NEWSkillSec — AI Skill のセキュリティを「マルウェア検知」から「能力監査」へSkillSec詳しく見る →
コンプライアンス

EU サイバーレジリエンス法(CRA)のタイムライン:ソフトウェアベンダーの対応チェックリスト

Sectrend リサーチ·2026.06.28·4 分で読了

ソフトウェアやスマートハードウェアを EU に販売しているなら、サイバーレジリエンス法(Cyber Resilience Act, CRA)は今後 2 年で最も真剣に向き合うべき規制だ。2024 年 12 月 10 日に発効し、段階的に適用される。

  • 2026 年 9 月 11 日——脆弱性・インシデント報告義務の開始。悪用が確認された脆弱性は認知から 24 時間以内に ENISA へ早期警告を提出し、72 時間以内に詳細を報告しなければならない。
  • 2027 年 12 月 11 日——法の全面適用。「デジタル要素を持つ製品」を EU 市場に投入するには、基本的サイバーセキュリティ要件の充足と適合性評価の完了が必須になる。
  • 違反のコスト:最大 1,500 万ユーロまたは全世界年間売上高の 2.5%(高い方)の制裁金に加え、市場からの強制撤去。

適用範囲は想像より広い

CRA が対象とするのは「デジタル要素を持つ製品」——OS、アプリケーション、SDK からスマートホーム機器、産業用コントローラー、IoT まで、直接・間接を問わずネットワークに接続しうるソフトウェアとハードウェアのほぼすべてだ(クラウドサービスや医療機器など他の規制でカバーされる領域は除外)。EU 域外ベンダーにとっての要点は、現地法人の有無を問わないこと。製品が EU 市場に届けば、製造者義務はあなたに課される。

中核となる 4 つの義務

第一にセキュリティ・バイ・デザイン:デフォルトで安全な設定、既知の悪用可能な脆弱性がない状態での出荷。第二に脆弱性ハンドリングプロセス:受付・修正・無償セキュリティアップデートの仕組みを、原則 5 年以上のサポート期間にわたり維持する。第三にSBOM:少なくともトップレベル依存関係をカバーする機械可読なソフトウェア部品表——SBOM を「ベストプラクティス」から「法定要件」に変えた象徴的条項であり、形式とツールは SBOM 完全ガイドを参照。第四に技術文書と CE マーキング:適合性評価を完了し、証拠を 10 年間保存する。

製品分類が評価ルートを決める

CRA は製品をリスクで階層化する。大半の一般的なソフトウェアは自己評価で足りる。「重要製品」(OS、パスワードマネージャー、VPN、ファイアウォール、セキュリティ関連 IoT など)は整合規格の適用または第三者評価が必要になり、ごく一部の「重要度最高(critical)製品」(スマートカード、セキュアエレメント)はさらに厳格なルートを求められる。まず自社ポートフォリオを附属書に照らして分類すること——ルート間のコスト差は大きい。

オープンソースの例外を読み違えない

免除の対象は非商業的なオープンソースの開発・提供に限られる。よくある 2 つのケースは免除されない——オープンソースコンポーネントを商用製品に組み込んで販売する場合(製造者義務はあなたが負う。SBOM と成分分析が必須配管になる理由がここにある)、そして有償サポートやデュアルライセンスによる商用化を行う場合。純粋な SaaS は CRA の対象外(NIS2 の領域)だが、デバイスに付随するリモートデータ処理機能は対象に含まれる。

6 項目チェックリスト

  • 製品の棚卸し:EU 向け製品を列挙し、重要/最重要の附属書と照合して分類する。
  • SBOM 能力の構築SCA プラットフォームで製品ごとに SPDX/CycloneDX の SBOM を生成・維持し、ソースのない外部納品物はバイナリ成分分析で補完する。
  • 脆弱性の棚卸しと解消:「既知の悪用可能な脆弱性なしで出荷」は、リリース前スキャンとリスク評価の文書化を意味する。
  • 報告パイプラインの整備:24 時間の窓は極めて短い。発見→トリアージ→ENISA 通報の社内経路を事前に敷設し、訓練しておく。
  • サポートポリシーの策定:製品ごとにサポート期間を宣言し、5 年分のセキュリティ更新リソースを計画する。
  • 証拠チェーンの保全:脅威モデリングからスキャンレポート、修正記録まで、全過程を監査可能に。

2 年は余裕に聞こえるが、SBOM 体制、対応パイプライン、5 年サポートの約束は 3 か月で片付くプロジェクトではない。いま始めれば、タイムラインはぎりぎり間に合う。

サイバーレジリエンス法CRAEU コンプライアンスSBOM輸出

関連記事

ディープダイブ

SBOM はコンプライアンスのチェックリスト以上のものだ

多くのチームは SBOM を「提出する書類」として扱う。だが価値ある SBOM は意思決定を駆動する——どの脆弱性が悪用可能か、どの依存を最初に直すべきか、どのライセンスがリスクを抱えるか。