検 索
初めての方へ Cカレンダー AgencyNavi 無料メルマガ
絞り込み検索
検 索
ログイン
お問い合わせ
無料メルマガ
絞り込み検索

解説EUーサイバーレジリエンス法(CRA)

HOME > 法令解説 > 解説|EUーサイバーレジリエンス法(CRA)
法令の情報時期:2024年11月 ページ作成時期:2025年07月

目的

文書登録、文書管理、文書作成

以下を定めることを目的としている。

  • デジタル要素を伴う製品を市場で利用可能にすることに関連する、当該製品のサイバーセキュリティを確保するための規程。
  • デジタル要素を伴う製品の設計、開発、製造に必須のサイバーセキュリティ要件、およびこれらの製品に関する経済事業者のサイバーセキュリティに関する義務。
  • デジタル要素を伴う製品が使用されると予想される期間中、その製品のサイバーセキュリティを確保するために製造者が実施する脆弱性処理プロセスに関するサイバーセキュリティの必須要件、およびそれらのプロセスに関する経済事業者の義務。
  • モニタリングを含む市場監視に関する規程、および本条に言及される規程および要件の執行。
和訳案内ページはこちら

概要

概要

本規則は「デジタル要素を伴う製品」を対象に、適合性評価制度を導入して適用し、サイバーセキュリティに関する必須要件を定めている。

「デジタル要素を伴う製品」は適合性評価を行い、評価の対象となる要件への準拠を証明しなければならない。適合性評価によって適合を確認したものは、適合宣言の作成・提示とCEマーキング表示によって、対外的に適合性を示す必要がある。

既存の欧州サイバーセキュリティ認証制度との関連についても規定されている。一部の製品については、欧州サイバーセキュリティ認証制度を通しての適合性評価手続きが認められている。

必須のサイバーセキュリティ要件には、製品の特定に関するもの、脆弱性処理に関するもの(プロセス要件)がそれぞれ規定されている。

本規則は、一部を除いて、2027年12月11日から適用される。

注目定義

■ 「デジタル要素を伴う製品」(product with digital elements)

「デジタル要素を伴う製品(product with digital elements)」とは、ソフトウェアまたはハードウェア製品、およびその遠隔データ処理ソリューションを意味し、個別に上市されるソフトウェアまたはハードウェア・コンポーネントを含む。

■ 「経済事業者」(economic operator)

「経済事業者(economic operator)」とは、製造者、認定代理人、輸入者、流通業者、または本規則に従ってデジタル要素を伴う製品の製造、あるいはデジタル要素を伴う製品を市場で利用可能にする義務を負うその他の自然人または法人をいう。

■ 「経済事業者」(manufacturer)

「経済事業者(economic operator)」とは、製造者、認定代理人、輸入者、流通業者、または本規則に従ってデジタル要素を伴う製品の製造、あるいはデジタル要素を伴う製品を市場で利用可能にする義務を負うその他の自然人または法人をいう。

■ 「製造者」(manufacturer)

「製造者(manufacturer)」とは、デジタル要素を伴う製品を開発または製造する、あるいはデジタル要素を伴う製品の設計、開発、製造を委託し、その製品を、有償、無償、または収益化のために、その名称または商標で販売する自然人または法人をいう。

■ 「オープンソース・ソフトウェア管理者」(open-source software steward)

「オープンソース・ソフトウェア管理者(open-source software steward)」とは、製造者以外の法人で、商業活動を目的とし、フリーでオープンソースのソフトウェアとして認定され、デジタル要素を伴う特定の製品の開発について、体系的かつ持続的にサポートを提供することを目的または目標とし、且つ、当該製品の存続可能性を確保する者をいう。

■ 「輸入者」(importer)

「輸入者(importer)」とは、EU域内に設立され、EU域外に設立された自然人または法人の名称または商標が付されたデジタル要素を伴う製品を上市する自然人または法人をいう。

■ 「上市」(placing on the market)

