CRA報告義務2026年9月開始と整合規格prEN 40000最新動向
NEW2026年05月29日
欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EU市場で提供される「デジタル要素を含む製品」に対し、設計・開発・製造段階から上市後の脆弱性対応まで、ライフサイクル全体でのサイバーセキュリティ対応を求める規則です(EU Regulation 2024/2847)。
CRAの主要要件は2027年12月11日から全面適用されますが、第14条(脆弱性および重大インシデントの報告義務)は2026年9月11日より早期適用されます。そのため、メーカー各社は報告義務の開始時期を見据え、社内体制の整備を早期に進める必要があります。
1. 2026年9月11日から始まる報告義務(CRA第14条)への対応
CRA第14条では、メーカーが「悪用されている脆弱性」または「製品のセキュリティに影響を与える重大インシデント」を認識した場合、ENISAが構築するSingle Reporting Platform(SRP)を通じた段階的報告が義務付けられます。
報告プロセス(CRA第14条)
|
段階 |
期限 |
報告先 |
内容 |
|
初期警告 |
24時間以内 |
CSIRT / ENISA |
悪用脆弱性・重大インシデントの識別通知 |
|
正式通知 |
72時間以内 |
CSIRT / ENISA |
詳細情報・影響範囲の通知 |
|
最終報告(脆弱性) |
14日以内 |
CSIRT / ENISA |
是正措置・対応状況の報告 |
|
最終報告(インシデント) |
1ヶ月以内 |
CSIRT / ENISA |
インシデント全体の最終報告 |
今から整備すべき社内体制
- 脆弱性・重大インシデントの検知・判断プロセス(誰が、何をトリガーに判断するか)
- 24時間以内の初期報告を可能にする責任者とエスカレーションルート
- CSIRT / PSIRT / 品質保証 / 法務 / 製品開発部門の役割分担
- 報告に必要な技術情報・製品情報・影響範囲・是正措置情報の収集手順
- 既存インシデント管理手順とCRA報告義務の整合確認
2. 整合規格の策定状況と適用スケジュール
CRA対応において、整合規格(Harmonised Standards)への適合は「適合の推定(Presumption of Conformity)」を与える重要な手段です。欧州委員会の標準化要求 M/606 に基づき、CEN / CENELEC / ETSI が水平規格・垂直規格の策定を進めています。
あわせて、公式の記入ガイドラインが準備中であり近日中に公開予定であること、また、システムについては先行ユーザーテストが行われることも共有されました。
CRA 主要マイルストーン
|
時期 |
マイルストーン |
|
2026年6月5日 |
EN IEC 62443 Verticals(工業オートメーション向け垂直規格)の意見募集締切 |
|
2026年6月11日 |
適合性評価機関(CAB)に関する規定の適用開始(CRA第4章) |
|
2026年7月~8月頃 |
報告プラットフォーム(SRP)のユーザー受入テスト(UAT)・トレーニングフェーズ開始 |
|
2026年8月 |
水平規格 原則(Part1)・脆弱性ハンドリング(Part2)のデリバラブル期限 |
|
2026年9月11日 |
報告義務(CRA第14条)の適用開始 |
|
2026年10月 |
重要製品クラスI / II 向け垂直規格のデリバラブル期限 |
|
2026年12月 |
十分な数の通知機関(NB)の確保期限 |
|
2027年12月11日 |
CRA完全適用(適合性評価・CEマーキング義務等) |
水平規格(prEN 40000-1-X シリーズ)の策定状況
CRAの水平規格は、全デジタル製品に共通して適用される prEN 40000-1-X シリーズとして策定が進んでいます(番号・構成は発行までに変更される可能性があります)。
|
規格(仮番号) |
内容 |
策定状況 |
|
prEN 40000-1-1 |
用語(Vocabulary) |
意見募集完了・承認手続き中 |
