33件の回答
サイバーレジリエンス法(CRA)とは何ですか。なぜ今話題になっているのですか。
サイバーレジリエンス法(EU規則2024/2847、略称CRA)は、EU域内で販売される「デジタル要素を含む製品」、つまりソフトウェアを含む、またはネットワークに接続するほぼすべての製品に、サイバーセキュリティ要件を課す欧州初の法律です。2024年12月10日に発効しましたが、主要な義務が実際に適用されるのは2027年12月11日からです。
今話題になっているのは、まさに移行期間があるからです。デジタル製品を設計・販売する企業には対応の猶予がありますが、通知義務のような一部の中間的な期限は、すでに2026年に到来します。
GiBSeS — CRAが自社にどう関係するかを見極めることが、コネクテッド製品を開発する中小企業と最初に行う診断です。
「デジタル要素を含む製品」とは、具体的に何を指しますか。
用途上、機器やネットワークに直接的または間接的、論理的または物理的に接続することが想定されているハードウェアまたはソフトウェア製品全般を指します。実際にはIPカメラ、ルーター、スマート家電、産業用センサー、IoT機器などの接続機器はもちろん、単独で販売されるソフトウェア(アプリケーション、OS、ライブラリ、ファームウェア)も含まれます。
製品の機能に必要な遠隔データ処理ソリューション(例えば機器のクラウド部分)も対象です。一方、多くの医療機器、自動車、航空分野など、すでに特定の分野別規制でカバーされている製品は対象外です。
GiBSeS — 自社製品がどこまでで、どこからがサービスなのか、その線引きが最も難しい点であることが多いです。この区別を最初から一緒に整理します。
自社がCRAの対象かどうか、どう判断すればよいですか。
CRAは、デジタル要素を含む製品をEU市場に投入する事業者に適用され、役割によって義務が異なります。製造業者(設計・製造を行う、または自社ブランドで設計・製造させる事業者)には最も厳しい義務が課されます。輸入業者(EU域外企業の製品をEUに持ち込む事業者)は、製造業者が義務を果たしているか確認する必要があります。流通業者はサプライチェーンにおいて相応の注意義務を負います。
他社が製造した製品を自社ブランドで販売する場合でも、規則上はあなたが「製造業者」とみなされます。義務は誰か他人のものだと思い込む前に、自社の役割を明確にしておく価値があります。
GiBSeS — サプライチェーンにおける自社の役割(製造業者・輸入業者・流通業者)を正確に定義することで、対応すべき義務のリストが大きく変わります。まずそこから着手します。
ハードウェアではなくソフトウェアのみを販売していますが、それでも対象になりますか。
はい、対象になります。CRAは機器に組み込まれたソフトウェアだけでなく、単独で市場に投入されるソフトウェアも明確に対象としています。したがって、単独で販売されるアプリケーション、OS、ファームウェア、ライブラリ、ソフトウェアコンポーネントも含まれます。
重要なのは、製品が商業活動の一環としてEU市場で提供されているかどうかです。配布方法(ダウンロード、ライセンス、サブスクリプション)が異なっても、義務の対象外にはなりません。
GiBSeS — ソフトウェア企業にとって、「セキュリティ・バイ・デザイン」要件と脆弱性管理は開発サイクルに直接影響します。場当たり的にではなく、計画的に対応すべき課題です。
製造業者にとって、具体的な主要義務は何ですか。
CRAの中核は2つの義務群です。第一に「セキュリティ・バイ・デザイン」です。製品はリスク評価に基づき、適切な水準のサイバーセキュリティを確保するよう設計・開発・製造されなければなりません(例:安全なデフォルト設定、データ保護、攻撃対象領域の縮小など)。
第二に、製品ライフサイクル全体を通じた脆弱性管理です。脆弱性を速やかに特定・修正し、セキュリティアップデート(無償で、可能な限り自動)を配布し、ソフトウェア部品表(SBOM)を保持し、協調的な脆弱性開示ポリシーを維持する必要があります。これに加えて、技術文書、適合宣言、CEマーキングも求められます。
