CRAの整合規格候補であるprEN 40000-1-3のStatusがUnder Approvalとなりました

CRA (Cyber Resilience Act) の整合規格候補として準備が進んでいるprEN 40000-1-3のStatusが2025/11/27付でUnder Approvalとなりました。

近日中にレビューのため公開される予定です。

こちらの規格は、「Cybersecurity requirements for products with digital elements - Part 1-3: Vulnerability Handling」というタイトルになっており、脆弱性をどのように管理していくかにフォーカスした内容となっています。

以下の要求事項に対する規格であり、CRAの根幹となる部分となっています。

脆弱性の特定・文書化

• 製品に含まれる脆弱性とコンポーネントを把握
• ソフトウェア部品表（SBOM）を機械可読形式で作成

迅速な脆弱性修正

• セキュリティ更新を遅滞なく提供
• 可能な場合、機能更新と分離して配布

定期的なセキュリティテスト

• 効果的かつ継続的な検証を実施

情報公開と共有

• 修正済み脆弱性の詳細（影響、重大度、対応方法）を公開
• 必要に応じて公開を一時的に延期可能

調整された脆弱性開示ポリシーの策定

情報共有の促進

• 脆弱性報告用の標準化された連絡先を提供

安全な更新配布

• セキュリティ更新を自動かつ迅速に配布

無料でのセキュリティ更新提供

• 関連情報を添え、遅滞なく配布

SGSジャパンは、CRAで求められるプロセスとプロダクトに必要な社内プロセスの構築支援、および製品試験のサービスを提供しています。

CRAの整合規格を待つ現状においては、IEC 62443シリーズ、RE指令のサイバーセキュリティ要件の整合規格であるEN 18031-1/-2/-3、UK PSTI、シンガポールCLS、最近では日本のJC-STARでも参照されているEN 303 645の知識と経験をもとに、CRA向けの技術サポートを提供しています。

SGSジャパン株式会社

C&P Connectivity ワイヤレス
TEL：050-1780-7880

または本ウェブサイト上のお問い合わせフォームよりご連絡ください。