EU サイバーレジリエンス法 (CRA) の解説

EU サイバーレジリエンス法 (CRA) の概要

サイバーレジリエンス法 (CRA) の適用スケジュール

欧州サイバーレジリエンス法 (EU) 2024/2847の適用開始日は、2027年12月11日です。

ただし、第14条に規定される脆弱性の報告義務の要件については、全面適用に先立ち、2026年9月11日から適用されます。

サイバーレジリエンス法 (CRA) は、CEマーキングを要求する法令の一つになりますので、上記の期日以降は、CRAに対応しなければ、製品にCEマーキングを表示することはできません。

CRAの要求事項への対応には、多くの労力・時間が必要となりますので、早めに対応を開始することが推奨されます。サイバーレジリエンス法 (EU) 2024/2847の原文については、こちら（外部リンク）をご確認ください。

サイバーレジリエンス法 (CRA) の対象製品

欧州サイバーレジリエンス法は、デジタル要素を備えた製品であって、その意図された目的または合理的に予見可能な使用が、デバイスまたはネットワークへの直接的または間接的な、論理的または物理的なデータ接続を含むもの、に適用されます。

「デジタル要素を備えた製品」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションを指し、個別に上市されるソフトウェアまたはハードウェアのコンポーネントを含みます。

以上の定義から、何らかのデバイスやネットワークに接続される製品は、ほとんどがCRAの対象になると考えられます。

サイバーレジリエンス法 (CRA) の要求事項

デジタル要素を備えた製品を上市するために満足しなければならない必須サイバーセキュリティ要件には、以下の2つがあります。

• デジタル要素を備えた製品が満たすべき、附属書 I パート I の必須サイバーセキュリティ要件
  （デジタル要素を備えた製品の特性に関するサイバーセキュリティ要件）
• 製造者の実施するプロセスが満たすべき、附属書 I パート II の必須サイバーセキュリティ要件
  （脆弱性ハンドリング要件）

それぞれの要件の詳細は以下の通りです。

必須サイバーセキュリティ要件の詳細（クリックで開閉）

デジタル要素を備えた製品の特性に関するサイバーセキュリティ要件（附属書 I パート I）

1. デジタル要素を備えた製品は、リスクに基づき適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されること。
2. 該当する場合、サイバーセキュリティ・リスクアセスメントに基づいて、デジタル要素を備えた製品は、以下のようにすること。
   1. 既知の悪用可能な脆弱性がない状態で市場で利用可能にされること；
   2. 製品を初期状態にリセットする可能性を含め、デフォルト設定でセキュアな状態で、市場で利用可能にされること（カスタム製品に関して製造者とビジネスユーザとの間で別段の合意をした場合を除く）；
   3. セキュリティ・アップデートによって脆弱性に対処できるようにすること（適用可能な場合は、デフォルト設定で有効化され、明確で使いやすいオプトアウト・メカニズムを備えた、適切な期間内にインストールされる自動セキュリティ・アップデート、利用可能なアップデートのユーザへの通知、および一時的にアップデートを延期するオプションを含む）；
   4. 適切な制御メカニズム（認証、ID またはアクセス管理システムを含むがこれらに限定されない）により、不正アクセスからの保護を確実にし、不正アクセスの可能性について報告すること；
   5. 保存、送信、またはその他の方法で処理されたデータ（個人データを含む）の機密性を保護すること。（例えば、最先端のメカニズムによって保存中または転送時に関連データを暗号化し、その他の技術的手段を使用すること）；
   6. 保存、送信、またはその他の方法で処理されたデータ（個人データを含む）、コマンド、プログラム、および設定の完全性を、ユーザによって許可されていない操作または変更から保護し、破損（不正）について報告すること；
   7. 製品の意図された目的に関連し、適切で、関連性があり、必要なものに限定されたデータ（個人データを含む）のみを処理すること（データ最小化）；
   8. インシデント発生後においても、必要不可欠で基本的な機能の可用性を保護すること（サービス拒否攻撃に対するレジリエンスと緩和策を含む）；
   9. 製品自体または接続されたデバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える負の影響を最小限に抑えること；
   10. 攻撃対象領域（外部インターフェイスを含む）を制限にするように設計、開発、製造されること；
   11. 適切なエクスプロイト緩和メカニズムおよび技術を使用して、インシデントの影響を軽減するように設計、開発、製造されること；
   12. ユーザのためのオプトアウト・メカニズムを備えた、関連する内部活動（データ、サービスまたは機能へのアクセスまたは変更を含む）の記録および監視により、セキュリティ関連情報を提供すること；
   13. ユーザがすべてのデータおよび設定をセキュアかつ容易に永続的に削除できる可能性を提供し、そのようなデータを他の製品またはシステムに転送できる場合、これがセキュアな方法で行われることを保証すること。

