欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~

  • 2024-10-31

はじめに

2024年10月10日に成立した欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)は、デジタル要素を含む製品の消費者を保護し、製品のサイバーセキュリティ確保を製造者に義務付ける欧州の規則です。CRAは、欧州官報掲載を経て2024年12月10日から発効しました。今後、2026年9月11日から脆弱性、インシデント報告義務に関する部分が適用開始し、2027年12月11日からCRAが全面的に適用となります。CRAは対象製品の準拠状況をCEマークに統合して管理し、CEマークを取得できない製品は欧州市場で販売できなくなります。

CRAはデジタル要素を含む製品についてセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューデリジェンスの実施などを求めており、製造業者にとっては、CRA準拠のための技術的対応のみならず製品セキュリティマネジメント体制の構築も急務となります。

CRAへの準拠は製造業者への負担が大きく、早急な対応が必要

CRAの適用により、特に製造業では以下のような観点から、オペレーションや業績に影響が生じます。

  • CEマークの付いていないデジタル要素を含む製品は欧州市場で販売できなくなります。上述のように、欧州市場にデジタル要素を含む製品を展開する企業は、3年間の猶予期間内にCRAへの準拠、もしくは必要な措置を取る必要があります。しかし、期限までに適応できないような場合、CRAの全面適用開始後にデジタル要素を含む製品を市場に展開できなくなるリスクがあります。
  • 開発期間の長い製品にとって、3年間の猶予期間は決して十分であるとは言えず、そのような製品を展開する企業は、CRAのサイバーセキュリティ要件を整理し、CRAの正式な成立前の時点で前倒し可能な取り組みを先行して対策を開始する必要があります。
  • 欧州に所在する製品の取引先にデューデリジェンスを行う義務が生じます。また、当局や取引先などからSBOMなどの情報を求められる可能性があります。特に、SBOMは機密性の高い情報を含むことがあるため、ツールの導入や情報開示に関する方針の検討が必要です。
  • 欧州に現地法人がある場合、その現地法人を中心に脆弱性やインシデント報告の対応を行うことになります。現地法人のキャパシティ次第では、日本側の支援や判断が必要になります。そのため、現地法人や外部専門家との連携関係やガバナンスシステムを構築しておくことが求められます。
  • CRAの要件に違反した場合には、罰金として1,500万ユーロまたはグローバル年間売上高の2.5%のいずれか高い方が科されるとしているため、グループ全体の業績に影響するリスクがあります。

PwC Japanグループは、企業のCRA対応を支援するための情報公開やサービスを展開しています。整合規格整備の進捗を含め、引き続き欧州の動向をモニタリングし情報収集していく必要があります。本サイトでは、随時情報を更新する予定ですので、ぜひご活用ください。

執筆者

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email

江原 悠介

ディレクター, PwC Japan有限責任監査法人

Email

エレドン ビリゲ

マネージャー, PwCコンサルティング合同会社

Email

石田 健太郎

シニアアソシエイト, PwCコンサルティング合同会社

Email

マッハレ アンジャリ

シニアアソシエイト, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