欧州サイバーレジリエンス法(CRA)は、2024年12月10日に発効し、主要な規定は段階的に適用され、2027年12月11日からCRAが全面的に適用されます。この法律は、すべての「デジタル要素を含む製品」に対してサイバーセキュリティ要件を課すものです。
しかし、製造業やソフトウェア開発に携わる方からはこんな声が多く聞かれます。
- 「自社の製品は対象なのか?」
- 「どこまでが規制の範囲に入るのか」
- 「ハードだけ?ソフトだけ?どちらも対象?」
そこで本記事では、CRAの対象製品かどうかを見極めるステップを、専門家の視点からわかりやすく整理しました。
- ステップ1:欧州市場に上市(販売)する予定がある|Article 2(1)
- ステップ2:製品に「デジタル要素」が含まれている|Article 3(1)
- ステップ3:他のEU法規(医療機器規則、自動車規則など)が適用がない|Article 2(2)、2(3)、2(4)
- ステップ4:軍事・国家安全保障向け製品ではない|Article 2(7)
- ステップ5:SaaSや非営利目的のOSSではない|序文((12)、(18))
- ステップ6:施行後に新たに上市する製品である(既に市場にある製品ではない)
- ステップ7:製品のリスク分類 ― どの審査が必要かを決める
- 最後に(実務上の注意)
ステップ1:欧州市場に上市(販売)する予定がある|Article 2(1)
CRAは「欧州市場に投入される製品(商用活動で提供する製品)」に適用されます。
- 欧州域内で製造・販売している場合
- EU外で製造されてもEUに輸入される場合
👉 日本企業でも、EUに製品を輸出するなら必ず対応が必要になります。
ステップ2:製品に「デジタル要素」が含まれている|Article 3(1)
CRAの最大の特徴は「デジタル要素を含む製品」and「ネットワークまたは他の機器と直接/間接にデータ通信する機能を持つ製品」が対象になることです。
ここでいう「デジタル要素」とは次のようなものです。
- 消費者向け:スマート家電、ウェアラブル、スマートフォンなど
- 産業用:PLC、産業用ゲートウェイ、センサーなど
- ソフトウェア:OS、ミドルウェア、セキュリティ関連ソフト、通信アプリケーション
👉 「デジタル要素の無い製品」(例:冷蔵庫(Wi-Fiなし)、完全なアナログ機器)は対象外です。完全にオフラインで、ネットワーク接続機能も将来一切想定されない、USBポート等もない機器の場合は、CRA対象外の可能性が高いです。
ステップ3:他のEU法規(医療機器規則、自動車規則など)が適用がない|Article 2(2)、2(3)、2(4)
すべてのデジタル製品が対象になるわけではありません。CRAには除外規定があります。
特定のEU法規(例:医療機器、体外診断用医療機器、自動車、民間航空機器、舶用機器等)が適用される場合、CRAは適用除外になります。
- 医療機器規則(Regulation (EU) 2017/745)
- 体外診断用医療機器規則(Regulation (EU) 2017/746)
- 自動車型式認証の一般規則(Regulation (EU) 2019/2144)
- 民間航空分野の一般規則(Regulation (EU) 2018/1139)
- 海事装備(Directive 2014/90/EU)
👉 「他のEU規制ですでにカバーされている製品」はCRAの適用外になる可能性があります。
- 製品が他のEU法でカバーされるか、他法とCRAのどちらが優先かについては、専門家に確認すること。
ステップ4:軍事・国家安全保障向け製品ではない|Article 2(7)
👉 軍事・国家安全保障目的の製品、またはその利用のために特に設計された製品は除外です。
ステップ5:SaaSや非営利目的のOSSではない|序文((12)、(18))
👉 SaaSのようにサービス形態が異なる場合や、非営利目的で公開されているオープンソースソフトウェア(OSS)についても、CRAの直接的な製品規制の対象外となる場合が多い。
ステップ6:施行後に新たに上市する製品である(既に市場にある製品ではない)
- CRA は施行日(主に2027年11月11日 )以降に市場に出す製品に適用されます。既に適法に市場に出ている製品は遡及的に自動でCRA対象にはならないが、“実質的改変(substantial modification)”を行って再度市場に出す場合、CRAの対象になります。
- ソフトウェア更新で想定外に「意図目的が変わる」「危険性/リスクレベルが上がる」等は実質的改変となり得ます。
- 実質的改変を行った者(改変者)は「製造者」とみなされ、製造者義務を負う可能性があります
ステップ7:製品のリスク分類 ― どの審査が必要かを決める
重要な製品(Class 1 / Class 2)|Annex III
サイバーセキュリティ上重要な「デジタル要素を含む製品」を分類し、リスクに応じて クラス 1 と クラス 2 に分けています。
重要なクラス 1の製品|Important Products Class I
- 対象:幅広く利用されるデジタル製品や部品
- 例:
- オペレーティングシステム、、スマートホーム製品、ネットワーク接続可能な玩具など
- ルーター
- スマートホーム製品
- ネットワーク接続可能な玩具
- 一般的なマイコンや IoT デバイス
- ユーザーやインフラと広く関わるため 基礎的なセキュリティ水準 を確保する。
1. 生体認証リーダーを含む認証及びアクセス制御リーダーを含むID管理システム並びに特権アクセス管理ソフトウェア及びハードウェア
2. スタンドアロン及び組み込みブラウザ
3. パスワードマネージャ
4. マルウェアの検知、削除、隔離を行うソフトウェア
5. VPN機能を持つデジタル製品
6. ネットワーク管理システム
7. セキュリティ情報・イベント管理(SIEM)システム
8. ブートマネージャ
