EU サイバーレジリエンス法 (CRA) の解説

2025年9月1日 2025年11月7日

代表コンサルタント大向勇太

コンテンツ

1 EU サイバーレジリエンス法 (CRA) の概要
2 製品の分類・クラスと適合性評価手続
3 製造者の義務
4 サイバーレジリエンス法 (CRA) に関する参考情報

EU サイバーレジリエンス法 (CRA) の概要

サイバーレジリエンス法 (CRA) の適用スケジュール

欧州サイバーレジリエンス法 (EU) 2024/2847の適用開始日は、2027年12月11日です。

ただし、第14条に規定される脆弱性の報告義務の要件については、全面適用に先立ち、2026年9月11日から適用されます。

サイバーレジリエンス法 (CRA) は、CEマーキングを要求する法令の一つになりますので、上記の期日以降は、CRAに対応しなければ、製品にCEマーキングを表示することはできません。

CRAの要求事項への対応には、多くの労力・時間が必要となりますので、早めに対応を開始することが推奨されます。サイバーレジリエンス法 (EU) 2024/2847の原文については、こちら（外部リンク）をご確認ください。

留意事項

当ウェブサイトに記載の内容は、当方の法令解釈に基づくものであり、内容についての責任は一切負いません。また、簡略化のために詳細な条件については記載していない場合があります。実際の適用にあたっては、必ず原文を確認の上で適用してください。

サイバーレジリエンス法 (CRA) の対象製品

欧州サイバーレジリエンス法は、デジタル要素を備えた製品であって、その意図された目的または合理的に予見可能な使用が、デバイスまたはネットワークへの直接的または間接的な、論理的または物理的なデータ接続を含むもの、に適用されます。

「デジタル要素を備えた製品」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションを指し、個別に上市されるソフトウェアまたはハードウェアのコンポーネントを含みます。

以上の定義から、何らかのデバイスやネットワークに接続される製品は、ほとんどがCRAの対象になると考えられます。

サイバーレジリエンス法の対象外となる製品

以下の製品には、サイバーレジリエンス法は適用されません。

以下の規則が適用される製品
- 規則 (EU) 2017/745（医療機器）
- 規則 (EU) 2017/746（体外診断用医療機器）
- 規則 (EU) 2019/2144（自動車の型式承認）
規則 (EU) 2018/1139（民間航空）に従って認証された製品
指令 2014/90/EU（舶用機器）の適用範囲にある製品
製品の同一部品を交換するために市販され、交換を意図する部品と同一の仕様に従って製造されたスペア部品
国家安全保障または防衛のためだけに開発または修正された製品、または、機密情報を処理するために特別に設計された製品

サイバーレジリエンス法 (CRA) の要求事項

デジタル要素を備えた製品を上市するために満足しなければならない必須サイバーセキュリティ要件には、以下の2つがあります。

デジタル要素を備えた製品が満たすべき、附属書 I パート I の必須サイバーセキュリティ要件
（デジタル要素を備えた製品の特性に関するサイバーセキュリティ要件）
製造者の実施するプロセスが満たすべき、附属書 I パート II の必須サイバーセキュリティ要件
（脆弱性ハンドリング要件）

既存のCEマーキング関連法令との相違点

従来、電気電子機器や産業機械にCEマーキングを付するためには、製品が関連法令の要求を満足することを示すだけで良かったのに対し、EU サイバーレジリエンス法では、製品に対する要求に加え、製造者に対してプロセス要件を課している点が特徴的です。

