サイバーレジリエンス法（Cyber Resilience Act、略称CRA）（2024年10月成立）は、デジタル製品のサイバーセキュリティについて、製造業者、輸入業者、流通業者の義務やそれを執行する体制を定めたものです。EU市場に製品を上市する日本企業もこれらの規制に服します。本稿では、デジタル製品（products with digital elements）とは何か、及び、デジタル製品の製造業者の義務についてまとめました。サイバーインシデントや脆弱性の報告義務を除く各業者（製造業者、輸入業者、流通業者）の義務の適用開始時期は2027年12月です。

【CRAが適用される（されない）製品】

CRA適用対象	・EU市場に上市された、 ・デジタル製品（＝ソフトウェア又はハードウェア製品及びそのリモートデータ処理ソリューション）であって、かつ、 ・その本来の用途又は合理的に予測可能な使用に、デバイス又はネットワークへの直接的又は間接的な論理的又は物理的なデータ接続が含まれるもの（※） 例：PC、スマートフォン、スマートドアロック、ベビーモニターシステム、警報システム、コネクテッド玩具、ウェアラブル健康機器など
CRA適用対象外	・医療機器（規則(EU) 2017/745や規則(EU) 2017/746によって別途規制） ・国家安全保障・防衛目的、機密情報を処理するために特別に設計されたデジタル製品 ・自動車製品（規則(EU) 2019/2144によって別途規制） ・航空製品（規則(EU) 2018/1139によって別途規制）

※この要件から、スタンドアロンで動作し、外部との接続が想定されていないのものは適用対象外と考えられます。

【製造業者の義務（※1※2）】

①必須サイバーセキュリティ要件（CRA附属書I）の遵守 ②サイバーセキュリティリスク評価 ・上市前の実施・文書化 ・サポート期間中の実施・文書化・更新（評価の具体的項目についてはこちら） ③サードパーティコンポーネントについて 　・注意義務 　・脆弱性がある場合の対応義務 ④技術文書の作成・更新（上市前、サポート期間中） ⑤適合性評価手順の実施、EU適合宣言の作成、CEマークの貼付 ⑥脆弱性取扱い 　・脆弱性取扱要件（CRA附属書I）の遵守（上市前、サポート期間中） 　・協調的脆弱性開示ポリシーを含む脆弱性対応ポリシーと手順の具備 ⑦サポート期間の決定（原則5年以上） ⑧表示 　・識別を可能にするシリアル番号等を製品に付記 　・製品やパッケージ等に、製造業者の名称、登録商号又は登録商標、郵便住所、電子メールアドレス又はその他のデジタル連絡先情報、及び該当する場合は製造業者に連絡できるウェブサイトを表示 　・サポート期間の終了年月を表示 　・EU適合宣言の添付 ⑨ユーザからの単一連絡先の指定 ⑩技術文書とEU適合宣言の保管（上市から少なくとも10年） ⑪ユーザへの情報・説明の提供、保管（上市から少なくとも10年） ⑫セキュリティ・アップデートの提供（上市から少なくとも10年） ⑬サポート期間中、サイバーセキュリティ要件への不遵守が判明した場合、必要な是正措置（リコール、回収を含む）を直ちに講じる義務 ⑭市場監視当局からの要請に対応する義務 ⑮事業停止の通知（市場監視当局・ユーザに対して） ⑯インシデント・脆弱性の当局に対する報告

※1：輸入業者又は流通業者が自社の名称もしくは商標において、デジタル製品を上市する場合、又は既に上市されているデジタル製品を大幅に変更する場合、製造業者の義務が課されます。

※2：製造業者、輸入業者又は流通業者以外の自然人又は法人であって、デジタル製品に大幅な変更を加え、当該製品を市場に流通させる者は、製造業者の義務が課されます。

注記：

・輸入業者と流通業者の義務についてはこちら

・必須のサイバーセキュリティ要件及び脆弱性取扱要件の詳細についてはこちら