EUサイバー・レジリエンス法(CRA)は将来の懸念事項ではありません。それは今、現実の問題であり、この規則が発効した瞬間から遵守に向けたカウントダウンが始まっています。組み込みソフトウェアを搭載したハードウェア、単体のソフトウェア製品、他の製造業者のサプライチェーンに組み込まれるコンポーネントなどのデジタル製品をEU市場に向けて製造または販売しているなら、現時点で具体的な計画を立てていなければなりません。遵守の期限は確定しており、罰則は非常に大きく、しかも遵守に向けた技術的基盤作りには、多くの組織が想定している以上に時間がかかります。
本稿では、まず遵守期限のスケジュールを示した後、製品分類システムによって遵守義務が具体的にどのように変わるのかを説明します。そして、規制当局から指摘を受ける前に遵守のための基盤作りを進めていく上での明確な青写真を示します。
EU CRAの遵守の流れは、3つの日付によって定義されています。そして、それぞれの日付には、単なる事務手続き上の期限にとどまらない、戦略的な意味があります。
2026年9月11日:ここで最初の義務が有効になります。この日以降、実際に悪用が確認されている脆弱性が自社製品に見つかった場合、所定の報告プラットフォームを通じてENISAに報告することが法的に義務付けられ、脆弱性はEU脆弱性データベースに登録されます。これは試験的な開始ではありません。この時点で報告義務が正式に有効になるため、義務に違反すると、まだ準備態勢がまったく整っていない状態で規制当局による精査を受けることになります。この期限まで2カ月を切った今、脆弱性の監視および報告インフラをまだ確立できていない組織は、既に出遅れています。
2026年10月30日:ここで、整合規格(EU CRAの政策上の要求事項を具体的かつ実践的なセキュリティ・プラクティスに落とし込んだ技術文書)の大半が発行されます。ただし、重要な水平規格(複数の製品カテゴリーをまたいで適用される規格)の1つは2027年10月まで発行が予定されていません。この時間差は重要な意味を持ちます。それは、すべての要件が明確になる何カ月も前に脆弱性の報告義務が発生するということです。基本的なセキュリティ・プラクティスへの投資を避けて通ることができないのは、まさにこれが理由です。防御態勢をとるには、それ以外に方法がありません。
2027年12月11日:ここで、EU CRAの全面適用が開始されます。すなわち、自社の製品群全体で、EU CRAの製品要件および脆弱性対応義務の全面的な遵守が求められます。ほとんどの組織は、この期限を見てまだ十分な準備期間があると考えがちですが、そうではありません。それは、サプライチェーンを考慮に入れる必要があるためです。自社製品を他の製造業者がコンポーネントとして購入している場合、その製造業者が期限内にEU CRAを遵守できるようにするには、自社製品はそれよりも前に遵守している必要があります。実質的に、EU CRAの遵守期限は公式な日付よりも数カ月前倒しになると考えるべきです。この現実を織り込んで、現時点での計画を立ててください。
自社製品がどのカテゴリーに該当するのかを知らずにEU CRAの技術要件を満たそうとしても、意味がありません。EU CRAでは、に分類され、自社製品がどのカテゴリーに該当するかによって、適用される適合性評価の道筋が変わります。
この判断に対して、権威ある根拠を与えるのがEU CRAの実施法令(implementing acts)です。実施法令は、重大インシデントの報告フォーマット、EU適合宣誓書のテンプレート、市場監視に関する規則など、EU CRAの実施に関する統一的な条件を定めたものです。サイバーセキュリティ専門家でVulnir社の創設者であるD’Amato氏は、「自社製品の分類に当たっては、これらをバイブルとすべきです」と助言しています(D’Amato氏は、EU CRAの3つの水平規格のうち2つでラポーター(取りまとめ役)も務めています)。これらの実施法令には製品リストと基準が明確に示されており、自社製品がどの階層に分類されるのか、そして重要な点として、コンプライアンスを実証するために何をする必要があるのかを知ることができます。
デフォルト・カテゴリー製品は、自己評価の対象となります。自社のコンプライアンス態勢をEU CRAの要件に照らし合わせて自己評価し、評価結果を文書化し、その評価の正確性について自ら責任を負います。これは最も一般的、かつ柔軟な道筋ですが、ここでの柔軟性は寛容さを意味しません。文書は規制当局によって精査されるため、表面的な自己評価は評価をしていないのと同じくらい危険です。
インポータント(クラス1)製品は、適用可能な整合規格の使用が義務付けられるなど、より細かな要件が指定されています。多くの場合、これらの規格は任意ではなく、製品カテゴリーによっては、適合性を実証するための必要条件となります。組織は、これらの規格の策定状況を積極的に監視し、新しいガイダンスが発表されたら自社のセキュリティ・プラクティスを更新できるように準備しておく必要があります。
