ENISA、SME向け「サイバーレジリエンス成熟度評価モデル」を公開 ― CRA対応に向けた自己評価ツール

NEW2026年07月15日

2026年7月13日、欧州連合サイバーセキュリティ機関(ENISA)は、中小企業(SME)向けの自己評価フレームワーク「SME Cyber Resilience Maturity Assessment Model(SMEサイバーレジリエンス成熟度評価モデル)」を公開しました。欧州サイバーレジリエンスアクト(CRA、Regulation (EU) 2024/2847)の要求事項を踏まえ、SMEが自社のサイバーレジリエンスを体系的に評価し、強化していくための実践的なモデルです。公表ページでは、報告書本体に加えてExcel版の評価ツール(CRA Maturity Model tool)もダウンロードできます。

 

本モデルは、デジタル要素を持つ製品を製造しEU市場に上市する事業者(CRAの直接の適用対象)を主な対象としていますが、インテグレーターやサービスプロバイダーなど、製品ライフサイクルに関与するその他の組織が製品セキュリティ実務を点検する目的でも利用できます。専任のセキュリティチームを持たないSMEでも使えるよう、シンプルで実践的な設計となっている点が特徴です。

5つのドメイン×5段階の成熟度レベルで評価

モデルは、CRAの主要な要求分野を反映した5つのドメインで構成され、各ドメインに5つの評価基準(計25問の自己評価質問票)が設定されています。各基準はレベル1(未実施)からレベル5(測定・監視され継続的に改善)までの5段階でスコアリングします。

 

【評価対象の5ドメイン】
1. ガバナンスと文書化
2. リスクマネジメントとセキュリティ・バイ・デザイン/バイ・デフォルト
3. 脆弱性・パッチ管理(SBOMの整備・活用を含む)
4. 製品ライフサイクル管理(サポート期間・EOL対応を含む)
5. 意識向上・力量・スキル

【3つの成熟度プロファイル】
全ドメインの平均スコアまたはドメイン別スコアの分布に基づき、Basic(1.0~2.5)Intermediate(2.6~3.9)Advanced(4.0~5.0)の3プロファイルに分類されます。

自己評価から改善計画まで6ステップ

評価は、①各質問のスコアリング、②ドメイン別平均の算出、③全体成熟度の算出、④プロファイルの分類、⑤ギャップの特定と改善計画の策定、⑥定期的な再評価による進捗管理の6ステップで進めます。質問票への回答の所要時間は約2時間とされており、文書化された手順や実施記録など客観的な根拠に基づいて採点することが推奨されています。

 

付属書には、自己評価質問票(Annex A)のほか、評価後に取り組むべきアクションを成熟度プロファイル別に整理したチェックリスト(Annex B)、用語集(Annex C)、各ドメインとCRA条文(第13条・第14条、附属書I等)との対応表(Annex D)が収録されており、評価結果を改善ロードマップの作成に直接活用できる構成です。改善アクションは組織の規模・リソース・製品の複雑さに応じて比例的に適用すればよいとされ、マイクロ企業には軽量なツールや外部機関の活用も選択肢として示されています。

留意点 ― 高成熟度はCRA適合の証明ではありません

ENISAは、本モデルがCRA実装支援のベストプラクティスを反映したものである一方、Advancedレベルに達しても法的義務に代わるものではなく、適合性の証拠とみなすべきではないと明記しています。CRAで求められる適合性評価手続きは、製品の分類に応じて別途対応が必要です。なお、ENISAモデルでは、評価上の区分としてdefault/important/criticalを例示しています。

 

CRAの規則全体は2027年12月11日から適用されます。一方、これに先行して、製造業者による「積極的に悪用された脆弱性」および「製品のセキュリティに影響する重大なインシデント」の報告義務(第14条)は2026年9月11日から適用されます。残りの準備期間を考慮すると、本モデルのような自己評価を早期に実施し、ギャップを可視化しておくことが有効です。

SGSジャパンの関連サービス

当社では、自己評価で明らかになったギャップへの対応から適合性評価の準備まで、CRA対応を支援する各種サービスを提供しています。

 

欧州サイバーレジリエンスアクト(CRA)対応支援
CRAの概要や対応事項に関するセミナー、製品タイプに応じた対応のご案内など、CRAで求められるCEマーキングへの対応をご支援します。

欧州サイバーレジリエンスアクト(CRA)製品試験・技術支援
CRA要求事項に基づく製品セキュリティ試験と技術支援を提供しています。

脆弱性スキャン
データに基づくレポートでセキュリティ状態を客観的に把握いただけます。バイナリ解析によるSBOMの自動生成にも対応しており、本モデルの脆弱性・パッチ管理ドメインへの対応にご活用いただけます。

 

CRA対応の進め方や自己評価結果を踏まえた改善をご検討の際は、ぜひお気軽にお問い合わせください。

 

▼関連サイト▼
ENISA公表ページ(報告書・Excel版ツール):
https://www.enisa.europa.eu/publications/sme-cyber-resilience-maturity-assessment-model
サイバーレジリエンスアクト(Regulation (EU) 2024/2847):
https://eur-lex.europa.eu/eli/reg/2024/2847/oj?locale=en

 

本件に関する問合せ先:

SGSジャパン株式会社

C&P Connectivity 
TEL:050-1780-7880

または本ウェブサイト上のお問い合わせフォームよりご連絡ください。