GiBSeS — 専任のセキュリティ部門を持たない企業で、これらの原則を具体的なプロセスに落とし込むこと。それこそが、私たちが中小企業と一緒に取り組む実務です。
セキュリティアップデートは、どのくらいの期間提供する義務がありますか。
製造業者は、製品が合理的に使用されると想定される期間を反映した「サポート期間」全体にわたり、脆弱性管理とセキュリティアップデートの提供を行う必要があります。原則としてこの期間は5年を下回るべきではありませんが、製品がより短い使用を想定している場合は期間を短くできます。その場合は明確に伝える必要があります。
サポート期間は、購入時に購入者に分かりやすい形で告知しなければなりません。これは、何年にもわたって開発・セキュリティのリソースを維持する義務を負うという意味で、実際の経済的影響を伴います。
GiBSeS — サポート期間の設定は、技術的であると同時に経済・財務的な判断でもあります。過剰な約束をせず、数字に基づいてバランスを見極めるお手伝いをします。
脆弱性やインシデントは、本当に当局に報告する必要がありますか。
はい、必要です。ただし重要な補足があります。義務の対象はすべての脆弱性ではなく、実際に悪用されている脆弱性と、製品のセキュリティに影響する重大インシデントです。この場合、製造業者は非常に短い期限内に通知を行わなければなりません。
タイムラインとしては、問題を認識してから不当な遅滞なく、かつ24時間以内の「早期警告」、続いて72時間以内のより詳細な通知、最後に最終報告が求められます。したがって、何か起きた際に自動的に作動する社内手続きを事前に用意しておく必要があります。
GiBSeS — 24時間・72時間の期限を守れる通知手続きを、実際に必要になる前に用意しておくこと。これは見落とされがちですが重要な準備です。平常時にテストしておくのが得策です。
悪用された脆弱性やインシデントは、誰に報告すればよいですか。
通知は、ENISA(欧州連合サイバーセキュリティ機関)と、連絡窓口として指定された各国のCSIRTが関与する、欧州レベルの単一の調整済み報告プラットフォームを通じて行われます。実務上は、自国の窓口を通じて連絡すれば、情報が適切な関係機関に転送される仕組みです。
運用上の詳細(どのポータルか、どの国の当局が窓口かなど)は、各加盟国および実施法令のレベルで定められます。義務が実際に適用される時期が近づいたら、自国向けの具体的な窓口を確認することをお勧めします。
GiBSeS — インシデント発生時に慌てて調べるのではなく、自国向けの正しい窓口を事前に特定しておくこと。これも一緒に整える準備の一環です。
CRAの遵守は、いつから義務になりますか。
本規則は2024年12月10日に発効しましたが、適用は段階的です。主要な義務(セキュリティ要件、CEマーキング、適合宣言)は2027年12月11日から適用されます。ただし、それ以前にも一部の義務が前倒しで発生します。
特に、悪用された脆弱性および重大インシデントの通知義務は、2026年の早い段階(2026年9月頃)から適用され、適合性評価機関に関する規定はその数か月前から始まります。正確な日付の一部は実施法令によって確定される可能性があるため、期限が近づくにつれて公式情報源で確認することをお勧めします。
GiBSeS — 2027年ではなく2026年の前倒し期限から逆算したロードマップを組むこと。これにより手遅れを防げます。まず一緒に明確にすべき点です。
一部の義務は2027年より前に発生するというのは本当ですか。
本当です。そして、多くの企業が見落としがちな点です。CRAの大部分は2027年末に運用開始となりますが、実際に悪用された脆弱性と重大インシデントの通知義務は、それより早く2026年中に適用されます。つまり、製品の技術要件を完全に満たすより何か月も前に、特定の事象を報告できる体制が必要になるということです。
これは立法者の意図的な選択です。適合の仕組み全体が整う前に、実際の脅威に関する情報の流れを先に確保しておくという考え方です。この中間期限の正確な日付は公式情報源で確認する必要がありますが、「通知の方が先に来る」というロジック自体は確定しています。
