2024年12月10月に発効したEUのサイバーレジリエンス法(Cyber Resilience Act)(略称CRA)は、EU市場で販売されるハードウェアおよびソフトウェア製品(「デジタル要素を含む製品(products with digital elements)」)について、製造業者、輸入事業者等の経済事業者に対して、同製品のライフサイクル全般にわたって、サイバーセキュリティ要件を課す規制です。
CRAは、2026年9月及び2027年12月に段階的に適用されますが、CRAは条文だけで完結する規制ではなく、公式ガイダンスや整合規格とあわせて理解する必要があります。
本記事では、CRA対応で必ず参照すべき公式資料とその要点を整理していきます。
※ 実務上参照頻度の高い資料から順次掲載しています。今後、資料の追加・精査を進めながら、内容をアップデートしていく予定です。
■ サイバーレジリエンス法(Regulation (EU) 2024/2847)の原文【法令・制度】
URL:https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
要点:
- CRAの正式な法令本文(Official Journal)
- 適用対象(products with digital elements)、経済事業者の義務、サイバーセキュリティ要件等を規定
- 実務上は、本規則を基礎として、後続のガイダンスや整合規格とあわせて参照する必要がある
■ CRAの条文の概要【法令・制度】
URL:https://digital-strategy.ec.europa.eu/en/policies/cra-summary
要点:
- 公式見解ではないが、CRAの対象範囲、基本構造、適用時期などを整理した欧州委員会による条文要約
- 「デジタル要素を含む製品(PDE)」や経済事業者の役割など、主要概念を俯瞰的に把握できる
- 原文を読む際の入口資料として有用であり、全体像の理解に適する
■ CRAの実装【実装・運用】
URL:https://digital-strategy.ec.europa.eu/en/factpages/cyber-resilience-act-implementation
要点:
- CRAの実装に関する全体像(関係主体、適用スケジュール、制度構造)を整理した欧州委員会の解説ページ
- 各経済事業者の義務、脆弱性・インシデントの報告義務、適合性評価(conformity assessment)等の実務要素を横断的に把握できる
- CRA対応において「何を求められるか」を俯瞰するためのハブ資料として有用
■ CRA実装に関するFAQ【実装・運用】
要点:
- CRAの適用範囲、他規制との関係、主要概念等について、欧州委員会がQ&A形式で整理した補助資料
- 2025年12月作成、2026年1月最新改訂。
- 条文だけでは分かりにくい論点(PDEの範囲、他法令との関係、実務上の解釈等)について公式の考え方を確認できる
- CRA対応における実務上の解釈の方向性を把握する上で重要な資料であり、具体的な適用場面をイメージする際に参照価値が高い
■ 標準化(Standardisation)【標準化】
URL:https://digital-strategy.ec.europa.eu/en/policies/cra-standardisation
要点:
- CRAにおける標準化の枠組みを示す欧州委員会の説明ページ
- 現在、欧州標準化機関(CEN / CENELEC / ETSI)に対し、41の規格の作成が要請されている(作成期限は早いもので2026年8月30日)
- サイバーセキュリティ要件の具体化は整合規格を通じて行われ、規格適合によりCRA適合性の推定(presumption of conformity)が得られる
- 実務上は、整合規格への適合がCRA対応の中核となるため、規格の動向については注視しておきたい
■ CRAのガイダンス(ドラフト段階)【補助資料】
要点:
- 欧州委員会が策定中のCRAに関するガイダンス案
- 現時点ではドラフト段階の資料であるが、将来的な公式ガイダンスの方向性を把握するために参照価値がある
本記事では公式資料の整理にフォーカスしました。構築途中の整理を含むものであり、今後も資料の追加・精査を進めながら、内容をアップデートしていく予定です。必要に応じてブックマークの上、ご参照いただければ幸いです。
CRA対応においては、これらの公式資料を踏まえつつ、契約やサプライヤー管理への落とし込みが重要となります。これらの実務対応については、別途整理する予定です。
CRA対応に関する個別の対応が必要な場合はご相談ください。