CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

義務ライブラリ

規則(EU)2024/2847に基づくすべての義務——条項まで追跡可能、平易な言語での説明と証拠ガイダンス付き。

OBL-ART7-01Binding

製品が「重要製品」に該当するかの判断と正しい適合性評価手順の適用

主要機能が附属書III のカテゴリに該当する製品は「デジタル要素を含む重要製品」 となり、より厳格な適合性評価手順に従う必要があります。クラスI の重要製品は、 整合規格または共通仕様を完全に適用している場合にのみモジュールA の自己評価が できます;それ以外の場合は認定機関が必要です。クラスII は常に認定機関が必要です。

Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding

製品が「重大製品」に該当するかの判断と欧州サイバーセキュリティ認証の取得

主要機能が附属書IV(セキュリティボックス付きハードウェアデバイス、スマート メーター用ゲートウェイ、スマートカード/セキュアエレメント)に該当する製品は 「デジタル要素を含む重大製品」です。委員会が関連委任行為を採択した後、これらは 保証レベル「相当」以上の欧州サイバーセキュリティ証明書を取得する必要があります。 それまでの間、モジュールB+C またはH に従った適合性評価が必要です。

Art. 8(1)Art. 32(4)
Manufacturer
OBL-ART13-01Binding

製品のライフサイクル全体にわたるセキュリティの確保(セキュア・バイ・デザイン)

製造業者は、リスクに基づく適切なレベルのサイバーセキュリティを提供するよう、デジタル要素を含む製品を設計・開発・製造しなければならない。 セキュリティは、設計から廃棄に至るまで、製品のライフサイクル全体を通じて対処される必要がある。

Art. 13(1)Art. 13(2)
Manufacturer
OBL-ART13-02Binding

市場への投入前のサイバーセキュリティリスクアセスメントの実施

製造業者は、デジタル要素を含む製品を市場に投入する前に、当該製品に関連するサイバーセキュリティリスクのアセスメントを実施しなければならない。 リスクアセスメントは製品の設計・開発・製造に反映され、技術文書の一部として文書化されなければならない。

Art. 13(2)
Manufacturer
OBL-ART13-03Binding

技術文書(附属書VII)の作成および維持

製造業者は、製品がCRAの基本要件に適合することを実証するために必要なすべての情報を含む技術文書を作成しなければならない。 文書は最新の状態に保ち、市場への投入日から10年間(または製品の予想使用期間がより長い場合はその期間)保管しなければならない。

Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding

適用される適合性評価手続の実施

製造業者は、製品クラスに適した手続を用いて適合性を実証しなければならない。デフォルト製品は自己認証(モジュールA)が可能である。 重要クラスI製品は、調和規格が適用されれば自己認証が可能であり、そうでなければ認証機関の関与が必要となる。 重要クラスIIおよびクリティカル製品は常に認証機関を必要とする。

Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding

ソフトウェアコンポーネントに対するデューデリジェンスの実施(SBOMとサプライチェーン)

製品に組み込まれたソフトウェアコンポーネントが製造業者自身によって開発されていない場合、製造業者は当該コンポーネントが製品のセキュリティを損なわないよう、 適切なデューデリジェンスを実施しなければならない。ソフトウェア部品表(SBOM)を作成し、技術文書の一部として維持しなければならない。

Art. 13(5)
Manufacturer
OBL-ART13-07Binding

協調的な脆弱性開示(CVD)ポリシーの策定および公開

製造業者は、協調的な脆弱性開示(CVD)のポリシーを策定し、公開しなければならない。このポリシーは脆弱性報告のための連絡先を提供し、 製造業者が報告をどのように処理するか(確認の期限や研究者との開示調整プロセスを含む)を説明しなければならない。

Art. 13(7)
Manufacturer
OBL-ART13-08Binding

製品サポート期間の宣言および開示

製造業者は製品のサポート期間を宣言し、その情報を購入前にユーザーが利用できるようにしなければならない。 サポート期間は、製品の予想使用期間がより短い場合を除き、少なくとも5年間でなければならない。 サポート期間終了日は、製品文書および販売時点において記載されなければならない。