GiBSeS — 2026年にすでに必要なものと、2027年に向けて落ち着いて準備できるものを区別すること。まさにこうした優先順位付けをお手伝いします。
ソフトウェアにもCEマーキングを付ける必要がありますか。適合宣言とは何ですか。
はい、必要です。CRAは、ソフトウェアを含むデジタル要素を含む製品にもCEマーキングを導入しています。CEマーキングは、製品が本規則の要件に適合していることを示すものであり、ソフトウェアの場合、物理的な表示ができない際は、文書やインターフェース上などデジタル形式で表示できます。
EU適合宣言とは、製品が適用要件を満たしていることを、製造業者が自らの責任において証明する文書です。作成のうえ当局からの照会に応じられるよう保管し、その適合に至った根拠を示す技術文書を添付する必要があります。
GiBSeS — しっかりした技術文書と、説明責任に耐えうる適合宣言を用意することは、見た目より簡単ではありません。一度仕組みを作れば、すべての製品で再利用できる手法の問題です。
製品は外部機関による認証が必要ですか、それとも自己適合宣言でよいのですか。
製品のリスクカテゴリーによります。デジタル要素を含む製品の大多数については、製造業者による自己適合評価で十分です。CRAが「重要」および「重大」と呼ぶよりセンシティブなカテゴリー(例:パスワード管理ソフト、ファイアウォール、VPN、OS、一部のセキュリティ機器)については、より厳格な手続きが求められ、場合によっては第三者の適合性評価機関の関与や、欧州の認証スキームの採用が必要になります。
したがって、最初の段階で自社製品を正しく分類することが不可欠です。それによって、適合までの道のりの負担の大きさが決まるからです。
GiBSeS — 製品分類は、コストと期間を左右する分岐点です。開発に投資する前に早い段階で確認することは、最も役立つ診断の一つです。
CRAにおける「重要」製品と「重大」製品とは何ですか。
CRAは製品をリスクに応じて区分しています。基本カテゴリーは自己評価の対象です。「重要」製品(規則に列挙され、2つのクラスに分かれます)は、ブラウザ、パスワード管理ソフト、OS、ルーター、ファイアウォール、アンチウイルスソフトなど、セキュリティ上重要な機能を果たすもので、より負担の大きい適合手続きが求められます。「重大」製品は、チェーン全体のセキュリティにとって最もセンシティブな機能を担うもので、欧州の強制認証の対象となる場合があります。
これらのカテゴリーの一覧は、欧州委員会により随時更新される可能性があるため、定期的に見直す価値があります。
GiBSeS — 自社製品が現在どの区分に該当するかを把握し、一覧の変更を継続的に監視すること。これも継続的な管理として一緒に維持していく部分です。
オープンソースソフトウェアを開発・利用していますが、CRAは適用されますか。
商業活動の枠外で開発・提供される自由・オープンソースソフトウェアは、原則としてCRAの義務から除外されます。非営利のコミュニティプロジェクトは、商業的な製造業者としては扱われません。ただし、オープンソースが商業製品に組み込まれて市場に投入される場合は状況が変わり、その責任は完成品を販売する事業者が負うことになります。
本規則はまた、「オープンソースソフトウェア・スチュワード」という中間的な立場も導入しています。これは商業的な文脈で使われるオープンソースの開発を組織的に支援する団体を指し、本来の製造業者よりも軽く、比例的な義務が課されます。
GiBSeS — 自社製品がオープンソースコンポーネントに依存している場合、チェーンの中で誰が何に責任を負うのかを把握すること。問題になる前に、この点を明確にします。
EU域外からデジタル製品を輸入していますが、どのような義務がありますか。
輸入業者として、CRAに適合する製品のみをEU市場に投入できます。EU域外の製造業者が適合性評価を実施し、技術文書を作成し、CEマーキングを付し、取扱説明書を提供していることを確認する必要があります。また、製造業者と自社の連絡先情報が記載されていることも確認しなければなりません。