脆弱性ハンドリング要件（附属書 I パート II）

デジタル要素を備えた製品の製造者は、以下のようにすること。

1. 製品に含まれる脆弱性とコンポーネントを特定し、文書化すること（少なくとも製品の最上位レベルの依存関係をカバーする、一般的に使用され、機械が読み取り可能な形式のソフトウェア部品表 (SBOM) を作成することを含む）；
2. 製品に及ぶリスクに関し、脆弱性を遅滞なく特定し是正措置を講じること（セキュリティ・アップデートの提供を含む）。技術的に可能な場合、新しいセキュリティ・アップデートは機能のアップデートとは別に提供すること；
3. 製品のセキュリティについて、効果的かつ定期的なテストとレビューを適用すること；
4. セキュリティ・アップデートが利用可能になった際、修正された脆弱性に関する情報（脆弱性の説明、影響を受ける製品をユーザが特定するための情報、脆弱性の影響、深刻度、ユーザが脆弱性を修正するのに役立つ明確でアクセス可能な情報を含む）を共有し、公開すること。
   正当な理由があり、公開によるセキュリティ上のリスクがセキュリティ上のメリットを上回ると製造者が判断した場合、ユーザに関連パッチを適用する可能性が与えられるまで、修正された脆弱性に関する情報の公開を遅らせることができる；
5. 協調的な脆弱性の開示に関する方針を定め、実施すること；
6. 製品およびその製品に含まれるサードパーティ・コンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置（製品で発見された脆弱性を報告するための連絡先の提供を含む）を講じること；
7. 脆弱性がタイムリーな方法で（セキュリティアップデートに適用可能な場合は、自動的な方法で）修正または緩和されるように、製品に対するアップデートを安全に配布するためのメカニズムを提供すること；
8. 特定されたセキュリティ問題に対処するためのセキュリティ・アップデートが利用可能である場合、そのアップデートを遅滞なく無料（カスタム製品に関して製造者とビジネスユーザとの間で別段の合意をした場合を除く）で、ユーザに関連情報（取るべき潜在的な措置を含む）を提供する助言のメッセージとともに配布すること。

製品の分類・クラスと適合性評価手続

デジタル要素を備えた製品の分類・クラス

CRAの対象となるデジタル要素を備えた製品は、以下のいずれかに分類され、選択可能な適合性評価手続（モジュール）は製品分類ごとに異なります。

製品の分類	分類の説明・製品カテゴリ
デジタル要素を備えた製品 （附属書 III, IV 以外）	下記のいずれにも該当しない製品
デジタル要素を備えた重要な製品 （附属書 III）クラスI	以下の製品カテゴリに該当するコア機能を有する製品 1. ID管理システムおよび特権アクセス管理ソフトウェア・ハードウェア 2. スタンドアロンおよび組み込みブラウザ 3. パスワードマネージャー 4. 悪意のあるソフトウェアを検知、削除、または隔離するソフトウェア 5. VPN機能を持つデジタル要素を備えた製品 6. ネットワーク管理システム 7. セキュリティ情報およびイベント管理 (SIEM) システム 8. ブートマネージャー 9. 公開鍵基盤およびデジタル証明書発行ソフトウェア 10. 物理および仮想ネットワークインターフェース 11. オペレーティングシステム 12. ルーター、インターネット接続用モデム、スイッチ 13. セキュリティ関連機能を持つマイクロプロセッサ 14. セキュリティ関連機能を持つマイコン 15. セキュリティ関連機能を持つASIC、FPGA 16. スマートホーム汎用バーチャルアシスタント 17. セキュリティ機能を備えたスマートホーム製品 18. 会話、撮影、位置追跡等の機能を持つインターネット接続玩具 19. 健康監視目的、または子供の使用を意図した個人用ウェアラブル製品
デジタル要素を備えた重要な製品 （附属書 III）クラスII	以下の製品カテゴリに該当するコア機能を有する製品 1. OS・類似環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステム 2. ファイアウォール、侵入検知および防止システム 3. 耐タンパー性マイクロプロセッサ 4. 耐タンパー性マイコン
デジタル要素を備えたクリティカルな製品 （附属書 IV）	以下の製品カテゴリに該当するコア機能を有する製品 1. セキュリティボックス付きハードウェアデバイス 2. スマートメータゲートウェイ、高度なセキュリティ目的のその他のデバイス 3. セキュアエレメントを含むスマートカード、類似のデバイス