それぞれの要件の詳細は以下の通りです。

必須サイバーセキュリティ要件の詳細（クリックで開閉）

デジタル要素を備えた製品の特性に関するサイバーセキュリティ要件（附属書 I パート I）

デジタル要素を備えた製品は、リスクに基づき適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されること。
該当する場合、サイバーセキュリティ・リスクアセスメントに基づいて、デジタル要素を備えた製品は、以下のようにすること。
1. 既知の悪用可能な脆弱性がない状態で市場で利用可能にされること；
2. 製品を初期状態にリセットする可能性を含め、デフォルト設定でセキュアな状態で、市場で利用可能にされること（カスタム製品に関して製造者とビジネスユーザとの間で別段の合意をした場合を除く）；
3. セキュリティ・アップデートによって脆弱性に対処できるようにすること（適用可能な場合は、デフォルト設定で有効化され、明確で使いやすいオプトアウト・メカニズムを備えた、適切な期間内にインストールされる自動セキュリティ・アップデート、利用可能なアップデートのユーザへの通知、および一時的にアップデートを延期するオプションを含む）；
4. 適切な制御メカニズム（認証、ID またはアクセス管理システムを含むがこれらに限定されない）により、不正アクセスからの保護を確実にし、不正アクセスの可能性について報告すること；
5. 保存、送信、またはその他の方法で処理されたデータ（個人データを含む）の機密性を保護すること。（例えば、最先端のメカニズムによって保存中または転送時に関連データを暗号化し、その他の技術的手段を使用すること）；
6. 保存、送信、またはその他の方法で処理されたデータ（個人データを含む）、コマンド、プログラム、および設定の完全性を、ユーザによって許可されていない操作または変更から保護し、破損（不正）について報告すること；
7. 製品の意図された目的に関連し、適切で、関連性があり、必要なものに限定されたデータ（個人データを含む）のみを処理すること（データ最小化）；
8. インシデント発生後においても、必要不可欠で基本的な機能の可用性を保護すること（サービス拒否攻撃に対するレジリエンスと緩和策を含む）；
9. 製品自体または接続されたデバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える負の影響を最小限に抑えること；
10. 攻撃対象領域（外部インターフェイスを含む）を制限にするように設計、開発、製造されること；
11. 適切なエクスプロイト緩和メカニズムおよび技術を使用して、インシデントの影響を軽減するように設計、開発、製造されること；
12. ユーザのためのオプトアウト・メカニズムを備えた、関連する内部活動（データ、サービスまたは機能へのアクセスまたは変更を含む）の記録および監視により、セキュリティ関連情報を提供すること；
13. ユーザがすべてのデータおよび設定をセキュアかつ容易に永続的に削除できる可能性を提供し、そのようなデータを他の製品またはシステムに転送できる場合、これがセキュアな方法で行われることを保証すること。

脆弱性ハンドリング要件（附属書 I パート II）

デジタル要素を備えた製品の製造者は、以下のようにすること。

製品に含まれる脆弱性とコンポーネントを特定し、文書化すること（少なくとも製品の最上位レベルの依存関係をカバーする、一般的に使用され、機械が読み取り可能な形式のソフトウェア部品表 (SBOM) を作成することを含む）；
製品に及ぶリスクに関し、脆弱性を遅滞なく特定し是正措置を講じること（セキュリティ・アップデートの提供を含む）。技術的に可能な場合、新しいセキュリティ・アップデートは機能のアップデートとは別に提供すること；
製品のセキュリティについて、効果的かつ定期的なテストとレビューを適用すること；
セキュリティ・アップデートが利用可能になった際、修正された脆弱性に関する情報（脆弱性の説明、影響を受ける製品をユーザが特定するための情報、脆弱性の影響、深刻度、ユーザが脆弱性を修正するのに役立つ明確でアクセス可能な情報を含む）を共有し、公開すること。
正当な理由があり、公開によるセキュリティ上のリスクがセキュリティ上のメリットを上回ると製造者が判断した場合、ユーザに関連パッチを適用する可能性が与えられるまで、修正された脆弱性に関する情報の公開を遅らせることができる；
協調的な脆弱性の開示に関する方針を定め、実施すること；
製品およびその製品に含まれるサードパーティ・コンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置（製品で発見された脆弱性を報告するための連絡先の提供を含む）を講じること；
脆弱性がタイムリーな方法で（セキュリティアップデートに適用可能な場合は、自動的な方法で）修正または緩和されるように、製品に対するアップデートを安全に配布するためのメカニズムを提供すること；
特定されたセキュリティ問題に対処するためのセキュリティ・アップデートが利用可能である場合、そのアップデートを遅滞なく無料（カスタム製品に関して製造者とビジネスユーザとの間で別段の合意をした場合を除く）で、ユーザに関連情報（取るべき潜在的な措置を含む）を提供する助言のメッセージとともに配布すること。

必須サイバーセキュリティ要件に対する適合性評価

実際に製品やプロセスが上記の必須サイバーセキュリティ要件に適合していることを確認する際は、通常、整合規格への準拠を通じておこなうことになります。したがって、今後発行される整合規格の内容を把握することがより重要となります。