「上市(placing on the market)」とは、 EU市場でデジタル要素を伴う製品を最初に利用可能にすることをいう。

■ 「市場で利用可能にすること」(making available on the market)

「市場で利用可能にすること(making available on the market)」とは、商業活動の過程でEU市場での流通または使用のためにデジタル要素を伴う製品を供給することを意味し、それが支払の見返りであるか無償であるかを問わない。

■ 「実質的な変更」(substantial modification)

「実質的な変更(substantial modification)」とは、上市後のデジタル要素を伴う製品に対する、附属書1のPart 1に規定されるサイバーセキュリティ必須要件への適合性に影響を与える、あるいはデジタル要素を伴う製品が評価された意図された目的の変更をもたらす変更をいう。

■ 「ソフトウェアBOL」(software bill of materials)

「ソフトウェアBOL(software bill of materials)」とは、デジタル要素を伴う製品のソフトウェア要素に含まれるコンポーネントの詳細およびサプライチェーンの関係を含む正式な記録をいう。

■ 「インシデント」(incident)

「インシデント(incident)」とは、指令(EU) 2022/2555の第6条(6)で定義されるインシデントをいう。

■ 「フリー・オープンソース・ソフトウェア」(free and open-source software)

「フリー・オープンソース・ソフトウェア(free and open-source software)」とは、ソースコードが公に共有され、自由にアクセス、使用、変更、再配布できるすべての権利を規定する無償の、オープンソース・ライセンスに基づいて利用可能にされているソフトウェアをいう。

■ 「コーディネーターとして指定されたCSIRT」(CSIRT designated as coordinator)

「コーディネーターとして指定されたCSIRT(CSIRT designated as coordinator)」とは、指令(EU) 2022/2555の第12条(1)に基づきコーディネーターとして指定されたCSIRTを意味する。

適用除外(対象外・猶予・免除等)

12

本規則は、以下のEU法が適用されるデジタル要素を伴う製品には適用されない:

  • (a) 規則(EU) 2017/745 → 医療機器
  • (b) 規則(EU) 2017/746 → 体外診断用医療機器
  • (c) 規則(EU) 2019/2144 → 特定の車両

また、以下のものにも適用されない。

  • 規則(EU) 2018/1139に従って認証されたデジタル要素を伴う製品 →航空機
  • 指令2014/90/EUの適用範囲内にある機器 →海洋機器
  • デジタル要素を伴う製品の同一コンポーネントを交換するために市場で利用可能にされ、交換を意図するコンポーネントと同一の仕様に従って製造されるスペアパーツ
  • 国家安全保障または防衛の目的にのみ開発または修正されたデジタル要素を伴う製品、または機密情報を処理するために特別に設計された製品

事業者が注意すべき内容

本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。
ご関心がございましたら、お気軽にお問い合わせください。
3

デジタル要素を伴う製品は、以下の場合に限り市場で利用可能に(=供給)されなければならない:

  • (a) それらが適切に設置、維持され、意図された目的又は合理的に予見できる条件下で使用され、該当する場合には必要なセキュリティ・アップデートがインストールされていることを条件として、附属書1のパート1に定めるサイバーセキュリティの必須要件を満たしていること。および、
  • (b) 製造者が実施するプロセスが、附属書1のパート2に定めるサイバーセキュリティ必須要件に適合していること。

(第6条)

目的

製造者は、デジタル要素を伴う製品及び製造者が実施するプロセスの適合性評価を実施し、 附属書1に定めるサイバーセキュリティ必須要件が満たされているかどうかを判断しなければならない。対象製品のカテゴリーやクラスによって適用される(活用できる)適合性評価手続きの種類は異なる。(第32条)

技術文書には、デジタル要素を伴う製品及び製造者が実施するプロセスが附属書1に定めるサイバーセキュリティ必須要件に適合していることを確実にするために製造者が使用したすべての関連データ又は手段の詳細を含まなければならない。少なくとも附属書7に定める要素を含まなければならない。適合性評価手続きに関する技術文書及び連絡は、届出機関が設立されている加盟国の公用語又はその 届出機関が許容する言語で作成しなければならない。(第31条)