附属書 III, IV の各製品カテゴリについての技術的説明（例示を含む）を規定する補足委任法は、2025年12月11日までに採択されます。該非の検討にあたっては、そちらの技術的説明も参照してください。

なお、附属書 III, IVの対象となる製品については、将来的に追加・削除・クラス変更等の見直しがなされる可能性がありますので、注意が必要です。

適合性評価手続（モジュール）

製造者は、附属書 I に規定される必須サイバーセキュリティ要求事項への適合性を実証する際、製品の分類に応じて、下表のいずれかの適合性評価手続を用いなければなりません。

附属書 III, IV に該当しない製品、または、附属書 III クラスI の重要な製品のうち整合規格等に全面的に適合できるものであれば、モジュールAに基づく内部管理、いわゆる自己適合宣言を選択することができます。

製品の分類	選択可能な適合性評価手続
デジタル要素を備えた製品 （附属書 III, IV 以外）	(a) 内部管理（モジュール A に基づく） (b) EU 型式審査（モジュール B に基づく）＋内部生産管理（モジュール C に基づく） (c) 完全品質保証（モジュール H に基づく） (d) 第27条(9)に従ったEUCCスキーム（利用・適用可能な場合）
デジタル要素を備えた重要な製品 （附属書 III）クラスI	・整合規格、共通仕様、または、‘substantial’ 以上の保証レベルの、第27条にいうEUCCスキームを適用していない、または部分的にしか適用していない、 または ・そのような整合規格、共通仕様、またはEUCCスキームが存在しない場合、 (a) EU 型式審査（モジュール B に基づく）＋内部生産管理（モジュール C に基づく） (b) 完全品質保証（モジュール H に基づく）
デジタル要素を備えた重要な製品 （附属書 III）クラスII	(a) EU 型式審査（モジュール B に基づく）＋内部生産管理（モジュール C に基づく） (b) 完全品質保証（モジュール H に基づく） (c) ‘substantial’ 以上の保証レベルの、第27条(9)に従ったEUCCスキーム（利用・適用可能な場合）
デジタル要素を備えたクリティカルな製品 （附属書 IV）	(a) 第8条(1)に従ったEUCCスキーム (b) 第8条(1)の条件を満たさない場合、附属書 III クラスII の製品が適用できるいずれかの手続

内部管理（自己適合宣言）の内容

製造者が内部管理に基づいて自己適合宣言をおこなう場合、以下の義務を履行する必要があります。

• デジタル要素を備えた製品および製造者の実施するプロセスが、必須サイバーセキュリティ要件を満足することを、自らの責任において保証し宣言すること。
• 技術文書を作成すること。
• 設計、開発、製造、脆弱性ハンドリングプロセスとその監視により、必須サイバーセキュリティ要件への適合を確保するために必要なあらゆる措置を講じること。
• 要求事項を満たす個々の製品にCEマーキングを貼付すること。
• 各製品について、書面によるEU適合宣言書を作成し、技術文書とともに、製品が上市されてから10年間またはサポート期間のいずれか長い方の期間、国家当局が入手可能としておくこと。EU適合宣言書は、それが対象とする製品を特定すること。 EU適合宣言書の写しは、要求に応じて関係当局に提供されること。

製造者の義務

デジタル要素を備えた製品を上市するためには、製造者は以下の義務を履行しなければなりません。

製造者の義務には、第13条に規定されているもの（2027年12月11日以降履行が必要）と、第14条に規定される脆弱性の報告義務（2026年9月11日以降履行が必要）があります。

製造者の義務 (第13条)

第13条に規定されている製造者の主な義務は、以下の通りです。

• 必須サイバーセキュリティ要件の順守
  • 製品がその特性に関するサイバーセキュリティ要件に従って設計、開発、製造されていることを保証すること。
• サイバーセキュリティ・リスクアセスメントの実施