製品が適合していないと考える理由がある場合、市場に投入することはできません。また、後からリスクを発見した場合は、対応を取り当局に報告する必要があります。実質的に、海外の製造業者と欧州市場との間で責任のフィルターの役割を担うことになります。
GiBSeS — EU域外サプライヤーを確認するチェックリストを整えることで、自社が矢面に立たされる製品から身を守れます。仕組み化する価値のある管理です。
流通業者・販売代理店ですが、自社にも何か対応が必要ですか。
はい、必要です。ただし義務は製造業者より軽くなります。流通業者として、相応の注意義務を果たす必要があります。製品にCEマーキングが付されていること、必要な文書と説明書が添付されていること、製造業者と輸入業者がそれぞれの義務を果たしていることを確認します。
適合していないと知っている、あるいは知るべきであった製品を市場に提供することはできません。リスクを知った場合は、協力し、上流の関係者、必要であれば当局にも報告しなければなりません。
GiBSeS — 「軽い」注意義務であっても、何を確認すべきかという明確な基準が必要です。一度定めておけば、その都度の議論を避けられます。
EU市場で不適合な製品を販売した場合、具体的にどのようなリスクがありますか。
市場監視当局は是正措置を命じ、製品の撤去やリコールを課し、EU市場での提供を禁止・制限することができます。評判上の損害に加え、非常に高額になりうる金銭的制裁もあります。
したがってリスクは罰金だけではありません。製品を市場から撤去せざるを得なくなる具体的な可能性があり、売上や顧客への経済的影響を伴います。監視上の決定は、各加盟国の国内当局に委ねられています。
GiBSeS — 理論上の罰金額だけでなく、市場撤去のリスクも含めた実際のエクスポージャーを評価すること。これが、あらゆる意思決定の前に行うリスク・ベネフィット分析の出発点です。
CRAが定める制裁金は、どのくらいの金額になりますか。
本規則は高額な上限を定めています。必須セキュリティ要件および製造業者の主要義務への違反については、最大1,500万ユーロ、または全世界年間売上高の2.5%のいずれか高い方まで制裁金が科される可能性があります。その他の義務への違反については上限1,000万ユーロまたは売上高の2%、当局への不正確または誤解を招く情報提供については最大500万ユーロまたは1%です。
これらは上限額です。実際の制裁金は各国当局が決定し、違反の重大性、継続期間、企業規模(中小企業・零細企業への特別な配慮を含む)を考慮しなければなりません。したがって、自国で実際に適用される金額は、管轄当局次第です。
GiBSeS — 上限額は印象的ですが、本当に重要な問いは自社がどれだけリスクにさらされているかです。最大値を見るより、自社の状況に照らした実際のリスクを見極める方が具体的です。
サイバーレジリエンス法とNIS2指令の違いは何ですか。
両者は異なりますが、補完し合う対象を扱っています。CRAは製品のセキュリティを規制するもので、ハードウェアやソフトウェアを設計・販売する事業者は、それらを安全にし、その状態を維持しなければなりません。一方、NIS2指令は組織とそのプロセスのセキュリティを規制するもので、必須または重要とされる分野で活動する事業者に、サイバーリスク管理措置を課します。
要するに、CRAは市場に投入する製品を見るのに対し、NIS2は組織がセキュリティをどう管理しているかを見ます。1つの企業が、異なる側面で両方の対象になることもあります。
GiBSeS — どの規制が、どのような理由で自社に関係するのかを理解すれば、重複も抜け漏れも防げます。この整理は、統合的な形で一緒に行います。
自社製品がAIを使用している場合、CRAとAI Actは重複して適用されますか。
両方が適用される可能性がありますが、規制の対象は異なります。EU AI Act(AI規則)はAIシステムに関するリスク(透明性、リスク管理、高リスクシステムへの義務)を規律し、CRAはデジタル要素を含む製品のサイバーセキュリティを規律します。したがって、接続されたAI製品は、CRAのセキュリティ要件とAI Actの義務の両方を満たす必要が生じる場合があります。
