株式会社カナデンが提供する製品やソリューションをご紹介

お問い合わせ

EUサイバーレジリエンス法(CRA)とは?法案の内容や施行後の市場への影響などを解説

EUサイバーレジリエンス法(CRA)とは?法案の内容や施行後の市場への影響などを解説

公開日:2024.11.11 更新日:2024.11.11

EUサイバーレジリエンス法(欧州サイバーレジリエンス法、CRA)は、デジタル製品のセキュリティ基準を引き上げ、EU市場におけるサイバーセキュリティ体制を強化する重要な法律です。この記事では、2025年以降の施行が見込まれるEUサイバーレジリエンス法の具体的な内容や、欧州内外に与える影響についてわかりやすく解説します。

目次
  1. EUサイバーレジリエンス法(CRA)とは
    1. サイバーレジリエンスとは
  2. EUサイバーレジリエンス法の概要
    1. 対象
    2. 要求内容
    3. 制裁措置
  3. 法の対象製品のリスクレベルによるカテゴリー分け
  4. カテゴリー別のEUサイバーレジリエンス法準拠の認証方法
  5. EUサイバーレジリエンス法が求めるセキュリティ対策内容
  6. EUサイバーレジリエンス法施行によって期待される影響
    1. 安全性の向上
    2. 製造業者の責任感向上
    3. 消費者に対する情報開示の促進
  7. EUサイバーレジリエンス法に関するよくある質問
    1. Q.製品に関する脆弱性の悪用やインシデントを発見した際の報告先はどこですか?
    2. Q.EUサイバーレジリエンス法が制定された背景にはどんな現状がありますか?
  8. サイバーレジリエンスについての知識を深めよう

EUサイバーレジリエンス法(CRA)とは

EUサイバーレジリエンス法(CRA)とは

【EUサイバーレジリエンス法(CRA)とは】
EUが制定した、デジタル製品の安全性を確保するための法律
※2024年にEU会議を通過

EUサイバーレジリエンス法(EU Cyber Resilienc Act、CRA)とは、EU(欧州連合)によって提案されたデジタル製品および関連サービスの安全性を確保するための法律です。EUサイバーレジリエンス法とも呼ばれています。

サイバー攻撃の増加により、全世界においてセキュリティのアップデートと対策が求められています。EUサイバーレジリエンス法は、デジタル関連の全ての製品を対象に、国境を超えたサイバーレジリエンス対策を進めていくことを目的として提案されました。

サイバーレジリエンスとは

【サイバーレジリエンスとは】
サイバーリソースを含むシステムに対する悪条件・ストレス・攻撃または侵害を予測し、それに耐え、そこから回復・適応する能力

米国立標準技術研究所(NIST:National Institute of Standards and Technology)によると、サイバーレジリエンスとは、サイバーリソースを含む全てのシステムに対する攻撃や侵害を予測し、それに耐え、そこから回復・適応する能力のことです。システムが攻撃に遭うことを前提として、被害を最小限に留めて事業復旧を目指すための対策を立てることとも言い換えられます。

OTセキュリティに関する
お問い合わせはこちら

EUサイバーレジリエンス法の概要

EUサイバーレジリエンス法(CRA)は、EU市場を対象とした法律です。EUにデジタル製品を販売するときや、製造したデジタル製品がEU内で使用される可能性があるときには、EUサイバーレジリエンス法を正確に理解しておくことが求められます。

対象

EUサイバーレジリエンス法は、EU内で販売されるデジタル製品やデジタルの要素を含む全ての製品が対象です(例外を除く)。デバイスやネットワークに直接的・間接的に接続する製品も含まれます。

【対象外のもの】
  • 医療機器規則の対象製品
  • 体外診断用医療機器規則の対象製品
  • 民間航空機規則の対象製品
  • 自動車の型式承認規則の対象製品
  • 国家安全保障に関するデジタル製品
  • 軍事目的・機密情報処理目的の製品
  • SaaSなどのソフトウェアサービス
  • 研究開発目的のオープンソースソフトウェア

要求内容

【要求①】
セキュリティ要件の遵守、サイバーセキュリティアセスメントの実施と文書化

【要求②】
技術文書の作成と製品への添付、リスクレベルの評価と認証(第三者認証、CEマークの宣言など)

【要求③】
サポート期間の設定、製品の脆弱性管理、サイバートラブル発覚時の24時間以内の報告、セキュリティアップデートの提供

EUサイバーレジリエンス法では、全てのデジタル製品において、セキュリティ要件に適合しているか確認することが求められます。また、サイバーセキュリティアセスメントを実施し、更新プログラムの提供やソフトウェア部品表(SBOM)の作成が必要です。

