EUサイバーレジリエンス法（Cyber Resilience Act）

EUサイバーレジリエンス法（以下CRA）は、欧州連合が提唱する「デジタルインフラを保護するための法律および規制」であり、2022年9月に草案が提出され2024年10月に欧州理事会で採択されました。

2024年12月に発効され、2027年12月に全面適用が開始されます。

CRAは、その適合性を示す手段として 「製品上へのCEマーキングの貼付」 「CEマーキング適合宣言」 を要求しています。

よって2027年12月以降は、製品上のCEマーキングやCRAへの適合宣言（書）なしではEU内での販売・流通・納入ができなくなります。

　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　

　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　

　　 　 　 　 　 　 　 　 　 　 　 　　

　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　

　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　

　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　

■サイバーセキュリティ とは

情報及びシステムが 「不正な活動（アクセス・使用・開示・中断・変更・破壊など）」 から保護されており、

「機密性／完全性／可用性（※）の侵害に関連するリスクが、ライフサイクル全体を通して受容可能なレベルに維持されている状態」 のことを指します。

※「機密性 = Confidentiality」　「完全性 = Integrity」　「可用性 = Availability」

CRAは、EU域内で流通するデジタル製品の 「サイバーセキュリティ基準」 を大幅に強化しました。

EU市場へ進出する場合は、製品のライフサイクル全体に対しCRA要求に基づくセキュリティ対策が求められます。

CRAの主な要求は、SBOMやセキュリティリスクアセスメントの作成、それに伴うセキュリティ機能の実装、加えて脆弱性管理文書の作成や同社内体制の強化（PSIRTの構築）などです。

●SBOM（エスボム）

Software Bill of Materialsの略。　ソフトウェア部品表。

ソフトウェア製品に含まれるすべての構成要素とそれぞれの依存関係をリスト化したもの。　専用ツールやエクセルで作成します。

●PSIRT（ピーサート）

Product Security Incident Response Teamの略。

製品セキュリティインシデント対応チーム。

国ごとに構築されるCSIRTに対し、ここでは社内で構築する担当チームを指します。

SBOMは製品に含まれるソフトウェア部品とその供給源を特定し、サプライチェーンの透明性を高めるために不可欠です。　また、脆弱性に対しては、発見・報告・修正までのプロセスを迅速化し、製品のセキュリティリスクを低減する必要があります。

■CRA対象製品

CRAが対象とする製品範囲は広範囲に及びます。

デバイスやネットワークへ接続（直接／間接 を問わず）できる「デジタル要素を備えたすべての製品」 がCRAの対象となります。

※多くの「産業機械」や「工作機械」も上記条件に該当する為、CRAの対象となります。

CRA対象製品は、大きく4カテゴリに分類されます。

• 重要なデジタル製品（クラスⅠ）・・・・低リスク製品
• 重要なデジタル製品（クラスⅡ）・・・・高リスク製品
• 特に重要なデジタル製品  ・・・・・・・最もリスクの高い製品群
• 通常のデジタル製品・・・・・・・・・上記のいずれにも分類されない、デジタル要素を含む製品

重要なデジタル製品　　 Important Products with Digital Elements (AnnexⅢ)

クラスⅠ（低リスク） 第三者認証（EUCC／EN規格以外） ・生体認証リーダーを含む認証およびアクセス制御リーダーを含む、 アイデンティティ管理システムおよび特権アクセス管理ソフトウェアとハードウェア ・スタンドアロン型／組込型ブラウザ ・パスワードマネジャー ・マルウェア検知・削除・隔離ソフトウェア ・VPN機能を持つデジタル要素を備えた製品 ・ネットワーク管理システム ・SEIM（セキュリティ情報イベント管理）システム ・ブートマネジャー ・PKI（公開鍵暗号基盤）およびデジタル証明書発行ソフトウェア ・物理および仮想ネットワークインターフェース ・オペレーティングシステム ・インターネット接続用のルータ・モデム・スイッチ ・セキュリティ関連機能を備えたマイクロプロセッサ ・セキュリティ関連機能を備えたマイクロコントローラ ・セキュリティ関連機能を備えた特定用途向け集積回路ASICおよびFPGA ・スマートホーム向け汎用仮想アシスタント ・スマートドアロック・セキュリティカメラ・ベビーモニタリングシステム・警報システムなどの セキュリティ機能を備えたスマートホーム製品 ・欧州議会及び理事会指令2009/48/EC（1）の対象となるインターネット接続玩具で、 社会的インタラクティブ機能（例えば、会話や撮影）や位置追跡機能を備えているもの ・健康モニタリング（追跡など）を目的として人体に装着または着用され、 規則（EU）2017/745または（EU）2017/746が適用されない個人用ウェアラブル製品、 または子供が使用することを意図した個人用ウェアラブル製品

クラスⅡ（高リスク） 第三者認証 ・OSや同様の環境の仮想化を実施するためのハイパバイザー及びコンテナー・ランタム・システム ・ファイアウォール、侵入検知および防止システム ・耐タンパー性マイクロプロセッサ ・耐タンパー性マイクロコントローラ

特に重要なデジタル製品　　 Critical Products with Digital Elements（AnnexⅣ）

・セキュリティボックスを搭載したハードウェアデバイス ・欧州議会及び理事会指令（EU）2019/944第2条（23）に定義される スマートメーターシステム内のスマートメーターゲートウェイ、 及び安全な暗号処理を含む高度なセキュリティ目的のためのその他のデバイス スマートカードまたは類似のデバイス（セキュアエレメントを含む）

※対象とするデジタル製品が 「重要製品（クラスⅠ／クラスⅡ）」 または 「特に重要なデジタル製品」 に含まれていない場合は、「通常のデジタル製品」 に分類されます。

■製品分類 と 適合方法

製品分類		適合方法
①　「重要なデジタル製品」 「特に重要なデジタル製品」以外		自己適合宣言 （or　第三者認証）
②　 　　　重要なデジタル製品 ③	「クラスⅠ（低リスク）」 かつ EUCCや欧州整合規格に準拠していない場合	第三者認証
	「クラスⅡ（高リスク）」
④　　特に重要なデジタル製品

弊社では、CRAへの対応に対して 包括的 にご支援させていただきます。

• CRA基本セミナ（内容を貴社製品に特化して行います）
• CRA要求 vs 貴社現状　に対するギャップ分析
• セキュリティリスクアセスメント
• 製品開発プロセスの構築＆運用
• 脆弱性管理文書の作成＆PSIRT構築のサポート
• CRA適合に対する 「CEマーキング適合宣言」 「テクニカルファイルの構築」　など

自社の製品がCRA規制の対象かどうか不明な場合でも、是非お気軽にお問合せください。