EU サイバーレジリエンス法 (CRA) の解説
代表コンサルタント 大向勇太コンテンツ
EU サイバーレジリエンス法 (CRA) の概要
サイバーレジリエンス法 (CRA) の適用スケジュール
欧州サイバーレジリエンス法 (EU) 2024/2847の適用開始日は、2027年12月11日です。
ただし、第14条に規定される脆弱性の報告義務の要件については、全面適用に先立ち、2026年9月11日から適用されます。
サイバーレジリエンス法 (CRA) は、CEマーキングを要求する法令の一つになりますので、上記の期日以降は、CRAに対応しなければ、製品にCEマーキングを表示することはできません。
CRAの要求事項への対応には、多くの労力・時間が必要となりますので、早めに対応を開始することが推奨されます。サイバーレジリエンス法 (EU) 2024/2847の原文については、こちら(外部リンク)をご確認ください。
留意事項
当ウェブサイトに記載の内容は、当方の法令解釈に基づくものであり、内容についての責任は一切負いません。また、簡略化のために詳細な条件については記載していない場合があります。実際の適用にあたっては、必ず原文を確認の上で適用してください。
サイバーレジリエンス法 (CRA) の対象製品
欧州サイバーレジリエンス法は、デジタル要素を備えた製品であって、その意図された目的または合理的に予見可能な使用が、デバイスまたはネットワークへの直接的または間接的な、論理的または物理的なデータ接続を含むもの、に適用されます。
「デジタル要素を備えた製品」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションを指し、個別に上市されるソフトウェアまたはハードウェアのコンポーネントを含みます。
以上の定義から、何らかのデバイスやネットワークに接続される製品は、ほとんどがCRAの対象になると考えられます。
サイバーレジリエンス法の対象外となる製品
以下の製品には、サイバーレジリエンス法は適用されません。
- 以下の規則が適用される製品
- 規則 (EU) 2017/745(医療機器)
- 規則 (EU) 2017/746(体外診断用医療機器)
- 規則 (EU) 2019/2144(自動車の型式承認)
- 規則 (EU) 2018/1139(民間航空)に従って認証された製品
- 指令 2014/90/EU(舶用機器)の適用範囲にある製品
- 製品の同一部品を交換するために市販され、交換を意図する部品と同一の仕様に従って製造されたスペア部品
- 国家安全保障または防衛のためだけに開発または修正された製品、または、機密情報を処理するために特別に設計された製品
サイバーレジリエンス法 (CRA) の要求事項
デジタル要素を備えた製品を上市するために満足しなければならない必須サイバーセキュリティ要件には、以下の2つがあります。
- デジタル要素を備えた製品が満たすべき、附属書 I パート I の必須サイバーセキュリティ要件
(デジタル要素を備えた製品の特性に関するサイバーセキュリティ要件) - 製造者の実施するプロセスが満たすべき、附属書 I パート II の必須サイバーセキュリティ要件
(脆弱性ハンドリング要件)
既存のCEマーキング関連法令との相違点
従来、電気電子機器や産業機械にCEマーキングを付するためには、製品が関連法令の要求を満足することを示すだけで良かったのに対し、EU サイバーレジリエンス法では、製品に対する要求に加え、製造者に対してプロセス要件を課している点が特徴的です。
それぞれの要件の詳細は以下の通りです。
必須サイバーセキュリティ要件の詳細(クリックで開閉)
デジタル要素を備えた製品の特性に関するサイバーセキュリティ要件(附属書 I パート I)
- デジタル要素を備えた製品は、リスクに基づき適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されること。
- 該当する場合、サイバーセキュリティ・リスクアセスメントに基づいて、デジタル要素を備えた製品は、以下のようにすること。
- 既知の悪用可能な脆弱性がない状態で市場で利用可能にされること;
- 製品を初期状態にリセットする可能性を含め、デフォルト設定でセキュアな状態で、市場で利用可能にされること(カスタム製品に関して製造者とビジネスユーザとの間で別段の合意をした場合を除く);
- セキュリティ・アップデートによって脆弱性に対処できるようにすること(適用可能な場合は、デフォルト設定で有効化され、明確で使いやすいオプトアウト・メカニズムを備えた、適切な期間内にインストールされる自動セキュリティ・アップデート、利用可能なアップデートのユーザへの通知、および一時的にアップデートを延期するオプションを含む);