次にリスクレベルにより、一般的なデジタル製品とクラスⅠ、クラスⅡの3つに分けて適合性評価を実施し、適合性評価証明書を発行します。製品のサポート期間を設定し、期間内は脆弱性管理を継続することも必要です。また、脆弱性の悪用やインシデントを発見した際には、EUサイバーセキュリティ機関(ENISA)に報告しなくてはなりません。

制裁措置

EUサイバーレジリエンス法に則った認証や対応をしない場合には、罰則が適用される場合があります。罰金は1,500万ユーロ以下、もしくは当該企業の全世界売上高の2.5%以内です。

EUサイバーレジリエンス法違反に対する罰則は非常に厳格であり、企業の財務状況に深刻な影響を与える可能性があります。また、罰則は違反の重大性に応じて段階的に適用されるため、軽微な違反であっても油断は禁物です。

法の対象製品のリスクレベルによるカテゴリー分け

リスクレベル

EUサイバーレジリエンス法(CRA)は、デジタル要素を含む全ての製品を対象とした法律です。対象製品をリスクレベルにより以下の3つのカテゴリーに分け、認証手続きを実施します。

  1. 【高リスク】重要なデジタル製品「クラスⅡ」
    ⇒最もセキュリティリスクが高いもの
    …サーバやデスクトップのOS、産業用ルータ・モデム、産業用ファイアウォール、改ざん防止マイクロコントローラ、改ざん防止マイクロプロセッサなど
  2. 【低リスク】重要なデジタル製品「クラスⅠ」
    ⇒保持するデータの機密性や相互作用するネットワークの重要性によって、サイバーセキュリティ上のリスクが高いもの
    …オペレーティングシステム、ネットワーク管理システム、産業用以外のルータ・モデム、仮想プライベートネットワーク(VPN)機能を持つデジタル要素を備えた製品、セキュリティ機能付きスマートホーム製品など
  3. 【非重要】デジタル要素をふくむ基本製品
    ⇒重大なサイバーセキュリティの脆弱性を持たない製品
    …ハードドライブ、スマートホームアシスタント、ゲーム機など
    (市場に流通している9割ほどの製品)

カテゴリー別のEUサイバーレジリエンス法準拠の認証方法

カテゴリー別のEUサイバーレジリエンス法準拠の認証方法

デジタル要素を備えた製品をEU内で販売するには、EUサイバーレジリエンス法(CRA)に準拠していることを証明することが必要です。認証方法はリスクレベルによって異なります。

  1. 【高リスク】重要なデジタル製品「クラスⅡ」
    ⇒第三者機関による認証が必要
  2. 【低リスク】重要なデジタル製品「クラスⅠ」
    ⇒既存EU基準への適合による自動認証、もしくは、第三者機関による認証・証明書発行が必要
  3. 【非重要】デジタル要素を含む基本製品
    ⇒・自己適合宣言を行う・第三者による認証が選択可能

クラスⅡに分類されるデジタル製品は、第三者機関による認証と証明書発行が必要です。クラスⅠのうち、EUCCやEN規格の対象外は第三者認証と証明書発行が求められます。また、クラスⅡとクラスⅠに分類されないものは、自己適合宣言か第三者認証のいずれかを選択することが可能です。

EUサイバーレジリエンス法が求めるセキュリティ対策内容

EUサイバーレジリエンス法(CRA)では、セキュリティ対策の内容についても細かく設定しています。製造過程と販売過程あわせて実施すべき対策を紹介します。

【EUサイバーレジリエンス法が求める主要なセキュリティ対策内容】
  • 法が定めるセキュリティ特性要件を遵守して設計、開発、製造を行うこと
  • 製品の計画、設計、開発、製造、配送、保守の全てのフェーズで、リスクアセスメントを実施すること
  • 全てのサイバーセキュリティリスクについて文書化すること(ソフトウェア)
  • 適合性評価を受けていることを示すこと
  • メーカー/開発者は、悪用された脆弱性およびインシデントが発生した場合、各機関に24時間以内に報告を行うこと
  • 製品販売後、メーカー/開発者は、サポート期間中は脆弱性に対処すること
  • 製品の使用について明確かつわかりやすい説明書を用意すること
  • 製品が使われると想定される期間中(最低5年間)、ユーザーにセキュリティアップデートを提供すること