EU適合宣言には、製造者が第13条(12)に従って作成し、附属書1に定める該当するサイバーセキュリティ必須要件を満たすと実証されていることが記載されていなければならない。EU適合性宣言は、附属書5に定めるモデル構造を有し、附属書8定める関連適合性評価手続きで規定される要素を含まなければならない。当該宣言は適宜更新されなければならない。当該宣言は、デジタル要素を伴う製品が上市される、または市場で利用可能にすることについて、加盟国が要求する言語で利用可能にしなければならない。(第28条)

CEマーキングは、デジタル要素を伴う製品に、見やすく、読みやすく、消えないように表示しなければならない。デジタル要素を伴う製品の性質上、それが不可能な場合または保証されない場合は、包装およびデジタル要素を伴う製品に付随する第28条に言及されるEU適合宣言に付さなければならない。デジタル要素を伴う製品がソフトウェアの形態である場合、CEマーキングは、第28条に言及されるEU適合宣言、またはソフトウェア製品に付随するウェブサイトのいずれかに付さなければならない。後者の場合、ウェブサイトの関連セクションは、消費者が容易かつ直接アクセスできるものでなければならない。(第30条)

人の安全

第2章には製造者や輸入者、流通業者など、事業者別の義務が規定されている。以下、製造者の義務を例に取り上げる。

製造者の義務

  • デジタル要素を伴う製品を上市する場合、製造者は、その製品が附属書1のパート1に定めるサイバーセキュリティ必須要件に従って設計、開発、生産されていることを保証しなければならない。
  • 製造者は、デジタル要素を伴う製品に関連するサイバーセキュリティ・リスクのアセスメントを実施し、サイバーセキュリティ・リスクを最小化し、インシデントを防止し、使用者の健康及び安全との関連も含め、その影響を最小化することを目的として、デジタル要素を伴う製品の計画、設計、開発、製造、引渡し及び保守の各段階において、アセスメントの結果を考慮に入れなければならない。
  • サイバーセキュリティ・リスクのアセスメントは文書化され、サポート期間中に適宜更新されなければならない。
  • 製造者は、デジタル要素を伴う製品を上市する場合、サイバーセキュリティ・リスクのアセスメントを、第31条及び附属書7に従って要求される技術文書に含めなければならない。
  • 製造者は、第三者から調達したコンポーネントを統合する際、当該コンポーネントがデジタル要素を伴う製品のサイバーセキュリティを損なわないよう、デューディリジェンスを行わなければならない。
  • 製造者は、デジタル要素を伴う製品に組み込まれたオープンソース・コンポーネントを含むコンポーネントの脆弱性を特定した場合、そのコンポーネントを製造又は保守する者又は事業体にその脆弱性を報告し、附属書1のパート2に定める脆弱性取扱要件に従って脆弱性に対処し、その脆弱性を是正しなければならない。
  • 製造者は、その性質とサイバーセキュリティ・リスクに見合った方法で、デジタル要素を伴う製品に関する関連するサイバーセキュリティの側面(製造者が認識した脆弱性、 第三者から提供された関連情報を含む)を体系的に文書化し、該当する場合は、製品のサイバーセキュリティ・リスクのアセスメントを更新しなければならない。
  • 製造者は、デジタル要素を伴う製品を上市する際、及びサポート期間中、そのコンポーネントを含む製品の脆弱性が、附属書1のパート2に定めるサイバーセキュリティ必須要件に従って効果的に処理されることを保証しなければならない。
  • 製造者は、サポート期間中に使用者に提供された附属書1のパート2(8)で言及される各セキュリティ・アップデートが、発行後、最低10年間又はサポート期間の残りの期間のいずれか長い方の期間、利用可能であることを保証しなければならない。
  • 製造者がソフトウェア製品の大幅な改変を施した後続バージョンを上市した場合、その製造者は、最後に上市したバージョンに限り、附属書1のパート2(2)に定めるサイバーセキュリティの必須要件への準拠を確保することができる。