詳細

• サイバーセキュリティ・リスクの最小化、インシデントの防止、及びその影響（ユーザの健康と安全に関するものを含む）の最小化を目的として、製品の計画、設計、開発、製造、引渡し及び保守の各段階において、アセスメントの結果を考慮すること。
• サイバーセキュリティ・リスクアセスメントは、サポート期間中、文書化され、適宜更新されるものとする。
• サイバーセキュリティ・リスクアセスメントは、少なくとも、運用環境又は保護されるべきアセットなど、製品の意図された目的及び合理的に予見可能な使用、並びに使用条件に基づくサイバーセキュリティ・リスクの分析から構成され、当該製品の使用想定期間を考慮しなければならない。
• サイバーセキュリティ・リスクアセスメントは、以下を示さなければならない。
  • 附属書 I パート I (2) のセキュリティ要件が製品に適用されるかどうか、また、適用される場合、どのように適用されるか。
  • サイバーセキュリティ・リスクアセスメントを踏まえて、これらの要件がどのように実装されるか。
  • 製造者が、附属書 I パート I (1) の要件と、附属書 I パート II の脆弱性ハンドリング要件をどのように適用するか。
• サイバーセキュリティ・リスクアセスメントは、技術文書に含めなければならない。

• コンポーネントに関する義務（デューデリジェンスの実施、脆弱性への対処）

詳細

• 第三者から調達したコンポーネントを製品に統合する際、そのコンポーネントが製品のサイバーセキュリティを損なわないよう、十分な注意を払う（デューデリジェンスを実施する）こと。
• 製品にデジタル要素として組み込まれているコンポーネントに脆弱性を発見した場合、その脆弱性を、当該コンポーネントを製造または保守する者に報告し、脆弱性ハンドリング要件に従って、その脆弱性に対処・是正すること。
• 当該コンポーネントの脆弱性を是正するためのソフトウェアまたはハードウェアの改変を開発した場合、当該コンポーネントを製造または保守する者に対し、適切な場合は機械可読形式で、関連するコードまたは文書を共有すること。

• サイバーセキュリティ側面の文書化
  • 製品に関するサイバーセキュリティの側面（自らが認識した脆弱性、第三者から提供された関連情報など）について、その性質およびリスクに見合った方法で体系的に文書化し、必要に応じてサイバーセキュリティ・リスクアセスメントを更新すること。

• サポート期間に関する義務

詳細

• サポート期間中、製品とそのコンポーネントの脆弱性が、脆弱性ハンドリング要件に従って、効果的に対処されるようにすること。
• 合理的なユーザの期待、製品の用途・性質等を考慮した、製品の想定使用期間が反映されるようにサポート期間を決定すること。
• サポート期間は少なくとも5年間（製品の想定使用期間が5年未満の場合は、想定使用期間）とする。
• 技術文書に、製品のサポート期間を決定する際に考慮した情報を記載すること。
• サポート期間中にユーザに提供された各セキュリティアップデートが、その発行後、最低 10 年間、またはサポート期間の残余期間のうちいずれか長い方の期間、引き続き利用可能とすること。
• 公開ソフトウェアアーカイブ（ユーザによる過去のバージョンへのアクセスを強化するもの）を維持する場合、サポート対象外のソフトウェアの使用に伴うリスクについて、容易にアクセスできる形でユーザに明確に知らせること。

• 技術文書・EU適合宣言書の作成

詳細

• 製品を上市する前に、技術文書を作成すること。
• 適合性評価手続により、製品・プロセスが必須サイバーセキュリティ要件に適合していると実証された場合、EU適合宣言書を作成し、CEマーキングを貼付すること。
• 製品が上市されてから10年間またはサポート期間のいずれか長い方の期間、技術文書およびEU適合宣言書を市場監視当局の要求に応じて提供できるように保管すること。

• 量産における適合性の保証

詳細

• 連続生産される製品がCRAに適合し続けるための手順を確立すること。
• 製品の開発および製造工程、あるいはその設計または特性における変更、ならびに、製品の適合性が宣言または検証される整合規格、EUCCスキーム、または共通仕様の変更を十分に考慮すること。