立法者は両規制間の重複を避けるよう調整を図っていますが、実務上は、自社の具体的な製品にどの要件が適用されるかを判断するために、ケースごとに両方を併せて読み解く必要があります。
GiBSeS — AI ActとCRAを併せて読み解き、同じ作業を二度行わずに済ませること。独立したアドバイザーが両方の対応を調整することの具体的な利点です。
すでに市場に出ている自社製品も、対応が必要になりますか。
一般的に、CRAは主要な義務の適用日以降に市場に投入される製品に適用されます。ただし、その日以降に大幅な変更が加えられる既存の市場流通製品については、経過措置や、維持すべき文書に関する特別な留意点があります。
また、脆弱性管理と通知の義務はライフサイクルに連動する性質があるため、既存の「製品群」が完全に対象外だと決めてかかるべきではありません。経過措置の正確な日付や詳細は、個々の状況に応じて公式文書で確認する必要があります。
GiBSeS — すでに販売している製品の棚卸しを行い、何に注意が必要かを把握すること。これは意外な発見につながることが多い実務的なステップです。早めに着手する方がよいでしょう。
中小企業がCRAに対応するには、どのくらいの費用がかかりますか。
一律の金額はありません。製品の複雑さ、リスクカテゴリー、開発プロセスにセキュリティがどの程度組み込まれているか、保証すべきサポート期間によって変わります。主なコストは通常、開発プロセスの見直し(セキュリティ・バイ・デザイン、SBOM、脆弱性管理)、技術文書の作成、そしてリスクの高い製品については第三者関与の可能性です。
良いニュースは、その多くがプロセスに関する「一度限り」の作業であり、その後すべての製品で再利用できるということです。中小企業にとって最もコストのかかる誤りは、直前になって対応することや、実際のリスクに対して過剰に対応することです。
GiBSeS — 過小対応にも過剰設計にもならないよう、実際のリスクに見合った投資を設計すること。これが私たちのコンプライアンスへの取り組み方です。まず分析、その後に支出です。
デジタル製品を製造する中小企業ですが、実際には何から始めればよいですか。
具体的には3つのステップです。第一に棚卸し。EU市場に投入するデジタル要素を含む製品を一覧化し、それぞれについて自社の役割(製造業者・輸入業者・流通業者)を確定します。第二にリスク分類。基本カテゴリーか「重要」か「重大」かを確認します。これによって道のりの負担の大きさが決まります。第三にギャップ評価。現在の開発プロセス、脆弱性管理、文書化の状態を、CRAが求める内容と比較します。
ここから、2026年の前倒し期限(通知関連)と2027年の主要期限の両方を踏まえたロードマップを構築します。目標はすべてを一度にこなすことではなく、正しい順序で正しいことを行うことです。
GiBSeS — この棚卸し・分類・ギャップ評価こそ、製造業を営む中小企業と行う出発点の診断です。特定の技術やベンダーに縛られることなく、独立した立場で行います。
EU域内に拠点や支店がありませんが、それでも自社製品にサイバーレジリエンス法は適用されますか。
はい、適用されます。サイバーレジリエンス法(EU規則2024/2847)は、所在地ではなく市場に基づく考え方に従います。製造業者がどこに拠点を置いているかにかかわらず、「デジタル要素を含む製品」(接続可能なハードウェアまたはソフトウェア)をEU市場に投入する者すべてに適用されます。自社のIoT機器、アプリ、ファームウェア、ライブラリがEUで販売または提供されるのであれば、規則上あなたは製造業者であり、その義務を遵守しなければなりません。
海外企業だからといって免除される売上高や数量の閾値は存在しません。重要なのは欧州で商業展開しているという事実そのものです。
GiBSeS — GiBSeSは、EU域外企業が投資を行う前に、CRAが欧州市場での自社製品にどう影響するかを理解するお手伝いをします。
CRAに適合するためには、必ず欧州に代理人や委任代理人を置く必要がありますか。
