Cyber resilience act

欧州サイバーレジリエンス法(CRA)とは

企業への影響と対応方法を解説

企業への影響と対応方法を解説

欧州サイバーレジリエンス法(Cyber Resilience Act、以下CRA)は、2024年3月に欧州議会で議決され、欧州理事会での採択とEU OJへの公布を経て、3年間の移行期間が設けられています。この法的枠組みは、EUにおけるデジタル要素を含むハードウェアおよびソフトウェア製品に対するサイバーセキュリティ要件を定めるものです。

サイバーレジリエンス法(CRA) が施行されると、EU市場におけるハードウェアおよびソフトウェア製品の製造業者、輸入業者、販売業者は、36カ月以内にその要件に適合し、遵守する必要があります。このページ、サイバーレジリエンス法(CRA) に備えるために知っておくべきことを解説しています。 

目次

  1. サイバーレジリエンス法(CRA)とは
  2. なぜサイバーレジリエンス法(CRA)が重要なのか
  3. サイバーレジリエンス法(CRA)が与える影響とその範囲
  4. 自社製品がサイバーレジリエンス法(CRA)に適合していない場合、何が生じるか
  5. サイバーレジリエンス法(CRA)のために
  6. テュフズードがサポートできること
  7. テュフズードが選ばれる理由

サイバーレジリエンス法(CRA)とは

What is Cyber Resilience Actサイバーレジリエンス法(CRA)は、ハードウェアおよびソフトウェア製品のライフサイクル全体に対して、EUのサイバーセキュリティに関する必須要件を導入する法的枠組みです。ノートパソコン、モバイル機器、センサー、カメラ、ルーター、ファームウェア、アプリ、ビデオゲーム、ビデオカード、コンピューター処理装置など、EU内で製造、輸入、流通されるPDE(Product Digital Elements)またはハードウェアおよびソフトウェア製品に適用されます。

サイバーレジリエンス法(CRA)の最終的なゴールは、デジタルコンポーネントを含む製品やソフトウェアをEU市場に投入する際に、統合的なサイバーセキュリティガイドラインを保証することです。また、サイバーレジリエンス法(CRA)は、デジタル製品に新基準への適合を示すCEマーキングを強制します。

サイバーレジリエンス法(CRA)の主な目的は、デジタル要素を含む製品にセキュリティ上の脆弱性が少なく、製造業者、輸入業者、販売業者が製品のライフサイクルを通じてサイバーセキュリティを適切に管理できるようにすることです。サイバーレジリエンス法(CRA)は、ハードウェアおよびソフトウェア製品のセキュリティと信頼性に関する透明性を向上させることで、ユーザーの信頼と保護を強化することを目的としています。


なぜサイバーレジリエンス法(CRA)が重要なのか

サイバーレジリエンス法(CRA)は、EUの国家、企業、重要インフラのサイバーセキュリティ態勢 を強化する包括的なアプローチです。サイバー攻撃が増加し続けるなか、製造業の企業へのサイ バーセキュリティ対策への責任が求められています。欧州においてはサイバーセキュリティ対策の 強化が進められていますが、欧州委員会の推計によると、市場に流入している60%もの製品に脆弱 性があると言われています。このような背景から、サイバーレジリエンス法(CRA)取得のための 体制を構築し、開発から納品、保守までのライフサイクル全体でのサイバーセキュリティにおける 安全性を確保する必要があるのです。


サイバーレジリエンス法(CRA)が与える影響とその範囲

サイバーレジリエンス法(CRA)は、EU市場におけるハードウェア およびソフトウェア製品の製造業者、輸入業者、販売業者に影響を 与えます。サイバーレジリエンス法(CRA)の要件に適切に準拠す るためには、自社の製品がサイバーレジリエンス法(CRA)の対象 製品かどうかを確認し、対応方法を正しく理解する必要があります

 

サイバーレジリエンス法(CRA)は、EU市場におけるハードウェア およびソフトウェア製品の製造業者、輸入業者、販売業者に影響を 与えます。サイバーレジリエンス法(CRA)の要件に適切に準拠す るためには、自社の製品がサイバーレジリエンス法(CRA)の対象 製品かどうかを確認し、対応方法を正しく理解する必要があります:

  • 非重要製品(Non-critical products)
    非重要製品には、デジタル要素を持つ約90%の製品が該当します。
    ・対象製品例
    ハードドライブ、スマートホームアシスタント、その他のコネクテッドデバイスなど
    ・必要な対策
    自社製品がCRAの要件を満たしているかどうかをチェックするために自己評価を実施しなければなりません。
  • 重要製品(Critical products)
    重要製品はリスクレベルに応じてクラスIとクラスⅡに分かれており、第三者認証が必要になります。
    • クラスI(低リスク)
      ・対象製品例
      ID管理、スタンドアロンおよび組み込みのブラウザ、パスワード・マネージャー、悪意のあるソフトウェアを検索、削除、隔離するソフトウェア、デジタル要素および仮想プライベート・ネットワーク(VPN)の機能を持つ製品、ネットワーク管理システムなど
      ・必要な対策
      EUCCやEN規格の対象外の製品は、第三者認証を取得しなければなりません。
    • クラスII(高リスク)
      ・対象製品例
      オペレーティングシステムや同様の環境の仮想化実行をサポートするハイパーバイザーやコンテナラ ンタイムシステム、ファイアウォール、侵入検知・防止システム、耐タンパーマイクロプロセッサ、 耐タンパーマイクロコントローラなど
      ・必要な対策
      クラスⅡに該当する製品は、第三者認証を取得しなければなりません。

サイバーレジリエンス法(CRA) の適用範囲は広いものの、以下のものには適用されません:

  • 商業活動の一部でない限り、オープンソースソフトウェアを含む非商業プロジェクト
  • クラウド・コンピューティング・サービスやSaaS(Software-as-a-Service)ビジネスモデルなどのサービス
  • 高度に規制された製品や産業、特に自動車、医療機器、体外診断用医療機器、認証された航空機器、国家安全保障や軍事目的のためにのみ開発された製品など、サイバーセキュリティに関して十分な規制を受けているもの

自社製品がサイバーレジリエンス法(CRA)に適合していない場合、何が生じるか 

クラスIおよびクラスII製品のサイバーレジリエンス法(CRA) への不適合は、罰金の賦課につながる可能性があり、最も厳しい罰則は最高1,500万ユーロまたは違反者の全世界年間売上高の2.5%です。

さらに規制当局は、非適合製品の市場からの撤去命令や、流通制限の権限を持ちます。また市場監視当局は、サイバーレジリエンス法(CRA) の規制に対する違反行為を発見するために「sweeps スイープ」を実施します。

低リスクのクラスIカテゴリーに属する製品を含め、すべてのデジタル製品にとって最も重要なことは、サイバーレジリエンス法(CRA) の本質的なサイバーセキュリティ要件と脆弱性対応要件を遵守することです。これは、厳しい罰則を回避し、製造業者、輸入業者、販売業者がEU法規に準拠したサイバーセキュリティを維持することにつながります。

 

今から準備できること

サイバーレジリエンス法(CRA) により、EUにおけるデジタル製品の製造業者、輸入業者、販売業者は、製品のライフサイクル全体を通じてサイバーセキュリティを考慮し、組み込むことが求められています。今からでも、コンプライアンス維持のためのアクションを取ることができます。以下に、サイバーレジリエンス法(CRA) 施行後に準備できることを挙げています:

  • 製品の徹底的な見直しを行う
  • 潜在的なセキュリティ脆弱性を特定する
  • セキュリティ要件、設計、実装、テスト、保守を含むセキュリティ開発ライフサイクル(SDL)を策定する
  • 脆弱性対応プロセスを導入し、ユーザーに必要な情報を提供す
  • インシデント報告義務を遵守し、積極的に悪用された脆弱性や重大なセキュリティインシデントを関連当局に報告するプロセスを確立する
  • サイバーレジリエンス法(CRA) と、一般データ保護規則(GDPR)、無線機器指令(RED)、新製造物責任指令案など、EUにおける他の規制枠組みとの相互作用について詳しく知る

複雑な要件に対応することは困難であり、あらゆる場面で落とし穴が待ち受けている可能性があります。承認プロセスを成功させるためには、経験豊富なスペシャリストが不可欠です。

 

テュフズードがサポートできること

製品サイバーセキュリティ試験のリーダーとして、テュフズードは製品のセキュリティと信頼性を評価するための十分な専門知識を培ってきました。テュフズードは、サイバーレジリエンス法(CRA) への準備、EUサイバーセキュリティ法への準拠、製品デジタル要素(PDEs)のデジタル製品CEマーキング取得支援など、さまざまなサイバーセキュリティサービスを提供しています:

 

cybersecurity

  • トレーニングとアドバイザリーサービス
    テュフズードは、製造業者がサイバーセキュリティポリシーと実務を改善し、サイバーレジリエンス法(CRA)と整合させるためのトレーニングとアドバイザリーサービスを提供しています。
  • 適合性評価
    製造業者がサイバーレジリエンス法(CRA)の要件を理解し、製品の適合性を評価するためのアセスメントを実施します。
  • 脆弱性管理
    サイバーレジリエンス法(CRA)が要求する製品の脆弱性の特定と管理を支援します。
  • 第三者評価
    リスクの高い製品に義務付けられている第三者評価サービスを提供し、サイバーレジリエンス法(CRA)への適合性を検証します。
  • インシデント報告サポート
    サイバーレジリエンス法(CRA)が求めるインシデント報告プロセスの確立を支援します。

 


テュフズードを選ぶ理由

テュフズードは製品サイバーセキュリティ試験をリードしてきました。サイバーリスク評価からセキュリティ認証プロジェクトに至るまで、テュフズードのエキスパートは、企業のサイバーセキュリティ向上を導き支援してきました。当社の専門家は、グローバルなサイバーセキュリティ規格を熟知しており、サイバーレジリエンス法(CRA)の要求事項を満たすための準備をあらゆる段階でサポートできます。

テュフズードは、数十年にわたる経験、ドメイン固有のノウハウ、規制に関する専門知識から磨かれたサイバーセキュリティに対する体系的なアプローチで、さまざまな分野の企業をサポートしています。グローバルなサイバーセキュリティ基準への準拠を支援することで、テュフズードはお客様が世界中の市場にアクセスできることを保証します。

 

テュフズードジャパンのサービス

テュフズードの日本法人テュフズードジャパン株式会社では、製品サイバーセキュリティ試験を対応するラボを2022年より東京試験所(東京都品川区)に開設。欧州をはじめとして、グローバルで高まる製品サイバーセキュリティ規制への対応を支援しています。

通常のギャップ分析や適合性試験に限らず、適合に必要なさまざまなトレーニングなども併せてご提供しています。豊富なサポート経験や専門知識、日本語による支援により、製造業者様においてサイバーセキュリティ規制への理解を深めるためのサポートを行っています。

テュフズードジャパンのコンシューマーIoT機器向けサイバーセキュリティサービスはこちら

無線機器指令(RED)に基づく新しいEUセキュリティ法制

EN18031:インターネット接続可能な無線機器のセキュリティ要件

次のステップ

Site Selector