EUサイバーレジリエンス法(CRA)とは-対象製品・罰則や日本企業への影響

セキュリティニュース

投稿日時: 更新日時:

EUサイバーレジリエンス法(CRA)とは-対象製品・罰則や日本企業への影響

欧州サイバーレジリエンス法(CRA)は、EUで製品を売る企業に「安全な製品を作る」だけでなく、「安全に保ち続ける」ことまで求める新しい市場ルールです。対象はIoT機器やネットワーク機器に限られず、PCソフトやアプリ、組込みファームウェアまで含むデジタル要素を備える製品全般です。

しかも製品機能に不可欠なクラウド処理は「サービス」ではなく「製品の一部」と見なされるため、デバイス+クラウドで提供する日本企業ほど影響が大きくなります。

さらに重要製品(Class I/II)やクリティカル製品では、自己宣言では済まず、EU認定の通知機関による第三者評価が前提となり、技術文書や脆弱性対応体制まで含めた証明が求められます。本記事では、CRAの対象・要件・適合性評価の進め方、そして2026年9月から始まる報告義務と2027年12月の全面適用に向けて、日本企業がどこから着手すべきかを実務目線で整理します。

目次

欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)とは

欧州サイバーレジリエンス法(CRA)は、ハードウェア・ソフトウェアを問わず、「デジタル要素を備える製品」をEU市場で流通させる全事業者に対し、サイバーセキュリティ要件の遵守を義務付けるEU規則です。

事業者は、製品そのもののセキュリティ機能に加え、開発プロセスや脆弱性対応体制がCRAの必須要件(Annex I)に適合していることを証明し、「EU適合宣言(EU Declaration of Conformity)」を行った上で、CEマーキングを付与する必要があります

※ソフトウェアの場合は宣言書またはWebサイトへの表示

一般的な製品(デフォルトカテゴリ)では、メーカーが自ら評価を行う「自己適合宣言」が認められていますが、

サイバー攻撃のリスクが高いと定義された「重要製品(クラスI・II)」や「クリティカル製品」についてはEU加盟国から認定を受けた第三者評価機関(通知機関:Notified Body)による関与や審査が必須となります。

欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)の対象

CRAの対象は、

  1. EU市場で提供される「デジタル要素を備える製品」で、
  2. 想定用途または合理的に予見可能な使い方として、
  3. 機器やネットワークに対する直接または間接の論理/物理的なデータ接続を含む

ものです。

「製品」と「サービス」の境界線

CRAは「製品(Product)」を対象とし、クラウドサービス単体などの「サービス(Service)」は主にNIS2指令の管轄となります。ただし、製品機能に不可欠なクラウド処理はCRAの対象に含まれる点に注意が必要です。

分類 定義 適用される法律 具体例
製品 (Product) ユーザーの端末にインストールされるもの、

または物理デバイス。

CRA(サイバーレジリエンス法)

・IoT機器

・PCソフト

・ファームウェア

・スマホアプリ

・ゲーム機やゲームソフト

サービス (Service) 遠隔地(クラウド)から提供され、

ブラウザ等で利用するもの。

NIS2指令

(ネットワーク・情報セキュリティ指令)

SaaS (会計クラウド等)

PaaS (開発基盤)

IaaS

SNS、検索エンジン

・非インストールのブラウザ型ゲーム

「製品」にはソフトウェア/ハードウェアに加えて、その製品の機能に不可欠なリモートデータ処理(クラウド側の処理等)も含め得ます。

また、部品として単体で市場に出すソフト/製品も含まれ得るため、完成品メーカーだけでなく、部品供給側にも実務影響が及びます。

対象外:自動車や医療機器・安全保障専用製品など

CRAは広い一方で、既に別のEU法体系で同等以上の規律がある分野は除外・調整されます。

条文上、

  • 医療機器・体外診断用医療機器(MDR/IVDR規制対象)

  • 民間航空機(航空関連規制対象)

  • 自動車(型式認証を受ける車両)(UN-R155等で規制)

