PSIRTの整備、受付窓口の明確化など、組織としての対応体制が重要となるとともに、「検知できない脆弱性は報告できない」ため、日常的な監視や情報収集の仕組みづくりが不可欠です。
2-3. 適合性評価とCEマーキング
製造者は、CRAに適合していることを確認した製品に対してCEマーキングを貼付し、EU市場で流通させます。CEマーキングは、単なる表示ではなく、「当該製品がEUの要求事項を満たしていることを製造者が責任をもって宣言する」制度的な意味を持ちます。
なお、適合の確認については、すべてのデジタル製品が一律に同じ適合性評価を求められるわけではなく、製品が持つサイバーセキュリティ上のリスクの大きさに応じて、適合性評価が区分されています。
一般的な製品では、製造者自身がCRA要求事項への適合性を評価し、自己宣言の形でCEマーキングを行うことが認められています。一方で、影響が大きいと想定される製品カテゴリについては、第三者機関(Notified Body)による適合性評価が求められる場合があります。さらに、CEマーキングの前提として、以下の文書類の整備も製造者の義務として定められています。
- 技術文書(Technical Documentation)
- EU適合宣言書(EU Declaration of Conformity)
- 適合性評価の根拠となる記録類
技術文書は、単なる規制対応資料ではなく、「自社製品のセキュリティ設計を説明できる設計書」として整備することが、重要となってきます。
おわりに
EU CRAは、EU市場における製品セキュリティの最低水準を引き上げる包括的な規則であり、製品・ソフトウェア開発に大きな影響を与えます。日本では、すでに「Security by Design」の重要性が認識されつつありましたが、今回の “セキュリティを前提とした開発”が法的に義務付けられたことで、改めてセキュリティ対策を根本的に考えられる契機となると考えます。また、EUの枠組みとしてスタートしますが、物流のグローバル化が進んでいることを鑑みると、今後世界中のメーカーや製造業者など広範囲に影響を与えるでしょう。特に国際的な事業展開においては、EU基準への対応が事実上の世界標準となる可能性もあります。
参考文献
- [1]Cyber Resilience Act | Shaping Europe’s digital futurehttps://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
- [2]Regulation (EU) 2024/2847https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
執筆者プロフィール
山下 莉央(やました りお)
担当領域:セキュリティ実装技術
専門分野:セキュリティ実装技術
セキュア開発のためのガイド整備や技術支援等を通じて、NECのセキュリティ提案・実装推進に従事。CISSPを保持。
執筆者の他の記事を読む
アクセスランキング