OBL-ART13-01Binding
製品のライフサイクル全体にわたるセキュリティの確保(セキュア・バイ・デザイン)
製造業者は、リスクに基づく適切なレベルのサイバーセキュリティを提供するよう、デジタル要素を含む製品を設計・開発・製造しなければならない。 セキュリティは、設計から廃棄に至るまで、製品のライフサイクル全体を通じて対処される必要がある。
Art. 13(1)Art. 13(2)
Manufacturer
役割
Art. 3(13)製造業者
製造業者とは、デジタル要素を含む製品を開発・製造し、または設計・製造を委託し、自己の名称または商標のもとで市場に出荷するすべての自然人または法人を指します。
主要な事実
- CRAの下で最も高い義務負担
- サイバーセキュリティリスク評価を実施する必要あり
- サポート期間(最低5年)を通じてセキュリティ更新に責任を持つ
- 2026年9月11日からENISAへの積極的に悪用される脆弱性の報告が必要
- EU適合宣言を作成し、CE適合マークを貼付する必要あり
主要な期限
1
2024年12月11日 — CRA発効
規則が法的に有効となります。この日以降に市場に出荷された製品は、適用日に達した時点でCRAに準拠する必要があります。
2026年9月11日 — 脆弱性報告義務が適用
第14条に基づくENISAへの脆弱性・インシデント報告が義務化されます。これが最初の厳格な期限です。製造業者はこの日付の前に報告プロセスを整備しておく必要があります。
3
2027年6月11日 — 適合性評価機関の通知
加盟国は適合性評価機関を欧州委員会に通知しなければなりません。
4
2027年12月11日 — 規制が全面適用
すべてのCRA要件がすべての対象製品に適用されます。準拠していない新製品はEU市場に出荷できなくなります。
義務(30件)
OBL-ART13-02Binding
市場への投入前のサイバーセキュリティリスクアセスメントの実施
製造業者は、デジタル要素を含む製品を市場に投入する前に、当該製品に関連するサイバーセキュリティリスクのアセスメントを実施しなければならない。 リスクアセスメントは製品の設計・開発・製造に反映され、技術文書の一部として文書化されなければならない。
Art. 13(2)
Manufacturer
OBL-ART13-03Binding
技術文書(附属書VII)の作成および維持
製造業者は、製品がCRAの基本要件に適合することを実証するために必要なすべての情報を含む技術文書を作成しなければならない。 文書は最新の状態に保ち、市場への投入日から10年間(または製品の予想使用期間がより長い場合はその期間)保管しなければならない。
Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding
適用される適合性評価手続の実施
製造業者は、製品クラスに適した手続を用いて適合性を実証しなければならない。デフォルト製品は自己認証(モジュールA)が可能である。 重要クラスI製品は、調和規格が適用されれば自己認証が可能であり、そうでなければ認証機関の関与が必要となる。 重要クラスIIおよびクリティカル製品は常に認証機関を必要とする。
Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding
ソフトウェアコンポーネントに対するデューデリジェンスの実施(SBOMとサプライチェーン)
製品に組み込まれたソフトウェアコンポーネントが製造業者自身によって開発されていない場合、製造業者は当該コンポーネントが製品のセキュリティを損なわないよう、 適切なデューデリジェンスを実施しなければならない。ソフトウェア部品表(SBOM)を作成し、技術文書の一部として維持しなければならない。
Art. 13(5)
Manufacturer
OBL-ART13-06Binding
市場への投入時における既知の悪用可能な脆弱性の不存在の確保
デジタル要素を含む製品を市場に投入する際、製造業者は製品に既知の悪用可能な脆弱性が含まれないようにしなければならない。 この義務は配布時に適用され、その後にリリースされる各アップデートにも適用される。
Art. 13(6)
Manufacturer
OBL-ART13-07Binding
協調的な脆弱性開示(CVD)ポリシーの策定および公開
製造業者は、協調的な脆弱性開示(CVD)のポリシーを策定し、公開しなければならない。このポリシーは脆弱性報告のための連絡先を提供し、 製造業者が報告をどのように処理するか(確認の期限や研究者との開示調整プロセスを含む)を説明しなければならない。
Art. 13(7)
Manufacturer
OBL-ART13-08Binding
製品サポート期間の宣言および開示
製造業者は製品のサポート期間を宣言し、その情報を購入前にユーザーが利用できるようにしなければならない。 サポート期間は、製品の予想使用期間がより短い場合を除き、少なくとも5年間でなければならない。 サポート期間終了日は、製品文書および販売時点において記載されなければならない。
Art. 13(8)
Manufacturer
OBL-ART13-09Binding
サポート期間全体にわたるセキュリティアップデートの提供
製造業者は、少なくとも5年間(または予想使用期間がより短い場合はその期間)、セキュリティアップデートを無償で提供しなければならない。 アップデートは迅速に、機能アップデートとは別に提供され、サポート期間終了日が開示されなければならない。
Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding
サポート期間全体にわたる脆弱性の対処および修正
製造業者は、サポート期間全体を通じて製品の脆弱性を特定・分析・対処するプロセスを持たなければならない。 附属書I第II部は、CVE割り当て、CVSSスコアリング、協調的開示、適時の修正を含む詳細な要件を規定している。
Art. 13(10)
Manufacturer
OBL-ART13-11Binding
EU適合宣言(EU DoC)の作成
製造業者は、第28条および附属書Vに従ってEU適合宣言を作成し、製品がCRAの適用要件をすべて満たすことを宣言しなければならない。 EU適合宣言は最新の状態に保ち、市場監視当局および該当する場合はユーザーに利用可能にしなければならない。
Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding
製品へのCEマーキングの付記
製造業者は、EU市場に投入する前に製品にCEマーキングを付し、製品がCRAの適用要件すべてに適合することの証拠としなければならない。 CEマーキングは視認性、可読性、消去不能性を持たなければならず、EU適合宣言が作成される前に付してはならない。
Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding
製品が一意に識別できることの確保(シリアル化)
製造業者は、デジタル要素を含む各製品が、識別を可能にするタイプ、バッチ番号、シリアル番号、またはその他の要素を備えることを確保しなければならない。 ソフトウェアのみの製品の場合、バージョン番号がこの目的を果たす。
Art. 13(14)
Manufacturer
OBL-ART13-14Binding
製品への製造業者連絡先情報の表示
製造業者は、製品または そのパッケージに、名称、登録商号または商標、および郵便住所を示さなければならない。 利用可能な場合は電子連絡先住所(ウェブサイトまたはメール)も示さなければならない。 これにより市場監視当局、輸入業者、流通業者、およびユーザーが製造業者に連絡できる。
Art. 13(15)
Manufacturer
OBL-ART13-15Binding
ユーザーへの指示および情報の提供(附属書II)
製造業者は、ユーザーが容易に理解できる言語で、附属書IIに列挙された情報および指示を製品に付属させなければならない。 これには、製品のアイデンティティ、セキュリティ機能、脆弱性報告の連絡先、サポート期間終了日、および安全な使用のガイダンスが含まれる。
Art. 13(16)
Manufacturer
OBL-ART13-16Binding
是正措置の実施および市場監視との協力
製造業者は、市場に投入した製品がCRAの要件に適合していないと考える理由がある場合、必要に応じて回収を含む是正措置を直ちに実施しなければならない。 また、製造業者は市場監視当局と協力し、要求されたすべての情報および文書を提供しなければならない。
Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding
積極的に悪用された脆弱性およびインシデントのENISAへの報告
製造業者は、製品内の積極的に悪用された脆弱性を、24時間以内(早期警告)および72時間以内(通知)にENISAの単一報告プラットフォームを通じて報告しなければならない。 最終報告は14日以内に提出が必要である。この義務は2026年9月11日から適用される。
Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding
72時間以内のENISAへの詳細な脆弱性通知の提出
製品内の積極的に悪用された脆弱性を認識してから72時間以内に、製造業者はENISAの単一報告プラットフォームを通じて詳細な脆弱性通知を提出しなければならない。 これは24時間の早期警告(OBL-ART14-01)に続くものであり、脆弱性および影響を受ける製品に関する技術的詳細を含まなければならない。
Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding
14日以内のENISAへの最終脆弱性報告の提出
積極的に悪用された脆弱性を認識してから14日以内に、製造業者は脆弱性の完全な説明、実施された是正措置、 脆弱性が公開開示されているかどうかまたはCVEが割り当てられているかどうかを含む最終報告をENISAに提出しなければならない。
Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding
積極的に悪用された脆弱性のユーザーへの不当な遅延のない通知
脆弱性が積極的に悪用されている場合、製造業者は影響を受けたユーザーに不当な遅延なく通知しなければならない。 通知には、パッチがリリースされる前に利用可能な緩和措置を含む、ユーザーが防護的な措置を取るのに十分な情報を含めなければならない。
Art. 14(4)
Manufacturer
OBL-ART18-01Binding
認定代理人の委任状が法定最低限業務をカバーすることの確保