(第13条)

人の安全

製造者の義務(続き)

  • 製造者は、デジタル要素を伴う製品を上市する前に、第31条に言及される技術文書を作成しなければならない。デジタル要素を伴う製品が附属書1のパート1に定めるサイバーセキュリティ必須要件に適合していること、及び製造者が実施するプロセスが附属書1のパート2に定めるサイバーセキュリティ必須要件に適合していることが適合性評価手続きによって証明された場合、製造者は第28条に従ってEU適合宣言を作成し、第30条に従ってCEマーキングを表示しなければならない。
  • 製造者は、デジタル要素を伴う製品が上市されてから少なくとも10年間又はサポート期間のいずれか長い期間、技術文書及びEU適合宣言を市場監視当局が利用できるよう手元に保管しなければならない。
  • 製造者は、連続生産の一部であるデジタル要素を伴う製品について、本規則への適合性を維持するための手順が整備されていることを確保しなければならない。
  • 製造者は、デジタル要素を伴う製品に、型式、バッチ番号、シリアル番号、又は識別を可能にするその他の要素が付されていること、又はそれが不可能な場合には、その情報が包装上又はデジタル要素を伴う製品に付随する文書に提供されていることを保証しなければならない。
  • 製造者は、デジタル要素を伴う製品、包装又はデジタル要素を伴う製品に添付する文書に、製造者の名称、登録商号又は登録商標、ならびに郵便住所、電子メールアドレス又はその他のデジタル連絡先の詳細、及び該当する場合には製造者に連絡することができるウェブサイトを表示しなければならない。
  • 製造者は、デジタル要素を伴う製品の脆弱性に関する報告を容易にするためも含め、使用者が直接かつ迅速に連絡できるように、単一の連絡窓口を指定しなければならない。
  • 製造者は、デジタル要素を伴う製品に、附属書2に定める使用者に対する情報及び指示を紙又は電子形式で添付することを保証しなければならない。
  • 製造者は、段落8で言及されるサポート期間の終了日が、少なくとも月及び年を含めて、購入時に、容易にアクセス可能な方法で、かつ、該当する場合には、デジタル要素を伴う製品、その包装又はデジタル手段によって、明確かつ理解しやすく明記されていることを保証しなければならない。
  • 製造者は、デジタル要素を伴う製品に、EU適合宣言の写しまたは簡易EU適合宣言のいずれかを提供しなければならない。簡易EU適合宣言を提供する場合、その宣言には、完全なEU適合宣言にアクセスできる正確なインターネットアドレスを記載しなければならない。

(第13条)

製造者は、デジタル要素を伴う製品に含まれる積極的に悪用された脆弱性を認識した場合、本条段落7に従ってコーディネーターとして指定されたCSIRT及びENISAに同時に通知しなければならない。

(第14条)