- 適切な制御メカニズム(認証、ID またはアクセス管理システムを含むがこれらに限定されない)により、不正アクセスからの保護を確実にし、不正アクセスの可能性について報告すること;
- 保存、送信、またはその他の方法で処理されたデータ(個人データを含む)の機密性を保護すること。(例えば、最先端のメカニズムによって保存中または転送時に関連データを暗号化し、その他の技術的手段を使用すること);
- 保存、送信、またはその他の方法で処理されたデータ(個人データを含む)、コマンド、プログラム、および設定の完全性を、ユーザによって許可されていない操作または変更から保護し、破損(不正)について報告すること;
- 製品の意図された目的に関連し、適切で、関連性があり、必要なものに限定されたデータ(個人データを含む)のみを処理すること(データ最小化);
- インシデント発生後においても、必要不可欠で基本的な機能の可用性を保護すること(サービス拒否攻撃に対するレジリエンスと緩和策を含む);
- 製品自体または接続されたデバイスが、他のデバイスまたはネットワークが提供するサービスの可用性に与える負の影響を最小限に抑えること;
- 攻撃対象領域(外部インターフェイスを含む)を制限にするように設計、開発、製造されること;
- 適切なエクスプロイト緩和メカニズムおよび技術を使用して、インシデントの影響を軽減するように設計、開発、製造されること;
- ユーザのためのオプトアウト・メカニズムを備えた、関連する内部活動(データ、サービスまたは機能へのアクセスまたは変更を含む)の記録および監視により、セキュリティ関連情報を提供すること;
- ユーザがすべてのデータおよび設定をセキュアかつ容易に永続的に削除できる可能性を提供し、そのようなデータを他の製品またはシステムに転送できる場合、これがセキュアな方法で行われることを保証すること。
脆弱性ハンドリング要件(附属書 I パート II)
デジタル要素を備えた製品の製造者は、以下のようにすること。
- 製品に含まれる脆弱性とコンポーネントを特定し、文書化すること(少なくとも製品の最上位レベルの依存関係をカバーする、一般的に使用され、機械が読み取り可能な形式のソフトウェア部品表 (SBOM) を作成することを含む);
- 製品に及ぶリスクに関し、脆弱性を遅滞なく特定し是正措置を講じること(セキュリティ・アップデートの提供を含む)。技術的に可能な場合、新しいセキュリティ・アップデートは機能のアップデートとは別に提供すること;
- 製品のセキュリティについて、効果的かつ定期的なテストとレビューを適用すること;
- セキュリティ・アップデートが利用可能になった際、修正された脆弱性に関する情報(脆弱性の説明、影響を受ける製品をユーザが特定するための情報、脆弱性の影響、深刻度、ユーザが脆弱性を修正するのに役立つ明確でアクセス可能な情報を含む)を共有し、公開すること。
正当な理由があり、公開によるセキュリティ上のリスクがセキュリティ上のメリットを上回ると製造者が判断した場合、ユーザに関連パッチを適用する可能性が与えられるまで、修正された脆弱性に関する情報の公開を遅らせることができる; - 協調的な脆弱性の開示に関する方針を定め、実施すること;
- 製品およびその製品に含まれるサードパーティ・コンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置(製品で発見された脆弱性を報告するための連絡先の提供を含む)を講じること;
- 脆弱性がタイムリーな方法で(セキュリティアップデートに適用可能な場合は、自動的な方法で)修正または緩和されるように、製品に対するアップデートを安全に配布するためのメカニズムを提供すること;
- 特定されたセキュリティ問題に対処するためのセキュリティ・アップデートが利用可能である場合、そのアップデートを遅滞なく無料(カスタム製品に関して製造者とビジネスユーザとの間で別段の合意をした場合を除く)で、ユーザに関連情報(取るべき潜在的な措置を含む)を提供する助言のメッセージとともに配布すること。
必須サイバーセキュリティ要件に対する適合性評価
実際に製品やプロセスが上記の必須サイバーセキュリティ要件に適合していることを確認する際は、通常、整合規格への準拠を通じておこなうことになります。したがって、今後発行される整合規格の内容を把握することがより重要となります。
製品の分類・クラスと適合性評価手続
