01これは何か
規則は義務を定めます。委員会ガイダンスは、それらを実際にどのように適用するかを説明します。ガイダンスは拘束力がなく法律を変更するものではありませんが、市場監視当局および認証機関は一貫した解釈のためにそれを参照するため、それは以下の自然な伴侶となります。 Art. 1 本文。
ガイダンスは、それが解釈する条文と並べて読んでください。ガイダンスとお客様自身の解釈が異なる場合、拘束力のある参照は常に規則の本文であり、最終的には裁判所です。
02委員会のFAQ
委員会は、最も一般的な解釈上の質問を集約したよくある質問の文書を維持しています。すなわち、適用範囲の境界事例、予備部品および構成要素の扱い、そしてタイムラインが既に市場にある製品にどのように適用されるかです。2025年12月に初めて公表されたこれは、新たな質問が生じるにつれて更新される「生きた文書」です。
CRAの施行に関する委員会のFAQを読む: サイバーレジリエンス法の施行:よくある質問 ↗
03適用範囲の明確化
ガイダンスの多くは以下を扱っています。 適用範囲は、最も多く問い合わせのある領域です。何が「デジタル要素を含む製品」に該当するか、リモートデータ処理ソリューションがどのように扱われるか、そして分野別法令との境界がどこにあるかを明確化します。 Art. 2
- データ接続;直接的または間接的な論理的もしくは物理的な接続があれば、製品を適用範囲に含めるのに十分です。
- 除外される分野;医療機器、自動車および民間航空は、それぞれ独自の枠組みの下にとどまります。
- SaaS;スタンドアロンのサービスは一般的にCRAの対象外ですが、製品が機能するために必要な処理は製品の一部として扱われます。 Art. 3
04オープンソースソフトウェア
ガイダンスは、オープンソース向けの調整された軽量な制度を説明しています。商業活動の外で開発された非商業的なオープンソースソフトウェアは概ね適用範囲外です。「オープンソースソフトウェアスチュワード」には、定められた比例的な一連の義務があります。
トリガーは商業活動です。無償で供給されるが商業活動の過程で供給される構成要素は、なお適用範囲に含まれることがあります。
05サポート期間および更新
ガイダンスは、防御可能な以下をどのように設定するかを示しています。 サポート期間:それは製品が合理的に使用されると想定される期間の長さを反映しなければならず、想定される使用期間がより短い場合を除き、一般的に少なくとも5年とすべきです。セキュリティ更新は無償であり、機能更新とは別に提供されなければなりません。 Art. 13
06報告およびENISA
報告は、ENISAが以下に基づいて構築している単一の報告プラットフォームを通じて行われます。 Art. 16。実際に悪用されている脆弱性、または製品のセキュリティに影響を及ぼす重大なインシデントを認識した時点で、製造者は当該プラットフォームを通じて、24時間/72時間/14日のタイムラインでENISAおよび各国CSIRTに通知します。早期警告、通知および最終報告のそれぞれに含めるべき事項はガイダンスに定められています。 Art. 14
報告義務は2026年9月11日に執行可能となり、ENISAの単一の報告プラットフォームはその期日までに稼働することが意図されています。
07整合規格
必須要件は以下にあります。 附属書I は成果の観点で表現されています。整合規格は、官報に引用されると、それに従う製品について適合の推定を与えます。
委員会の標準化要請 M/606 2025年にCEN、CENELECおよびETSIに受け入れられ、約41の規格を対象としています。すなわち、おおよそ15の横断的(製品非依存)規格と、残りの縦断的(製品固有)規格です。2つの中核的横断規格、すなわちセキュア開発に関するものと脆弱性対応に関するものは、2026年8月30日まで、縦断的規格は2026年10月30日まで、そして残りの横断規格は2027年10月30日まで、全面適用の約1年前に予定されています。
規格が引用されるまでは、適合は附属書Iの要件に直接照らして実証されなければなりません。関連する規格が引用されると、それに従うことが適合の推定への最も簡単なルートとなります。