CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

サイバーレジリエンス法を理解する

規則(EU)2024/2847の平易な言語による入門——内容、対象者、主要義務の概要。

CRAとは何ですか?

サイバーレジリエンス法(規則(EU) 2024/2847)は、EU市場に投入されるデジタル要素を 含む製品(PDE)に対して必須のサイバーセキュリティ要件を定める横断的なEU規則です。 2024年12月11日に発効しました。

CRAは製品のライフサイクル全体——設計・開発からサポート終了まで——に適用されます。 必須セキュリティ要件(附属書I)、文書化義務、脆弱性報告制度、および適合性評価手続きを 定めています。目的は、ハードウェアおよびソフトウェア製品が設計段階から安全であり、 サポートされるライフサイクル全体を通じて安全であり続けることを確保することです。

誰に適用されますか?

CRAは、以下のいずれかに該当する事業者に適用されます:

  • 製造業者:デジタル要素を含む製品を製造してEU市場に投入する事業者——組み込みソフト ウェアを含むハードウェアおよびスタンドアロンソフトウェア製品を含む
  • 輸入業者:EU域外の製造業者から製品を輸入し、自社の名称または商標でEU市場に 投入する事業者
  • 販売業者:製品を変更せずにEU市場で流通させる事業者
  • オープンソース管理者:商業利用を目的とした無償/オープンソースソフトウェアを 系統的に提供する事業者

EUに製品を販売するEU域外の製造業者は完全に適用対象となります。EU域内に設立された 授権代理人を指定しなければなりません(第17条)。

デジタル要素を含む製品とは何ですか?

デジタル要素を含む製品(PDE)は、デバイスまたはネットワークへの直接または間接の データ接続を有する、あらゆるソフトウェアまたはハードウェア製品およびそのリモートデータ 処理ソリューションです。この意図的に広い定義には以下が含まれます:

  • コンシューマー向けIoTデバイス(スマートホーム、ウェアラブル、ルーター)
  • ネットワーク接続機能を持つ産業用ハードウェア
  • スタンドアロンソフトウェアアプリケーション(デスクトップ、モバイル、サーバー)
  • オペレーティングシステムおよびハイパーバイザー
  • 市場に投入されるソフトウェアコンポーネントおよびライブラリ
  • 製造業者がバックエンドを管理するクラウド接続デバイス

特定のセクターは部分的または完全に適用除外となります。これには、MDR/IVDRに基づく 医療機器、型式承認規則に基づく自動車、民間航空、および船舶用機器が含まれます。

製品分類

すべてのデジタル要素製品(PDE)が同様に扱われるわけではありません。CRAは、附属書IIIおよびIVに定められたサイバーセキュリティリスクプロファイルに基づき、対象製品を4つのクラスに分類しています。

  • デフォルト — 附属書IIIまたはIVに記載されていない、対象範囲内のすべての製品。PDEの大多数はこのカテゴリーに該当します。
  • 重要 — クラスI(附属書III、クラスI)— IDmanagement管理ソフトウェア、ブラウザ、パスワードマネージャー、汎用オペレーティングシステムなど、重大なサイバーセキュリティリスクをもたらす製品。
  • 重要 — クラスII(附属書III、クラスII)— ハイパーバイザー、TPM、産業用自動化ソフトウェア、スマートメーターゲートウェイなど、より高いリスクを持つ製品。
  • クリティカル(附属書IV)— ハードウェアセキュリティモジュール(HSM)、スマートカード、セキュリティボックスを備えたハードウェア機器など、最も高いリスクを持つ製品。

分類により、製造業者がCEマークを貼付する前に従うべき適合性評価ルートが決まります。

クラス自己評価(モジュールA)認証機関(モジュールB+C / H)
デフォルト常に利用可能任意
重要 — クラスI整合規格を適用した場合整合規格がない場合は必須
重要 — クラスII利用不可必須
クリティカル利用不可必須(またはEUサイバーセキュリティ認証)

→ 製品分類ツールを使用して、クラスと適合性評価ルートを確認する

コンプライアンス違反に対する制裁

CRAは第64条に基づき、段階的な行政罰則制度を設けています。各EU加盟国の市場監視当局は、製造業者、輸入業者、流通業者、オープンソースソフトウェア管理者に対してこれらの罰則を科すことができます。

第1層 — 1,500万ユーロまたは世界年間総売上高の2.5% (いずれか高い方):

附属書Iの必須サイバーセキュリティ要件の不遵守、またはCEマーキング、適合性評価、技術文書、もしくは認定代理人義務に関する違反(第13、16、19〜22、24条)。

第2層 — 1,000万ユーロまたは世界年間総売上高の2% (いずれか高い方):

第14条に基づく脆弱性報告およびセキュリティインシデント通知義務の違反、適合性評価機関への通知の不履行、または市場監視当局との協力拒否(第15、17、18、23条)。

第3層 — 500万ユーロまたは世界年間総売上高の1% (いずれか高い方):

認定機関または市場監視当局への不正確、不完全、または誤解を招く情報の提供。

世界的に大きな収益を持つ大規模組織の場合、売上高ベースの上限が固定の上限額を超えることが一般的です。加盟国は国内法に基づいて追加の制裁を課すこともできます。2026年9月11日の第14条の期限は、第2層の罰則が執行可能となる最初の時点です。

主要な期限

1

2024年12月11日 — CRA発効

規則は法的に有効です。この日以降に市場に投入された製品は、適用日に達した時点でCRAに準拠する必要があります。

2026年9月11日 — 脆弱性報告義務の適用開始

第14条に基づくENISAへの脆弱性・インシデント報告が義務化されます。これが最初の確定期限です。製造業者はこの日までに報告プロセスを整備しなければなりません。

3

2027年6月11日 — 適合性評価機関の通知

加盟国は適合性評価機関を欧州委員会に通知しなければなりません。

4

2027年12月11日 — 規則の完全適用

すべての対象製品にCRAの全要件が適用されます。適合しない新製品はEU市場に投入できません。

さらに深く探る準備はできましたか?

完全な義務ライブラリを探索し、役割を理解し、規制タイムラインを確認してください。

義務ライブラリ 製造業者の義務タイムラインを表示製品分類ツール
Understand the CRA — EU Cyber Resilience Act overview — CRAコンプライアンスハブ