目次

(前文)
(本文)
第1章 一般規程
第1条 主題
第2条 適用範囲
第3条 定義
第4条 自由な移動
第5条 デジタル要素を伴う製品の調達または使用
第6条 デジタル要素を伴う製品の要件
第7条 デジタル要素を伴う重要製品
第8条 デジタル要素を伴う重大製品
第9条 利害関係者協議
第10条 サイバー・レジリエントなデジタル環境における技能の向上
第11条 一般製品安全
第12条 高リスクAIシステム
第2章 経済事業者の義務とフリー・オープンソース・ソフトウェアに関する規程
第13条 製造者の義務
第14条  製造者の報告義務
第15条  自主的な報告
第16条  単一報告プラットフォームの創設
第17条  報告に関連するその他の規程
第18条  認定代理人
第19条  輸入者の義務
第20条  流通業者の義務
第21条  製造者の義務が輸入者および流通業者に適用される場合
第22条  製造者の義務が適用されるその他の場合
第23条 経済事業者の特定
第24条 オープンソース・ソフトウェア管理者の義務
第25条 フリー・オープンソース・ソフトウェアのセキュリティ認証
第26条 ガイダンス
第3章 デジタル要素を伴う製品の適合性
第27条 適合性の推定
第28条 EU適合宣言
第29条 CEマーキングの一般原則
第30条 CEマーキングの貼り付けに関する規定および条件
第31条 技術文書
第32条 デジタル要素を伴う製品の適合性評価手続き
第33条 零細企業および中小企業(振興企業を含む)に対する支援措置
第34条 相互承認協定
第4章 適合性評価機関の届出
第35条 届出
第36条 届出当局
第37条 届出当局に関連する要件
第38条 届出当局に関する情報義務
第39条 届出機関に関連する要件
第40条 届出機関の適合性の前提条件
第41条 届出機関の子会社および届出機関による請負事業
第42条 届出の申請
第43条 届出の手順
第44条 届出機関の識別番号およびリスト
第45条 届出の変更
第46条 届出機関の能力の確認
第47条 届出機関の業務上の義務
第48条 届出機関の決定に対する申し立て
第49条 届出機関に関する情報義務
第50条 知見の交換
第51条 届出機関の調整

第5章 市場監視および執行
第52条 EU市場におけるデジタル要素を伴う製品の市場監視および管理
第53条 データおよび文書へのアクセス
第54条 重大なサイバーセキュリティ・リスクを呈するデジタル要素を伴う製品に関する国家レベルでの手続き
第55条 EUセーフガード手続き
第56条 重大なサイバーセキュリティ・リスクを呈するデジタル要素を伴う製品に関するEUレベルでの手続き
第57条 重大なサイバーセキュリティ・リスクをもたらすデジタル要素を含む準拠製品
第58条 形式的な不遵守事項
第59条 市場監視当局の共同活動
第60条 スイープ
第6章 委任権限および専門委員会手続き
第61条 委任の行使
第62条 専門委員会手続き
第7章 機密性および罰則
第63条 機密性
第64条 罰則
第65条 代表訴訟
第8章 移行規程および最終規程
第66条 規則(EU) 2019/1020の改正
第67条 指令(EU) 2020/1828の改正
第68条 規則(EU) No 168/2013の改正
第69条 移行規程
第70条 評価および見直し
第71条 発効および適用
(注釈)
(附属書)
附属書 1 サイバーセキュリティ必須要件
パート1 デジタル要素を伴う製品の特性に関連するサイバーセキュリティ要件
パート2 脆弱性処理要件
附属書 2 使用者への情報および指示
附属書 3 デジタル要素を伴う重要製品
附属書 4  デジタル要素を伴う重大製品
附属書 5  EU適合宣言
附属書 6 簡易EU適合宣言
附属書 7 技術文書の内容
附属書 8 適合性評価手続き
パート 1 内部統制に基づく適合性評価手続き(モジュール Aに基づくもの)
パート 2 EU型式審査(モジュール Bに基づくもの)
パート 3 内部生産管理に基づく型式への適合性(モジュール Cに基づくもの)
パート 4 完全品質保証に基づく適合性(モジュール Hに基づくもの)

基礎情報

法令(現地語)

Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act)
法令(日本語)

デジタル要素を伴う製品のサイバーセキュリティに関する水平的要件を定め、規則(EU) No 168/2013、(EU) No 2019/1020、指令(EU) 2020/1828を改正する2024年10月23日付け欧州議会及び理事会規則(EU) 2024/2847(サイバーレジリエンス法)
公布日

2024年11月20日
所管当局

通信ネットワーク・コンテンツ・技術総局(DG-Connect)

作成者

LOGO-600w

株式会社先読

和訳案内ページはこちら

この続きは有料会員になるとお読みいただけます。

ログインして続きを読む
Page Top