欧州サイバーレジリエンス法(Cyber Resilience Act: CRA)は、デジタル要素を含む製品に対するサイバーセキュリティ要件を大きく拡張する規制です。すでに欧州無線機器指令(RED)やEN 18031に基づくRED Cyber対応を進めてきたメーカーにとっても、CRAでは追加の運用体制、ライフサイクル管理、サプライチェーン管理が求められます。
RED Cyberでは、インターネット接続無線機器について、ネットワークへの悪影響防止、個人データおよびプライバシー保護、不正利用・詐欺対策などの基本的なサイバーセキュリティ要件が導入されました。EN 18031は、これらの一般要求事項への適合推定を支える標準として位置づけられています。
一方、CRAは対象範囲と義務の深さをさらに拡大します。製品単体のセキュリティ設計だけでなく、脆弱性管理、セキュアな開発プロセス、ライフサイクル全体でのガバナンス、サプライチェーンの成熟度が重要になります。
整合規格や通知機関の整備は今後の進展確認が必要ですが、セキュアSDLC、脆弱性管理、暗号化は多くの製品に影響する可能性があります。2026年9月の脆弱性対応義務、2027年12月の本格適用に向け、現状棚卸しとギャップ分析を早期に進めることが重要です。
製品認証部へのお問い合わせはjapan@nemko.comまで。