「EUサイバーレジリエンス法（以下、CRA）」とはEU市場に流通するデジタル製品のサイバーセキュリティ対応を義務付ける規則であり、デジタル製品を取り扱う事業者に対して、CRAが定めるセキュリティ要件の順守や定期的なアップデート、脆（ぜい）弱性を発見した際の適切な対応などを義務付けている。

CRAは、今後欧州閣僚理事会の承認を得られれば施行され、36カ月間の猶予期間を経て適用開始となる見込みであり、EU市場でデジタル製品を販売する日本の事業者も対応の準備をする必要がある。

CRA採択の背景

CRAが採択された背景には、サイバー攻撃が増加している中でEUが抱える二つの問題が挙げられる。

まず一つ目の問題は、多くのデジタル製品のセキュリティレベルが不十分、かつセキュリティアップデートの提供が不十分であること。二つ目は、ユーザーや企業が安全性の高いデジタル製品を判別できないことである。

上記を踏まえて2022年9月に草案が提出され、2024年3月に採択へと至った。

CRAの対象となる製品

経済産業省が公表している資料によると、CRAの対象製品は、EU市場に流通する「デジタル要素を持つ全ての製品（デバイスやネットワークに直接的/間接的に接続されるものも含む）」である。例えば、PCやスマートフォンなどのデバイスからモバイルアプリやデスクトップアプリといったソフトウェアも含まれており、非常に幅広い点が特徴だ。その対象領域の広さから、EU市場へデジタル製品を販売している日本の事業者は、自社製品も該当する可能性がある前提で対応を進めるのが良いだろう。

また、CRAが規制対象とする「デジタル要素を持つ製品」は、重要なデジタル製品と重要なデジタル製品以外に分かれる。

さらに「重要なデジタル製品」は下図のとおり、ID管理システムやモバイル機器管理ソフトウェアなどを含む「クラス I（低リスク）」と、デスクトップやモバイル機器向けのOS、産業用のモデムなどが含まれる「クラス II（高リスク）」に分類される。

なお、国家安全保障に関わる製品やSaaSなどのソフトウェアサービスのように、既に別の法令で規制されている製品やサービスについてはCRAの適用には該当しない。

EU市場でデジタル製品を販売する事業者は適切な対応が必要だが、中でもセキュリティ要件を満たす設計や開発、製造や脆（ぜい）弱性を発見してインシデント発生時に期限内に適切な報告をするなど、特に製造業者には厳しい要件が求められることになる。

株式会社NTTデータ経営研究所がリリースしたCRAについてのレポートでは「各国で断片化した規制措置が講じられるよりも、EU規則として一元的に対応するほうが、EU域外から事業参入する者にとっても、その確実性、明瞭性の点でメリットが多いと推察される」とCRAの施行に期待を寄せている。実際に、EU各国の規則に都度対応するよりも、CRAさえ順守していればEU域内にまとめて対応できることになるため、事業者の負担は抑えられるだろう。

EU市場へ参入する事業者にはCRA順守のための情報収集や対策が求められるため、ベンダー側も最新情報をキャッチしておきたい。