サイバーレジリエンス法の整合規格については、以下のページで解説しています。

製品の分類・クラスと適合性評価手続

デジタル要素を備えた製品の分類・クラス

CRAの対象となるデジタル要素を備えた製品は、以下のいずれかに分類され、選択可能な適合性評価手続（モジュール）は製品分類ごとに異なります。

製品の分類	分類の説明・製品カテゴリ
デジタル要素を備えた製品（附属書 III, IV 以外）	下記のいずれにも該当しない製品
デジタル要素を備えた重要な製品（附属書 III）クラスI	以下の製品カテゴリに該当するコア機能を有する製品 1. ID管理システムおよび特権アクセス管理ソフトウェア・ハードウェア 2. スタンドアロンおよび組み込みブラウザ 3. パスワードマネージャー 4. 悪意のあるソフトウェアを検知、削除、または隔離するソフトウェア 5. VPN機能を持つデジタル要素を備えた製品 6. ネットワーク管理システム 7. セキュリティ情報およびイベント管理 (SIEM) システム 8. ブートマネージャー 9. 公開鍵基盤およびデジタル証明書発行ソフトウェア 10. 物理および仮想ネットワークインターフェース 11. オペレーティングシステム 12. ルーター、インターネット接続用モデム、スイッチ 13. セキュリティ関連機能を持つマイクロプロセッサ 14. セキュリティ関連機能を持つマイコン 15. セキュリティ関連機能を持つASIC、FPGA 16. スマートホーム汎用バーチャルアシスタント 17. セキュリティ機能を備えたスマートホーム製品 18. 会話、撮影、位置追跡等の機能を持つインターネット接続玩具 19. 健康監視目的、または子供の使用を意図した個人用ウェアラブル製品
デジタル要素を備えた重要な製品（附属書 III）クラスII	以下の製品カテゴリに該当するコア機能を有する製品 1. OS・類似環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステム 2. ファイアウォール、侵入検知および防止システム 3. 耐タンパー性マイクロプロセッサ 4. 耐タンパー性マイコン
デジタル要素を備えたクリティカルな製品（附属書 IV）	以下の製品カテゴリに該当するコア機能を有する製品 1. セキュリティボックス付きハードウェアデバイス 2. スマートメータゲートウェイ、高度なセキュリティ目的のその他のデバイス 3. セキュアエレメントを含むスマートカード、類似のデバイス

附属書 III, IV の各製品カテゴリについての技術的説明（例示を含む）を規定する補足委任法は、2025年12月11日までに採択されます。該非の検討にあたっては、そちらの技術的説明も参照してください。

なお、附属書 III, IVの対象となる製品については、将来的に追加・削除・クラス変更等の見直しがなされる可能性がありますので、注意が必要です。

適合性評価手続（モジュール）

製造者は、附属書 I に規定される必須サイバーセキュリティ要求事項への適合性を実証する際、製品の分類に応じて、下表のいずれかの適合性評価手続を用いなければなりません。

附属書 III, IV に該当しない製品、または、附属書 III クラスI の重要な製品のうち整合規格等に全面的に適合できるものであれば、モジュールAに基づく内部管理、いわゆる自己適合宣言を選択することができます。

製品の分類	選択可能な適合性評価手続
デジタル要素を備えた製品（附属書 III, IV 以外）	(a) 内部管理（モジュール A に基づく） (b) EU 型式審査（モジュール B に基づく）＋内部生産管理（モジュール C に基づく） (c) 完全品質保証（モジュール H に基づく） (d) 第27条(9)に従ったEUCCスキーム（利用・適用可能な場合）
デジタル要素を備えた重要な製品（附属書 III）クラスI	・整合規格、共通仕様、または、‘substantial’ 以上の保証レベルの、第27条にいうEUCCスキームを適用していない、または部分的にしか適用していない、または・そのような整合規格、共通仕様、またはEUCCスキームが存在しない場合、 (a) EU 型式審査（モジュール B に基づく）＋内部生産管理（モジュール C に基づく） (b) 完全品質保証（モジュール H に基づく）
デジタル要素を備えた重要な製品（附属書 III）クラスII	(a) EU 型式審査（モジュール B に基づく）＋内部生産管理（モジュール C に基づく） (b) 完全品質保証（モジュール H に基づく） (c) ‘substantial’ 以上の保証レベルの、第27条(9)に従ったEUCCスキーム（利用・適用可能な場合）
デジタル要素を備えたクリティカルな製品（附属書 IV）	(a) 第8条(1)に従ったEUCCスキーム (b) 第8条(1)の条件を満たさない場合、附属書 III クラスII の製品が適用できるいずれかの手続

