EU サイバーレジリエンス法 (CRA) の整合規格
代表コンサルタント 大向勇太サイバーレジリエンス法 (CRA) の整合規格
本ページでは、EU サイバーレジリエンス法 (CRA) の整合規格について解説しています。CRA全般についての解説は、下記のページを参照してください。
EU サイバーレジリエンス法 (CRA) の解説
EU サイバーレジリエンス法 (CRA) の概要 サイバーレジリエンス法 (CRA) の適用スケジュール 欧州サイバーレジリエンス法 (EU) 2024/2847の適用開始日は、2027年12月11日…
株式会社レグソル 
適合性の推定
他のCEマーキング関連法令と同様、整合規格に適合した製品・プロセスは、その整合規格がカバーする範囲において、附属書 I の必須サイバーセキュリティ要件に適合しているものとみなされます。
整合規格のタイプ
サイバーレジリエンス法の整合規格には、以下の2種類があります。
- 水平規格 (Horizontal standards) - タイプA規格 / タイプB規格
- 製品分野を限定せずに適用可能な、汎用的な枠組み・方法論等を提供する規格で、附属書 I の必須サイバーセキュリティ要件に対応。
- 垂直規格 (Vertical standards) - タイプC規格
- 特定の製品カテゴリ(附属書 III, IV)のセキュリティ要件を定める規格。
附属書 III, IV に該当しない製品の場合は、基本となる3つの水平規格に適合することで、必須サイバーセキュリティ要件に対する適合が推定されると考えられます。
整合規格の策定スケジュール
CRA の最初の整合規格の策定スケジュールは、以下の通りとなっています。
| 規格番号・タイトル | 対応する必須要件 | 採択期限 |
| prEN 40000-1-2 (WI No. JT013089) Cybersecurity requirements for products with digital elements - Part 1-2: Principles for cyber resilience | 附属書 I | 2026年8月30日 |
| prEN XXX(番号未定)(WI No. JT013091) Cybersecurity requirements for products with digital elements – Generic Security Requirements | 附属書 I パート I (2) | 2027年10月30日 |
| prEN XXX(番号未定)(WI No. JT013090) Cybersecurity requirements for products with digital elements – Vulnerability Handling | 附属書 I パート II | 2026年8月30日 |
| すべての垂直規格 (規格番号等については、一覧表(外部リンク)を参照。) | --- | 2026年10月30日 |
また、整合規格ではありませんが、以下の関連規格が存在します。
| 規格番号・タイトル |
| prEN 40000-1-1 (WI No. JT013095) Cybersecurity requirements for products with digital elements - Part 1-1: Vocabulary |
| prEN TR XXX(番号未定)(WI No. JT013097) Cybersecurity requirements for products with digital elements – Threats and Security Objectives |
CRA への対応開始時期について
整合規格の発行を待ってから対応の準備を始めるのでは、CRAの適用開始までに対応が完了できない可能性が高くなりますので、着手できるところから前もって対応を開始することが推奨されます。
DRAFT prEN 40000-1-2 (WI No. JT013089) の概要
DRAFT prEN 40000-1-2 は、サイバーレジリエンスの原則について規定した規格の草案であり、大きく分けると以下の箇条に分かれています。
- サイバーセキュリティの原則(Clause 5)
- リスクマネジメントの要素(Clause 6)
- サイバーセキュリティ活動(Clause 7)
DRAFT の記載内容について
ここに記載している内容は正式発行前のDRAFT規格のものであり、今後内容が変更になる可能性がありますので、ご注意ください。
サイバーセキュリティの原則(Clause 5)
ここでは、サイバーセキュリティ原則に関する情報として、
- リスクベースのアプローチ
- セキュリティ・バイ・デザイン
- セキュア・バイ・デフォルト
- 透明性
についての説明が記載されています。
これらは参考情報であり、本規格の規定を構成しません。
規定は、Clause 6 および Cluase 7 の箇条に記載されています。
リスクマネジメントの要素(Clause 6)
この箇条には、製品ライフサイクルの全フェーズに適用可能な、サイバーセキュリティ・リスクマネジメント要素の要求事項が記載されています。
リスクマネジメントには、以下の行為が含まれます。
- 製品コンテキストの確立(6.2)
- リスク受容基準の確立(6.3)
- リスクアセスメントの実施(6.4)
- リスクに対する適切な対応(6.5)
- 残留リスクの伝達(6.6)
- リスクマネジメントの見直し(6.7)
CRAへの適合を宣言するためには、製品に対して、これらの箇条の規定に基づいたリスクマネジメントを実施しなければなりません。
サイバーセキュリティ活動(Clause 7)
この箇条は、製品のメーカーが実施しなければならない、製品ライフサイクルにおけるサイバーセキュリティ活動の要求事項を規定しています。
サイバーセキュリティ活動には、Clause 6 のリスクマネジメントに加え、以下が含まれます。
- 製品のサイバーセキュリティ計画(7.2)
- 製品のサイバーセキュリティ要件(7.3)
- サイバーセキュリティアーキテクチャと設計(7.4)
- セキュアな実装(7.5)
- サイバーセキュリティの検証と妥当性確認(7.6)
- セキュアな製造と配布(7.7)
- サイバーセキュリティ問題管理(7.8)
- 製品監視(7.9)
- セキュアな廃棄計画(7.10)
- サードパーティ製コンポーネントのサイバーセキュリティ管理(7.11)
CRAへの適合を宣言するためには、製造者は、これらの活動を各箇条の要求に従って実施し、文書化をおこなう必要があります。
他の整合規格との関係
製品のサイバーセキュリティ要件(7.3)では、製品コンテキストやリスクアセスメントの結果等に基づいて、製品に適用する管理策を決定します。WI No. JT013091 は、具体的な管理策を特定するための整合規格として、この活動において利用することになりそうです。
一方、脆弱性ハンドリングの整合規格 WI No. JT013090 は、サイバーセキュリティ問題管理(7.8)および製品監視(7.9)の活動に関係します。これらの活動で発見・対処される脆弱性は、当該規格に従って処理することになります。
