欧州サイバーレジリエントアクト(CRA)製品試験・技術支援
欧州サイバーレジリエンスアクト(CRA)とは、EU域内で流通する「デジタル要素を含む製品」を対象に、サイバーセキュリティ要件を法的に義務付けるEU規則であり、製品の設計・開発段階から市場投入後までのライフサイクル全体を対象としています。本規則では、製造業者を中心に、輸入業者および販売業者にも一定の責任が定義されており、産業機器を含むB2B製品も適用対象に含まれます。
目的
製品に起因するサイバー脆弱性の低減とEU域内におけるサイバーセキュリティ水準の均一化にあり、設計段階でのリスク評価、セキュリティ・バイ・デザインの実装、脆弱性管理および市場投入後の報告義務などが求められます。CRAは2024年12月に発効し、原則として2027年12月11日から適用され、EU市場に製品を供給する事業者に対し、サイバーセキュリティを法的義務として遵守することを求める制度です。
適用範囲
CRAは、「意図された用途または合理的に予見可能な使用に、デバイスまたはネットワークへの直接または間接の論理的または物理的なデータ接続が含まれる、市場に提供されるデジタル要素を有する製品」に適用されます。
CRAにおいて「デジタル要素を有する製品」は、「ソフトウェア製品またはハードウェア製品とそのリモートデータ処理ソリューションをいい、別個に市場に提供されるソフトウェアまたはハードウェアコンポーネントを含む」と定義されています。
参考情報(外部リンク)
関連サービス/ニュース
SGSジャパンでは、CRAで求められる 組織プロセス(プロセス要求) および 製品側のセキュリティ要求(プロダクト要求) に対応した社内プロセス構築支援、ならびに製品試験サービスを提供しています。現在、CRA の整合規格が未確定である状況においては、以下の国際規格・関連制度に基づく知識と経験を活かし、CRA への実装支援を行っています。
• IEC 62443 シリーズ
• EN 18031-1 / -2 / -3(RE指令のサイバーセキュリティ整合規格)
• EN 303 645(UK PSTI、Singapore CLS、近年では日本の JC-STAR でも参照)
お問い合わせ
SGSジャパン株式会社
C&P Connectivity ワイヤレス
TEL:050-1780-7880