インポータント(クラス2)製品は、第三者評価が義務付けられています。自己認証ではコンプライアンスを達成できません。この道筋では外部による検証が必要なため、コンプライアンス・プログラムのコストと時間、そして調整面の複雑さが増大します。自社製品のいずれかがクリティカルに該当する場合、既に準備作業のスケジュールが動き出していなければなりません。
クリティカル製品は、最もリスクの高いカテゴリーに該当します。これらの企業には第三者機関による評価が義務付けられており、場合によっては欧州のサイバーセキュリティ認証(EUCC)の取得が求められます。
ここで重視される姿勢は、厳密さです。自社ポートフォリオのすべての製品について、実施法令を体系的に確認する必要があります。クラス分類の判断に迷う製品がある場合は、より高いクラスに分類しておいた方が安全です。たとえ不注意によるものであっても、分類を誤ると規制上のリスクにさらされます。
自社製品がどのカテゴリーに分類されるのかを把握できたら、最も実用的な実装ツールとして整合規格を利用します。整合規格そのものは規則ではなく、EU CRAの政策上の要求事項を具体的かつ実践的なセキュリティ・プラクティスに落とし込んだ技術文書で、製造業者はこれに基づいて実装を進めることになります。
EU CRAと整合規格の間には、微妙ではあるものの、重要な違いがあります。ほとんどの場合、整合規格(具体的に示されたセキュリティ・プラクティス)の遵守は法的な義務ではありませんが、これらを遵守することによって適合の推定が生じます。例えばある整合規格が適合の推定を伴っており、製造業者がそれに従っている場合、規制当局はその整合規格がカバーする要件を当該製品が遵守しているものと見なします。これは強力な保護となります。つまり、規制当局から指摘を受けた場合に、文書化された弁明可能な盾としての役割を実質的に果たしてくれます。
整合規格は、水平規格と垂直規格の両方について策定が進められています。水平規格とは、複数の製品カテゴリーをまたいで適用されるもので、脆弱性管理、セキュアな更新メカニズム、暗号化などの基盤的なセキュリティ要件を扱います。一方の垂直規格は、産業制御システム、医療機器、消費者向けIoT機器など、各製品タイプに固有のリスク・プロファイルを扱います。実際のコンプライアンス・プログラムでは、両方の種類の規格を考慮する必要があります(前述のとおり、製品のセキュリティ要件に関する水平規格は、パズルの最後のピースとして2027年10月に公開される予定です)。
このように、整合規格のほとんどが2026年終盤または2027年まで発行されない以上、今すぐ取るべき現実的な対策は、基盤的なセキュリティ要件として広く認知されている以下のプラクティスに投資することです。
これらは憶測によるものではありません。EU CRA附属書Iの要求事項の中に明示的に織り込まれており、すべての整合規格がこれらを反映することになっています。
分類と規格は枠組みであり、この枠組みを遵守していることを実証する手段となるのが文書化です。EU CRAにおけるデューデリジェンスとは、規制当局や市場監視当局、そして場合によっては顧客が評価する成果物のことです。
つまり、組織のコンプライアンス・プログラムは単なる社内プロセスを確立するだけでなく、検証可能な証拠を生成する必要があります。製品分類の根拠、各製品階層について特定したセキュリティ要件、実施したテストおよび検証プラクティス、確立した脆弱性管理ポリシー、定義したサポート期間を文書化するようにします。この規則は、デューデリジェンスを実施している製造業者は、自らの成果内容を示すことのできない製造業者とは根本的に異なる立場にあることを明示しています。
これが現実的に意味するのは、EU CRAへの対応としてAppSecプログラムを構築または刷新するのであれば、文書化を後付けで考えるのではなく、第一級の出力として扱う必要があるということです。実施するすべてのセキュリティ・プラクティスについて、遵守のストーリーを裏付ける文書等を生成することが推奨されます。
2026年9月からの報告義務開始が目前に迫り、2027年11月からはEU CRAへの全面的な遵守が求められる中、今すぐ優先的に取り組むべき課題は明らかです。
製造業者がこの移行を最も効果的に乗り切るには、分類、整合規格、適合性評価といったEU CRAのコンプライアンス・アーキテクチャが、決して恣意的に決められた官僚的仕組みなどではなく、実証可能で弁明可能なセキュリティ・プラクティスへと至るための体系的な道筋であることを理解する必要があります。この道筋に厳密さを持って従い、早期に活動を開始すれば、遵守のための投資は単なる規制上の義務遂行ではなく、持続的な競争力を生み出す資産となります。