【第4回】欧州サイバーレジリエンス法(CRA)の報告義務への対応 ~報告対象事象認識後「24時間以内」での当局報告~
<シリーズ> 欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)~最新動向と日本企業に求められる対応~
2024年12月10日に発効された欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EUで事業を行う多くの日本企業において対応が求められるEU法令です。本ブログでは、最新動向を踏まえて、CRAの解説と、日本企業が対応するうえでのポイントを紹介します。
はじめに
CRAでは、報告対象事象の脆弱性・インシデントを製造者が認識した際、EU当局(国家CSIRT・ENISA)およびユーザに報告を行うことを製造者に義務付けています。特に、EU当局(国家CSIRT・ENISA)への報告は、製造者が認識後「24時間以内」での対応が求められます。
本ブログの第4回では、製造者の対応におけるポイント③「当局への報告体制の整備」について、最新の法令動向も踏まえつつポイントを解説いたします。
図表1:本ブログ第4回の説明スコープ
第14条「製造者の報告義務」の概要
義務の全体像
製造者は、「デジタル製品に含まれる積極的に悪用された脆弱性」や「デジタル製品のセキュリティに影響を及ぼす重大インシデント」を認識した場合、EU当局(国家CSIRT・ENISA)およびユーザに報告する必要があります。
図表2:第14条「製造者の報告義務」の全体像
EU当局(国家CSIRT・ENISA)への報告は認識後24時間以内の対応が求められるため、製造者はCRA要件を満たした報告が実施できるように、既存の脆弱性・インシデント対応の体制やプロセスの見直しを検討することが重要です。
適用対象・適用開始時期
第14条「製造者の報告義務」は、デジタル製品がEU市場に投入されたタイミングにかかわらず、適用日より前にEU市場に投入されていたデジタル製品も含めて、2026年9月11日から適用されます。
図表3:第14条「製造者の報告義務」の適用対象・適用開始時期
|
適用対象 |
上市時期にかかわらず、EU市場に投入されているデジタル製品すべて |
|
適用開始時期 |
2026年9月11日から |
報告対象の脆弱性・インシデント
CRAでは、報告対象事象として、「デジタル製品に含まれる積極的に悪用された脆弱性」と「デジタル製品のセキュリティに影響を及ぼす重大インシデント」の2つが規定されています。
図表4:「デジタル製品に含まれる積極的に悪用された脆弱性」の定義と例
|
デジタル製品に含まれる積極的に悪用された脆弱性 |
|
|
定義 |
悪意のある行為者がシステム所有者の許可なくシステムの脆弱性を悪用したという信頼できる証拠がある脆弱性 |
|
例 |
デジタル製品の認証・認可機能の脆弱性を悪意のある行為者に悪用された場合 |
図表5:「デジタル製品のセキュリティに影響を及ぼす重大インシデント」の定義と例
|
デジタル製品に含まれる積極的に悪用された脆弱性 |
|
|
定義 第14条5) |
デジタル製品のデータ又は機能の可用性/真正性/完全性/機密性を保護する能力に悪影響を及ぼす(又は及ぼす可能性がある)インシデントで、次のいずれかに該当する場合 l デジタル製品の機密性の高い又は重要なデータ又は機能の可用性/真正性/完全性/機密性を保護する能力に悪影響を及ぼす(又は及ぼす可能性がある) l デジタル製品又はデジタル製品のユーザのネットワーク・情報システムにおいて、悪意のあるコードの導入/実行に繋がった(又は繋がる可能性がある) |
|
例 |
ユーザにセキュリティアップデートを提供するための配信チャネルに、攻撃者が悪意のあるコードを挿入することに成功した状況 |
CRAの条文に報告対象事象の定義や例が規定されてはいますが、具体的な考え方は明らかになっていません。そのため、現時点では、報告対象事象の考え方を一定程度広めに解釈して、報告対象事象を漏らさないようにすることが重要です。
EU当局(国家CSIRT・ENISA)への報告
