EUでは、**サイバーレジリエンス法(Cyber Resilience Act/CRA)**の施行が予定され、デジタル製品を扱うすべての製造者に対して、より高いレベルのサイバーセキュリティ対応が求められるようになります。
CRAは、CEマーキングの一環として扱われる新しい法規制で、以下が主な特徴です:
必須要件:ソフトウェア・ハードウェアのセキュリティ要件に関する明確な基準の提示
自己適合宣言が原則ですが、一部の製品については第三者評価機関(Notified Body)による評価が必要
違反時の罰金は最大1500万ユーロ、または売上高の2.5%
CRAが求めるセキュリティ対策(抜粋)
脆弱性を悪用された場合の迅速な報告義務
市場投入後5年間のセキュリティアップデート提供
脆弱性公開と協調的な脆弱性情報開示(CVD)
データの完全性・機密性の保護
不正アクセス防止の仕組み(アクセス制御、暗号化など)
対象となる製品
CRAの適用対象は非常に広く、以下のような製品が含まれます:
一般的なデジタル製品(PC周辺機器、スマート家電など)
ソフトウェアやアプリケーション
リモートデータ処理を含むクラウド連携製品など
報告義務の開始:2026年9月11日
必須要件の適用:2027年12月11日
企業は単なる機能開発だけでなく、「製品ライフサイクル全体にわたるセキュリティ責任」を負うことになります。
スマート家電から業務用ソフトウェアまで、あらゆる製品が対象となりうるため、早めの準備が不可欠です。