EUサイバーレジリエンス法（CRA）～ソフトウェア・ハードウェアに求められる新たなセキュリティ要件～

EUでは、**サイバーレジリエンス法（Cyber Resilience Act／CRA）**の施行が予定され、デジタル製品を扱うすべての製造者に対して、より高いレベルのサイバーセキュリティ対応が求められるようになります。

CRAの概要とは？

CRAは、CEマーキングの一環として扱われる新しい法規制で、以下が主な特徴です：

• 必須要件：ソフトウェア・ハードウェアのセキュリティ要件に関する明確な基準の提示

• 自己適合宣言が原則ですが、一部の製品については第三者評価機関（Notified Body）による評価が必要

• 違反時の罰金は最大1500万ユーロ、または売上高の2.5%

  CRAが求めるセキュリティ対策（抜粋）

  • 脆弱性を悪用された場合の迅速な報告義務

  • 市場投入後5年間のセキュリティアップデート提供

  • 脆弱性公開と協調的な脆弱性情報開示（CVD）

  • データの完全性・機密性の保護

  • 不正アクセス防止の仕組み（アクセス制御、暗号化など）

   対象となる製品

CRAの適用対象は非常に広く、以下のような製品が含まれます：

• 一般的なデジタル製品（PC周辺機器、スマート家電など）

• ソフトウェアやアプリケーション

• リモートデータ処理を含むクラウド連携製品など

いつから施行される？

• 報告義務の開始：2026年9月11日

• 必須要件の適用：2027年12月11日 

まとめ：対応のポイント

企業は単なる機能開発だけでなく、「製品ライフサイクル全体にわたるセキュリティ責任」を負うことになります。
スマート家電から業務用ソフトウェアまで、あらゆる製品が対象となりうるため、早めの準備が不可欠です。