• 表示に関する義務

詳細

• 製品に、その識別を可能にする型式、ロット番号、シリアル番号、その他の要素を記載すること。それが不可能な場合は、その情報を製品の包装または同梱文書に記載すること。
• 製品、その包装、または同梱文書に、以下の情報を記載すること。
  • 製造者の名称、登録商標、または登録商号
  • 製造者に連絡できる住所、電子メールアドレス、またはその他のデジタル連絡先、および該当する場合は、ウェブサイト
• その情報は、附属書 II のユーザ向け情報・説明書にも記載すること。
• 連絡先情報は、ユーザおよび市場監視当局が容易に理解できる言語で表示すること。
• サポート期間の終了日（少なくとも月と年を含む）は、購入時に容易にアクセス可能な方法で明確かつ理解しやすい形で明示されること。適用可能な場合、製品上、その包装上、またはデジタル手段により表示すること。
• 製品の性質上技術的に実現可能な場合、ユーザに製品のサポート期間が終了した旨の通知を表示すること。

• 単一の連絡窓口の設置

詳細

• ユーザが製造者に直接かつ迅速に連絡を取れるよう、単一の連絡窓口を指定すること。（製品の脆弱性に関する報告を容易にする目的を含む）
• 単一の連絡窓口がユーザによって容易に識別できるようにすること。また、附属書 II のユーザ向け情報・説明書に、単一の連絡窓口を記載すること。
• 単一の連絡窓口は、ユーザが希望する連絡手段を選択できるようにし、その手段を自動化されたツールに限定しないこと。

• ユーザ向け情報・説明書に関する義務

詳細

• 製品に、附属書 II のユーザ向け情報・説明書を、紙または電子形式で添付すること。
• その情報・説明書は、ユーザおよび市場監視当局が容易に理解できる言語で提供されること。
• それらは、明確で、理解しやすく、かつ読みやすいものであること。それらは、製品のセキュアな導入、操作、および使用を可能にするものであること。
• 附属書 II のユーザ向け情報・説明書を、製品が上市されてから 10 年間またはサポート期間のうちいずれか長い方の期間、ユーザおよび市場監視当局が利用できるように保管すること。
• その情報・説明書がオンラインで提供される場合、製品が上市されてから 10 年間またはサポート期間のうちいずれか長い方の期間、それらがアクセス可能で、ユーザーフレンドリー、かつオンラインで入手可能にすること。

サイバーレジリエンス法 (CRA) の整合規格

適合性の推定

他のCEマーキング関連法令と同様、整合規格に適合した製品・プロセスは、その整合規格がカバーする範囲において、附属書 I の必須サイバーセキュリティ要件に適合しているものとみなされます。

整合規格のタイプ

サイバーレジリエンス法の整合規格には、以下の2種類があります。

• 水平規格 (Horizontal standards) - タイプA規格 / タイプB規格
  • 製品分野を限定せずに適用可能な、汎用的な枠組み・方法論等を提供する規格で、附属書 I の必須サイバーセキュリティ要件に対応。
• 垂直規格 (Vertical standards) - タイプC規格
  • 特定の製品カテゴリ（附属書 III, IV）のセキュリティ要件を定める規格。

附属書 III, IV に該当しない製品の場合は、基本となる3つの水平規格に適合することで、必須サイバーセキュリティ要件に対する適合が推定されると考えられます。

整合規格の策定スケジュール

CRA の最初の整合規格の策定スケジュールは、以下の通りとなっています。

規格番号・タイトル	対応する必須要件	採択期限
prEN 40000-1-2 Cybersecurity requirements for products with digital elements - Part 1-2: Principles for cyber resilience	附属書 I	2026年8月30日
prEN XXX（番号未定） Cybersecurity requirements for products with digital elements – Generic Security Requirements	附属書 I パート I (2)	2027年10月30日
prEN XXX（番号未定） Cybersecurity requirements for products with digital elements – Vulnerability Handling	附属書 I パート II	2026年8月30日
すべての垂直規格 （規格番号等については、一覧表（外部リンク）を参照。）	---	2026年10月30日

サイバーレジリエンス法 (CRA) に関する参考情報

外部リンク

サイバーレジリエンス法 (CRA) (EU) 2024/2487	サイバーレジリエンス法 (CRA) の原文を確認できます。
CEN, CENELEC and ETSI Work Programme M/606- Cyber Resilience Act	策定中の整合規格の一覧です。（2025年4月2日時点）