デジタル要素を備えた製品の分類・クラス
CRAの対象となるデジタル要素を備えた製品は、以下のいずれかに分類され、選択可能な適合性評価手続(モジュール)は製品分類ごとに異なります。
| 製品の分類 | 分類の説明・製品カテゴリ |
| デジタル要素を備えた製品 (附属書 III, IV 以外) | 下記のいずれにも該当しない製品 |
| デジタル要素を備えた重要な製品 (附属書 III)クラスI | 以下の製品カテゴリに該当するコア機能を有する製品 1. ID管理システムおよび特権アクセス管理ソフトウェア・ハードウェア 2. スタンドアロンおよび組み込みブラウザ 3. パスワードマネージャー 4. 悪意のあるソフトウェアを検知、削除、または隔離するソフトウェア 5. VPN機能を持つデジタル要素を備えた製品 6. ネットワーク管理システム 7. セキュリティ情報およびイベント管理 (SIEM) システム 8. ブートマネージャー 9. 公開鍵基盤およびデジタル証明書発行ソフトウェア 10. 物理および仮想ネットワークインターフェース 11. オペレーティングシステム 12. ルーター、インターネット接続用モデム、スイッチ 13. セキュリティ関連機能を持つマイクロプロセッサ 14. セキュリティ関連機能を持つマイコン 15. セキュリティ関連機能を持つASIC、FPGA 16. スマートホーム汎用バーチャルアシスタント 17. セキュリティ機能を備えたスマートホーム製品 18. 会話、撮影、位置追跡等の機能を持つインターネット接続玩具 19. 健康監視目的、または子供の使用を意図した個人用ウェアラブル製品 |
| デジタル要素を備えた重要な製品 (附属書 III)クラスII | 以下の製品カテゴリに該当するコア機能を有する製品 1. OS・類似環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステム 2. ファイアウォール、侵入検知および防止システム 3. 耐タンパー性マイクロプロセッサ 4. 耐タンパー性マイコン |
| デジタル要素を備えたクリティカルな製品 (附属書 IV) | 以下の製品カテゴリに該当するコア機能を有する製品 1. セキュリティボックス付きハードウェアデバイス 2. スマートメータゲートウェイ、高度なセキュリティ目的のその他のデバイス 3. セキュアエレメントを含むスマートカード、類似のデバイス |
附属書 III, IV の各製品カテゴリについての技術的説明(例示を含む)を規定する補足委任法は、2025年12月11日までに採択されます。該非の検討にあたっては、そちらの技術的説明も参照してください。
なお、附属書 III, IVの対象となる製品については、将来的に追加・削除・クラス変更等の見直しがなされる可能性がありますので、注意が必要です。
適合性評価手続(モジュール)
製造者は、附属書 I に規定される必須サイバーセキュリティ要求事項への適合性を実証する際、製品の分類に応じて、下表のいずれかの適合性評価手続を用いなければなりません。
附属書 III, IV に該当しない製品、または、附属書 III クラスI の重要な製品のうち整合規格等に全面的に適合できるものであれば、モジュールAに基づく内部管理、いわゆる自己適合宣言を選択することができます。
| 製品の分類 | 選択可能な適合性評価手続 |
| デジタル要素を備えた製品 (附属書 III, IV 以外) | (a) 内部管理(モジュール A に基づく) (b) EU 型式審査(モジュール B に基づく)+内部生産管理(モジュール C に基づく) (c) 完全品質保証(モジュール H に基づく) (d) 第27条(9)に従ったEUCCスキーム(利用・適用可能な場合) |
| デジタル要素を備えた重要な製品 (附属書 III)クラスI | ・整合規格、共通仕様、または、‘substantial’ 以上の保証レベルの、第27条にいうEUCCスキームを適用していない、または部分的にしか適用していない、 または ・そのような整合規格、共通仕様、またはEUCCスキームが存在しない場合、 (a) EU 型式審査(モジュール B に基づく)+内部生産管理(モジュール C に基づく) (b) 完全品質保証(モジュール H に基づく) |
| デジタル要素を備えた重要な製品 (附属書 III)クラスII | (a) EU 型式審査(モジュール B に基づく)+内部生産管理(モジュール C に基づく) (b) 完全品質保証(モジュール H に基づく) (c) ‘substantial’ 以上の保証レベルの、第27条(9)に従ったEUCCスキーム(利用・適用可能な場合) |