CRAは、EU域外の製造業者に対し、委任代理人(認定代理人)の任命を義務付けてはいません。任命は任意であり、書面による委任状によって正式化されるもので、技術文書を保管し当局と協力するといった一部の業務を、EU域内に拠点を置く主体に委任できます。
これに対しほぼ必ず不可欠な存在となるのが、EU域内に拠点を置く輸入業者です。製品を市場に投入する欧州側の主体がいなければ、多くの義務は実質的に果たせないからです。実務上、委任代理人は監視当局とのやり取りを簡素化できますが、その選択はケースごとに検討すべきです。
GiBSeS — GiBSeSは、EU委任代理人を置くべきか輸入業者に依拠すべきかの判断をお手伝いします。必要以上に重い体制に縛られることはありません。
CRA適合の責任者は誰ですか。海外の製造業者である自社ですか、輸入業者ですか、それともEUの流通業者ですか。
主たる責任は、EU域外に拠点があっても製造業者に残ります。サイバーセキュリティリスクの評価、必須要件への適合、技術文書、適合宣言、脆弱性管理です。
EU域内に拠点を置く輸入業者は管理的な役割を担います。適合した製品のみを市場に投入でき、製造業者が適合性評価を実施したこと、製品にCEマーキングが付されていること、適合宣言と説明書が添付されていることを確認しなければなりません。下流の流通業者は相応の注意義務を果たし、マーキングと文書の有無を確認する必要があります。
輸入業者や流通業者が製品を大幅に変更したり、自社ブランドで販売したりする場合、製造業者としての義務を引き受けることになります。
GiBSeS — GiBSeSは、欧州の販売チェーンにおいて誰が何を担うかを整理します。輸入業者との契約に署名する前に、責任の所在を明確にできます。
製品がEU域外で設計・製造されている場合でも、CEマーキングと適合宣言を付ける必要がありますか。
はい、必要です。デジタル要素を含む製品がEU市場に投入されるためには、CRAの要件(該当する他の規制の要件も含む)への適合を証明するCEマーキングを付けなければなりません。マーキングには、製造業者が作成・署名し、責任を負うEU適合宣言を添付する必要があります。
設計や製造の場所は関係ありません。重要なのは、欧州での商業化の前に、適切な適合性評価、技術文書、マーキングの表示が完了していることです。
GiBSeS — GiBSeSは、要件評価から適合宣言まで、CRAのCEマーキング取得に向けた道のりをEU域外企業と共に進めます。
自社製品がCRAに適合していない場合、具体的にどのようなリスクがありますか。税関で商品を差し止められますか。
はい、それも起こりうるシナリオの一つです。市場監視当局と税関当局は、不適合な製品に対して介入できます。市場投入の停止、市場からの撤去・リコールの命令、提供の禁止・制限、そして重大なリスクがある場合には国境での商品差し止めです。
製品の物理的な差し止めに加え、CRAは行政制裁を定めており、重大な違反については高額(数百万ユーロ、または全世界年間売上高の一定割合)に達する可能性があります。海外企業にとって最も大きな損害は、しばしば欧州市場へのアクセスを突然失うことです。
GiBSeS — GiBSeSは、EU当局がチェックする不適合点を事前に洗い出すことで、国境での差し止めを未然に防ぐお手伝いをします。
脆弱性管理とインシデント通知の義務は、海外の製造業者にも適用されますか。
はい、適用されます。CRAは、拠点がどこにあっても製造業者に対し、製品のサポート期間全体を通じて脆弱性を管理することを義務付けています。セキュリティアップデートの提供、協調的開示ポリシーの維持、そして要請に応じたソフトウェア部品表(SBOM)の当局への提供です。
さらに通知義務も定められています。実際に悪用された脆弱性と重大インシデントは、欧州の単一通知プラットフォームを通じて、厳格な時間枠(24時間以内の初期警告、続いてより詳細な通知)で報告しなければなりません。これらの義務は製造業者の所在地ではなく製品に付随するものであり、最も早く適用が始まる義務の一つです。
GiBSeS — GiBSeSは、欧州域外から事業を行っていても、EUの期限に合致した脆弱性管理・通知プロセスの構築をお手伝いします。
