CRA(Cyber Resilience Act、サイバーレジリエンス法)についてのご紹介です。
CRA法とは簡単にいうとEU市場で流通するデジタル製品をサイバーセキュリティの観点から規制するEUの規則です。
概略は以下となります。
| 項目 | 内容 |
|---|---|
| 対象製品 | デジタル要素をもつ製品(ソフトウェアおよびハードウェア製品、遠隔データ処理ソリューションなど)。IoT機器やネットワーク接続を前提とした製品が含まれますが、スタンドアロンで動作する製品は除外されます。 |
| 義務主体 | 製造業者など、デジタル要素をもつ製品のライフサイクル・チェーンに関与するすべての経済事業者。 |
| 報告義務 | 脆弱性やインシデントの報告義務があり、2026年9月11日から適用されます。 |
| 罰則 | CRAに違反した場合、最高1,500万ユーロまたは前会計年度の全世界の年間総売上高の2.5%のいずれか高い方の金額を上限とする行政罰が科されます。 |
| 適用範囲 | 医療機器、自動車、民間航空機器など、すでに分野別のEU法にもとづいて規制されている製品は適用対象外です。 |
CRAに準拠する場合にSBOMの作成と維持、ソフトウェア内で使用されているOSSの脆弱性チェックやライセンス確認などを行い提出が必要になってきます。
このような法規制は欧米主体で制定されることが多いですが、規制によってソフトウェアの修正や管理システムの開発などが必要となり、客先から受注できるケースも発生しています。
法規制を読み解くのはなかなか難しいですが、概略だけでも押さえておくと仕事に繋がるかもしれません。