|
prEN 40000-1-2 |
サイバーレジリエンスの原則(付属書Ⅰ Part1(1)対応) |
コメント解決を完了し承認段階。正式投票(Formal Vote)の予定日は2026年8月27日。これに沿えば2026年10月頃の発行が見込まれる(予定日であり変動の可能性あり) |
|
prEN 40000-1-3 |
脆弱性ハンドリング(付属書Ⅰ Part2対応) |
主要論点を解決し、コメント解決フェーズへ移行 |
|
prEN 40000-1-4 |
汎用セキュリティ要件(付属書Ⅰ Part1(2)対応) |
策定中(意見募集は2026年後半の見込み) |
策定状況はCEN/CLC/JTC 13ワークプログラム(2026年5月時点)およびWG9進捗報告に基づく見通しです。予定投票日・発行時期は計画上の目標であり、投票結果や欧州委員会のレビュー等により変動する可能性があります。
適合の推定は、水平規格(prEN 40000シリーズ)と、製品カテゴリー別の垂直規格(ETSI EN 304 6xx 等)の組み合わせによって成立します。特に脆弱性ハンドリングは、垂直規格が付属書Ⅰ Part1のみを対象とするため、prEN 40000-1-3 が唯一の該当水平規格となる点に留意が必要です。
参考となる関連規格
- EN 18031-1 / -2 / -3:RED DA(無線機器指令委任規則)向けのサイバーセキュリティ整合規格。prEN 40000シリーズの母体であり、CRA対応における技術評価の参考として活用可能(それ単独ではCRA適合の推定は与えない)
- EN ISO/IEC 30111 / 29147:脆弱性ハンドリング・開示の基礎規格。prEN 40000-1-3 はこれらの勧告を必須要件へ格上げし、SBOMや定期試験等のCRA固有義務を追加
- IEC 62443-4-1:製品開発プロセス(SDL)要件(CRA第13条の製造者義務と整合)
- IEC 62443-3-2:リスクアセスメント手法(CRA第13条のリスクアセスメント義務と整合)
- IEC 62443-4-2:コンポーネントレベルのセキュリティ要件
製品カテゴリーによる適合性評価ルートの違いに注意が必要です。重要製品クラスIIはNotified Body(NB)関与必須、クリティカル製品はEUCC認証が求められます(CRA第27条・付属書Ⅷ)。
3. SGSが提供するCRA対応支援サービス
SGSジャパンでは、IEC 62443に精通した有資格者によるプロセス構築支援、EN 18031シリーズおよびCRA整合規格を見据えた製品評価まで、プロセス面・製品面の両面からCRA対応を支援します。お客様の準備状況に応じて、トレーニング、簡易GAP分析、プロセス構築支援、リスクアセスメント支援、評価まで段階的にご提案します。
4. メーカーが今から準備すべきこと
2027年12月の全面適用を待ってから準備を始めるのでは遅くなります。
特に以下の点を早期に確認してください。
- 自社製品がCRA対象(「デジタル要素を含む製品」、CRA第2条)に該当するかの確認
- 付属書Ⅲ(重要製品クラスI / II)・付属書Ⅳ(クリティカル製品)への該当可能性の評価
- 第14条報告義務(2026年9月11日~)への対応体制の早期構築
- IEC 62443-4-1に基づくセキュア開発プロセス(SDL)の整備
- リスクアセスメント(IEC 62443-3-2 / CRA付属書Ⅰ Part1準拠)の実施
- SBOM整備(CRA第13条の製品識別要件)、技術文書の10年保管体制の構築
- 整合規格のドラフト動向のモニタリング(水平規格 prEN 40000-1-X シリーズ。1-1/1-2/1-3は承認段階、1-4は策定中。垂直規格は2026年10月期限)
本ニュースレターは、CRA(EU Regulation 2024/2847)および欧州標準化動向に基づく一般的な情報提供を目的とするものです。個別製品への適用可否・製品分類・適合性評価ルートについては、製品仕様および上市形態に基づく個別確認が必要です。
サイバーセキュリティサービスについて、ご不明な点がございましたら、お気軽にご相談ください。