サイバーレジリエンス法 (CRA) の要点と適用方法の徹底解説

CRA法の部分適用が開始される前に何を準備し、どのように対応をすればいいのでしょうか…? 　EU (欧州) では、あらゆるデジタル製品 (IoT機器、ソフトウェア等) にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法 (Cyber Resilience Act:CRA) 」が発効され、その2026年9月11日から一部の法規制が開始される見込みです。そして、この法規に違反した企業には巨額の罰金が科されることがあります。 　本セミナーでは、まずCRAによる法規制の動向から各種要求事項について解説します。その後、それらの要求事項を満たすために必要となる様々な取り組み (つまりCRAへの適用方法) を、事例を交えて紹介します。なお、サイバーセキュリティ対策の事例については、先行して取り組みが進んでいる自動車業界の事例を参考とします。

1. Cyber Resilience Act (CRA) とは?
   1. CRA策定の背景と目的
   2. CRAの概要
      1. デジタル製品の開発&生産に関する必須要件
      2. デジタル製品の脆弱性対応プロセスに関する必須要件
      3. 当局による市場監視の実施
   3. CRAの対象となる製品
      1. 重要だがリスクの低いデジタル製品 (CLASS I)
      2. 重要でリスクの高いデジタル製品 (CLASS II)
      3. その他、重要でないデジタル製品
   4. CRAへの適合評価の方法
      1. 自己適合宣言
      2. 第三者による型式審査&生産管理
      3. 第三者による品質保証システムの審査
   5. CRAによる規制が開始されるまでのスケジュール
   6. CRAに違反した場合の罰則
2. Cyber Resilience Act (CRA) における製造業者の義務
   1. デジタル製品に実装すべきサイバーセキュリティ対策
      1. デジタル製品にリスクアセスメントの実施
      2. リスクに応じたサイバーセキュリティ対策の実施
      3. 第三者から提供された部品のサイバーセキュリティの保証
      4. デジタル製品に対するサイバーセキュリティ対策の文書化
   2. デジタル製品の脆弱性に対処するための仕組み
      1. デジタル製品の脆弱性の特定と文書化
      2. デジタル製品のSBOMを利用した脆弱性管理
      3. デジタル製品に対するセキュリティアップデートの実施
      4. 脆弱性とセキュリティアップデートに関する情報公開
   3. デジタル製品の製造業者に課せられる報告義務
      1. ENISAに対する脆弱性/インシデント情報の報告
      2. ユーザに対する脆弱性/インシデント情報の通知
      3. OSSの管理団体に対する脆弱性情報の通知
3. Cyber Resilience Act (CRA) への適合に必要な技術文書
   1. 技術文書を体系的に作成するためのCSMS (Cyber Security Management System)
   2. デジタル製品に対する脅威分析とリスクアセスメント結果の事例
   3. デジタル製品のサイバーセキュリティアーキテクチャの事例
   4. デジタル製品に対する脆弱性分析/脆弱性評価結果の事例
   5. デジタル製品のセキュリティアップデート機能の事例
   6. デジタル製品のSBOMの作成事例
4. Cyber Resilience Act (CRA) への適合に必要なP-SIRTの仕組み
   1. P-SIRT活動を実施するための体制
   2. P-SIRT活動を実施するためのプロセス
      1. 脆弱性/インシデント情報を調査&収集するプロセス
      2. 脆弱性/インシデント情報に対する脆弱性分析を実施するプロセス
      3. 脆弱性/インシデント情報のリスクアセスメントを行うプロセス
      4. 脆弱性/インシデント情報の対処を行うプロセス
      5. 脆弱性情報を外部へ開示するためのプロセス
5. 質疑応答