欧州サイバーレジリエンス法 CRA の正式発行とその影響について解説

欧州サイバーレジリエンス法（CRA）の正式発行

国際的な認証機関であるテュフズードが発表したニュースによると、2024年11月20日、欧州サイバーレジリエンス法（CRA）が欧州連合官報にて正式に発行されました。この法律は、欧州内でデジタル要素を持つ製品を扱う企業に対し、2027年12月11日以降、製品のサイバーセキュリティ強化を義務付けるものです。

CRA発行の背景

近年、スマート家電やインターネットに接続する機器の普及に伴い、サイバーセキュリティに関する脅威が増加しています。このため、欧州ではサイバーレジリエンス（セキュリティへの適応力）を高めるための規制環境が必要とされています。CRAに基づき、企業はデジタル製品の設計や製造、運用全般にわたってサイバーセキュリティの管理を行う義務があります。

欧州サイバーレジリエンス法の目的と主な対象

テュフズードのサイバーセキュリティプログラムマネージャー、マキシム・エルナンデス氏によれば、CRAの目的は“デジタル要素を含む製品”の安全性を向上させ、企業が製品のライフサイクル全般にわたって責任を持つことにあります。具体的には、スマートテレビやセンサー、工業用の機器などが対象となる一方、医療機器や自動車、安全システムは規制の対象外とされています。これは各業界特有の要求に基づくものです。

CRAの適合証明に関する要件

この法律下で求められる適合証明には、製品のリスククラスによる違いがあります。リスクが少ない製品は製造者が自主的に準拠を宣言することができますが、リスクが高い製品（Importantに分類される）については、テュフズードなどの認可機関による評価を受ける必要があります。クラスIおよびクラスIIといったリスククラスが設定され、特にクラスIIは高リスクと見なされるデジタル製品が含まれます。

欧州サイバーレジリエンス法（CRA）の影響

CRAに準拠しないデジタル製品を製造または販売する企業は、罰金やEU市場での承認を失うリスクを抱えます。企業は重点的にセキュリティ対策を講じる必要があり、タイムリーに法令に従った形での製品改良を行うことが求められています。

テュフズードジャパンの取り組み

テュフズードジャパンは、企業のサイバーセキュリティ関連サービスを提供し、欧州の最新規制に対応するための試験サービス、リスク評価、トレーニング、認証サービスを行っています。また、12月17日にはCRA解説セミナーを開催予定で、オンライン参加が可能です。

詳しい情報や申し込み方法については、テュフズードジャパンの公式ウェブサイトをご覧ください。