Connect with us
Connect with us
tuv-jp-blog-banner

サイバーレジリエンス法CRAとは?企業が今知っておくべき対応ポイントとスケジュール

Posted by TUV Rheinland Japan on 2025/12/02 10:16:24
TUV Rheinland Japan

現代のIoT社会で「安心して繋がる」を可能にしているのは、企業が生み出すセキュアな製品であり、製品づくりを実現させる組織体制です。これら多くの企業にとって、サイバーセキュリティに関する規制への対応は欠かせません。 

 

 

               

TUVRheinland JP-Cyber-Digital_JA

欧州では、「サイバーレジリエンス法(CRA: Cyber Resilience Act)」が施行されました。サイバーレジリエンス法とは、デジタル要素を含む製品をEU市場に投入するすべての製造業者に対し、厳格なサイバーセキュリティおよび文書化の義務を満たすことを要求している法律です。


サイバーレジリエンス法対応中の企業や、これから取り組まれる企業のために、ぜひ知っておいていただきたい、法律の背景や施行のスケジュール、対応のポイントについてご説明します。2027年12月11日に全面適用が開始されます。自社が対応すべき規制や要求事項を整理し、取り組みのスケジュールを改めてご確認ください。

 

 


1. サイバーレジリエンス法 CRA の背景と特徴

サイバーレジリエンス法(CRA)の特徴として、まずは対象範囲が広いことです。NIS2*1)では日本企業が該当しなかったケースでも、今回は対象となることがあります。例えば、パーツのみを製造してEU企業に納品する日本の製造業者もCRAの対象となる場合があります。

もう一つの特徴は、製品上市後も継続して監視・管理をしなければならないことです。製品販売後も製品の脆弱性に関する情報をいち早くキャッチして、ユーザー・消費者に公開し、適切に対処できるマネジメントシステムを構築しなければならないことです。安全な開発プロセスだけでなく、調整された脆弱性管理がしっかりできていることが重要です。
多くの企業はISO 9001等を運用していると思いますので、そこにセキュリティの対応が追加されます。安全な製品づくりのマネジメントシステムを運用している企業は、セキュリティに対してもあまり抵抗がなく対応が早いかもしれません。

 

2. EU上市のための準備には時間がかかります

組織づくりよりさらに時間を要するのは、上市するための準備です。設計、製造、輸出・輸送など、これらの準備にはかなりの時間がかかり、サプライチェーンの上流側を担う企業は、2026年中頃までには手順書類の作成が完了していないと難しい状況にあると言えるかもしれません。

 

3. エビデンスは必要です

企業によっては、サイバーレジリエンス法(CRA)適合への対応が必要ないと判断する企業もあるかもしれません。あるいは、上市の範囲が狭いので判断を迷っている企業があるかもしれません。しかし、その場合でもCRA対応をしないというエビデンスを明示する必要があります。

 

4. 脆弱性に関する報告義務とそのスケジュール

脆弱性に関する報告の義務があることは上述したとおりで、サイバーレジリエンス法(CRA)適用に先行して2026年9月11日から適用が開始されますのでご注意ください。
適用開始が早い理由は、セキュリティインシデントが発生した場合の二次被害を食い止めるためです。すでに現在EUで販売されている製品がCRAの対象である場合、2026年9月11日以降に脆弱性が見つかった場合は法律に則って報告義務や情報公開をし、脆弱性の詳細公開や対応策の提供をしなければなりません。

一般的に脆弱性などのネガティブな情報を公開することは、マイナスイメージと考える企業が少なくありません。しかし、脆弱性を公開しなければ被害は広がり続けるため、法律で強制させているのです。

TUVRheinland-JP-Industry_internet_factory-JA-image

5. サイバーレジリエンス法の付加価値

サイバーレジリエンス法(CRA)に対応することは、よりセキュアな製品づくりとセキュリティに対応するマネジメントシステムの運用に直結します。結果として、企業の信頼獲得に繋がるメカニズムのようなものです。

CRAの要件とコンプライアンスを明確にし、自信を持って具体的な次のステップに踏み出せるよう、テュフ ラインランドのサイバーセキュリティエキスパートがサポートします。

 

6. サイバーレジリエンス法適合に関するご相談

サイバーレジリエンス法(CRA)が官報に掲載された2024年11月以降からは、テュフ ラインランド ジャパンへ爆発的に問合せが増え、弊社顧客のうち、影響のありそうな企業の約半数が何らかのサイバーセキュリティ対応を開始している印象を受けます。規定類の整理や製品のギャップ分析が概ね完了している企業が続々と増えています。

セキュリティ(セキュアの定義)とは何かから、具体的な対応のステップや最低限対応すべき事項の絞り込み、何を準備すべきかについてお困りの場合は、テュフ ラインランドの豊富な知識と経験がお役に立ちます。手順書作成についても当社はサポートすることが可能です。

 

*1) NIS2(Network and Information Systems Directive 2):EUが制定したサイバーセキュリティに関する指令。組織内システムのサイバーセキュリティに焦点をおいている

 

テュフ ラインランドでは、サイバーセキュリティに関するご相談、セミナーや技術相談、ギャップ分析、サイバーセキュリティ試験などを通じて

お客様の製品安全をサポートしています。ご不明な点はテュフ ラインランドにお問い合わせください。

✉️ お問い合わせはこちら E-Mail: Cybersecurity@jpn.tuv.com

🌐 関連ブログ|サイバーレジリエンス法とは

🌐 関連ブログ|サイバーレジリエンス法 CRA -要求事項が明確に-

🌐 関連ブログ|サイバーレジリエンス法 CRA-10月10日欧州評議会採択、数ヵ月以内に新規制発効予定

🌐 関連ブログ|RE指令のサイバーセキュリティ要求整合規格-最新情報


更新日 : 12/3/2025

 

Topics: cybersecurity, ヨーロッパ, サイバーセキュリティ, 製品安全, EU, 欧州, IEC62443

© 2025 TÜV Rheinland