報告すべき内容と報告期限
製造者によるEU当局(国家CSIRT・ENISA)への報告は、3段階に分けて実施する必要があり、段階毎に報告すべき内容と報告の期限が定められています。
図表6:報告内容と報告期限「デジタル製品に含まれる積極的に悪用された脆弱性」
報告の段階 |
報告期限 |
報告内容 |
早期警告 |
製造者が認識後 |
Ø 当該デジタル製品が供給されたと製造者が認識しているEU加盟国(提示可能な場合) |
脆弱性通知 |
製造者が認識後 |
Ø 当該デジタル製品の一般的情報 Ø 悪用手段や脆弱性の性質 Ø 実施した是正措置/緩和措置 Ø ユーザが利用できる是正措置/緩和措置 Ø 通知する情報を製造者がどの程度機密性があると考えるか(提示可能な場合) |
最終報告 |
是正措置/緩和措置が利用可能になった後14日以内 |
Ø 重大性と影響を含む脆弱性の説明 Ø 脆弱性を悪用した/悪用している、悪意のある行為者に関する情報(可能な場合) Ø 脆弱性を修正するためのセキュリティ更新プログラムまたはその他の修正措置の詳細 |
図表7:報告内容と報告期限「デジタル製品のセキュリティに影響を及ぼす重大インシデント」
報告の段階 |
報告期限 |
報告内容 |
早期警告 |
製造者が認識後 |
Ø 当該インシデントが違法行為/悪意のある行為によって引き起こされた疑いがあるかどうか Ø 当該デジタル製品が供給されたと製造者が認識しているEU加盟国(提示可能な場合) |
インシデント通知 |
製造者が認識後 |
Ø インシデントの性質 Ø インシデントの初期評価 Ø 実施した是正措置/緩和措置 Ø ユーザが利用できる是正措置/緩和措置 Ø 通知する情報を製造者がどの程度機密性があると考えるか(提示可能な場合) |
最終報告 |
インシデント通知の実施後、1か月以内 |
Ø 重大性と影響を含むインシデントの詳細な説明 Ø インシデントを引き起こした可能性が高い脅威/根本原因の種類 Ø 適用され、進行中の緩和措置 |
脆弱性/インシデントの報告ともに、1段階目の報告(早期警告通知)は認識後24時間以内、2段階目の報告は認識後72時間以内に実施する必要があります。そのため、製造者は疑わしい事象を把握してから迅速にEU当局(国家CSIRT・ENISA)に報告することができるよう、既存の脆弱性・インシデント対応の体制やプロセスの見直しを検討する必要があります。
対応におけるポイント
法令動向の継続的なモニタリング
現時点では、第14条「製造者の報告義務」に関して、具体化/明確化されていない点が多数存在します。例えば、EU当局(国家CSIRT・ENISA)への報告プラットフォームは現在構築中のため、CRAの具体的な報告方法・様式は明らかになっていません。また、2025年11月19日に欧州委員会が公開したデジタルオムニバス法案において、CRAと同様に報告義務を課す他のEU法令(NIS2指令、GDPR、DORA等)の報告プラットフォームや報告様式の統一等が検討されているため、それによるCRAへの影響も注視する必要があります。
第14条「製造者の報告義務」が適用開始となる2026年9月11日に向けて、関連する法令動向が活発化することが予想されるため、CRAや関連しうる他のEU法令の動向を継続的に情報収集することが重要です。
対応方針の体系的な検討
上記でご説明した法令動向の継続的なモニタリングも重要ではありますが、CRA条文等から読み取れる考え方・仮説に基づき、現時点から対応準備を開始することが最も重要です。その際、第三者に説明可能な対応になるようCRA条文を読み解き、「組織・人」、「プロセス」、「技術」の観点で体系的に対応方針を整理し、対応を進めることが望まれます。
図表8:対応におけるポイント
最新の法令動向を踏まえて、企業のCRA対応を支援するための情報を今後も本ブログにて適宜公開する予定ですので、ぜひご活用ください。
執筆者
萬代 大輔/Daisuke Mandai
デロイト トーマツ サイバー合同会社 マネジャー
※所属などの情報は執筆当時のものです。
岩本 高明/Takaaki Iwamoto