欧州での販売を続けるには、いつからCRAに適合している必要がありますか。
本規則はすでに発効していますが、義務は段階的に適用されます。悪用された脆弱性と重大インシデントの報告義務が最初に適用され(2026年9月から)、必須要件、CEマーキング、適合性評価といった製品に関する義務の大部分は2027年12月から全面的に適用されます。
EU域外企業にとって、これは貴重な準備期間です。安全な設計、文書化、そして必要に応じた適合性評価機関の関与には数か月を要します。これらの日付は遠い先の期限としてではなく、プロジェクトのマイルストーンとして扱うべきです。
GiBSeS — GiBSeSは、CRAの期限に向けた現実的なロードマップづくりをお手伝いします。土壇場でEU市場から締め出されることのないように。
ハードウェアを伴わず、欧州でソフトウェアやダウンロード可能なアプリのみを販売していますが、それでもCRAの対象になりますか。
一般的には対象になります。CRAは「デジタル要素を含む製品」を対象としており、このカテゴリーには、商業活動の一環として無償であってもEU市場で提供される、単独配布のソフトウェア(アプリケーション、ファームウェア、ライブラリ、コンポーネント)が含まれます。
ただし、除外事項や特別な扱いもあります。一部のサービス(純粋なSaaSサービスなど)は、NIS2指令のような他の規制の対象となる場合があり、すでに分野別規制で規律されている一部の製品カテゴリーは独自の規則に従います。境界線は製品の配布・統合方法によって決まるため、個別の事案ごとに確認する必要があります。
GiBSeS — GiBSeSは、EU域外のソフトウェアベンダーが欧州チャネルを開設する前に、CRA、NIS2、あるいはその両方の対象になるかを見極めるお手伝いをします。
自社製品が「重要」または「重大」に該当し、より厳格な評価が必要かどうかは、どう判断すればよいですか。
CRAは、通常は自己適合評価が認められる「標準」(default)製品と、規則の附属書に列挙された「重要」および「重大」製品カテゴリーとを区別しています。後者では、より厳格な手続き――場合によっては適合性評価機関の関与や専用の認証スキームの利用まで――が求められます。
より高いリスクカテゴリーには、パスワード管理ソフト、ファイアウォール、OS、IDおよびネットワークセキュリティのコンポーネントなどが含まれます。正しいカテゴリーを判定することが最初の分岐点であり、コスト、期間、適合の道のりを大きく左右します。
GiBSeS — GiBSeSは、CRAのカテゴリーに沿って製品を正しく分類するお手伝いをします。これにより、EU域外企業は実際のリスク水準に見合った適合対応を設計できます。
自社製品をCRAに適合させ、EU市場へのアクセスを継続するには、具体的にどこから始めればよいですか。
出発点は、本規則が自社にどう関係するかを理解することです。製品がEUで販売される「デジタル要素を含む製品」であることを確認し、そのカテゴリー(標準・重要・重大)を特定し、欧州側のチェーンにおける関係者、特に輸入業者を特定します。
そこから道筋を組み立てます。必須サイバーセキュリティ要件の分析、リスク評価、技術文書と適合宣言の準備、脆弱性管理・通知プロセスの整備、そして最後にCEマーキングです。EU域外企業にとっては、これら全体を市場アクセスプロジェクトとして位置づけ、直近の期限を優先することが有効です。
GiBSeS — GiBSeSは、初期分析からCEマーキング取得まで、EU域外の中小企業に寄り添います。特定のベンダーに縛ることなく、欧州市場への扉を開く独立したアドバイザーとして支援します。
本コンテンツは情報提供を目的としており、法的助言に代わるものではありません。
CRAは自社に関係していますか。一緒に整理しましょう。
1回のセッションで、対象となる製品、チェーンにおける自社の役割、リスクカテゴリー、そして2026年・2027年の期限までに本当に必要な対応を明確にします。独立した分析、具体的な優先順位、特定ベンダーへの拘束はありません。
CRA診断を予約する