CRA、 解説

Aimed at manufacturers, software developers, importers, distributors, and resellers, the Cyber Resilience Act sets out to ensure that products with digital components are secure throughout their lifecycle. 

について Cyber Resilience Act was signed into law on October 10, 2024, and entered into force on December 10, 2024. Most provisions will become applicable 36 months later, while reporting requirements will take effect 21 months after the entry into force.

関連リンク

CRAについて理解する

The CRA in video
法律を読む

コンプライアンスへの道

IOT機器メーカーで
私はソフトウェア会社です
私は輸入業者、販売業者です
CRAファストチェック

CRAは、IoTの基盤にレジリエンスを築き込む

法律を読む
EUのウェブサイトへ

サイバーレジリエンス法(CRA)が重要な理由

企業と消費者の双方にとってメリットがある

ハーモニー

この規制は、EU域内におけるIoTデバイスのセキュリティに対する調和のとれたアプローチを確保し、製造業者が要件に容易に準拠できるようにするとともに、規制の重複を回避します。

セキュリティ

サイバー攻撃のリスクが大幅に低下し、企業や消費者は潜在的なデータ漏洩、経済的損失、風評被害から守られます。

経済

サイバーセキュリティ機能を導入することで、数百万ドルに上ることもあるデータ漏洩の対応にかかる多大なコストを回避できます。

信頼性

CRAによるセキュリティの強化は、顧客の信頼を高め、デジタル要素を含む商品への需要を促進するでしょう。

収益性

この需要の増加は、メーカー、輸入業者、流通業者、再販業者にとって、顧客数の増加と利益の拡大をもたらすでしょう。

透明性

この規制により、機器に関する明確な情報へのアクセスが容易になり、透明性が向上します。

プライバシー

IoT デバイスで収集されたデータの安全性を確保し、潜在的な侵害から保護することで、データやプライバシーといった基本的権利の保護を強化します。

The CRA in video
関連リンク
IOT機器メーカーで
私はソフトウェア会社です
は輸入業者、販売業者です
European flag

サイバーレジリエンス法(CRA)は誰に適用されるのか?

サイバーレジリエンス法は、欧州市場にデジタル製品を供給する製造業者、ソフトウェア開発者、流通業者、輸入業者、再販業者などの経済事業者に適用されます。

ただし、重要な例外もいくつかあります。

  • フリーソフトウェアやオープンソースソフトウェアは、CRAの規制対象ではありません。 However, open-source software from which its developers derive some sort of commercial activity are subject to the Act’s requirements. Examples of commercial activities include:
    Charging for the software itself or technical support beyond actual costs.
    Monetization through platforms or services linked to the software.
    Requiring personal data processing for purposes other than security, compatibility, or interoperability.
    Accepting donations exceeding development and provision costs

    ⚠️ According to Article 64(10)(b), even if the free and open-source software falls under the purview of the CRA (because of commercial activities) fines for non compliance DO NOT apply to them.

  • Commercial cloud solutions fall within the CRA’s purview only if they are necessary for a product with digital elements to perform its functions and are developed under the manufacturer’s responsibility. For instance, a mobile application requiring access to a manufacturer-developed service via an API or database would be considered a remote data processing solution under the CRA. In other words, if a software product is used to remotely process data generated by a hardware product distributed in the EU, it would fall under the CRA’s scope.
    ⚠️ As such, pure SaaS and PaaS do not fall under the purview of the CRA.

     

  • Products that are covered by the following EU legislations do not fall under the purview by the CRA: 
    ○ Regulation (EU) 2017/745 (medical devices)
    ○ Regulation (EU) 2017/746 (medical devices)
    ○ Regulation (EU) 2019/2144 (motor vehicles)
    ○ Regulation (EU) 2018/1139 (civil aviation) 
    ○ Directive 2014/90/EU (marine equipment)

  • This CRA does not apply to products  developed or modified exclusively for national security or defense purposes
関連リンク
コンプライアンス・チェックリスト

要件と義務

サイバーレジリエンス法は、欧州市場にデジタル製品を供給する製造業者、輸入業者、販売業者、および第三者に、特定の要件と義務を課しています。 

まず、製品の設計・開発段階でサイバーセキュリティ機能を考慮する義務があります。これは、製品開発プロセスにサイバーセキュリティへの配慮を組み込む必要があることを意味します。

特に製造業者は、製品がCRAに規定されたセキュリティ要件を満たしていることを保証しなければなりません。これには、設計およびデフォルトによるセキュリティ、リスク管理、インシデント管理、個人データの保護に関する規定が含まれます(これはGDPRと密接に関連しています)。 

製品はアップデート可能であり、出現する可能性のある脆弱性に対処するためのパッチが適用可能でなければなりません。また、製品のサイバーセキュリティ機能に関する情報は、明確かつ包括的な方法でユーザーに提供されなければなりません。

If a manufacturer becomes aware of a cybersecurity risk, they must take immediate action to address it, including notifying users and the CSIRTs. They must also cooperate with national authorities in investigating and resolving cybersecurity incidents related to their products.

サイバーレジリエンス法を遵守しなかった場合、罰金1500万ユーロまたは年間売上高の2.5%(いずれか高い方)が科されるなど、厳しい罰則や制裁が科される可能性があります。

⚠️ A 36-month transition period follows the entry into force of Cyber Resilience Act, however, reporting obligations concerning actively exploited vulnerabilities and severe incidents impacting the security of products with digital elements will apply from 21 months after the entry into force of the Act.

サイバーセキュリティ・ニュースとイベント

サイバーセキュリティとサイバーレジリエンス法に関する最新情報をチェックしましょう。

イベントカレンダーへ