Art. 13(8)
Manufacturer
OBL-ART13-09Binding

サポート期間全体にわたるセキュリティアップデートの提供

製造業者は、少なくとも5年間(または予想使用期間がより短い場合はその期間)、セキュリティアップデートを無償で提供しなければならない。 アップデートは迅速に、機能アップデートとは別に提供され、サポート期間終了日が開示されなければならない。

Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding

サポート期間全体にわたる脆弱性の対処および修正

製造業者は、サポート期間全体を通じて製品の脆弱性を特定・分析・対処するプロセスを持たなければならない。 附属書I第II部は、CVE割り当て、CVSSスコアリング、協調的開示、適時の修正を含む詳細な要件を規定している。

Art. 13(10)
Manufacturer
OBL-ART13-11Binding

EU適合宣言(EU DoC)の作成

製造業者は、第28条および附属書Vに従ってEU適合宣言を作成し、製品がCRAの適用要件をすべて満たすことを宣言しなければならない。 EU適合宣言は最新の状態に保ち、市場監視当局および該当する場合はユーザーに利用可能にしなければならない。

Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding

製品へのCEマーキングの付記

製造業者は、EU市場に投入する前に製品にCEマーキングを付し、製品がCRAの適用要件すべてに適合することの証拠としなければならない。 CEマーキングは視認性、可読性、消去不能性を持たなければならず、EU適合宣言が作成される前に付してはならない。

Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding

製品が一意に識別できることの確保(シリアル化)

製造業者は、デジタル要素を含む各製品が、識別を可能にするタイプ、バッチ番号、シリアル番号、またはその他の要素を備えることを確保しなければならない。 ソフトウェアのみの製品の場合、バージョン番号がこの目的を果たす。

Art. 13(14)
Manufacturer
OBL-ART13-14Binding

製品への製造業者連絡先情報の表示

製造業者は、製品または そのパッケージに、名称、登録商号または商標、および郵便住所を示さなければならない。 利用可能な場合は電子連絡先住所(ウェブサイトまたはメール)も示さなければならない。 これにより市場監視当局、輸入業者、流通業者、およびユーザーが製造業者に連絡できる。

Art. 13(15)
Manufacturer
OBL-ART13-15Binding

ユーザーへの指示および情報の提供(附属書II)

製造業者は、ユーザーが容易に理解できる言語で、附属書IIに列挙された情報および指示を製品に付属させなければならない。 これには、製品のアイデンティティ、セキュリティ機能、脆弱性報告の連絡先、サポート期間終了日、および安全な使用のガイダンスが含まれる。

Art. 13(16)
Manufacturer
OBL-ART13-16Binding

是正措置の実施および市場監視との協力

製造業者は、市場に投入した製品がCRAの要件に適合していないと考える理由がある場合、必要に応じて回収を含む是正措置を直ちに実施しなければならない。 また、製造業者は市場監視当局と協力し、要求されたすべての情報および文書を提供しなければならない。

Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding

積極的に悪用された脆弱性およびインシデントのENISAへの報告

製造業者は、製品内の積極的に悪用された脆弱性を、24時間以内(早期警告)および72時間以内(通知)にENISAの単一報告プラットフォームを通じて報告しなければならない。 最終報告は14日以内に提出が必要である。この義務は2026年9月11日から適用される。

Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding

72時間以内のENISAへの詳細な脆弱性通知の提出

製品内の積極的に悪用された脆弱性を認識してから72時間以内に、製造業者はENISAの単一報告プラットフォームを通じて詳細な脆弱性通知を提出しなければならない。 これは24時間の早期警告(OBL-ART14-01)に続くものであり、脆弱性および影響を受ける製品に関する技術的詳細を含まなければならない。

Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding

14日以内のENISAへの最終脆弱性報告の提出

積極的に悪用された脆弱性を認識してから14日以内に、製造業者は脆弱性の完全な説明、実施された是正措置、 脆弱性が公開開示されているかどうかまたはCVEが割り当てられているかどうかを含む最終報告をENISAに提出しなければならない。

Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding

積極的に悪用された脆弱性のユーザーへの不当な遅延のない通知

脆弱性が積極的に悪用されている場合、製造業者は影響を受けたユーザーに不当な遅延なく通知しなければならない。 通知には、パッチがリリースされる前に利用可能な緩和措置を含む、ユーザーが防護的な措置を取るのに十分な情報を含めなければならない。

