【第1回】欧州サイバーレジリエンス法(CRA)の全体像と対応におけるポイント
<シリーズ> 欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)~最新動向と日本企業に求められる対応~
2024年12月10日に発効された欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EUで事業を行う多くの日本企業において対応が求められるEU法令です。本ブログでは、最新動向を踏まえて、CRAの解説と、日本企業が対応するうえでのポイントを紹介します。
はじめに
テクノロジーの進化に伴い、人々の生活のあらゆる側面で様々なデジタル製品やサービスが利用されており、今や「デジタル」は我々にとって必要不可欠な存在です。一方で、その重要性の高まりとともにデジタル製品やサービスを対象としたサイバー攻撃も加速度的に増加しており、常にサイバー脅威に晒されている状態であると言えます。また、多くのユーザーは、デジタル製品やサービスに関連するサイバーセキュリティリスクや、そのリスクがもたらす影響を適切に把握できていない可能性があります。
このような状況下において、各国では自国の市場で流通または使用されるデジタル製品やサービスのサイバーセキュリティの担保、一般消費者や企業の保護を目的とした取り組みを強化しています。その一例として、サイバーセキュリティ関連の法規制化が挙げられます。特にEUは、サイバーセキュリティ関連の法規制化を積極的に推進しています。
そうしたEUにおけるサイバーセキュリティ関連の法規制化の一つとして、デジタル製品のサイバーセキュリティに関する「サイバーレジリエンス法(Cyber Resilience Act:CRA)」が2024年12月10日に制定されました。CRAは、一部の例外を除きEU市場に投入される広範なデジタル製品を適用対象として、製品ライフサイクル全体を通じたセキュリティ要件への適合を製造者に義務付けています。
現在、適用開始に向けてCRAの下位法令や整合規格等の作成が本格化しています。今後、2026年9月11日に一部の義務が適用開始され、2027年12月11日にCRAは完全適用される予定です。
本ブログの第1回では、CRAの全体像として、CRAの適用対象・製造者の対応におけるポイント(概要)・未遵守時のリスク・適用タイムラインについて解説します。
CRAの適用対象:広範な適用スコープ
適用対象製品
CRAの適用対象となる製品は、以下2つの要件を満たす製品です。
※個別にEU市場で利用可能にされるコンポーネント製品も適用対象に含まれます。
- EU市場で利用可能な、デジタル製品
- 意図された目的または合理的に予見可能な使用において、デバイスやネットワークへの直接的/間接的/論理的/物理的なデータ接続が含まれる製品
CRAの適用対象製品は幅が広く、例えば、PC、スマートフォン、スマート家電、モバイルアプリ、OS、ブラウザ、マイコン、産業用IoTデバイス・機械など、BtoC/BtoB問わず幅広いハードウェア製品・ソフトウェア製品(それらのリモートデータ処理ソリューションも含む)が、CRAの適用対象製品になります。
ただし、例外として、一部のデジタル製品はCRAの適用対象外だと規定されています。
図表1:CRAの適用対象外と規定されている製品
以下のEU法令の対象になっている製品 |
医療機器規則(Regulation (EU) 2017/745) |
体外診断⽤医療機器規則(Regulation (EU) 2017/746) |
⾃動⾞の型式承認規則(Regulation (EU) 2019/2144) |
民間航空機規則(Regulation (EU) 2018/1139) |
船舶用機器指令(Directive 2014/90/EU) |
Lカテゴリ車両(二輪車等)の型式承認規則(Regulation (EU) 168/2013) |
国家安全保障に係る製品 |
国家安全保障・軍事目的でのみ開発されたデジタル製品 |
機密情報を処理するために特別に設計されたデジタル製品 |
その他特定のソフトウェア製品など |
クラウドサービス(ただし、デジタル製品の機能をサポートするもので、製造者の責任で設計・開発されたものは対象) |
商業活動以外で開発・供給されたOSS |
適用対象製品の判断の進め方
CRAでは幅広い製品が適用対象となるため、EUで事業を行う多くの日本企業がその影響を受ける可能性があります。適用対象製品を漏らすことなくCRA対応を推進するため、CRA条文に基づき、自社製品がCRAの適用対象に該当するか否かを丁寧に判断することが重要です。
図表2:適用対象製品の判断の進め方(例)
適用対象者
CRAの主要な適用対象者は、製造者、輸入者、販売者の3者で、それぞれ異なる内容の義務を負います。
主要な適用対象者のうち、製造者が最も広範で詳細な義務が課されており、製品ライフサイクル全体で製品セキュリティ対応を行う必要があります。
図表3:CRAの主要な適用対象者
|
分類 |
対象者の定義 |
役割(概要) |
|
製造者 |
デジタル製品を開発もしくは製造し、またはデジタル製品を設計、開発、もしくは製造させ、自己の名において供給する主体 |
CRAに適合した製品を設計、開発、製造し、EU市場への製品投入後もサポート期間中は適合性を確保すること |
|
輸入者 |
EU域内の主体であり、EU域外の事業者等の名称/商標が付いたデジタル製品をEU市場に輸入する主体 |
CRAに適合した製品のみをEU市場で流通させること |
|
販売者 |
製造者・輸入者以外のサプライチェーン上の主体で、製品の特性に影響を与えずに、デジタル製品をEU市場で販売する主体 |
同上 |
製造者の対応におけるポイント(概要)
CRAでは、製造者に対する主な義務として、第13条「製造者の義務」と第14条「製造者の報告義務」が規定されています。
※基本的に、製造者に対する義務は、第13条と第14条を軸として、他の条文やAnnexに紐づく関係性を持っています。
- 第13条「製造者の義務」:
製品ライフサイクル全体(設計、開発、製造、販売・サービス運用)を通じて、デジタル製品のセキュリティを確保するために製造者が実施すべき義務を規定 - 第14条「製造者の報告義務」:
デジタル製品に関わる報告対象の脆弱性・インシデントを製造者が認識した際に、EU当局(国家CSIRTおよびENISA)へ報告する義務を規定
上記2つの義務に基づき、製造者の対応において特に重要な観点は以下の3つにまとめられます。
製造者は、法令動向を継続的にモニタリングしつつ、それぞれの義務に対して必要な対応・ポイントを把握し、計画的にCRA対応を推進することが重要です。
図表4:製造者の対応における主なポイント
未遵守時のリスク
CRAへの対応が不十分な場合、適用開始後はデジタル製品をEU市場に展開できなくなるリスクがあります。さらに違反時には、最大で、1,500万ユーロ(約25億円)またはグローバル年間売上高の2.5%のいずれか高い額が課徴金として科されます。
CRAはグループ全体の業績に重大な影響を及ぼす可能性があることを踏まえて、経営アジェンダとしてCRA対応に取り組むことが重要です。
適用タイムライン
CRAは2024年12月に発効し、規定の猶予期間を経て適用が段階的に開始されます。
今後、2026年9月11日に第14条「製造者の報告義務」が適用開始され、2027年12月11日に第13条「製造者の義務」も含めてCRAは完全適用される予定です。
適用開始に向けて、CRAの下位法令や整合規格等の作成が本格化しているため、最新の法令動向を収集しつつ、効率的に対応を推進することが望まれます。
図表5:CRAの適用タイムライン(注)
第2回以降のブログでは、製造者の対応におけるポイントについて詳細を解説いたします。
執筆者
萬代 大輔/Daisuke Mandai
デロイト トーマツ サイバー合同会社 マネジャー
※所属などの情報は執筆当時のものです。
岩本 高明/Takaaki Iwamoto
