サイバーレジリエンス法(CRA)とは?対象製品・義務・罰則と2027年適用までの実務【2026年時点】
EUサイバーレジリエンス法(CRA/Cyber Resilience Act・規則(EU)2024/2847)は、EU市場に出回る「デジタル要素を持つ製品」に、設計から市販後まで一貫したサイバーセキュリティ対応を義務づける規則です。2024年12月10日に発効し、脆弱性・インシデントの報告義務が2026年9月11日、製造者への主要義務のすべてが2027年12月11日から適用されます。EUに機器やソフトウェアを出荷する日本企業も規制の対象で、対応の遅れは最大1500万ユーロの制裁金に直結しかねません。この記事では、対象製品の線引き、製造者に課される具体的な義務、製品区分ごとの適合性評価と罰則、そして2027年までに日本の開発現場が着手すべき実務を、発注・製品開発の視点で整理します。
目次
まとめ:CRAはEU向けデジタル製品への「発売条件」であり2027年12月が期限
CRAの本質は、サイバーセキュリティ対応をEU市場での販売条件(CEマーキングの前提)にした点にあります。他のデバイスやネットワークに接続する機能を持つ製品──IoT機器、組込みソフト、アプリ、OS、さらには単体販売されるソフトウェア部品まで──が対象になります。接続機能を持たない製品は対象外です。
期限は二段構えで到来します。脆弱性とインシデントの報告義務が2026年9月11日、製品そのものが満たすべき必須要件・CEマーキング・サポート提供などの主要義務が2027年12月11日から適用されます。違反時の制裁金は最大1500万ユーロ、または前会計年度の全世界年間売上高の2.5%のいずれか高い方です。
日本企業に必要なのは「規制を知ること」ではなく「製品の作り方を変えること」です。EUへ出す製品を持つなら、SBOM(部品表)の整備、第三者コンポーネントのデューデリジェンス、脆弱性を受け付けて修正・公表する社内プロセス、サポート終了日の明示を、2027年から逆算して今のうちに開発工程へ組み込む必要があります。以下、対象範囲・義務・罰則・実務の順に具体を示します。
サイバーレジリエンス法(CRA)の対象範囲と段階的な適用スケジュール
まず押さえるべきは「どの製品が、いつから」対象になるかです。CRAは製品カテゴリではなく「デジタル要素を持つかどうか」で対象を判定し、義務は一度に全面適用されるのではなく段階的に効力を持ちます。
対象は「デジタル要素を持つ製品(PDE)」──接続機能の有無が線引き
CRAが対象とするのは Products with Digital Elements(PDE)、つまりソフトウェアまたはハードウェアの製品と、その製品と別に市場に出される部品(ソフトウェア/ハードウェアコンポーネント)です。判定の軸は、その製品が直接または間接に、他のデバイスやネットワークへ論理的・物理的に接続するかどうかにあります。
具体例で線引きが分かります。洗浄サイクルを制御する組込みファームウェアを積んだ食器洗浄機でも、他機器やネットワークにつながる機能がなければCRAの対象外です。逆に、家庭用ルーター、スマート家電、産業用IoTゲートウェイ、スマートフォンアプリ、OS、開発ライブラリ、ファイアウォールなどはPDEに該当します。SaaSのようにサービスとして提供される機能は、原則としてNIS2指令など別の枠組みが担い、CRAは「市場に置かれる製品」に焦点を当てています。
2024年発効から2027年12月全面適用までの段階スケジュール
CRAは2024年12月10日に発効しましたが、企業が義務を負うタイミングは条項ごとにずれています。逆算して準備するために、確定している適用日を時系列で押さえます。
| 適用日 | 効力を持つ内容 | 企業側の意味 |
|---|---|---|
| 2024年12月10日 | CRA発効 | 移行期間の開始。準備に使える猶予 |
| 2026年6月11日 | 適合性評価機関の届出規定(第4章) | 第三者評価の受け皿が立ち上がる |
