EU CRAは、欧州単一市場での安全なデジタル製品の開発およびライフサイクル管理におけるサイバーセキュリティのコンプライアンスを重視する、世界的に影響力のある基本規制です。

2024年10月10日、欧州理事会はサイバー レジリエンス法 (EU CRA) を正式に採択しました。2024年11月20日、同法はEU官報に掲載され、サイバーセキュリティ遵守における重要な成果となりました。EU CRAは、欧州単一市場全体でコネクテッド デバイスのセキュリティの強化を目的にした画期的な規制で、初期設計段階からサイバーセキュリティ対策とコンプライアンスを組み込むことを定めています。

同法は2027年12月11日から全面適用となり、すべての製品が厳格なセキュリティ バイ デザイン (設計段階からのセキュリティ) 要求に対応し、CEマーキングを取得するよう義務付けられます。しかし、それに先立ち重要な規定のいくつかが施行されます:

• 2026年6月11日- 適合性評価機関の届出 (第4章第35条～第51条)
• 2026年9月11日 - サイバーセキュリティ事故報告の義務化 (第14条)

EUサイバー レジリエンス法とは？

EU CRAとは、欧州単一市場におけるIoTセキュリティ基準、スマートホームデバイス、ならびに、すべてのコネクテッド デジタル製品に必須のサイバーセキュリティ要件を定める規制の枠組みです。設計段階および初期設定時にセキュリティを強化し、製品のライフサイクルの全期間にわたり、適切なセキュリティを確保できるようにします。

この法律は、デジタル部品を含むあらゆるハードウェアおよびソフトウェア製品に適用されますが、以下は除外の対象となります。

• 非商業的プロジェクトおよびサービス
• 物理的構成要素を持たないクラウド サービス
• 自動車、医療、航空分野など、すでに既存の規制が適用されている産業

サイバーセキュリティにおけるコンプライアンス: 主な要件

製造業者は、製品の発売時に、実際に悪用されたことが確認されているセキュリティ上の脆弱性がないように注意し、製品のライフサイクルの全期間にわたり、サイバーセキュリティ リスクを積極的に管理しなければならない。EU CRAに従わない場合、全世界の年間売上高の最大2.5%の制裁金が科される可能性があります。