| デジタル要素を備えたクリティカルな製品 (附属書 IV) | (a) 第8条(1)に従ったEUCCスキーム (b) 第8条(1)の条件を満たさない場合、附属書 III クラスII の製品が適用できるいずれかの手続 |
自社製品に他の製品を統合した場合の適合性評価手続
自社製品に、附属書 III, IV に規定される製品カテゴリに該当するコア機能を有する製品を統合した場合でも、その統合された製品自体が、当該製品カテゴリに適用される適合性評価手続の対象となるわけではありません。
内部管理(自己適合宣言)の内容
製造者が内部管理に基づいて自己適合宣言をおこなう場合、以下の義務を履行する必要があります。
- デジタル要素を備えた製品および製造者の実施するプロセスが、必須サイバーセキュリティ要件を満足することを、自らの責任において保証し宣言すること。
- 技術文書を作成すること。
- 設計、開発、製造、脆弱性ハンドリングプロセスとその監視により、必須サイバーセキュリティ要件への適合を確保するために必要なあらゆる措置を講じること。
- 要求事項を満たす個々の製品にCEマーキングを貼付すること。
- 各製品について、書面によるEU適合宣言書を作成し、技術文書とともに、製品が上市されてから10年間またはサポート期間のいずれか長い方の期間、国家当局が入手可能としておくこと。EU適合宣言書は、それが対象とする製品を特定すること。 EU適合宣言書の写しは、要求に応じて関係当局に提供されること。
サイバーレジリエンス法 (CRA) の整合規格
適合性の推定
他のCEマーキング関連法令と同様、整合規格に適合した製品・プロセスは、その整合規格がカバーする範囲において、附属書 I の必須サイバーセキュリティ要件に適合しているものとみなされます。
整合規格のタイプ
サイバーレジリエンス法の整合規格には、以下の2種類があります。
- 水平規格 (Horizontal standards) - タイプA規格 / タイプB規格
- 製品分野を限定せずに適用可能な、汎用的な枠組み・方法論等を提供する規格で、附属書 I の必須サイバーセキュリティ要件に対応。
- 垂直規格 (Vertical standards) - タイプC規格
- 特定の製品カテゴリ(附属書 III, IV)のセキュリティ要件を定める規格。
附属書 III, IV に該当しない製品の場合は、基本となる3つの水平規格に適合することで、必須サイバーセキュリティ要件に対する適合が推定されると考えられます。
整合規格の策定スケジュール
CRA の最初の整合規格の策定スケジュールは、以下の通りとなっています。
| 規格番号・タイトル | 対応する必須要件 | 採択期限 |
| prEN XXX(番号未定) Cybersecurity requirements for products with digital elements - Principles for cyber resilience | 附属書 I | 2026年8月30日 |
| prEN XXX(番号未定) Cybersecurity requirements for products with digital elements – Generic Security Requirements | 附属書 I パート I (2) | 2027年10月30日 |
| prEN XXX(番号未定) Cybersecurity requirements for products with digital elements – Vulnerability Handling | 附属書 I パート II | 2026年8月30日 |
| すべての垂直規格 (規格番号等については、一覧表(外部リンク)を参照。) | --- | 2026年10月30日 |
CRA への対応開始時期について
整合規格の発行を待ってから対応の準備を始めるのでは、CRAの適用開始までに対応が完了できない可能性が高くなりますので、着手できるところから前もって対応を開始することが推奨されます。
サイバーレジリエンス法 (CRA) に関する参考情報
外部リンク
| サイバーレジリエンス法 (CRA) (EU) 2024/2487 | サイバーレジリエンス法 (CRA) の原文を確認できます。 |
| CEN, CENELEC and ETSI Work Programme M/606- Cyber Resilience Act | 策定中の整合規格の一覧です。(2025年4月2日時点) |