Art. 14(4)
Manufacturer
OBL-ART18-01Binding

認定代理人の委任状が法定最低限業務をカバーすることの確保

製造業者は書面による委任状で認定代理人(AR)を任命できます。委任状は AR が 少なくとも3つの法定最低限業務を実行できるようにしなければなりません:EU 適合宣言書と技術文書を市場監視機関のために少なくとも10年間保管すること; 要求に応じて適合情報を提供すること;是正措置に協力すること。設計・製造に 関する基本的な義務は委任できません。

Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART19-01Binding

EU市場への投入前の製品適合性の検証

デジタル要素を含む製品をEU市場に投入する前に、輸入業者は製造業者が適切な適合性評価を実施し、技術文書を作成し、CEマーキングを付し、 EU適合宣言または性能宣言を利用可能にしていることを確認しなければならない。

Art. 19(1)
Importer
OBL-ART19-02Binding

不適合製品の市場への投入の禁止

輸入業者が製品がCRAの基本的なサイバーセキュリティ要件に適合していないと考えるまたは考える理由がある場合、 適合性が達成されるまで製品を市場に投入してはならない。

Art. 19(2)
Importer
OBL-ART19-03Binding

輸入業者連絡先情報による製品のラベリング

輸入業者は、製品自体、そのパッケージ、または製品に付随する文書に、名称、登録商号または商標、郵便住所、 および利用可能な場合はウェブサイトまたはメールアドレスを示さなければならない。

Art. 19(3)
Importer
OBL-ART19-04Binding

安全な保管および輸送条件の確保

デジタル要素を含む製品が輸入業者の責任下にある間、輸入業者は保管および輸送条件が 基本的なサイバーセキュリティ要件への適合性を損なわないよう確保しなければならない。

Art. 19(4)
Importer
OBL-ART19-05Binding

是正措置の実施および重大なサイバーセキュリティリスクの報告

輸入業者が市場に投入した製品が不適合であることを知った場合、是正措置——必要に応じて回収を含む——を直ちに実施しなければならない。 製品が重大なサイバーセキュリティリスクをもたらす場合、輸入業者は関連する国内所轄当局に直ちに通知しなければならない。

Art. 19(5)
Importer
OBL-ART19-06Binding

文書の10年間の保管

輸入業者は、製品が市場に投入された後10年間、EU適合宣言または性能宣言のコピーを保管し、 技術文書を市場監視当局の要請に応じて提供できるよう確保しなければならない。

Art. 19(6)
Importer
OBL-ART19-07Binding

市場監視当局との協力

所轄当局からの合理的な要請に基づき、輸入業者はデジタル要素を含む製品の適合性を実証するために必要なすべての情報および文書—— 紙または電子形式——を提供しなければならない。また、当局が要求するあらゆる是正措置に協力しなければならない。

Art. 19(7)
Importer
OBL-ART20-01Binding

市場での提供前の製品適合性の確認

デジタル要素を含む製品を市場で提供する際、流通業者は相当な注意を払い、製品がCEマーキングを付していること、 必要な文書および情報を伴っていること、製造業者および輸入業者(該当する場合)がラベリングおよび識別義務を遵守していることを確認しなければならない。

Art. 20(1)
Distributor
OBL-ART20-02Binding

不適合製品の市場での提供の禁止

流通業者が製品がCRAの基本的要件に適合していないと考えるまたは考える理由がある場合、適合性が達成されるまで市場で製品を提供してはならず、 製造業者と(該当する場合は)市場監視当局に通知しなければならない。

Art. 20(2)
Distributor
OBL-ART20-03Binding

安全な保管および輸送条件の確保

流通業者は、デジタル要素を含む製品が自らの責任下にある間、保管および輸送条件が 基本的なサイバーセキュリティ要件への適合性を損なわないよう確保しなければならない。

Art. 20(3)
Distributor
OBL-ART20-04Binding

是正措置の実施および重大なサイバーセキュリティリスクの報告

流通業者が市場で提供した製品が不適合であることを知った場合、是正措置——必要に応じて回収を含む——を直ちに実施しなければならない。 製品が重大なサイバーセキュリティリスクをもたらす場合は、関連する国内市場監視当局に直ちに通知しなければならない。