9. 公開鍵基盤及び電子証明書発行ソフトウェア
10. 物理的及び仮想的なネットワークインターフェース
11. オペレーティングシステム(OS)
12. ルーター、インターネット接続用モデム、スイッチ
13. セキュリティ関連機能を持つマイクロプロセッサ
14. セキュリティ関連機能を持つマイクロコントローラ
15. セキュリティ関連機能を持つ特定用途向け集積回路(ASIC)及びフィールドプログラマブルゲートアレイ(FPGA)
16. 汎用スマートホームバーチャルアシスタント
17. スマートドアロック、防犯カメラ、ベビーモニタリングシステム、警報システム等、セキュリティ機能を備えたスマートホーム製品
18. Directive 2009/48/EC of the European Parliament and of the Councilの対象となるインターネットに接続された玩具で、ソーシャルインタラクティブ機能(会話や撮影等)を有するもの、又は位置追跡機能を有するもの。
19. 健康監視(トラッキング等)を目的とし、Regulation (EU) 2017/745 又は (EU) No 2017/746が適用されない、人体に装着又は装着される個人用ウェアラブル製品、又は子供による使用及び子供のための使用を意図した個人用ウェアラブル製品
重要なクラス 2の製品|Important Products Class II
- 対象:重要・機微な環境で利用される製品
- 例:
- ハイパーバイザ
- コンテナランタイム
- ファイアウォール
- IDS/IPS(侵入検知・防御システム)
- 改ざん耐性を持つマイクロプロセッサ/マイコン
- 特徴:産業や重要インフラなど 高リスク環境 に用いられるため、
より厳格な適合性評価(Conformity Assessment)が要求される。
1. オペレーティングシステム及び類似環境の仮想化実行をサポートするハイパーバイザー及びコンテナランタイムシステム
2. ファイヤウォール、侵入検知・防止システム
3. 耐タンパー性マイクロプロセッサ
4. 耐タンパー性マイクロコントローラ
特に重要な製品(Critical Products)|Annex IV
- 最も高いサイバーセキュリティ保証を必要とする製品群
- セキュリティボックス搭載ハードウェア
(機微なデータや処理を安全に行うための専用環境) - スマートメーターゲートウェイ
(EU 指令 2019/944 に基づくエネルギーインフラ機器) - スマートカード・セキュアイレメント
(認証・暗号処理・機密取引の保護に必須)
- セキュリティボックス搭載ハードウェア
通常のデジタル製品(Annex IIIとAnnex IV以外の製品)
Annex IIIとAnnex IVのいずれにも分類されないデジタル要素を含む製品
適合性評価(自己適合宣言と第三者認証)の違い
| 実証方法 | 手続き | 製品の重要性 | |||
|---|---|---|---|---|---|
| 通常の製品 | 重要な製品 | 非常に重要な 製品 | |||
| クラスI | クラスII | ||||
| 自己適合宣言 | Module A(内部生産管理) | 〇 | △ | – | – |
| 第三者認証 | Module B&C(EU型式試験および内部生産管理に基づくEU型式への適合) | 〇 | 〇 | 〇 | △ |
| Module H(完全品質保証に基づく適合) | 〇 | 〇 | 〇 | △ | |
| サイバーセキュリティ認証制度(EUCC) | 〇 | 〇 | 〇 | 〇 | |
凡例:〇 適用可能、 △ 他の手続きをとることができない場合、適用可能、- 適用対象外
適合性評価モジュール
Module A:内部管理(Internal Control)
- 内容:メーカー自身が内部で適合性を確認する。
- 対象:リスクの低い製品(主に 通常のデジタル製品)。
- 特徴:最も簡便な方法で、第三者認証は不要。
Module B & C:EU型式審査 + 適合性管理
- Module B(EU Type Examination)
公認機関による型式審査(製品設計段階の審査)。 - Module C(Conformity to Type)
承認済み型式に基づき、製造された製品が適合しているか確認。 - 対象:中程度のリスク製品(Class I / Class II)。
- 特徴:メーカーと外部機関の両方が関与する中間的手続き。
Module H:完全品質保証(Full Quality Assurance)
- 内容:メーカーの 品質管理システム全体 を対象に、外部機関が評価。
- 対象:高リスク・特に重要な製品(Class II / Annex IV)。
- 特徴:最も厳格で、長期的な管理・審査が必要。
欧州サイバーセキュリティ認証制度
- Annex IV の「特に重要な製品」では、
可能な場合 EU サイバーセキュリティ認証スキーム を利用。 - これにより、最高度のセキュリティ保証を提供する。
事例
- スマート冷蔵庫(Wi-Fi付き):Class I → 自己評価で対応可能
- 工場向け制御システム:Class II → 第三者審査が必要
👉 リスク分類を誤ると「想定外の審査コスト」や「販売差し止め」のリスクに直結する。早期に分類判定を行い、開発段階から準備がのぞましいです。
最後に(実務上の注意)
- まずは“製品ごと”に判定を行ってください。一自社の製品群であっても、製品ごとに接続性・用途が違えば判定も変わります。
- 全記録(ドキュメンテーション):後の適合評価や市場監視対応において、なぜ「対象」または「対象外」と判断したかの根拠を残すことが重要です。
- 疑義が残る場合は速やかに外部専門家に相談。特に「他法との関係(例:MDR, type-approval)」や「実質的改変の判断」は影響が大きいので早めに確認を。
MSDコンサルティング
コメント