CRA解説

第1回
CRA(欧州サイバーレジリエンス法)とは何か? その目的と背景

  • 株式会社ICS研究所

はじめに:EUにおけるサイバーセキュリティ強化の潮流

近年、欧州連合(EU)では、サイバーセキュリティに関する法規制や標準化が急速に進展しています。工場自動化(FA)機器や産業用IoTデバイスは、ネットワーク経由の高度な連携・効率化によって競争力強化が期待される一方、サイバー攻撃や情報漏えいといった新たなリスクを内包するようになりました。これらは単なる企業内の問題にとどまらず、サプライチェーン全体、ひいては社会インフラの安定性にまで波及する懸念があります。

こうした課題に応えるべく、EUは法的拘束力を伴う包括的なアプローチを打ち出しています。その中でも注目を集めているのが、あらゆる「デジタル要素を備えた製品」にセキュリティ要件を課す新たな法規制「欧州サイバーレジリエンス法(EU 2024/2847, Cyber Resilience Act、以下CRA)」です。

CRA誕生の背景:従来法制を補完する新たな枠組み

EUは、2019年成立の「Cybersecurity Act(EU 2019/881)(EUサイバーセキュリティ法)」や、重要インフラ事業者への要件を定めた「NIS 2指令(EU 2022/2555)」などにより、サイバーセキュリティ規制を段階的に強化してきました。しかし、これまでの法整備は特定の分野や業種に重点が置かれ、市場全般に広く普及する製品群への統一的なセキュリティ要件適用には不十分な面がありました。

一方、産業自動化や製造DXの潮流の中、制御機器や工作機械、産業ロボット、FA用センサなどはデジタル接続が当たり前となっています。これらの機器がサイバー攻撃を受ければ、生産プロセスの停止や品質低下、さらにはサプライチェーン全体の混乱を招く可能性があります。CRAはこうした現状を受け、市場に流通する製品のセキュリティ基盤を底上げする新たな「共通ルール」として策定されました。

CRAの目的:市場全体のレジリエンス強化と信頼向上

CRAが目指すのは、製品ライフサイクル全般にわたりセキュリティを考慮した「セキュリティ・バイ・デザイン」を産業界に根付かせることです。具体的には、設計・開発段階からリスクアセスメントや安全設計を行い、稼働開始後は脆弱性発見時の迅速な対処、サイバーインシデント時の速やかな報告と復旧対応を行うことで、社会全体の「サイバーレジリエンス(復元力)」を高めていきます。

この目的はIEC 62443など国際的に認知された産業用セキュリティ規格や、機械規則(EU 2023/1230)、AI法(EU 2024/1689)、一般製品安全規則(EU 2023/988)といった他のEU法規制との連携によってより効果的に達成されます。つまり、CRAはこれら既存の枠組みを横断し、一貫したセキュリティ要求を生み出すことで、市場全体の信頼性を底上げする基盤として位置づけられているのです。

図1 EU市場における法規制とCRAの位置づけ図1 EU市場における法規制とCRAの位置づけ

CRAのスケジュールと対応猶予

CRAは2024年12月10日に発効しました。また、実際の施行(罰則適用)は2027年12月11日からと見込まれています。また、脆弱性やインシデントに関するENISA(欧州ネットワーク情報セキュリティ機関)への報告義務は2026年9月11日からとされており、製造業者(工場オーナー)はこれらのスケジュールを念頭に置いて、戦略的な計画策定が必要となります。

この準備期間中には、IEC 62443に即したリスク評価フローの確立や、SBOM(Software Bill of Materials)管理の整備、PSIRT(Product Security Incident Response Team)の設置など、製品と組織全体のセキュリティレベルを引き上げる活動及びサービス提供が求められます。これらの取り組みは、CRA対応のみならず、国際競争力強化にもつながる長期的な投資と言えるでしょう。

図2 欧州サイバーレジリエンス法(CRA)の対応が急務図2 欧州サイバーレジリエンス法(CRA)の対応が急務

なぜCRAが今、注目されるのか

CRAがこれほど注目される理由は、規制対象範囲の広さと、要求事項の厳格さにあります。欧州市場に製品を出荷する以上、従来は考慮されなかった法規制(AI法、機械規則など)から国際基準(ISO/IEC27001/27002※1、IEC62443、EN18031※2など)をベースとしたセキュリティ要件が不可避になるため、単なる品質保証や安全基準対応に加え、サイバーリスク対策が新たな「当たり前」となります。

これにより、セキュリティ対応はもはや特定顧客や特定案件向けの付帯条件ではなく、市場参入そのものの前提条件へと変貌します。結果として、製造業各社はサプライヤーやパートナー企業にも同様のセキュリティ要件を要求する必要が生じ、サプライチェーン全体が包括的なセキュリティ強化へと動員されます。

CRA適用対象の工場に対して、デジタル製品やシステム適用を怠ったことにより、工場オーナーが付帯義務として課せられているCRA違反として罰則を受けた場合、その罰則金と操業停止による損害賠償は、デジタル製品やシステム提供した企業へ請求することも現実味を帯びてきました。

※1 ISO/IEC27001/27002: 情報セキュリティマネジメントシステム(ISMS)に関する国際規格。
※2 EN18031: 無線機器のサイバーセキュリティ に関する欧州規格。

本連載の狙い

本連載(全8回)では、CRAの基本から始まり、製造業における具体的な影響、対象製品区分、必要な対応戦略、他のEU法規制・国際標準との関係性、そして最終的なビジネスチャンス創出までを順を追って解説していきます。

これらを通じて、読者である製造業の開発マネージャーや関連部門の責任者は、CRA対応への明確なロードマップを描くことができるはずです。また、本連載は市場が求めるセキュアな製品開発・運用体制を整えるための基礎知識の提供を目的としており、単なる法令解説にとどまらず、「なぜ」「どのように」対応すべきかを示す指針となることを目指します。

次回予告

次回(第2回)は、「CRAが製造業へ与える影響」を深掘りします。これにより、読者は自社が直面する具体的な課題や検討ポイントを特定し、より実践的な行動計画立案の手がかりを得ることができるでしょう。

※本解説は、2024年12月時点の内容を基にしています。