デジタル環境の強化を目的とした基本規制であるサイバー・レジリエンス法(CRA)が、EUの官報に正式に掲載されました。この進展は、製造業者、サービス・プロバイダー、消費者を問わず、サイバーセキュリティの未来を形作る、規制の実施に向けた舞台を整えるものになります。
サイバー・レジリエンス法(CRA)の要求は2027年後半に義務化されますが、多くのワイヤレス製品のサイバーセキュリティはすでに2025年8月に義務化されることが決定しています(最後の段落を参照ください)。
サイバー・レジリエンス法(CRA)とは?
サイバー・レジリエンス法(CRA)は、デジタル革新に伴って急速に進化するサイバーセキュリティの課題に対するEUの野心的な対応策です。
その主な目的は、EU市場に投入されるハードウェアおよびソフトウェア製品が、サイバーセキュリティのリスクを最小限に抑えるように設計・開発されていることを保証することです。また、製品のライフサイクル全体を通じて安全な製品を提供する必要性を強調し、市場導入後もサイバーセキュリティ基準を積極的に維持することをメーカーに求めています。
サイバー・レジリエンス法(CRA)の主なハイライトは:
- デジタル製品やサービスに対するサイバーセキュリティ要件の義務化
- ラベリングと文書化による透明性の向上
- リアルタイムで脆弱性に対処するための強固なフレームワーク
オフィシャルジャーナルに掲載された規則の全文はこちらからご覧いただけます。
なぜそれが重要なのか?
サイバー・レジリエンス法(CRA)は、製品のライフサイクル全体に沿ったサイバーセキュリティ義務を導入することで、先例となります。 企業にとって、これは既存の開発プロセス、サプライチェーン、コンプライアンス戦略を再評価することを意味します。 そして、消費者にとっては、日々使用するデジタル製品のセキュリティに対する信頼が高まることを意味します。
特にIoT機器やソフトウェア開発など、物理的な製品を扱う業界にとって、この規制は課題であると同時にチャンスでもあります。 これらの新たな要求事項に対応することは、コンプライアンスを確保するだけでなく、セキュリティ意識が高まる市場での競争力を高めることにも繋がります。
サイバーセキュリティ認証の意味するもの
サイバー・レジリエンス法(CRA)は、特定の認証スキームを義務付けているわけではありませんが、適合性とコンプライアンスを重視しているため、サイバーセキュリティ認証の役割と自然に結びついています。 認証は、製品開発と継続的なメンテナンスの両方において、組織がセキュリティへのコミットメントを実証するための明確な道筋を提供します。
サイバーセキュリティ評価に積極的に関与する企業として、当社は、この規制の影響について関係者に情報を提供し、支援することの重要性を認識しています。 当社は、透明性、協力、国際基準の遵守を通じて、安全なデジタル・エコシステムを育成することに重点を置いています。
前途
サイバー・レジリエンス法(CRA)の官報公示は始まりに過ぎません。 実施スケジュールが動き出した今、EU全域の企業はコンプライアンスに備え、新たな要求事項を満たすために自社のプロセスを適応させる必要があります。 私たちサイバーセキュリティ関係者は、この規制がもたらす課題と機会を満たすために協力し合う、エキサイティングな時期を迎えます。
では、無線機器指令(RED)は?
サイバーセキュリティの義務化はサイバー・レジリエンス法(CRA)を待っているわけではありません! 無線機器指令(RED)は、2025年8月1日から、ほとんどの接続される無線製品に強制的な要求事項を導入しました。
これらの要求事項のために選ばれた規格がEN 18031であり、これは現在、すべての関連製品を時間内に適合させる競争において、ヨーロッパで広く使用されています。 2027年後半にサイバー・レジリエンス法(CRA)が義務化されると、無線機器指令(RED)のサイバーセキュリティ要求事項は、より広い範囲をカバーするサイバー・レジリエンス法(CRA)に取って代わられるため、削除されることになります。
サイバー・レジリエンス法(CRA)が公表から完全実施に移行するにつれ、さらなる最新情報と洞察が得られるでしょう。
サーバーセキュリティに関するご質問やご相談は、Nemko Japan製品認証部までお問い合わせください。