サイバーレジリエンス法

2027年12月11日以降、EU域内の市場に投入できるのは、サイバーレジリエンス法（CRA）の要件を満たした製品のみとなります。CRAには、デジタル要素を含む製品のサイバーセキュリティ要件が規定されています。

サイバーレジリエンス法で新たに規定された要件とは？CRAの適用対象となる製品は？企業が取るべき対応は？ 事業者の皆様向けに、重要なポイントをまとめました。

サイバーレジリエンス法とは何ですか？

サイバーレジリエンス法（CRA）は、デジタル要素を含む製品の産業サイバーセキュリティ要件を規定したEU規則です。CRAの適用対象となる製品は、根本的な適合性評価や修正が必要となります。2027年12月以降はCRAに適合していない製品を市場に投入できなくなるため、この対応は必要不可欠です。

サイバーレジリエンス法はいつ発効しますか？

CRAは2024年11月20日にEU官報に掲載され、同年12月10日に発効しました。2027年12月11日からはEU域内で適合が義務化されます。ただし、脆弱性が悪用された場合のCRAに基づく製造業者の報告義務については、2026年9月11日から先行して適用されます。

CRAの具体的な目的は何ですか？

CRAの目的は、消費者や企業をサイバー攻撃からより確実に保護することです。CRAには、他の製品との通信が可能な、デジタル要素を備えた製品の製造業者、輸入業者、および販売業者が満たすべき各種仕様が規定されています。対象となる製品には、ハードウェア製品とソフトウェア製品の両方が含まれます。なお、CRAの適用範囲は製品のライフサイクル全体に及びます。設計、開発、製造、出荷、および保守の各段階に加え、顧客施設での稼働期間もすべて対象となります。

サイバーレジリエンス法は規則ですか、それとも指令ですか？

サイバーレジリエンス法はEU規則であり、国内法に移行せずとも、EU全加盟国に直接適用されます。

CRAの適用対象となる製品は？

CRAの適用対象は、デジタル要素を含む製品です。これらの製品に適合性評価が義務付けられています。

サイバーレジリエンス法（CRA）は、ソフトウェアや高リスクAIシステムなどのデジタルコンポーネントを含み、ネットワークまたは他のデバイスに接続されるすべての製品に適用されます。そのため、CRAの適用範囲は非常に広く、以下のような製品群が含まれます。

• 産業用ハードウェアおよびソフトウェア：IoTデバイス、プログラマブルロジックコントローラ（PLC）、センサなど
• ソフトウェアソリューション：デスクトップ、ウェブ、モバイルアプリケーション、オペレーティングシステムなど
• インテリジェントデバイス：民生用、ハードウェアおよびソフトウェア

これらの製品は、潜在リスクに応じて異なるカテゴリーに分類されます。特に、重要インフラ、産業生産、エネルギー・産業分野で使用されるシステムは、リスクのより高いクラスに分類されます。これらの製品は、公共の安全や経済の安定に重大な影響を及ぼす可能性があるため、適合性評価手順に異なる要件が適用されます。

実施可能な対策は？企業が遵守するべき要件とは？

デジタル要素を含む製品の製造業者は、CRAのセキュリティ要件を遵守する必要があります。これには、リスク分析の実施や、リスク低減策の策定と実施が含まれます。また、製造業者は、リスクアセスメント（とセキュリティリスク低減策）に関する文書を作成し、少なくとも10年間は保管する必要があります。加えて、潜在的なセキュリティ脆弱性を継続的に監視することや、製品の通常使用期間（少なくとも5年間）にわたりセキュリティアップデートを無償で提供すること、セキュリティ脆弱性が確認された場合はENISAおよび国内機関（該当する場合）に対して24時間以内に報告することも義務付けられています。

すでにCRAに適合しており、変更が行われていない製品であっても、透明性のあるルールに従って試験および評価を実施する必要があります。試験結果に関する文書は10年間保管する必要があります。また、ソフトウェア部品表（SBOM）を作成する必要があるほか、開発および試験が産業サイバーセキュリティの基準に従って実施されたことを証明する必要もあります。 

CRAの「EU適合宣言書」とは何ですか？

製造業者は、今後も引き続きEU適合宣言書を発行し、サイバーセキュリティの必須要件を満たしていることを表明します。 そのためには、製造業者が自ら適合性評価を実施し、リスク評価、脆弱性管理、文書化に関する要件への適合を検証する必要があります。そして、すべての要件への適合が確認された場合に、EU適合宣言書を発行します。 

すべてのEU法令に1つのEU適合宣言で対応できますか？

デジタル要素を含む製品に複数のEU法令が適用され、各法令でEU適合宣言の発行が要求されている場合には、すべてのEU法令に対して１つのEU適合宣言を発行できます。なお、この宣言書には、該当するEU法令および官報参照情報を明記する必要があります。

EU適合宣言書はどのくらいの期間保管しておく必要がありますか？

製造業者は、デジタル要素を含む製品のモデルごとに書面によるEU適合宣言を作成し、その製品が市場に投入された日から10年間、 またはサポート期間のいずれか長い方の期間、当局からの提出要請に備えて保管することとなります。適合宣言には、対象の製品モデルを明記する必要があります。また、当局からの要請があった場合には、EU適合宣言書の写しを提出する必要があります。

サイバーレジリエンス法（CRA）とNIS 2指令の違いは何ですか？

• CRAは、デジタル要素を含む製品の設計、開発、製造に関する基本的なサイバーセキュリティ要件とともに、事業者がこれらの製品に関して負うサイバーセキュリティ上の義務を規定しています。 
• NIS 2指令は、企業に対して、 産業サイバーセキュリティ上のリスクを低減するための組織的・技術的対策の実施を義務付けています。
• EU域内のサイバーセキュリティ強化：サイバーレジリエンス法とNIS 2指令は、異なるレベルのサイバーセキュリティに対応する相互補完的な規則です。CRAは製品のセキュリティに、NIS 2はインフラや重要サービスのセキュリティに焦点を当てています。これらの2つの規制により、EU域内のサイバーセキュリティが大幅に強化されます。

ピルツでは数年前から、IEC 62443-4-1規格に準拠した開発プロセスを構築しています。この規格は産業サイバーセキュリティの基本規格であり、 製品の安全な開発、すなわち「セキュリティ開発ライフサイクルプロセス（SDLプロセス）を定義しています。TÜV Südによる監査で、当社の開発プロセスがこの規格に適合していることが確認されています。ピルツの開発は安全なだけでなく、セキュリティ対策も万全!

このことは、お客様にとっても重要な意味を持ちます。なぜなら、2027年にはサイバーレジリエンス法（CRA）（Regulation (EU) 2024/2847）だけでなく、もう一つのセキュリティ関連規則である新機械規則（Regulation (EU) 2023/1230）への適合も義務化されるためです。

具体的には、既存製品については必要に応じて修正を行い、新製品はCRAに準拠して開発します。また、適合性評価（CEマーキング）は、該当する要件に合わせて更新します。要件を満たさなくなった製品は、生産を終了するか、スペアパーツとしてのみ提供します。ただし、スペアパーツを新規設備に使用することはできません。