  • 軍事・国家安全保障専用品

などは対象外とされています。

企業が満たすべき「3つの要件」

適合性評価において求められる要素は、大きく以下の3点に集約されます。

必須サイバーセキュリティ要件(Annex I)

Part I(製品要件): 「セキュア・バイ・デザイン(設計段階からのセキュリティ確保)」の実装。
Part II(脆弱性対応要件): 脆弱性の検知・修正・開示に関するプロセス整備。

ユーザー向け情報・手順(Annex II)

セキュリティ更新の提供期間や適用方法、安全な運用手順等の明示。輸入者が確認義務を負うため、製品出荷時の必須ドキュメントとなります。

技術文書(Annex VII)と評価手順(Annex VIII)

適合性を示す証跡(技術文書)の作成と、製品リスクに応じた評価モジュール(自己評価または第三者認証)の適用。特に重要製品(Class I/II)の分類基準(Article 32)は、法務・開発部門間での合意形成が不可欠です。

いつまでに対応する必要があるか(CRAの主要期限)

CRAは「一斉に全部が始まる」わけではなく、章や義務ごとに適用開始がずれています。実務では、次の3つの期日を基準に逆算するのが現実的です。

2026年6月11日まで:第三者機関から適合性評価が動き始める期限

第三者通知機関(Notified Bodies)等の枠組みが稼働。第三者評価が必要な製品(Class II等)を持つ企業は、この時期までに評価機関の選定と枠の確保を完了すべきです。

2026年9月11日まで:報告義務(脆弱性・重大インシデント)が先に始まる期限

最重要マイルストーンです。全面適用に先立ち、脆弱性および重大インシデントの当局報告義務が開始されます。

既存製品を含むEU流通製品について、インシデント検知から24時間以内の早期警告を含む報告体制を確立する必要があります。

2027年12月11日まで:原則として全面適用に間に合わせる期限

必須要件への適合、技術文書、CEマーキング等の全要件が適用されます。この日以降にEU市場へ投入する製品は、全て適合済みである必要があります。

罰則対象-最大1,500万ユーロまたは全世界売上高の2.5%(高い方)

CRAの罰則は刑事罰というより、行政制裁金(administrative fines)が中心で、加盟国が運用ルールを定める建付けです。

条文上、上限は大きく3段階で示されています。

  1. 最重:最大1,500万ユーロまたは全世界売上高の2.5%(高い方)
    付属書Iの必須サイバーセキュリティ要件、そして条文の中核であるメーカー義務(Articles 13, 14)に違反した場合が対象です。要するに「セキュア・バイ・デザイン/脆弱性対応/報告」を落とすと一番重い枠に入ります。

  2. 中重:最大1,000万ユーロまたは全世界売上高の2%(高い方)
    輸入者・流通者の義務、適合性関連、当局対応など、条文で列挙された複数の義務違反が対象になります。

  3. 軽重:最大500万ユーロまたは全世界売上高の1%(高い方)
    通知機関や市場監視当局への回答で、誤り・不完全・誤解を招く情報を提供した場合が対象です。

また、例外も明記されています。たとえば一部の期限違反について、マイクロ企業・小企業には行政制裁金の適用除外が置かれる場合があります。

さらに、オープンソースソフトウェア・スチュワード(OSS Steward)による違反についても、一定の範囲で行政制裁金を適用しない旨が記載されています。

適合性評価の全体像:何を「評価」されるのか

CRAの適合性評価は、「製品の安全性(Product)」と「メーカーの管理能力(Process)」の両方が、CRAの基準(Annex I)を満たしていることを証明する手続きです。これが完了しない限り、EU適合宣言(DoC)への署名も、CEマークの貼付もできず、製品をEU市場に出荷することはできません。

評価の中身は、大きく二つで成り立っています。

一つ目は「設計・開発に対する評価(Secure by Design)」です。

デフォルトパスワードの排除、攻撃対象領域(アタックサーフェス)の最小化、セキュアな更新機能の実装など、「製品そのもの」が安全に作られているかが問われます。

二つ目は「脆弱性対応プロセスに対する評価(Vulnerability Handling)」です。

製品出荷後、サポート期間(原則5年など)にわたって、新たな脆弱性が見つかった際に修正パッチを作成・配布できる体制があるか、SBOM(ソフトウェア部品表)を管理できているかといった「運用体制」が問われます。

