欧州Cyber Resilience Act(CRA)は、デジタル要素を含む製品に対するサイバーセキュリティ要求を大きく拡張する規制として、今後の欧州市場アクセスにおいて非常に重要なテーマとなっています。
これまで欧州では、Radio Equipment Directive(RED)に基づき、インターネット接続機能を持つ無線機器に対してサイバーセキュリティ要求が導入されてきました。いわゆるRED Cyberでは、ネットワークへの悪影響の防止、個人データおよびプライバシーの保護、不正利用・詐欺からの保護などが重要な要求事項とされています。
また、EN 18031は、これらのRED Cyber要求に対する適合性推定の根拠となる整合規格として位置づけられています。そのため、すでにRED CyberおよびEN 18031に基づく対応を進めているメーカーも多くあります。
一方で、CRAはRED Cyberと共通する考え方を持ちながらも、対象範囲と要求の深さが大きく異なります。CRAでは、無線機器に限らず、デジタル要素を含む広範な製品が対象となり、製品ライフサイクル全体にわたるサイバーセキュリティ管理が求められます。
RED Cyber対応済みの製品は、以下のような点でCRA対応の基礎をすでに備えている可能性があります。
ただし、CRAではこれらに加えて、より実務的な運用体制、ライフサイクル全体でのガバナンス、脆弱性管理、セキュアな開発プロセス、サプライチェーン成熟度などが重要になります。
現時点では、CRAに関する整合規格やNotified Bodyの体制はまだ整備途上です。しかし、脆弱性ハンドリングに関する最初の期限、そしてCRAの全面適用に向けた期限は近づいています。
メーカーは、現行のRED Cyber対応とCRA要求との差分を早期に確認し、以下の点を整理することが重要です。
CRA対応は、試験直前に対応するものではなく、製品企画・設計・開発段階から組み込む必要があります。特に欧州市場向けにインターネット接続機能、ソフトウェア、アプリ連携、クラウド連携を含む製品を展開する場合は、早期のギャップ分析を推奨します。
Nemkoは、RED、EMC、無線、サイバーセキュリティ、各国認証の知見を活かし、CRA対応に向けた準備を支援します。
お問合せはNemko Japan製品認証部 japan@nemko.comまで