前回(第1回)は、欧州サイバーレジリエンス法(以下、CRA)の全体像と、施行に向けた2つの重要なマイルストーンを紹介しました。今回は、CRAの条文で「何をすべきか(What)」を確認するとともに、現在策定が進んでいる欧州規格「EN 40000シリーズ」を紐解き、「具体的にどう実装すべきか(How)」という実務レベルのタスクを解説します。
CRA対応は2つのデッドラインに切り分けてプロジェクトを考える
前回紹介した2つの重要なマイルストーンは以下のとおりです。
- 2026年9月(先行適用):脆弱性・インシデントの「報告義務」
- 2027年12月(全面適用):セキュア開発要件への適合と「CEマーク」の必須化
読者の皆さまも、このスケジュールについては既にご認識のことと思います。実務においてCRA対応のプロジェクトを進めるにあたっては、これら2つのデッドラインにおいて「それぞれ具体的に何を準備し、どう対処しなければならないか」を明確に切り分けておくことが重要です。
各論に入る前に、まずはCRAの条文で「何をすべきか(What)」を確認するとともに、現在策定が進んでいる欧州規格「EN 40000シリーズ」を紐解いていきます。
CRA要求事項の全体像と「EN 40000シリーズ」の立ち位置
CRAの要求事項とEN 40000シリーズの関係性を整理します。
CRAが製造者に課す義務は、大きく分けて「事後対応(第14条:報告義務)」と「製品の適合性(第13条・必須要件)」の2つに分類されます。しかし、法律の条文には「脆弱性を報告せよ」「安全に設計せよ」という大枠が書かれているだけで、具体的な技術手順までは規定されていません。
そのギャップを埋める手段として、欧州標準化委員会(CEN/CENELEC)が策定を進めているのがEN 40000シリーズです。
- EN 40000シリーズ
- EN 40000-1-1: 用語集(Vocabulary)
- EN 40000-1-2: 一般的なサイバーセキュリティ原則とリスク管理(Principles and Risk Management)
- EN 40000-1-3: 脆弱性ハンドリング(Vulnerability Handling)
CRAの法要件を効率的かつ確実にクリアするためには、(現在はドラフト段階ですが)整合規格として検討されている、これらのEN 40000シリーズに沿う形で製品開発や脆弱性対応プロセスを構築することが実務上の近道といえるでしょう。CRAの抽象的な要件を具体的な取り組みに落とし込む上で、法規要件が期待することを理解するときに役立ちます。
この記事は参考になりましたか?
- 欧州CRA入門! 製品セキュリティ対応をマスターしよう連載記事一覧
-
- CRA対応、2つのデッドライン:2026年「報告義務」/2027年「適合義務」で必要な実務...
- 欧州サイバーレジリエンス法への備えは大丈夫か?製品セキュリティの規制が加速する理由と対応の...
- この記事の著者
-
薫田 康弘(クンダ ヤスヒロ)
GMOサイバーセキュリティbyイエラエ株式会社 グローバル戦略部 シニアエンジニア国内セキュリティベンダーに入社し、製品に対するペネトレーションテストやマルウェア解析トレーニング講師を務めるなど、技術基盤を確立。その後、大手コンサルティングファームにて、車載機器の脅威分析やOEMサプライヤに対する標...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