また、すべての製品が同じ厳しい審査を受けるわけではありません。製品のリスクレベルに応じて、大きく三つのルート(モジュール)に分岐します。

通常製品(Default)

通常製品(Default): スマート家電や一般的な画像編集ソフトなどが該当します。「モジュールA(内部生産管理)」が適用され、メーカー自身が評価し文書化する「自己宣言」が可能です。

重要製品 クラス I(Critical Class I)

重要製品 クラス I(Critical Class I): パスワードマネージャーやウイルス対策ソフトなどが該当します。整合規格(EU標準)をフル適用すれば自己宣言が可能ですが、規格がない場合は第三者評価が必要になります。

重要製品 クラス II(Critical Class II)

重要製品 クラス II(Critical Class II): 産業用ファイアウォールやPLCなどが該当します。ここでは「モジュール B+C」または「H」が適用され、EU認定の通知機関(Notified Body)による厳格な「第三者認証」が必須となります。

評価の実践フロー:現場は何から始めるべきか

実際に適合性評価を進める際は、以下のステップで進めます。特に最初の「境界定義」と「文書化」が実務上の山場となりますが、

実質は自社単独では対応できないのが現状なので各種コンサルティング会社へ依頼する事をお勧めします。

製品境界(バウンダリ)の定義

まず、「評価対象とする製品の範囲」を確定します。

CRAでは、ハードウェアやインストールソフトだけでなく、「その製品が機能するために不可欠なクラウドサービス(リモートデータ処理)」も製品の一部とみなされます。

例えば、スマートカメラ本体だけでなく、映像を解析するクラウド側も評価対象に含める必要があるため、切り分けを慎重に行います。

Annex III(重要製品リスト)に該当するか確認

製品カテゴリの判定(リスク分類) 対象製品が「Annex III(重要製品リスト)」に含まれているかを確認します。

リストになければ「通常製品」として自社評価へ進みますが、リストにある場合はクラスIかクラスIIかを確認します。

特にクラスII(産業制御システムなど)に該当する場合、審査機関(通知機関)の予約枠を早急に確保する必要があります。

技術文書(Technical Documentation)の作成

評価の根拠となる「技術文書(Annex VII)」を作成します。これは当局から提示を求められた際に即座に出せる状態で維持する必要があります。具体的には、どのような脅威を想定したかを示すサイバーセキュリティリスク評価書、設計仕様書、SBOM(ソフトウェア部品表)、脆弱性対応プロセスの規定書、そしてユーザー向けの安全な使用手順書などが含まれます。

適合性評価の実施

選択したモジュールに従って評価を行います。自己宣言(モジュールA)の場合は、自社の品質保証やセキュリティ部門が技術文書と実機をチェックし、要件適合を確認します。一方、第三者認証(モジュールB+C / H)の場合は、通知機関に技術文書とサンプルを提出し、型式審査や品質管理システムの監査を受けることになります。

EU適合宣言(DoC)とCEマーキング

評価に合格して初めて、経営陣(または権限を持つ代表者)が「EU適合宣言書」に署名できます。これにより法的責任が発生し、製品本体やパッケージにCEマークを表示して出荷が可能になります。

市場投入後の維持(継続的適合)

CRAの適合性評価は出荷して終わりではありません。製品寿命(サポート期間)が続く限り脆弱性対応プロセスを回し続け、OSのバージョンアップや設計変更があった場合は技術文書を更新し、適合性が維持されていることを確認し続ける義務があります。

日本でCRAの対象となりそうな業種・製品例

CRAは「EU市場に出すデジタル要素を備える製品が主戦場なので、日本企業の場合も EU向けに販売・提供する製品、または EU向け完成品に組み込まれる部材・ソフト が中心に影響します。

