検索
検索

ENISA CRA Single Reporting Platform FAQ更新とSecure Update技術助言の最新動向

NEW2026年06月05日

欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EU市場で提供される「デジタル要素を含む製品」に対し、設計・開発・製造段階から上市後の脆弱性対応まで、ライフサイクル全体でのサイバーセキュリティ対応を求める規則です。

 

今回、欧州委員会CRAチームより、CRA第14条の報告義務および製品セキュリティに関するENISAの更新情報が共有されました。主な内容は、CRA Single Reporting Platform(SRP)FAQの更新と、Secure Update Mechanismsに関するドラフト技術助言の公開協議です。

 

CRAの主要要件は2027年12月11日から全面適用されますが、第14条(悪用されている脆弱性および重大インシデントの報告義務)は2026年9月11日より早期適用されます。そのため、メーカー各社は報告開始時期を見据え、社内体制およびセキュアアップデートの証跡整備を早期に進める必要があります。

 

1.ENISA CRA Single Reporting Platform(SRP)FAQ更新

ENISAは、CRA第14条に基づく報告に使用されるSingle Reporting Platform(SRP)に関するFAQを更新しました。SRPは、メーカーおよび一定の場合のopen-source software stewardが、該当する当局に対して一度の入力で報告できる単一入口として整備されています。

SRPは2026年9月11日までに運用開始予定であり、ENISAは2026年6月中にアクセス方法および登録手順に関する具体的なマニュアルを提供する予定としています。現時点ではAPI提供は予定されていませんが、報告ワークフローや社内データベース連携の準備は今から進めることができます。

 

2. CRA第14条に基づく報告プロセス

CRA第14条では、メーカーが「悪用されている脆弱性」または「製品のセキュリティに影響を与える重大インシデント」を認識した場合、SRPを通じた段階的報告が求められます。

 

  • 初期警告:認識後24時間以内。悪用されている脆弱性または重大インシデントを識別し、CSIRTおよびENISAに通知します。
  • 正式通知:認識後72時間以内。詳細情報、影響範囲、初期評価、是正・緩和策等を通知します。
  • 最終報告(脆弱性):是正措置または緩和策が利用可能になってから14日以内。対応状況、セキュリティ更新、利用者への措置等を報告します。
  • 最終報告(重大インシデント):初回通知から1か月以内。インシデント全体の原因、影響、対策、継続対応を報告します。

 

3. SRP FAQ Q16で示された主な入力項目

更新されたFAQでは、Q16において報告時に入力するデータ項目が示されています。共通項目として、通知種別、通知段階、報告時刻、報告者、メーカーまたはOSS steward名、製品、製品タイプ、製品カテゴリ、上市国、タイトル等が含まれます。

脆弱性報告では、CVE ID、EUVD ID、脆弱性および悪用の概要、是正・緩和策、ユーザーが取れる措置、情報感度、是正措置の利用可能日、重大度、影響、悪用主体、セキュリティ更新の詳細等が問われます。

重大インシデント報告では、悪意ある行為の疑い、インシデントの性質、検知日時・発生日時、初期評価、是正・緩和策、ユーザーが取れる措置、情報感度、詳細説明、重大度、影響、脅威または根本原因、進行中の対策等が問われます。

 

4. Secure Update Mechanisms技術助言の公開協議

ENISAは、Secure Update Mechanismsに関する第2弾のドラフト技術助言を公開協議に付しました。本技術助言は、中小規模メーカーが更新ライフサイクル上の一般的な脅威を理解し、リスク低減に向けた実務的な管理策を実装することを目的としています。公開協議期限は2026年7月10日です。

メーカーは、更新ファイルの真正性・完全性、署名検証、鍵管理、ロールバック対策、配布チャネルの保護、段階的配信、失敗時復旧、更新終了時の利用者通知等について、自社製品の設計および証跡が十分かを確認する必要があります。

 

5. SGSが提供するCRA対応支援サービス
SGSジャパンでは、IEC 62443に精通した有資格者によるプロセス構築支援、EN 18031シリーズおよびCRA整合規格を見据えた製品評価まで、プロセス面・製品面の両面からCRA対応を支援します。お客様の準備状況に応じて、トレーニング、簡易GAP分析、プロセス構築支援、リスクアセスメント支援、評価まで段階的にご提案します。

参考情報

ENISA CRA SRP FAQ:https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

欧州委員会 CRA Reporting Obligations:https://digital-strategy.ec.europa.eu/en/policies/cra-reporting

欧州委員会 CRA概要:https://digital-strategy.ec.europa.eu/en/policies/cra-summary

SGSジャパン CRA報告義務2026年9月開始と整合規格prEN 40000最新動向:

本件に関する問合せ先:

SGSジャパン株式会社

C&P Connectivity ワイヤレス
TEL:050-1780-7880

または本ウェブサイト上のお問い合わせフォームよりご連絡ください。