サイバーレジリエンス法｜第1章〜第8章の解説と日本企業への影響（No.3）

EUのCyber Resilience Act（CRA：サイバーレジリエンス法）は、2025年1月に発効し、今や単なる「法規制」ではなく、デジタル製品・サービスを提供する企業にとって市場競争力を左右する基盤ルールとなりつつあります。

特に第4章〜第8章は、経営者や管理者が理解しておくべき「制度の運用方法」「当局の監視体制」「罰則や移行スケジュール」に関わる重要部分です。この記事では、第1章から第8章までを整理しつつ、最新の統計・実務的影響・日本企業が取るべきアクションを交えて詳しく解説します。

第1章：一般規定（General Provisions）
第2章：事業者の義務
1. 製造者の主な義務
2. 報告義務
第3章：適合性評価とCEマーキング
第4章：Notified Bodyの役割と企業への影響
第5章：市場監視と執行（Market Surveillance）
第6章：委任法・実施法（Delegated & Implementing Acts）
第7章：機密保持と罰則
第8章：移行措置と施行スケジュール
まとめ
参考情報

第1章：一般規定（General Provisions）

主題と目的（Article 1）

CRAは、デジタル要素を含む製品のライフサイクル全体にわたるサイバーセキュリティ確保を目的としています。

設計・開発・運用・廃棄まで一貫したセキュリティ要件を課す
EU市場での信頼ある自由流通を保証する

出典：European Commission, Cyber Resilience Act (2024)

適用範囲（Article 2）

IoT機器、ソフトウェア、工業用制御システム（ICS）、さらにはAIを含む製品まで幅広く対象
国家安全保障や軍事分野は例外

定義（Article 3）

「経済事業者」＝製造者、輸入者、販売業者
「クリティカル製品」＝Annex IVに分類される高リスク製品（例：クラウドサービス、OS、パスワード管理ツールなど）

第2章：事業者の義務

CRAは、製造者に従来以上に厳格な責任を課しています。

製造者の主な義務

リスクアセスメントの実施と継続的更新
セキュリティアップデートの提供（最低5年間、推奨10年間）
SBOM（ソフトウェア部品表）の整備
OSS利用時の脆弱性管理

報告義務

脆弱性報告：発見後24時間以内に初期通知、72時間以内に詳細報告、14日以内に最終報告
重大インシデント報告：24時間以内に通知、1か月以内に完全報告

報告先は加盟国のCSIRT＋ENISA。遅延すれば罰則対象に。

第3章：適合性評価とCEマーキング

適合性の推定

調和標準に準拠していれば「適合」と推定
標準が不足する場合、欧州委員会が**共通仕様（Common Specifications）**を策定

EU適合宣言（DoC）

製造者が自ら責任を負い、適合宣言を作成・署名・公開
顧客・投資家への透明性を示す「信頼証」

CEマーキングの基本原則

製品やパッケージに明示、ソフトウェアはWeb表示可
不正使用は当局が摘発

第4章：Notified Bodyの役割と企業への影響

Notified Body（NB）＝EU認定の適合性評価機関

高度なセキュリティ専門性・独立性を持つことが必須
EU加盟国が定期監査を実施

注意点：
日本企業が誤ったNBを選定すると、製品投入が数か月以上遅れるケースも報告されています。設計段階からNBと協力し、認証リードタイムを短縮する戦略が不可欠です。

第5章：市場監視と執行（Market Surveillance）

市場監視当局（MSA）が、販売後も製品を監督します。

不適合製品は修正・撤去・リコール命令対象
ENISAや各国データ保護当局と連携して監査

日本企業にとって、販売後の監視体制構築（自主レビュー・リコール体制）が競争力維持の必須条件となります。

第6章：委任法・実施法（Delegated & Implementing Acts）

CRAは動的に変化する規制です。

クリティカル製品リストの更新
報告義務の拡大
CEマーキング様式変更の可能性

企業は「一度適合したら終わり」ではなく、継続的モニタリング体制を確立する必要があります。

第7章：機密保持と罰則

営業秘密や顧客データを厳格保護
違反罰則：最大1,500万ユーロ、または全世界売上高の2.5％

GDPRと比較しても高額で、サイバーインシデント公表がブランド価値に直撃します。
実務的には「監査証跡を残し、いつでも当局に提示できる体制」が求められます。

第8章：移行措置と施行スケジュール

2026年6月：Notified Body指定開始
2026年9月：報告・文書義務スタート
2027年12月：完全施行

既存製品は原則適用外ですが、大幅改修時は再評価必須。

まとめ

CRA対応は「法令遵守」ではなく、以下のように経営戦略の一部とすべきです：

市場参入の条件 → Notified Body連携
ブランド信頼性の確保 → 市場監視対応と透明性
財務リスク回避 → 機密保持・罰則回避
長期競争力の確保 → 移行スケジュールを活用

CRAは「負担」ではなく、信頼と競争優位を獲得する武器です。

参考情報

公式EU CRAページ：EU Cyber Resilience Act
ENISAガイドライン（IoTセキュリティ）：ENISA IoT Security Guidelines 2024

MSDコンサルタント