適用スケジュール
欧州サイバーレジリエンス法(CRA)は 2024年12月10日 に発効しました。対象は、ソフトウェアを含むほとんどのデジタル製品で、EU市場に投入するには新しいセキュリティ要件を満たす必要があります。
適用開始スケジュールは以下のとおりです。
- 2026年6月11日~
適合性評価機関(ノーティファイドボディ)の通知制度が運用開始。第三者評価を受ける製品カテゴリでは早めの調整が必要。 - 2026年9月11日~
製造業者は、積極的に悪用されている脆弱性 や 重大なセキュリティインシデント をENISA等に報告する義務が発生。インシデント対応体制が必須。 - 2027年12月11日~
その他すべての条項が全面適用。対象製品をEU市場に出すにはCRA適合が前提条件となる。
主な要求事項
製品設計・開発段階
- セキュリティ・バイ・デザインを徹底
- ソースコードの静的解析・動的解析の導入
- 既知の脆弱性を含まないOSSライブラリ管理(SBOM:ソフトウェア部品表の作成)
- 認証・暗号化・アクセス制御を設計段階で実装
技術文書(Technical File)の整備
- 製品ごとに以下を文書化し、少なくとも10年間保管する必要あり:
- 脅威分析とリスク評価の結果
- 設計仕様、試験報告書、脆弱性テスト結果
- セキュリティアップデート手順
脆弱性管理と報告義務
- 脆弱性発見時のフローを整備
- 社内報告 → 影響分析 → 修正パッチ作成 → ユーザー通知 → ENISA報告
- CVE(Common Vulnerabilities and Exposures)への登録や社内トラッキング体制を準備
サプライチェーン管理
- 部品・モジュールの供給元に対し、セキュリティ要件を契約条項に追加
- 供給者からSBOM提供を受ける仕組みを構築
- 外部ベンダーの更新ポリシーを確認し、製品ライフサイクル全体でのセキュリティ対応を確保
適合性評価
- 製品カテゴリによって以下が必要:
- 自己適合宣言(モジュールA):低リスク製品
- 第三者評価(ノーティファイドボディによる審査):高リスク製品(例:重要なインフラ機器)
実務者向けチェックリスト(抜粋)
- 自社製品がCRAの適用範囲に入るか確認済み
- SBOMを作成し、更新手順を確立
- 脆弱性スキャンとペネトレーションテストを開発プロセスに組み込み済み
- インシデント報告フローを社内規程に追加
- ENISA等への報告チャネルを明確化
- サプライヤー契約にセキュリティ条項を挿入
- 技術文書(リスク分析、試験結果等)をCEマーキングと同様に整備済み
今後のステップ
- 2025年中に適用範囲を判定
→ 製品ごとにCRA対象かどうか、適合性評価方式を明確にする。 - 2026年までに体制構築
→ 脆弱性管理・インシデント対応チームを整備。ENISA報告を実務で回せるかテスト。 - 2027年までに全製品ラインの準拠を確認
→ 文書レビュー、模擬審査、外部監査を受ける。
まとめ
CRAは「一度製品を売れば終わり」ではなく、市場に出した後も継続的にセキュリティ対応を義務付ける規制です。
実務担当者にとっては、設計・試験・文書化・サプライチェーン・インシデント対応のすべてが新たな業務範囲に加わります。
早い段階で社内プロセスを改訂し、ツール導入やサプライヤー契約を見直すことで、2026年から始まる初期義務にもスムーズに対応できる体制を整えることが可能です。
✍️ MSDコンサルティング
コメント