以下は、日本で対象になりやすい業種と製品の具体例です(あくまで例で、最終判断は製品の機能・接続性・提供形態で変わります)。

ネットワーク機器・通信機器メーカー

  • ルータ、スイッチ、無線LANアクセスポイント、モデム、ゲートウェイ

  • SD-WAN機器、リモートアクセス装置、運用管理用アプライアンス

  • 家庭用メッシュWi-Fi、ホームゲートウェイ
    EUで販売するネットワーク機器は、CRAの“重要製品”側に入りやすい領域です。

セキュリティ製品・セキュリティソフト事業者

  • VPNクライアント/VPNアプライアンス、ファイアウォール、IDS/IPS

  • EDR/アンチマルウェア、脆弱性管理製品、SIEM、ログ収集・分析製品

  • パスワードマネージャ、特権アクセス管理(PAM)、ID管理・認証基盤

  • セキュアブラウザ、メールセキュリティ、ゼロトラスト関連のクライアント
    この領域は重要製品に該当しやすく、適合性評価や証跡整備の要求が重くなりやすいです。

産業機器・OT(製造業、インフラ、プラント)関連

  • 産業用ゲートウェイ、リモート保守装置、設備監視端末、産業用スイッチ

  • 産業用PC、現場端末、HMI、ネットワークにつながる制御周辺機器

  • ビル管理(BMS)や設備管理のコントローラ、監視カメラ(産業用途)
    ネットワークにつながる現場機器は対象になりやすく、EU向け出荷やEU企業向けOEM供給がある場合は要注意です。

IoT・スマートホーム・コンシューマ機器

  • スマートロック、スマートカメラ、スマートスピーカー、スマート家電

  • ルータ一体型家電、アプリ連携デバイス(BLE/Wi-Fi接続)

  • 見守り機器、ホームセキュリティ機器

  • インターネット接続玩具、子ども向けウェアラブル
    「家庭に入り、ネットにつながり、アップデートが必要な製品」は、CRAの狙いど真ん中の対象です。

ソフトウェア製品(オンプレ/組込み/クライアント配布でインストール型)

  • OS・組込みOS、コンテナランタイム、仮想化基盤(ハイパーバイザ)

  • ブラウザ、メールクライアント、リモート管理ツール

  • 更新エージェント、デバイス管理(MDM/UEM)クライアント
    ソフト単体でも、EU市場で提供される形なら対象になり得ます(無料配布でも提供形態次第で義務主体になり得る点は注意が必要です)。

半導体・電子部品(セキュリティ機能を持つもの)

  • セキュアエレメント、スマートカード、ハードウェアセキュリティモジュール(HSM)

  • 耐タンパ性を謳うマイコン/マイクロコントローラ、暗号機能搭載チップ
    完成品メーカーだけでなく、部材側でも「セキュリティ機能を提供する部品」は要求される説明責任が増えやすいです。

エネルギー・スマートメータ/計測・ゲートウェイ系

  • スマートメータ関連のゲートウェイ、計測機器の通信モジュール

  • 需要家側エネルギーマネジメント機器(HEMS/BEMSの一部)
    EU向け供給がある場合、ネット接続と更新が絡むため対象になりやすいです。

医療・自動車は「全部がCRA」ではないが油断しない

  • 医療機器や体外診断、自動車の型式認証でカバーされる領域は、CRAの適用から外れます。
    ただし、周辺のIT/IoT機器(例:病院内のネットワーク機器、施設向け監視機器、車両向けの後付け通信機器や外部サービス連携機器など)は、別枠でCRAの規定に入り得ます。

日本企業に起きやすい間接影響のパターン例

  • EU企業へOEM供給していて、完成品メーカーから「CRA対応の証跡(脆弱性対応方針、SBOM、更新期間など)」提出を求められる

  • EU拠点やEU顧客があるSI事業で、調達条件として「CRA相当の更新・報告体制」を要求される

  • デバイス+クラウドの一体提供(サブスク)で、クラウド側の運用(脆弱性受付、更新提供、通知)まで契約上の責務に入ってくる