EUサイバーレジリエンス法への対応に向けて
サイバーレジリエンス法事前チェックで新しいEU規制に備えましょう
サイバーレジリエンス法(Cyber Resilience Act)により、欧州連合(EU)において「デジタル要素を含む製品」に対する拘束力のあるサイバーセキュリティ要件が導入されます。2027年から施行される企業向けのサイバーセキュリティ要件の目的は、サイバー攻撃に対する回復力を高め、信頼性の高いデジタルサービスを提供することです。
欧州経済領域(EEA)にてセキュリティ要件を定めた新法「サイバーレジリエンス法(CRA)」が、2024年12月11日(水)に発効しました。
- 2026年6月11日:第IV章(適合性評価機関の届出)が発効。
- 2026年9月11日:第14条(製造業者に対する報告義務)により、製造業者は自社製品に積極的に悪用された脆弱性を国家当局およびENISAに通知することが義務付けられます。
- 2027年12月11日:この日から、すべてのCRA要件が適用され、CEマークがない「デジタル要素を含む製品」はEU域内で販売できなくなります。
サイバーレジリエンス法とは何か、2027年から適用される規則は何か。
- サイバーレジリエンス法は、欧州単一市場で販売・流通されることを意図したデジタル要素を含むあらゆる製品に適用されます。
- 影響を受ける経済主体にはさまざまな義務があり、カテゴリーによっては、EU規則をより包括的に検討し、より大きな努力を必要とする場合があります。
- 特定の製品については、独立した第三者が製品のサイバーレジリエンス法適合性を証明しなければなりません。
- コンプライアンス違反があった場合、製品は市場に出回らない可能性があり、経済主体は多額の罰金を科される可能性があります。
サイバーレジリエンス法の影響を受けるのは誰か
CEマーキングの要件としてのサイバーセキュリティ
サイバーレジリエンス法(CRA)により、サイバーセキュリティはデジタル要素を含む製品のCEマーキングの必須要件となりました。製造業者は、製品が新規制のセキュリティ基準に準拠しており、適切な脆弱性管理が行われていることを確実にしなければなりません。これらの義務を満たすことは、EU市場へのアクセスを維持するために不可欠です。
CEマーキングは、製品が適用されるすべてのEU規制に準拠しており、欧州経済領域内で自由に販売できることを示すものです。CEマーキングは、製品が健康、安全、環境保護に関する必須基準を満たしていることを製造者が宣言するものです。CRAの導入は、この確立されたCEプロセスを基礎としつつ、サイバーセキュリティに特化した新たな要素を追加するものです。製造業者は、製品が従来の安全および環境基準だけでなく、脆弱性管理やソフトウェア更新規定を含むCRAに規定されたサイバーセキュリティ要件も満たしていることを確実にする必要があります。
サイバーレジリエンス法事前チェックによるベネフィット
サイバーレジリエンス法(CRA)FAQ
法令発行のスケジュール
2027年10月30日に製品の種類に関係なく適用されます。
貴社の製品は対象となりますか?
CRAの対象範囲は非常に広範です。「インターネットに直接接続しない製品」であっても、端末上でデジタルインターフェースを持つ製品はすべて対象となります。まずは「フィルタリング」から貴社製品がどのカテゴリーに分類され、どの対応を選択すべきかご確認ください。
サービス概要
お客様の成熟度に基づいて、最適なサービス内容を提案します。
既存規格との「ギャップ」を埋める効率的アプローチ
CRAの要件の多くは、既存の国際標準規格と共通しています。例えば、IEC 62443-4-1, 4-2準拠のプロセスは、CRA要件の大部分をカバーしています。テュフ ラインランドのサービスは既存の部分を評価し、不足している差分に注力するアプローチを実施します。書類を作るためだけではなく、将来の認証機関の視点から、実運用に耐えうる対応支援を提供します。
サイバーレジリエンス法対応お問い合わせ