自社製品に他の製品を統合した場合の適合性評価手続

自社製品に、附属書 III, IV に規定される製品カテゴリに該当するコア機能を有する製品を統合した場合でも、その統合された製品自体が、当該製品カテゴリに適用される適合性評価手続の対象となるわけではありません。

内部管理（自己適合宣言）の内容

製造者が内部管理に基づいて自己適合宣言をおこなう場合、以下の義務を履行する必要があります。

デジタル要素を備えた製品および製造者の実施するプロセスが、必須サイバーセキュリティ要件を満足することを、自らの責任において保証し宣言すること。
技術文書を作成すること。
設計、開発、製造、脆弱性ハンドリングプロセスとその監視により、必須サイバーセキュリティ要件への適合を確保するために必要なあらゆる措置を講じること。
要求事項を満たす個々の製品にCEマーキングを貼付すること。
各製品について、書面によるEU適合宣言書を作成し、技術文書とともに、製品が上市されてから10年間またはサポート期間のいずれか長い方の期間、国家当局が入手可能としておくこと。EU適合宣言書は、それが対象とする製品を特定すること。 EU適合宣言書の写しは、要求に応じて関係当局に提供されること。

製造者の義務

デジタル要素を備えた製品を上市するためには、製造者は以下の義務を履行しなければなりません。

製造者の義務には、第13条に規定されているもの（2027年12月11日以降履行が必要）と、第14条に規定される脆弱性の報告義務（2026年9月11日以降履行が必要）があります。

製造者の義務 (第13条)

第13条に規定されている製造者の主な義務は、以下の通りです。

必須サイバーセキュリティ要件の順守
- 製品がその特性に関するサイバーセキュリティ要件に従って設計、開発、製造されていることを保証すること。
サイバーセキュリティ・リスクアセスメントの実施

詳細

サイバーセキュリティ・リスクの最小化、インシデントの防止、及びその影響（ユーザの健康と安全に関するものを含む）の最小化を目的として、製品の計画、設計、開発、製造、引渡し及び保守の各段階において、アセスメントの結果を考慮すること。
サイバーセキュリティ・リスクアセスメントは、サポート期間中、文書化され、適宜更新されるものとする。
サイバーセキュリティ・リスクアセスメントは、少なくとも、運用環境又は保護されるべきアセットなど、製品の意図された目的及び合理的に予見可能な使用、並びに使用条件に基づくサイバーセキュリティ・リスクの分析から構成され、当該製品の使用想定期間を考慮しなければならない。
サイバーセキュリティ・リスクアセスメントは、以下を示さなければならない。
- 附属書 I パート I (2) のセキュリティ要件が製品に適用されるかどうか、また、適用される場合、どのように適用されるか。
- サイバーセキュリティ・リスクアセスメントを踏まえて、これらの要件がどのように実装されるか。
- 製造者が、附属書 I パート I (1) の要件と、附属書 I パート II の脆弱性ハンドリング要件をどのように適用するか。
サイバーセキュリティ・リスクアセスメントは、技術文書に含めなければならない。

コンポーネントに関する義務（デューデリジェンスの実施、脆弱性への対処）

詳細

第三者から調達したコンポーネントを製品に統合する際、そのコンポーネントが製品のサイバーセキュリティを損なわないよう、十分な注意を払う（デューデリジェンスを実施する）こと。
製品にデジタル要素として組み込まれているコンポーネントに脆弱性を発見した場合、その脆弱性を、当該コンポーネントを製造または保守する者に報告し、脆弱性ハンドリング要件に従って、その脆弱性に対処・是正すること。
当該コンポーネントの脆弱性を是正するためのソフトウェアまたはハードウェアの改変を開発した場合、当該コンポーネントを製造または保守する者に対し、適切な場合は機械可読形式で、関連するコードまたは文書を共有すること。

サイバーセキュリティ側面の文書化
- 製品に関するサイバーセキュリティの側面（自らが認識した脆弱性、第三者から提供された関連情報など）について、その性質およびリスクに見合った方法で体系的に文書化し、必要に応じてサイバーセキュリティ・リスクアセスメントを更新すること。

