2026年～2027年にかけて施行が予定されている欧州サイバーレジリエンス法への対応は、EU向けビジネスを抱える日本の製造業界にとって非常に大きなインパクトを持つ喫緊の課題です。

ここでは、サイバーレジリエンス法（CRA）とは何かについて概要をご紹介します。

CRA概要と国内装置メーカーへの影響

CRAでは「デジタル要素を有する製品すべて」が対象となるという点、このインパクトのは絶大です。罰則も非常に重いこと、未対応の場合、EUでの製品販売が不可になるなど、CRAの適用により、特に製造業では非常に大きなリスクになると考えられます。

CRAの主な要件と対策について

CRAは対策が急務ですが整合規格がいまだ定められておらず、完璧な対策の手本が無いことが大きな問題です。しかし、CRA要件の内容は産業用サイバーセキュリティの国際標準であるIEC62443と共通性が高く、これに基づいて準備を進める事が現時点で最も効率の良い手段であると言えます。

また、脆弱性対処要件や報告義務を遵守することは既存部門（品質保証や設計、開発部門など）の追加業務としては困難である場合も多く、自社製品セキュリティの専門チーム（PSIRT）を組織し運用することも検討する必要があります。

主な要件と対策の方向性

セキュリティ特性要件（技術要件）：CRA施行後の上市製品が対象

• 不正アクセスからの保護を確保すること
• 既知の悪用可能な脆弱性が含まれていないこと⋯等

→ IEC62443-3-3に基づく対策

脆弱性対処要件（プロセス要件）：CRA施行後の上市製品が対象

• 脆弱性開示ポリシーを導入し実施すること
• 悪用可能な脆弱性が適時に修正・緩和される仕組みを提供すること⋯等

→ IEC62443-4-1に基づく対策

報告義務：過去に上市したものも含め全製品が対象

• 製品に重大な脆弱性やインシデントが発生した場合、指定機関に報告
• 認識から24時間以内の初期警告通知、72時間以内の本通知、14日または1か月以内の最終報告

→ PSIRTを社内に組織し運用

なお、シーメンスでは上記の３つの主要対策に関し、IEC62443要件と御社の現状の差分を測定し対策案を提示する「アセスメントサービス」および、PSIRTの構築支援サービスを提供可能です。

CRA対策のステップについて

CRA対策の第一歩として最も重要な事は、CRAの内容、そして対策の必要性と方向性を全社で部署横断的に理解・共有することです。なぜならばCRAはデジタル製品のライフサイクル全体に関わる法律であり、設計・開発・製造・調達・サービスといった様々な部門が何らかの形で関わることになるためです。また、PSIRTのような新部署を創設する必要性にも関連することから、経営陣のCRAに対する理解も必須となります。

CRA対策はゼロベースからの開始であれば30か月程度を要するという試算が認証機関等によって出されています。2024年中に法律が発効され、2026年中に報告義務が適用開始、2027年中に全規定が適用開始となることを考慮すると、対策を今すぐ開始する必要があります。シーメンスでは、普段サイバーセキュリティに馴染みのない方も含め全社でこの問題を理解・共有 して頂ける有償セミナーもご用意しています。

画像をクリックすると、大きな画像が表示されます。

シーメンスから提供可能なサービス・製品

画像をクリックすると、大きな画像が表示されます。

関連リンク

• 欧州サイバーレジリエンス法（CRA）概要とその対策の第一歩（Webセミナー）