脆弱(ぜいじゃく)性を狙った攻撃の増加を受けて、EU市場に流通する全てのデジタル製品に
欧州サイバーレジリエンス法(CyberResilienceAct、以下CRA)の適用が、2026年から段階的に始まります。
CRAの特徴は、適用範囲の広さと違反者への高額な罰金です。
EU市場へ製品を提供する日本の製造業者も規制対象で、サプライヤーが提供する部品のセキュリティ品質、輸入者や販売者への製品のCRA準拠状況を確認する義務を負いますので、慎重な対応が必要です。
Aさん
今回の悩める相談者は、上司からCRA特命リーダーに任命されたものの、
どこから・何から始めたらよいか分からないAさんです。
ではAさんのお悩みを聞いてみましょう。
CRAは欧州内で販売される、デジタル要素を備えたすべての製品*1を対象としています。製品そのものだけではなく、製品の機能実現に必要となるリモートデータ処理を伴うソフトウェアも対象です。
例えば、クラウド対応機能付きスマートホームデバイスを、ユーザーがリモートで操作するためのアプリケーションなどです。また、自社が欧州で製品を販売していなくても、サプライヤーとしてソフトウェアやモジュールを提供している場合、納入先から対応を求められる可能性が高いです。
ヒガキさん
一言で言うと、時間と空間の2つの面で広がりがあるところです。時間面では、設計・開発・製造から使用まで製品のライフサイクル全体にわたって、空間面では、サプライチェーン全体で要求事項に対応していく必要があります。
さらに違反したときの罰金が巨額になるリスクがあることも、これまでとは異なります。
ヒガキさん
脆弱性とインシデントの報告義務は2026年9月から開始されます。みなし適合のための整合規格などは策定中ですが、開始に向けて今から準備をしていくことが重要です。CRAに対応する上で重要なポイントは、
@リスクアセスメントの実施、Aトレーサビリティの確保、B時間の制約がある中での対応
です。
ヒガキさん
うちはセキュリティに関する
ノウハウも少ないので、
すぐにでも準備を始めないと大変ですね!
もっとCRAについて
勉強する必要がありそうです。
日立製作所
マネージド&プラットフォームサービス事業部
エンジニアリングサービス&セキュリティ本部プロダクトセキュリティソリューション部に所属。
ITの安全・安心を支えるセキュリティの番人といわれる国家資格「情報処理安全確保支援士」を所持する。
趣味は、音楽で、ライブやフェスへの参加。また、在宅勤務による運動不足解消をきっかけに始めた早朝のジョギングで、1カ月に合計100km以上走ると決めており、大雨などで走れない日があると、何か落ち着かない。
