{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2024年10月10日に成立した欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)は、デジタル要素を含む製品の消費者を保護し、製品のサイバーセキュリティ確保を製造者に義務付ける欧州の規則です。CRAは、欧州官報掲載を経て2024年12月10日から発効しました。今後、2026年9月11日から脆弱性、インシデント報告義務に関する部分が適用開始し、2027年12月11日からCRAが全面的に適用となります。CRAは対象製品の準拠状況をCEマークに統合して管理し、CEマークを取得できない製品は欧州市場で販売できなくなります。
CRAはデジタル要素を含む製品についてセキュリティ要件の実装、脆弱性の管理、インシデント報告、サプライチェーンにおけるデューデリジェンスの実施などを求めており、製造業者にとっては、CRA準拠のための技術的対応のみならず製品セキュリティマネジメント体制の構築も急務となります。
CRAの対象となるデジタル要素を含む製品は、有線/無線を問わず、デバイスやネットワークと接続する用途の製品を含め、欧州市場で販売されるハードウェアやソフトウェア、遠隔データ処理ソリューションです。ありとあらゆるコネクテッド製品が対象となっています。
一方、すでに他の法令の規制対象となっている一部の製品・サービスについては、法令間の調整を図る目的でCRAの対象外としています。対象製品の該非判断は、図表1のとおりです。
CRAは8つの章、71の条項により構成されています。このなかで、製造業者に直接的な影響を及ぼす範囲は、主に第Ⅱ章(13条~15条)となります(図表2)。また、輸入業者や販売代理店に対してもその輸入、販売するデジタル要素を含む製品のCRA準拠状況を確認する義務を課しています。
なお、各条項で求められるサイバーセキュリティ要件は、CRAの附属書(Annex)に規定されています。
製造業者に対応が求められるCRAのサイバーセキュリティ要件については、対象となるデジタル要素を含む製品の種類に関係なく適用される水平的整合性規格(Horizontal standards)と、特定製品に追加で適用される垂直的整合性規格(Vertical standards)がセットで整備される予定です。特に、CRAの付属書Ⅲ、Ⅳに列挙される特定の製品を生産する製造業者は、一般的に適用される水平的整合性規格以外に自社製品に個別に適用される垂直的整合性規格も考慮する必要があります。
CRAは水平的整合性規格についてすでにその付属書Ⅰでセキュリティ必須要件を列挙しています。CRAのセキュリティ必須要件にはサイバーセキュリティ要件と脆弱性ハンドリング要件が含まれます。
水平的整合性規格で要求されるセキュリティ要件を水平的サイバーセキュリティ要件、垂直的整合性規格で要求されるサイバーセキュリティ要件を垂直的サイバーセキュリティ要件と記し、その内容を解説します。
垂直的サイバーセキュリティ要件は、後述の「タイムライン」でも言及しているとおり、主にCRA付属書Ⅲ、Ⅳに列挙されている製品ごとに制定されるセキュリティ要件となります。垂直的サイバーセキュリティ要件は、その対象製品の特性に合わせて水平的サイバーセキュリティ要件を修正したり、補完たりするものと考えられます。例えば、製品のセキュリティアップデートについて水平的セキュリティ要件では迅速に自動アップデートを求めるに対して、自動アップデートになじまない産業機器について自動アップデートではなく従来のアップデートの方法を認めるなど、サイバーセキュリティ必須要件からの逸脱を認めることなどが考えられます。
デジタル要素含む製品について、特定のカテゴリーに属する製品は厳密な適合性評価手順を適用する必要があり、かつ妥当性の観点から、CRAでは製品をその特性に合わせていくつかのグループに分類しています(図表3)。
付属書ⅢとⅣに分類される製品について、欧州委員会が選定基準を策定して見直すことが考えられます。CRAが全面的に適用された後も継続的情報をモニタリングする必要があります。
セキュリティ必須要件と脆弱性ハンドリング要件への準拠およびCEマークの利用のため、製造業者はデジタル要素を含む製品を適合性評価する必要があります。前述のとおり、求められる適合性評価は、製品カテゴリーによって異なるため、確認が必要です(図表4)。
CRAは、2024年10月10日に成立しました。今後、欧州官報に掲載された日から20日後に発効となり、全面適用は発効日から36カ月後になります。なお、例外として、脆弱性報告義務は発効日から21カ月後の適用になります。
上記に加え、欧州委員会の要請により、欧州標準化当局(以下、ESOs)がCRAの必須要件に関する整合規格を整備する必要があります。具体的には、ESOsに対してCRAが規定するセキュリティ必須要件に基づいたセキュリティ標準の整備と、整備されるべき標準のリストが指定されます。ESOsは、欧州委員会の要請にも基づき既存標準の改定または新規標準の起草で対応することになります。現在欧州委員会が公開している要請のドラフトによれば、CRAの整合性規格はCRAの対象となるデジタル要素を含む製品種類に関係なく適用される水平標準と、特定製品に追加で適用される垂直標準がセットで整備される予定です。図表5に示すとおり、全ての整合規格の整備が完了するのは2027年10月頃になる見込みです。
総合的に勘案し、CRAの全面適用までのスケジュールは図表6のタイムラインに示すようなものになると考えられます。
CRAの適用により、特に製造業では以下のような観点から、オペレーションや業績に影響が生じます。
PwC Japanグループは、企業のCRA対応を支援するための情報公開やサービスを展開しています。整合規格整備の進捗を含め、引き続き欧州の動向をモニタリングし情報収集していく必要があります。本サイトでは、随時情報を更新する予定ですので、ぜひご活用ください。