サポート期間に関する義務

詳細

サポート期間中、製品とそのコンポーネントの脆弱性が、脆弱性ハンドリング要件に従って、効果的に対処されるようにすること。
合理的なユーザの期待、製品の用途・性質等を考慮した、製品の想定使用期間が反映されるようにサポート期間を決定すること。
サポート期間は少なくとも5年間（製品の想定使用期間が5年未満の場合は、想定使用期間）とする。
技術文書に、製品のサポート期間を決定する際に考慮した情報を記載すること。
サポート期間中にユーザに提供された各セキュリティアップデートが、その発行後、最低 10 年間、またはサポート期間の残余期間のうちいずれか長い方の期間、引き続き利用可能とすること。
公開ソフトウェアアーカイブ（ユーザによる過去のバージョンへのアクセスを強化するもの）を維持する場合、サポート対象外のソフトウェアの使用に伴うリスクについて、容易にアクセスできる形でユーザに明確に知らせること。

技術文書・EU適合宣言書の作成

詳細

製品を上市する前に、技術文書を作成すること。
適合性評価手続により、製品・プロセスが必須サイバーセキュリティ要件に適合していると実証された場合、EU適合宣言書を作成し、CEマーキングを貼付すること。
製品が上市されてから10年間またはサポート期間のいずれか長い方の期間、技術文書およびEU適合宣言書を市場監視当局の要求に応じて提供できるように保管すること。

量産における適合性の保証

詳細

連続生産される製品がCRAに適合し続けるための手順を確立すること。
製品の開発および製造工程、あるいはその設計または特性における変更、ならびに、製品の適合性が宣言または検証される整合規格、EUCCスキーム、または共通仕様の変更を十分に考慮すること。

表示に関する義務

詳細

製品に、その識別を可能にする型式、ロット番号、シリアル番号、その他の要素を記載すること。それが不可能な場合は、その情報を製品の包装または同梱文書に記載すること。
製品、その包装、または同梱文書に、以下の情報を記載すること。
- 製造者の名称、登録商標、または登録商号
- 製造者に連絡できる住所、電子メールアドレス、またはその他のデジタル連絡先、および該当する場合は、ウェブサイト
その情報は、附属書 II のユーザ向け情報・説明書にも記載すること。
連絡先情報は、ユーザおよび市場監視当局が容易に理解できる言語で表示すること。
サポート期間の終了日（少なくとも月と年を含む）は、購入時に容易にアクセス可能な方法で明確かつ理解しやすい形で明示されること。適用可能な場合、製品上、その包装上、またはデジタル手段により表示すること。
製品の性質上技術的に実現可能な場合、ユーザに製品のサポート期間が終了した旨の通知を表示すること。

単一の連絡窓口の設置

詳細

ユーザが製造者に直接かつ迅速に連絡を取れるよう、単一の連絡窓口を指定すること。（製品の脆弱性に関する報告を容易にする目的を含む）
単一の連絡窓口がユーザによって容易に識別できるようにすること。また、附属書 II のユーザ向け情報・説明書に、単一の連絡窓口を記載すること。
単一の連絡窓口は、ユーザが希望する連絡手段を選択できるようにし、その手段を自動化されたツールに限定しないこと。

ユーザ向け情報・説明書に関する義務

詳細

製品に、附属書 II のユーザ向け情報・説明書を、紙または電子形式で添付すること。
その情報・説明書は、ユーザおよび市場監視当局が容易に理解できる言語で提供されること。
それらは、明確で、理解しやすく、かつ読みやすいものであること。それらは、製品のセキュアな導入、操作、および使用を可能にするものであること。
附属書 II のユーザ向け情報・説明書を、製品が上市されてから 10 年間またはサポート期間のうちいずれか長い方の期間、ユーザおよび市場監視当局が利用できるように保管すること。
その情報・説明書がオンラインで提供される場合、製品が上市されてから 10 年間またはサポート期間のうちいずれか長い方の期間、それらがアクセス可能で、ユーザーフレンドリー、かつオンラインで入手可能にすること。

脆弱性の報告義務 (第14条)

デジタル要素を備えた製品の製造者は、
・製品に存在する実際に悪用されている脆弱性
・製品のセキュリティに影響を与える重大なインシデント
について、これらを認識した場合には、速やかに通知をおこなうことが求められます。