| 2026年9月11日 | 脆弱性・インシデントの報告義務(第14条) | 報告体制を先に用意する必要がある最初の実務期限 |
| 2027年12月11日 | 製造者の主要義務(必須要件・CE・サポート) | これ以降、要件未達の製品はEUで販売できない |
順番に注意が要ります。製品を作り替える前に、まず報告義務(2026年9月)が来ます。ここには経過措置による猶予がありません。すでに市場に出している製品も、積極的に悪用されている脆弱性を検知したら報告する対象になります。「2027年まで時間がある」と全体を後ろ倒しにすると、2026年9月の報告義務で足元をすくわれます。
EUへ製品を出荷する日本企業がCRAの対象になる条件と留意点
CRAはEU域内で製品を市場に置く行為を規律するため、製造者がどこの国の企業かは問いません。EUの顧客・販売店・自社拠点を通じてPDEをEU市場に供給する日本企業は、EU域内の製造者と同じ義務を負います。EU域外の製造者は、EU域内に責任を負う輸入者・授権代理人を確保する運用が現実的になります。
日本国内の制度は、企業や重要インフラ側の防御義務を定める方向で整備が進んできました。国内の枠組みはサイバーセキュリティ基本法とは何かとその改正の経緯で整理していますが、CRAは視点が異なります。国内法が「守る側の体制」を問うのに対し、CRAは「製品そのものの作り込み」を発売条件にする点が決定的な違いです。EU向け製品を持つ企業は、この二つの軸を別建てで管理する必要があります。
製造者に課される義務・製品区分ごとの適合性評価と罰則の全体像
CRAの中身は、製造者への義務(第13条)、脆弱性の取り扱い・報告(第14条)、製品区分ごとの適合性評価、そして違反時の制裁金で構成されます。発注や自社開発でどこまでやれば適合と言えるのかを、この4点から具体化します。
設計から市販後まで貫く必須サイバーセキュリティ要件(第13条・Annex I)
製造者は、製品をAnnex I(必須サイバーセキュリティ要件)に沿って設計・開発・製造する義務を負います。要求は単発のテストでは終わらず、製品ライフサイクル全体に及びます。実務で外せない中核は次の通りです。
- 設計段階からのサイバーセキュリティリスクアセスメントを実施し、その結果を設計・保守に反映する
- 既知の悪用可能な脆弱性を含まない状態で市場に出す(既定で安全な構成=セキュア・バイ・デフォルト)
- 第三者コンポーネント(OSS含む)についてデューデリジェンスを行い、供給元のセキュリティを確かめる
- サポート期間(脆弱性対応を提供する期間)を定め、その終了日を購入者に明示する
- 適合性評価を経てCEマーキングを付し、EU適合宣言と技術文書を用意する
第三者部品のデューデリジェンスは、実質的にサプライチェーン全体のセキュリティ管理を製造者に求めるものです。オープンソースを組み込むほど、その出所と既知脆弱性の把握が自社の適合責任に直結します。攻撃の起点として部品や配布経路が狙われる構図はサプライチェーン攻撃の類型と対策の優先順位で扱っており、CRAはその防御を法的な義務へ引き上げたと読むと理解が早まります。
脆弱性・インシデントの報告義務(第14条・24時間/72時間/14日)
2026年9月11日から先行適用される報告義務は、時間の刻みが細かく規定されています。積極的に悪用されている脆弱性、または製品のセキュリティに影響する重大インシデントを認識した製造者は、ENISAと各国CSIRTが運用する単一の報告プラットフォームへ、段階的に通知します。
- 認識から24時間以内:早期警告(early warning)を提出する
- 72時間以内:本通知(詳細を含む通知)を提出する
- 是正後14日以内(脆弱性の場合):最終報告を提出する
