EUサイバーレジリエンス法

EUサイバーレジリエンス法とは

CRAは一言で表すと、EUにおける「デジタル要素を有する製品（以下、デジタル製品）に対するセキュリティ基準の法的枠組み」です。

具体的には、EU域内で流通するデジタル製品に悪用可能な脆弱性が含まれないこと、外部インターフェース等の攻撃対象領域を制限すること等の指定のサイバーセキュリティ要件を満たすことが義務付けられます。それにより、EU域内の消費者の安全性は高まると考えられています。一方で、適用される製品の範囲は広く、EU域内はもちろんのこと、世界中の企業に影響を及ぼし、日本企業としても要件への適合を考えなくてはいけない法規制です。

EUサイバーレジリエンス法制定の背景とポイント

世界的にサイバー攻撃の数は増加しており、その被害も深刻化しています。この要因の一つとして、以下のような状況が挙げられます。

• デジタル製品のセキュリティアップデートが不十分で、低レベルのサイバーセキュリティや脆弱性の蔓延に対処できていない
• ユーザが適切にセキュリティ対策を備えたデジタル製品を選択できていない

この状況に対し、EUのサイバーセキュリティ当局であるENISA（欧州連合サイバーセキュリティ機関）などは、市場に流通する幅広いデジタル製品を対象とし、国境を越えた対策が必須だと考えました。既に特定製品（医療機器、航空、自動車など）についてはサイバーセキュリティを扱う個別の法規制が存在しますが、多くの場合、IoT機器などの一般的なデジタル製品に対して包括的なサイバーセキュリティ要件を課すものではありません。そのため、CRAはデジタル製品に対してサイバーセキュリティ対策を広く包括的に求める先駆的な規則です。CRAでは、主に以下の4つに焦点が当たっています。

• 1）広範囲への適用
• 2）適合性評価
• 3）セキュリティ要件への適合義務化
• 4）ENISAへの報告の義務化

1）広範囲への適用

一部の例外を除き、全てのデジタル製品が対象となります。つまり、デバイスやネットワークに直接、間接的に接続されるものも含まれ、非常に多くの製品が対象になります。また、ハードウェアに限らず、デバイスに搭載されるソフトウェア等も対象となります。例外となるのは、既に個別のEU法で規制されている医療機器、体外診断用医療機器、民間航空機、自動車の型式承認の対象製品などです。

2）適合性評価

CRAの対象となるデジタル製品はセキュリティに関する品質・安全性に関する認証が求められます。

デジタル製品は、大きく「重要なデジタル製品」と「それ以外」に分けられ、「重要なデジタル製品」は使用される環境や取り扱うデータの機密性・影響の範囲を考慮して、低リスク製品（クラスI）と高リスク製品（クラスII）に分類されます（図1参照）。この図を見ると、広範囲な製品が重要なデジタル製品に分類され、第三者認証が求められることが分かります。

図1　重要なデジタル製品のクラス分け

なお、認証については、「重要なデジタル製品以外」は自己適合宣言か第三者認証(全数検査もしくは型式認証)を選べるのに対し、「重要なデジタル製品」は第三者認証が必須となっています。ただし、低リスク製品のうちEUCCやEN規格の対象であるものは既に別認証を取得しているということで、第三者認証は不要です。

※1 EUCC：EUのICT製品のセキュリティ認証規格の一つ
※2 EN規格：欧州30か国で構成されるCEN (欧州標準化委員会)やCENELEC(欧州電気標準化委員会)、ETSI (欧州通信規格協会)が発行する、欧州の統一規格

図2　適合性評価の方法

3）セキュリティ要件への適合義務化

製造業者の義務として、リスクに比例した方法でデジタル製品に関するサイバーセキュリティ側面を体系的に文書化することが定められています。そのために、機械読み取り可能な形式で一般的に使用されるSBOM（ソフトウェア部品表）作成やセキュリティパッチ、更新プログラム提供等を含む、製品ライフサイクル全体でセキュリティ対応が求められます。製品のセキュリティ上のリスクを管理するに当たっては、リスクアセスメントの実施も求められています。また、製造業者は、製品を市場に出してから少なくとも5年間はセキュリティの脆弱性に責任を持ち、セキュリティアップデートを提供する必要があります。これらの実施内容は、違反してしまった場合、その疑いがかけられた場合に向けて記録を残しておくことが推奨されています。

4）ENISAへの報告の義務化

製品のセキュリティに影響を与える脆弱性の悪用、インシデントが発覚した場合には、その事態をENISAや各国のCSIRTなどに報告する義務があります。具体的には以下の内容が求められます。

• 悪用されている脆弱性または重大なサイバーインシデントを発見した場合、その事態を認識してから24時間以内に、初期報告を行うこと
• さらに、72時間以内に、詳細な情報を含む中間報告を行うこと

これらにより製造者は、自社製品のセキュリティに対しより強い責任を負うことになります。

また、他の規則との関係性についても議論されており、「AI規則（EU AI Act）」や「欧州機械規則」との関係性も整理されています。

このようにCRAは、EU市場で使用されるすべてのデジタル製品について、サイバーセキュリティ対策を広く包括的に求める法律なのです。

日本企業への影響

では、CRAは日本企業にはどのような影響があるのでしょうか。CRAが全面適用される2027年12月にEU市場にデジタル製品を提供している企業は、所在地（日本を含むEU域外）を問わず、この法律の要件を満たすことが求められます。

CRAへの適合が証明された製品にはCEマークの貼付が求められ、適合しない製品はEU市場から排除されます。この状況に対し、製造業者は事実上、以下の選択を迫られることになります。

• EU市場から撤退する
• EU向け製品だけを別規格で製造する
• 自社で扱うすべてのデジタル製品の規格をCRAに合わせる

展開やコストの面から「自社で扱うすべてのデジタル製品の規格をCRAに合わせる」を選択せざるを得ない企業が多いと考えられます。その結果、今後CRAが世界の基準となる可能性があります。日本企業としても、EU域内に製品を展開している企業は多数存在するため、この問題を考え、適用していく必要が出てくるといえます。

これまでのEU発の法律を振り返ると、EU当局とコミュニケーションを取りつつ進める他国・他地域の企業と比べて、日本企業は後手に回る可能性があります。そのため、CRAの適用対象となる製品を扱う日本企業であれば、全面適用前の今からサイバーレジリエンスの確保への積極的な取り組みを行う必要があります。EUでの販売が不可能になることを考えると、対象となる企業はすぐにCRAの対応を行うことを推奨します。

まとめ

CRAについて、その概要と日本企業への影響を説明しました。CRAは2024年12月10日に正式に発効し、その適用スケジュールが確定しています。

• 2026年9月11日：製造業者による脆弱性およびインシデントの報告義務が適用開始。
• 2027年12月11日：その他のほとんどの規則が適用開始（全面適用）。

施行されると、多くのデジタル製品について要件を満たす必要があり、企業としての適用までの取り組みが色濃く反映されると考えられます。欧州に製品展開する日本企業としても、もはや他人事ではなく、企業の競争力と法的リスクに直結する問題です。今後も最新情報を収集し続けるとともに、自社製品の適用範囲や、製造・開発プロセスにおけるセキュリティ・バイ・デザインの対応状況について、直ちに確認と体制構築に着手することを推奨します。

参考情報