2025年11月10日 10:00
欧州連合(EU)が2024年12月に施行した「Cyber Resilience Act(CRA)」は、すべてのインターネット接続可能な製品を対象としサイバーセキュリティ対策を法的に義務づける初の包括的な規制です。 これまでIoT製品やソフトウェアは明確なセキュリティ要件がなく、脆弱性を放置したまま市場に出回ることが多くありました。 こうした背景からEUは製品の設計段階から廃棄に至るまでサイバーリスクへの備えを製造者・開発者に求めるようになりました。
この法律の対象はネットワークに接続されるあらゆるハードウェアおよびソフトウェアです。 たとえばスマート家電・産業用IoT・モバイルアプリ・ルーターなどが含まれます。 メーカーには製品に組み込みのセキュリティ機能を設ける「セキュア・バイ・デザイン」への対応、サポート期間中の脆弱性対応、重大な脆弱性の報告義務(24時間以内)などが課されます。 また適合性を証明するCEマーキングの取得や技術文書の保存義務(10年間)も必要となります。 これらを怠った場合には罰金が科される可能性があります。
法の施行自体は2024年12月ですが実際にすべての義務が適用されるのは2027年12月11日からとされています。 なお2026年9月には脆弱性報告義務が一足早く適用開始となり、それ以外の規定については移行期間が設けられています。 つまり『2027年以降はCRAに準拠しない製品はEU市場に流通できなくなる』ということです。 この動きはEU内にとどまらずEU市場に製品を展開している日本企業やアメリカ企業も影響を受けます。 とくにIoTや組み込み機器を扱うメーカーはセキュリティ設計や対応体制の見直しが避けられません。
今後企業が求められるのは単に法律に対応するという受け身の姿勢ではなく、製品やサービスをより安全なものへと進化させる取り組みそのものです。 CRA対応はコストではなく国際競争力を高めるための投資であり、信頼性の高いブランド作りの一環でもあります。 特に製品の設計・開発部門とセキュリティ担当者、法務部門が早期に連携し段階的に体制を整えることが2027年以降のEU市場での競争力を左右することになります。