この期限は、インシデント対応を「見つけてから考える」体制では守れません。誰が検知し、誰が24時間以内に一次報告を出すのか、報告先アカウントと承認フローを事前に決めておく前提の制度です。小規模企業・零細企業には24時間の早期警告を逃した場合の制裁金免除がありますが、報告義務そのものが消えるわけではない点に注意します。
製品区分(標準・重要・クリティカル)ごとの適合性評価とCEマーキング
すべての製品に第三者評価が要るわけではありません。CRAはリスクに応じて製品を区分し、区分ごとに適合性評価の手続きを変えています。自社製品がどの区分かで、コストと準備期間が大きく変わります。
| 区分 | 例 | 適合性評価の手続き |
|---|---|---|
| 標準(大多数) | 一般的なアプリ・IoT機器など | 製造者による自己評価(Module A)で可 |
| 重要製品 クラスI | パスワード管理、VPN、ネットワーク管理など | 整合規格に準拠すれば自己評価可/なければ第三者評価 |
| 重要製品 クラスII | ファイアウォール、侵入検知、産業用制御など | 第三者評価または認証スキームが必須 |
| クリティカル製品 | HSM、スマートメーターゲートウェイ等 | 第三者評価またはEUサイバーセキュリティ認証 |
オープンソースソフトウェアには特則があります。技術文書を公開している場合、重要製品クラスI・IIに当たるOSSでも自己評価が認められ、非営利で製品を配布するOSSスチュワードは製造者と同じ罰則の対象外です。自社製品の多くは「標準」に収まりますが、セキュリティそのものを担う製品を出すなら、第三者評価の受け皿(適合性評価機関)が整う2026年6月以降の予約を見込んで動く必要があります。
罰則は最大1500万ユーロまたは全世界売上高2.5%の高い方
制裁金の上限は違反の種類で三段階に分かれます。必須サイバーセキュリティ要件(Annex I)や製造者の中核的義務に反した場合、最大1500万ユーロ、または前会計年度の全世界年間売上高の2.5%のいずれか高い方が科されます。日本円ではおよそ25億円規模に達し、売上高比例のため大企業ほど負担が膨らむ構造です。
制度準拠を発売の前提条件にする構造は、決済業界のPCI DSSと似ています。要件を満たさなければ市場に参加できないという点で、PCI DSSの12要件と準拠レベルの考え方は、CRA対応の進め方を設計するうえで参考になる先行モデルです。罰則の重さは、対応を「コスト」ではなく「発売可否を分ける投資」として位置づけ直す理由になります。
2027年の全面適用までに日本の開発現場が着手すべき実務と判断
ここからは規制の解説ではなく、EU向け製品を持つ企業が2027年12月から逆算して何をするかの判断です。全社一律に構える必要はありません。対象製品の有無と区分で、動く範囲と優先順位を絞り込みます。
SBOM整備と第三者コンポーネントのデューデリジェンスの先行着手
最初に着手すべきはSBOM(Software Bill of Materials=ソフトウェア部品表)の整備です。CRAは自社が使う第三者部品の把握と、そこに含まれる既知脆弱性への対応を製造者の責任とします。何を組み込んでいるかを一覧化できていなければ、脆弱性報告義務(2026年9月)にも適合性評価にも対応できません。CIパイプラインでSBOMを自動生成し、既知脆弱性データベースと突き合わせて継続監視する仕組みを、2026年前半までに走らせておくのが現実的な線です。OSSの採用ポリシー(ライセンスと保守状況の確認)も同時に文書化します。
サポート期間の明示と脆弱性対応プロセスの内製化・外部委託の判断
次に、製品ごとのサポート期間(脆弱性対応を提供する期間)を定め、購入者に明示する運用を作ります。あわせて、脆弱性の受付窓口(coordinated vulnerability disclosure ポリシー)、社内トリアージ、24時間以内の一次報告を出す担当と承認フローを事前に決めます。これらは製品を出荷したあとに付け足すと機能しません。設計・開発段階から、脆弱性対応を前提にした体制として組み込んでおくべきです。自社にセキュア開発や脆弱性対応の体制が足りない場合、接続製品・IoT機器のセキュア開発を外部と組んで進める選択肢もあります。要件定義から実装までを含めたIoT・接続機器のセキュアな開発支援を検討することで、Annex I準拠の作り込みを製品ロードマップへ織り込みやすくなります。
