*この記事は、2026年2月12日に公開された記事です。
欧州サイバーレジリエンス法CRA (2024/2847/EU)は、デジタル要素を持つ全ての製品(IoT機器、ソフトウェア、ハードウェアなど)に対し、「セキュリティ・バイ・デザイン」を義務付け、製品のライフサイクル全体にわたるセキュリティ対策(脆弱性管理、インシデント報告、長期サポートなど)を製造者に課すEUの法律です。
製品毎に、設計段階~出荷後までのセキュリティ対策が義務付けられています。
CRAの要求は、欧州EU市場に上市される製品が、サイバー攻撃の入り口にならないようにサイバーセキュリティ耐性のある製品にし、消費者の安全や個人のプライバシー、EU経済全体を守ることです。
また、この欧州サイバーレジリエンス法CRA(2024/2847/EU)は、CEマーキングの対象にもなっております。
<コンテンツ一覧>
- 1. 欧州サイバーレジリエンス法 CRA(2024/2847/EU)はいつから適用開始になるのか?
- 2. 欧州サイバーレジリエンス法 CRA(2024/2847/EU)の対象となる製品とは?
- 3. 欧州サイバーレジリエンス法 CRAに設けられた厳しい罰則
- 4. イーエムテクノロジーのサービス
1. 欧州サイバーレジリエンス法 CRA(2024/2847/EU)はいつから適用開始になるのか?
2024年12月10日、欧州サイバーレジリエンス法CRA(EU Cyber Resilience Act.)が発効されました。
欧州サイバーレジリエンス法CRA(2024/2847/EU)は、2027年12月11日より適用開始になります。
それに先立ち、段階的に、2026年6月11日からは、第31条「技術文書」~第51条「欧州認証機関の協力」、2026年9月11日からは、第14条「製造者の報告義務」が先行適用されます。
また、産業機械では、機械規則(2023/1230/EU)が、2027年1月20日より施行されます。
機械規則にもサイバーセキュリティに関する要求が盛り込まれていますので、こちらも併せて対応が必要になってきます。
下記に主なタイムラインを載せておきます。
2. 欧州サイバーレジリエンス法 CRA(2024/2847/EU)の対象となる製品とは?
第2条「適用範囲」には、「市場で入手可能なデジタル要素を備えた製品に適用され、その本来の目的または合理的に予見可能な使用には、デバイスまたはネットワークへの直接的または間接的な論理的または物理的なデータ接続が含まれます。」と記載されております。
医療機器、船舶機器などの特定指令でカバーされる製品は対象除外となりますが、パソコン、ハブ、産業機械に組み込まれるPLCの通信カード、USBポートなどの通信機能を持つ幅広い製品が対象となります。
3. 欧州サイバーレジリエンス法 CRAに設けられた厳しい罰則
罰則は、各EU加盟国が決定しますが、サイバーレジリエンス法CRA(2024/2847/EU)原文に、厳しい罰則が記載されています。
例えば、「付属書Ⅰに規定する必須のサイバーセキュリティ要求、ならびに第13条及び第14条に規定する義務に違反した場合は、最高1500万ユーロの行政罰金、または違反者が企業の場合には前会計年度の全世界の年間総売上高の2.5%のいずれか高い方の罰金が科せられるものとする。」と記載されております。
例えば、1500万ユーロとは、レート180円/€で計算すると、約27億円です。
その他にも罰則については記載されておりますが、いずれにしてもサイバーレジリエンス法CRAの対象になる製造者は、必ず対応しておかなければなりません。
4. イーエムテクノロジーのサービス
イーエムテクノロジーでは、欧州サイバーレジリエンス法CRA(2024/2847/EU)の内容をわかりやすく解説するところから、製造者が行わなければならない対応まで、サポートさせて頂きます。
欧州サイバーレジリエンス法CRAの対応で、お困りごとがございましたら、お気軽にご連絡頂ければと思います。
関連ページ「機械指令(2006/42/EC)から機械規則(2023/1230/EU)へ」
【イーエムテクノロジー株式会社 技術部】