製造業者の義務(10条)によると、対象製品は、EUサイバーレジリエンス法のセキュリティ特性要件を遵守して設計、開発、製造を行わなくてはなりません。なお、セキュリティ特性要件には、リスクに基づいた適切なサイバーセキュリティを確保するように設計・開発・生産を実施すること、悪用可能な脆弱性が含まれていないこと、リスクアセスメントに基づいてデータ保護や情報提供を行うことなどが含まれます。

また、製品が使われると想定される5年間もしくは製品寿命のいずれか短い期間は、セキュリティ特性要件を満たすことが必要です。セキュリティ特性要件を遵守しない場合は、直ちに是正措置を講じ、製品の撤回やリコールを行います。また、市場監視当局から要求される場合には、製品のセキュリティ特性要件への適合性を示す情報を提出することも必要です。

OTセキュリティに関する
お問い合わせはこちら

EUサイバーレジリエンス法施行によって期待される影響

EUサイバーレジリエンス法施行

EUサイバーレジリエンス法(CRA)が施行されることで、EU内だけでなくEU以外の国や地域にもさまざまな影響が生じると考えられています。想定される影響をいくつか紹介します。

安全性の向上

EUサイバーレジリエンス法では基準を順守しない企業に対して、厳しい罰則を定めています。EUサイバーレジリエンス法の対象製品は、例外を除いたデジタル要素のある有線製品・無線製品・ソフトウェアの全てです。各企業が対象製品に対してEUサイバーレジリエンス法に基づいたサイバーセキュリティ対策を実施することで、インターネット環境に接続されるデジタル製品の安全性が大幅に向上されると期待できます。

製造業者の責任感向上

EUサイバーレジリエンス法では、デジタル製品が市場に投入される前の設計・開発・製造段階からサイバーセキュリティ対策を実施することを求めています。

また、サイバーセキュリティの観点からのリスクアセスメントを実施し、アセスメントの結果を技術文書に含めることも必要です。そのため、製造業者は計画段階からセキュリティ対策について責任を持つようになり、より積極的なサイバーレジリエンス対策を実現できます。

消費者に対する情報開示の促進

製造業者は上市前に適合性評価手続きを行うだけでなく、技術文書の作成が必要です。また、上市後も10年間は、市場監視当局が自由に使えるように技術文書を保管しなくてはなりません。消費者も製品に関する詳細な情報が得られるようになり、デジタル市場の安全性の促進が期待できます。

EUサイバーレジリエンス法に関するよくある質問

EUサイバーレジリエンス法(CRA)に関するよくある質問とその答えをまとめました。ぜひ参考にして、疑問解消にお役立てください。

Q.製品に関する脆弱性の悪用やインシデントを発見した際の報告先はどこですか?

  • A.製品に関して脆弱性の悪用やインシデントを発見したときは、24時間以内にENISAへの報告することが義務付けられています。なお、ENISAとは欧州連合サイバーセキュリティ機関(The European Union gency for Cybersecurity)のことで、EUのセキュリティレベルの維持・向上を目指し、2004年に設立されました。

Q.EUサイバーレジリエンス法が制定された背景にはどんな現状がありますか?

  • A.世界規模のサイバー攻撃増加により、EUでは国や地域を超えたセキュリティ対策の実施が急務と考えられています。すでに2019年にはEUサイバーセキュリティ法を施行しましたが、具体的な必須要件が含まれていないことから、デジタル製品の包括的なセキュリティ要件を規定するためにEUサイバーレジリエンス法が制定されることになりました。

サイバーレジリエンスについての知識を深めよう

EUサイバーレジリエンス法(CRA)は、EU内のサイバーセキュリティの維持・向上を目的として制定される法律です。巨大経済圏であるEUにおいてサイバーセキュリティの強化が組織的に図られることで、EU以外の国や地域も、サイバーセキュリティ対策を見直す必要に迫られると考えられます。

カナデンでは、センサや映像・情報などの幅広い領域のデジタル機器、ソリューションを提供しています。企業様に応じたサイバーセキュリティ対策・サイバーレジリエンス対策についてもご提案していますので、ぜひお気軽にお問い合わせください。

OTセキュリティに関する
お問い合わせはこちら

OTセキュリティに関する
お問い合わせはこちら

OTセキュリティ関連記事一覧

「当社は、より良いサービス・利便性の向上を目的に、お取引先様の利用状況の分析と把握をするためCookieを利用します。
本ウェブサイトを利用することで、Cookieの使用に同意するものとします。個人情報の適正な取扱いに関する基本方針
OK