CRA 施行日

CRAの適用開始日と一部条項の前倒し適用について

Cyber Resilience Act（CRA）は 2027年12月11日 から全面適用されます。しかし、いくつかの条項については、正式施行日よりも前に適用が始まる点に注意が必要です。

具体的には以下のとおりです。

• Article 14：2026年9月11日 から適用

• Chapter IV（Article 35〜51）：2026年6月11日 から適用

これらは本格的な施行に先立って準備が求められるため、該当する製品を扱う企業は早めの対応が重要となります。

CRAの適用除外となる製品カテゴリ

CRAは、デジタル要素を含むほぼすべての製品に適用されますが、以下のEU規則・指令に該当する製品は除外されています。

• MDR
  Regulation (EU) 2017/745 on Medical Devices

• In-Vitro MDR（IVDR）
  Regulation (EU) 2017/746 on In Vitro Diagnostic Medical Devices

• Motor Vehicles（type approval）
  Regulation (EU) 2018/858 on the Approval and Market Surveillance of Motor Vehicles

• Civil Aviation（certified）
  Regulation (EU) 2018/1139 on Common Rules in the Field of Civil Aviation

• Marine Equipment（MED）
  Directive 2014/90/EU on Marine Equipment

これらの分野は既存の規制枠組みが整備されているため、CRAの適用から除外されています。

「アプリ」も対象となる点にご注意ください

CRAは「デジタル要素を含む製品」を対象としており、アプリケーション（ソフトウェア）も例外ではありません。ハードウェア製品だけでなく、関連アプリやソフトウェアについても、セキュリティ要件への適合が必要になります。

お問合せは japan@nemko.com　まで。