要求されている各通知の詳細は、以下の通りです。

実際に悪用されている脆弱性に関する通知
- いつ：製品に存在する実際に悪用されている脆弱性を認識した時点で
- 誰に：コーディネータとして指定されたCSIRTと、ENISAに
- どうやって：第16条に基づき設立された単一の報告プラットフォームを通じて
- 何を：下表を参照

通知の種類	通知の条件・内容
(a) 早期警告通知	・不当な遅延なく、実際に悪用されている脆弱性を認識してから24時間以内に提出すること。・該当する場合、その製品が利用可能とされていると認識している領域に含まれる加盟国を示すこと。
(b) 脆弱性通知	・不当な遅滞なく、実際に悪用されている脆弱性を認識してから72時間以内に提出すること。・以下のそれぞれについて、入手可能な一般的情報を提供すること。　　・デジタル要素を備えた製品　　・エクスプロイト（悪用）および脆弱性の一般的性質　　・講じた是正措置または緩和措置　　・ユーザの講じることができる是正措置または緩和措置・該当する場合、通知した情報がどの程度機微なものであると考えているか、を示すこと。
(c) 最終報告	・是正措置または緩和措置が利用可能になってから14 日以内に提出すること。・少なくとも以下の事項を含むこと。　　(i) 脆弱性の説明（その深刻度および影響を含む）　　(ii) 入手可能な場合、脆弱性を悪用した、または悪用している悪意ある行為者に関する情報　　(iii) 脆弱性を修正するために提供されたセキュリティアップデートまたはその他の是正措置の詳細。

製品のセキュリティに影響を与える重大なインシデントに関する通知
- いつ：製品のセキュリティに影響を与える重大なインシデントを認識した時点で
- 誰に：コーディネータとして指定されたCSIRTと、ENISAに
- どうやって：第16条に基づき設立された単一の報告プラットフォームを通じて
- 何を：下表を参照

通知の種類	通知の条件・内容
(a) 早期警告通知	・不当な遅延なく、重大なインシデントを認識してから24時間以内に提出すること。・インシデントが不法行為または悪意ある行為によって引き起こされた疑いがあるかどうかを少なくとも含めること。・該当する場合、その製品が利用可能とされていると認識している領域に含まれる加盟国を示すこと。
(b) インシデント通知	・不当な遅滞なく、重大なインシデントを認識してから72時間以内に提出すること。・以下のそれぞれについて、入手可能な一般的情報を提供すること。　　・インシデントの性質　　・インシデントの初期評価　　・講じた是正措置または緩和措置　　・ユーザの講じることができる是正措置または緩和措置・該当する場合、通知した情報がどの程度機微なものであると考えているか、を示すこと。
(c) 最終報告	・(b)に基づくインシデント通知の提出から1ヶ月以内に提出すること。・少なくとも以下の事項を含むこと。　　(i) インシデントの詳細説明（その深刻度および影響を含む）　　(ii) インシデントの引き金となったと思われる脅威または根本原因のタイプ　　(iii) 適用され、継続中の緩和措置

「重大なインシデント」の定義

製品のセキュリティに影響を及ぼすインシデントは、次のいずれかに該当する場合に「重大なインシデント」とみなされます。

(a) 機微または重要なデータもしくは機能の可用性、真正性、完全性、または機密性を保護する製品の能力に悪影響を及ぼす、またはその可能性のあるインシデント
(b) 製品自体または製品ユーザのネットワークおよび情報システムに、悪意のあるコードが導入または実行される結果となった、またはその可能性のあるインシデント

ユーザに対する通知
- いつ：実際に悪用されている脆弱性、または、製品のセキュリティに影響を与える重大なインシデントを認識したとき
- 誰に：影響を受けるユーザに（適切な場合は、すべてのユーザに）
- 何を：その脆弱性またはインシデントについて（必要に応じて、その脆弱性またはインシデントの影響を軽減するためにユーザが実施できるリスク軽減措置および是正措置について）
- どのように：構造化された、機械で読み取り可能かつ容易に自動処理可能な形式で

サイバーレジリエンス法 (CRA) に関する参考情報

外部リンク

サイバーレジリエンス法 (CRA) (EU) 2024/2487	サイバーレジリエンス法 (CRA) の原文を確認できます。
CEN, CENELEC and ETSI Work Programme M/606- Cyber Resilience Act	策定中の整合規格の一覧です。（2025年4月2日時点）