「まだ着手しない」判断が成立する場面と、着手が遅れて詰む場面
すべての企業が今すぐ全力で動くべきとは言えません。判断は対象製品の有無で割り切れます。EU市場にPDEを出す予定が具体的に無く、国内向け・非接続製品だけを扱う企業なら、2026年内は情報収集にとどめ、開発体制の大改修を先送りする判断が成立します。動くコストのほうが、当面得られる便益を上回るからです。
一方で、遅れると確実に詰む場面があります。EU向けに新製品を2027年以降にリリースする計画があり、その製品が重要製品クラスII以上に該当するケースです。第三者評価には受け皿の空き状況とリードタイムが伴い、設計段階からAnnex Iを満たしていないと評価をやり直す手戻りが発生します。この場合、2026年のうちに製品区分を確定し、必須要件を設計要件へ落とし込む着手が遅れるほど、2027年12月の発売可否そのものが危うくなります。「対象製品があり、区分が重い」なら先行投資、「対象製品が無い」なら観測継続──この二択で自社の立ち位置をまず確定させてください。
サイバーレジリエンス法(CRA)への対応でよくある質問と回答
CRA対応でよく問われる論点を、発注・製品開発の視点で簡潔にまとめます。
サイバーレジリエンス法はいつから適用されますか?
段階適用です。CRAは2024年12月10日に発効し、脆弱性・インシデントの報告義務が2026年9月11日、製造者の主要義務(必須要件・CEマーキング・サポート提供など)のすべてが2027年12月11日から適用されます。準備は最初の実務期限である2026年9月から逆算するのが安全です。
日本企業もサイバーレジリエンス法の対象になりますか?
対象になります。CRAはEU市場に製品を置く行為を規律し、製造者の所在国を問いません。EUの販売店・顧客・自社拠点を通じてデジタル要素を持つ製品を供給する日本企業は、EU域内の製造者と同じ義務を負います。EU域外の製造者は、域内に責任を負う輸入者や授権代理人を置く運用が現実的です。
どのような製品が対象になりますか?
「デジタル要素を持つ製品(PDE)」、つまり他のデバイスやネットワークに直接・間接に接続する機能を持つソフトウェア・ハードウェア製品と、その単体販売部品が対象です。IoT機器、アプリ、OS、開発ライブラリ、ルーターなどが該当します。接続機能を持たない製品は対象外です。
違反するとどのくらいの制裁金が科されますか?
最も重い違反(必須サイバーセキュリティ要件や製造者の中核的義務への違反)で、最大1500万ユーロ、または前会計年度の全世界年間売上高の2.5%のいずれか高い方が科されます。日本円でおよそ25億円規模で、売上高比例のため大企業ほど金額が大きくなります。
オープンソースソフトウェアはどう扱われますか?
特則があります。技術文書を公開しているOSSは、重要製品クラスI・IIに該当しても自己評価が認められます。非営利で製品開発を支えるOSSスチュワードは、製造者と同じ制裁金の対象にはなりません。ただし、そのOSSを組み込んで製品を販売する側は通常の製造者責任を負い、部品としてのデューデリジェンス対象になります。
関連記事
- サプライチェーン攻撃とは?起点別3類型と最新事例・対策の優先順位:CRAが義務化した第三者部品・供給経路の防御を、攻撃側の類型から理解できます
- サイバーセキュリティ基本法とは?改正の経緯と能動的サイバー防御:日本国内の制度枠組みとの違い(守る側の体制/製品の作り込み)を対比できます
- PCI DSSとは?12要件と準拠レベル・v4.0.1移行を発注視点で整理:制度準拠を発売・参加の前提条件にする先行モデルとして、対応設計の参考になります