お役立ち情報|株式会社RYODEN

【あと3ヶ月】EUサイバーレジリエンス法(CRA)の報告義務化に備える!製造業が今すぐ取り組むべき「24時間ルール」と現場のリアルな対策

作成者: RYODEN|2026/07/01 15:00:02

CRAの本格適用による「CEマーク取得の要件化(セキュア開発や適合性評価)」は2027年12月に控えていますが、「悪用された脆弱性」や「重大なインシデント」に対する当局への報告義務は、わずか3ヶ月後に先行して開始されます。もしこれに対応できず、悪用可能な脆弱性を放置したまま製品がEU市場に流通した場合、出荷停止や製品回収といった膨大なビジネスリスクに直結します。

本記事では、CRAを取り巻く最新動向、落とし穴、そして現場が直面する実務の壁を乗り越えるための具体的なプロセスについて徹底解説します。

【最新動向】CRAのタイムラインと「整合規格」が抱える直前の壁

CRA対応を進める上で、実務担当者を悩ませているのがタイムラインと「整合規格」の整備状況です。

2026年8月30日に、脆弱性対応に関する水平規格(EN 40180-1-3)の完成・公開が予定されています。
2026年9月11日からは、脆弱性およびインシデントの報告義務化が開始され、2027年10月30日には一般セキュリティ要件に関する水平規格の完成が予定されています。
そして、2027年12月11日よりCRAが本格適用され、適合性評価やセキュア開発体制の整備が義務化されます。

上記のように、CRAに適合するための「整合規格」の多くが、制度開始の直前にならないと完成版が出てきません。例えば、脆弱性対応に関する水平規格(EN 40180-1-3)は8月30日完成予定であり、報告義務化スタートのわずか12日前です。 「完成版を待ってから動く」のでは物理的に間に合わないため、ドラフト版や関連情報を参照しながら、並行して準備を進めることが実務上、極めて重要になります。

9月11日までに完了すべき「4ステップ」

脆弱性報告義務化に備え、製造業者が今すぐ完了させるべき実務プロセスは、大きく分けて4つのステップに分類されます。

完了すべき4つのステップ

  1. スコープ確認・分類: 自社製品がCRAの対象(デジタル要素を備えた製品)であるかを確認し、さらに製品の分類が「デフォルト(標準)」「重要クラス1」「重要クラス2」「クリティカル」のどこに属するかを把握します。これによって、のちの第三者認証の要否や対応工数が大きく変わります。
  2. 窓口の設計と承認権限の移譲: EU域内の連絡窓口(認定代理人の選任、EU子会社や輸入業者経由のルート)を設計します。また、当局への報告期限は最速で24時間以内となるため、通常の社内稟議を通している時間はありません。経営判断として担当者を指名し、「その人の責任で即座に報告できる承認権限」を事前に設定しておく必要があります。
  3. エスカレーションフローの明確化: サプライヤーや調達部門から、部品に脆弱性が含まれているという報告があった際に、スムーズにPSIRTへ情報が繋がる基準とルートを整備します。
  4. 報告テンプレートの準備と机上演習: 欧州当局(ENISA)への報告プラットフォーム「SRP」の利用を見据え、英語での報告テンプレートを事前準備します。夏頃に公開されるテストサイトを用いて、実際に卓上での演習(トレーニング)を行うことが推奨されます。

⚠️ 見落としがちな落とし穴:「既存製品」も対象!

CRAの本格適用は新製品がメインですが、この「報告義務(14条)」に関しては、すでにEU市場で流通している既存製品(2025年以前に販売された製品など)も対象となります。 積極的に新しい脆弱性を探し出す体制までは求められませんが、顧客から被害報告を受けたり、セキュリティ機関から通知があったりした場合には、既存製品であっても報告・対応義務が生じる点が最大の盲点です。

また、既存製品の機能アップデートのタイミングで、セキュリティ要件に関わるような機能追加を行ってしまった場合、その瞬間から製品全体がCRAの全要件(セキュア開発等)の対象になり得るため、開発計画には細心の注意が必要です。

報告の基準と、実務における「24時間ルール」の起点

報告義務において、製造業者が最も注意しなければならないのが「何を」「いつまでに」報告するかというルールです。

報告対象となる基準

  • 悪用された脆弱性: 実際に悪用されたという「信頼できる証拠(顧客からの被害報告、セキュリティ機関からの公開通知など)」があるもの。
  • 重大なインシデント: 製品の持つデータや機能の保護能力に悪影響を及ぼしたり、悪意のあるコードの実行につながるなど、サイバーセキュリティリスクを増大させる事象。 ※他社製品で悪用されたOSSの脆弱性であっても、自社製品に同じOSSが含まれており、かつ自社製品上でも実際に悪用可能な場合は報告対象となります。

3段階の報告期限

  1. 24時間以内: 早期警戒通知(インシデント/脆弱性の認識から最速で行う)
  2. 72時間以内: 脆弱性・インシデント通知(ここでは是正措置や緩和策の内容も含める)
  3. 1ヶ月以内(または対策完了から14日以内): 最終報告

「24時間」の起点とは?

実務上、最も多い質問が「24時間のカウントはどこから始まるのか」という点です。CRAの規定では、起点は「情報を受信したタイミング」や「NVD等で情報が公開されたタイミング」ではありません。 「組織が初期評価を行った結果、自社製品に該当すると確実性を持って認識(確定)した時点」が起点となります。この判断で迷って時間を浪費しないよう、合理的な判断基準をあらかじめ社内でルール化・明文化しておくことが必要です。

 【よくある質問】誰が義務を負うのか?自動車などの例外は?

Q. 自社の役割(製造、輸入、販売など)によって対応は変わる?

CRAでは経済活動を行う組織を5つの役割(製造業者、輸入業者、販売業者、認定代理人など)に定義しています。基本的には「誰の名義(ブランド)でEU市場に出すか」によって、製造業者としてのフル要件が課されるかどうかが決まります。グループ会社や欧州拠点がどれに該当するかを条文を基に整理する必要があります。

Q. 自動車や自動車部品は対象外?リコール時の単体輸出は?

自動車自体はCRAの対象外として明文化されているため、24時間ルールなどの報告義務も対象外です。また、OEMに直接納品するECUなどの自動車部品も基本的には対象外となります。ただし、アフターマーケット品(カー用品店などで一般向けに販売される車載グッズ等)として欧州市場に流通する部品に関しては、CRAの対象になる可能性があるため注意が必要です。

まとめ:自前主義を脱却し、専門家の知見を活用した持続可能な対策を

迫りくるEU CRAの要件をクリアする鍵は、コストという捉え方を脱却し「経営課題」として捉えることです。

セキュリティの専門知識と自社製品の仕様理解を掛け合わせられる人材の育成には膨大な時間がかかり、9月の義務化には間に合いません。これらをすべて自前で回そうとすると、日々の運用が破綻し、報告遅延や出荷停止を招く原因になります。

製造業の皆様のCRA対応を加速させるため、セキュア開発や脆弱性管理のプロセス策定、PSIRT体制の整備を支援しています。さらに、専門エンジニアがお客様に代わって脆弱性の影響有無を一時判定するサービスなど、総合的なメニューを柔軟にご提案可能です。

「何から手を付ければいいかわからない」「現場の運用負荷を下げたい」といった課題をお持ちの企業様は、製品企画から出荷、運用保守フェーズまでトータルでサポートいたしますので、ぜひお気軽にお問い合わせください。