CRA(欧州サイバーレジリエンス法)とは何か? その目的と背景 第1回 作成日 2025年1月17日 掲載更新日 2025年2月6日 最終更新
要約 第1回 CRA解説の狙い欧州サイバーレジリエンス法(CRA)は、デジタル要素を備えた製品にセキュリティ要件を課し、製造業のレジリエンスを高める新規制です。2024年12月発効で、IEC 62443やAI法、機械規則等と連携し、5年サポートや24時間報告義務を導入しています。製造業者はサプライチェーン全体の対策が急務となり、国際競争力強化にも直結する課題です。
目次 目次はじめに EUにおけるサイバーセキュリティ強化の潮流
CRA誕生の背景 従来法制を補完する新たな枠組み
CRAの目的 市場全体のレジリエンス強化と信頼向上
CRAのスケジュールと対応猶予 なぜCRAが今、注目されるのか はじめにEUにおけるサイバーセキュリティ強化の潮流 近年、欧州連合(EU)では、サイバーセキュリティに関する法規制や標準化が急速に進展しています。工場自動化(FA)機器や産業用IoTデバイスは、ネットワーク経由の高度な連携・効率化によって競争力強化が期待される一方、サイバー攻撃や情報漏えいといった新たなリスクを内包するようになりました。これらは単なる企業内の問題にとどまらず、サプライチェーン全体、ひいては社会インフラの安定性にまで波及する懸念があります。
こうした課題に応えるべく、EUは法的拘束力を伴う包括的なアプローチを打ち出しています。その中でも注目を集めているのが、あらゆる「デジタル要素を備えた製品」にセキュリティ要件を課す新たな法規制「欧州サイバーレジリエンス法(EU 2024/2847, Cyber Resilience Act、以下CRA)」です。
CRA誕生の背景従来法制を補完する新たな枠組み EUは、2019年成立の「Cybersecurity Act(EU 2019/881)(EUサイバーセキュリティ法)」や、重要インフラ事業者への要件を定めた「NIS 2指令(EU 2022/2555)」などにより、サイバーセキュリティ規制を段階的に強化してきました。しかし、これまでの法整備は特定の分野や業種に重点が置かれ、市場全般に広く普及する製品群への統一的なセキュリティ要件適用には不十分な面がありました。
一方、産業自動化や製造DXの潮流の中、制御機器や工作機械、産業ロボット、FA用センサなどはデジタル接続が当たり前となっています。これらの機器がサイバー攻撃を受ければ、生産プロセスの停止や品質低下、さらにはサプライチェーン全体の混乱を招く可能性があります。CRAはこうした現状を受け、市場に流通する製品のセキュリティ基盤を底上げする新たな「共通ルール」として策定されました。
CRAの目的市場全体のレジリエンス強化と信頼向上 CRAが目指すのは、製品ライフサイクル全般にわたりセキュリティを考慮した「セキュリティ・バイ・デザイン」を産業界に根付かせることです。具体的には、設計・開発段階からリスクアセスメントや安全設計を行い、稼働開始後は脆弱性発見時の迅速な対処、サイバーインシデント時の速やかな報告と復旧対応を行うことで、社会全体の「サイバーレジリエンス(復元力)」を高めていきます。
この目的はIEC 62443など国際的に認知された産業用セキュリティ規格や、機械規則(EU 2023/1230)、AI法(EU 2024/1689)、一般製品安全規則(EU 2023/988)といった他のEU法規制との連携によってより効果的に達成されます。つまり、CRAはこれら既存の枠組みを横断し、一貫したセキュリティ要求を生み出すことで、市場全体の信頼性を底上げする基盤として位置づけられているのです。
図1 EU市場における法規制とCRAの位置づけ CRAのスケジュールと対応猶予 CRAは2024年12月10日に発効しました。また、実際の施行(罰則適用)は2027年12月11日からと見込まれています。また、脆弱性やインシデントに関するENISA(欧州ネットワーク情報セキュリティ機関)への報告義務は2026年9月11日からとされており、製造業者(工場オーナー)はこれらのスケジュールを念頭に置いて、戦略的な計画策定が必要となります。
この準備期間中には、IEC 62443に即したリスク評価フローの確立や、SBOM(Software Bill of Materials)管理の整備、PSIRT(Product Security Incident Response Team)の設置など、製品と組織全体のセキュリティレベルを引き上げる活動及びサービス提供が求められます。これらの取り組みは、CRA対応のみならず、国際競争力強化にもつながる長期的な投資と言えるでしょう。
図2 欧州サイバーレジリエンス法(CRA)の対応が急務 なぜCRAが今、注目されるのか CRAがこれほど注目される理由は、規制対象範囲の広さと、要求事項の厳格さにあります。欧州市場に製品を出荷する以上、従来は考慮されなかった法規制(AI法、機械規則など)から国際基準(ISO/IEC27001/27002※1、IEC62443、EN18031※2など)をベースとしたセキュリティ要件が不可避になるため、単なる品質保証や安全基準対応に加え、サイバーリスク対策が新たな「当たり前」となります。
これにより、セキュリティ対応はもはや特定顧客や特定案件向けの付帯条件ではなく、市場参入そのものの前提条件へと変貌します。結果として、製造業各社はサプライヤーやパートナー企業にも同様のセキュリティ要件を要求する必要が生じ、サプライチェーン全体が包括的なセキュリティ強化へと動員されます。
CRA適用対象の工場に対して、デジタル製品やシステム適用を怠ったことにより、工場オーナーが付帯義務として課せられているCRA違反として罰則を受けた場合、その罰則金と操業停止による損害賠償は、デジタル製品やシステム提供した企業へ請求することも現実味を帯びてきました。
※1 ISO/IEC27001/27002: 情報セキュリティマネジメントシステム(ISMS)に関する国際規格。 ※2 EN18031: 無線機器のサイバーセキュリティ に関する欧州規格。 この記事は役に立ちましたか? JavaScriptを有効に設定してからご利用ください
ICS研究所は、製造業のためのセキュリティ認証と人材育成のスペシャリストです。
ICS研究所は、制御システムセキュリティ対策(IEC62443等)の 国際認証取得支援を始めとした人材育成を中心に、企業の事業活性化(DX対応等)を支援します。
CRA(欧州サイバーレジリエンス法)の準備や対応に関する お問い合わせはこちら