製造業者は書面による委任状で認定代理人(AR)を任命できます。委任状は AR が 少なくとも3つの法定最低限業務を実行できるようにしなければなりません:EU 適合宣言書と技術文書を市場監視機関のために少なくとも10年間保管すること; 要求に応じて適合情報を提供すること;是正措置に協力すること。設計・製造に 関する基本的な義務は委任できません。
Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART22-01Binding
重大な改変を加えて製品を市場に提供する者は製造業者となる
元の製造業者・輸入業者・販売業者以外の者で、製品に重大な改変を加えて市場に 提供する者は製造業者とみなされます。その者は第13条および第14条の義務に 従います。改変により影響を受けた部分のみ、またはその改変が製品全体の サイバーセキュリティに影響する場合は製品全体が対象となります。
Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding
サプライチェーンのトレーサビリティ記録の維持と要求時の提供
すべての経済事業者は、市場監視機関の要求に応じて、(a) 製品を供給した経済 事業者、および (b) 製品を供給した先の経済事業者を特定できなければなりません。 記録は各取引から10年間保管する必要があります。
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART28-01Binding
必要なすべての情報を含む EU 適合宣言書の作成
製造業者は附属書V のモデル構造に従い、指定されたすべての要素を含む EU 適合 宣言書(EU DoC)を作成しなければなりません。EU DoC は製品が適用される必須 サイバーセキュリティ要件を満たしていることを宣言します。簡略版(附属書VI) は、完全な DoC がオンラインでアクセス可能であれば製品に添付できます。 関連する変更が生じた場合、DoC を更新しなければなりません。
Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding
附属書VII のすべての要素を含む技術文書の作成と維持
製造業者は製品を市場に投入する前に技術文書を作成し、継続的に更新しなければ なりません(少なくともサポート期間中)。文書には附属書VII に列挙されたすべての 要素が含まれ、製品と製造業者のプロセスが附属書I の必須サイバーセキュリティ 要件を満たす方法を実証しなければなりません。少なくとも10年間またはサポート 期間にわたり市場監視機関がアクセスできる状態を保つ必要があります。
Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding
製品を市場に投入する前に正しい適合性評価手順の選択と完了
製造業者は、製品を市場に投入する前に、製品と製造業者のプロセスの両方が 附属書I の必須要件を満たしていることを実証する適合性評価を実施しなければ なりません。必要な手順は製品の分類に依存します:標準製品にはモジュールA (自己評価)、特定の状況における重要製品にはサードパーティ評価、クラスII の重要製品と重大製品には認定機関の関与が必須です。
Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer
OBL-ART6-01Binding
製品が必須サイバーセキュリティ要件を満たすことの確保(附属書I 第I部)
デジタル要素を含む製品は、附属書I 第I部に定める必須サイバーセキュリティ要件を 満たす場合にのみ EU 市場に提供できます(適切なインストール・保守・意図した 目的での使用、必要なセキュリティ更新の適用が条件)。
Art. 6(a)
Manufacturer
OBL-ART6-02Binding
脆弱性処理プロセスが必須要件を満たすことの確保(附属書I 第II部)
デジタル要素を含む製品は、製造業者が導入したプロセスが附属書I 第II部の 必須サイバーセキュリティ要件(サポート期間全体を通じた脆弱性の特定・管理・ 開示)を満たす場合にのみ市場に提供できます。
Art. 6(b)
Manufacturer
OBL-ART7-01Binding
製品が「重要製品」に該当するかの判断と正しい適合性評価手順の適用
主要機能が附属書III のカテゴリに該当する製品は「デジタル要素を含む重要製品」 となり、より厳格な適合性評価手順に従う必要があります。クラスI の重要製品は、 整合規格または共通仕様を完全に適用している場合にのみモジュールA の自己評価が できます;それ以外の場合は認定機関が必要です。クラスII は常に認定機関が必要です。
Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding
製品が「重大製品」に該当するかの判断と欧州サイバーセキュリティ認証の取得
主要機能が附属書IV(セキュリティボックス付きハードウェアデバイス、スマート メーター用ゲートウェイ、スマートカード/セキュアエレメント)に該当する製品は 「デジタル要素を含む重大製品」です。委員会が関連委任行為を採択した後、これらは 保証レベル「相当」以上の欧州サイバーセキュリティ証明書を取得する必要があります。 それまでの間、モジュールB+C またはH に従った適合性評価が必要です。
Art. 8(1)Art. 32(4)
Manufacturer