Art. 20(4)
Distributor
OBL-ART20-05Binding

市場監視当局との協力

所轄当局からの合理的な要請に基づき、流通業者は製品の適合性を実証するために必要なすべての情報および文書を提供し、 当該当局が要求するあらゆる是正措置に協力しなければならない。

Art. 20(5)
Distributor
OBL-ART21-01Binding

製品のブランド変更または重大な改変を行う輸入業者・販売業者は製造業者のすべての義務を引き継ぐ

輸入業者または販売業者は、デジタル要素を含む製品を自社名または商標で市場に 提供する場合、あるいはすでに市場に提供されている製品に重大な改変を加える 場合、製造業者とみなされ、第13条および第14条のすべてに従います。

Art. 21Art. 13Art. 14
ImporterDistributor
OBL-ART22-01Binding

重大な改変を加えて製品を市場に提供する者は製造業者となる

元の製造業者・輸入業者・販売業者以外の者で、製品に重大な改変を加えて市場に 提供する者は製造業者とみなされます。その者は第13条および第14条の義務に 従います。改変により影響を受けた部分のみ、またはその改変が製品全体の サイバーセキュリティに影響する場合は製品全体が対象となります。

Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding

サプライチェーンのトレーサビリティ記録の維持と要求時の提供

すべての経済事業者は、市場監視機関の要求に応じて、(a) 製品を供給した経済 事業者、および (b) 製品を供給した先の経済事業者を特定できなければなりません。 記録は各取引から10年間保管する必要があります。

Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-02Binding

積極的に悪用された脆弱性および重大インシデントの通知

オープンソースソフトウェア管理者は、管理するオープンソースソフトウェアコンポーネントに含まれる積極的に悪用された脆弱性、 および当該コンポーネントのセキュリティに影響する重大インシデントを、コーディネーターとして指定されたCSIRTに不当な遅延なく通知しなければならない。

Art. 24(2)
Open-source steward
OBL-ART24-03Binding

市場監視当局との協力

オープンソースソフトウェア管理者は、要請に応じて市場監視当局と協力し、規制上の任務の遂行に必要なすべての情報を提供しなければならない。

Art. 24(3)
Open-source steward
OBL-ART24-04Binding

要請に応じた技術文書の作成

市場監視当局からの要請に応じて、オープンソースソフトウェア管理者は管理するオープンソースソフトウェアコンポーネントに関する技術文書を作成し最新の状態に保たなければならない。 サイバーセキュリティのコンプライアンス評価に十分な内容が必要である。

Art. 24(4)
Open-source steward
OBL-ART28-01Binding

必要なすべての情報を含む EU 適合宣言書の作成

製造業者は附属書V のモデル構造に従い、指定されたすべての要素を含む EU 適合 宣言書(EU DoC)を作成しなければなりません。EU DoC は製品が適用される必須 サイバーセキュリティ要件を満たしていることを宣言します。簡略版(附属書VI) は、完全な DoC がオンラインでアクセス可能であれば製品に添付できます。 関連する変更が生じた場合、DoC を更新しなければなりません。

Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding

附属書VII のすべての要素を含む技術文書の作成と維持

製造業者は製品を市場に投入する前に技術文書を作成し、継続的に更新しなければ なりません(少なくともサポート期間中)。文書には附属書VII に列挙されたすべての 要素が含まれ、製品と製造業者のプロセスが附属書I の必須サイバーセキュリティ 要件を満たす方法を実証しなければなりません。少なくとも10年間またはサポート 期間にわたり市場監視機関がアクセスできる状態を保つ必要があります。

Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding

製品を市場に投入する前に正しい適合性評価手順の選択と完了

製造業者は、製品を市場に投入する前に、製品と製造業者のプロセスの両方が 附属書I の必須要件を満たしていることを実証する適合性評価を実施しなければ なりません。必要な手順は製品の分類に依存します:標準製品にはモジュールA (自己評価)、特定の状況における重要製品にはサードパーティ評価、クラスII の重要製品と重大製品には認定機関の関与が必須です。

Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer
Obligations library — CRAコンプライアンスハブ