CRAの本格適用による「CEマーク取得の要件化(セキュア開発や適合性評価)」は2027年12月に控えていますが、「悪用された脆弱性」や「重大なインシデント」に対する当局への報告義務は、わずか3ヶ月後に先行して開始されます。もしこれに対応できず、悪用可能な脆弱性を放置したまま製品がEU市場に流通した場合、出荷停止や製品回収といった膨大なビジネスリスクに直結します。
本記事では、CRAを取り巻く最新動向、落とし穴、そして現場が直面する実務の壁を乗り越えるための具体的なプロセスについて徹底解説します。
CRA対応を進める上で、実務担当者を悩ませているのがタイムラインと「整合規格」の整備状況です。
2026年8月30日に、脆弱性対応に関する水平規格(EN 40180-1-3)の完成・公開が予定されています。
2026年9月11日からは、脆弱性およびインシデントの報告義務化が開始され、2027年10月30日には一般セキュリティ要件に関する水平規格の完成が予定されています。
そして、2027年12月11日よりCRAが本格適用され、適合性評価やセキュア開発体制の整備が義務化されます。
上記のように、CRAに適合するための「整合規格」の多くが、制度開始の直前にならないと完成版が出てきません。例えば、脆弱性対応に関する水平規格(EN 40180-1-3)は8月30日完成予定であり、報告義務化スタートのわずか12日前です。 「完成版を待ってから動く」のでは物理的に間に合わないため、ドラフト版や関連情報を参照しながら、並行して準備を進めることが実務上、極めて重要になります。
脆弱性報告義務化に備え、製造業者が今すぐ完了させるべき実務プロセスは、大きく分けて4つのステップに分類されます。
CRAの本格適用は新製品がメインですが、この「報告義務(14条)」に関しては、すでにEU市場で流通している既存製品(2025年以前に販売された製品など)も対象となります。 積極的に新しい脆弱性を探し出す体制までは求められませんが、顧客から被害報告を受けたり、セキュリティ機関から通知があったりした場合には、既存製品であっても報告・対応義務が生じる点が最大の盲点です。
また、既存製品の機能アップデートのタイミングで、セキュリティ要件に関わるような機能追加を行ってしまった場合、その瞬間から製品全体がCRAの全要件(セキュア開発等)の対象になり得るため、開発計画には細心の注意が必要です。
報告義務において、製造業者が最も注意しなければならないのが「何を」「いつまでに」報告するかというルールです。
実務上、最も多い質問が「24時間のカウントはどこから始まるのか」という点です。CRAの規定では、起点は「情報を受信したタイミング」や「NVD等で情報が公開されたタイミング」ではありません。 「組織が初期評価を行った結果、自社製品に該当すると確実性を持って認識(確定)した時点」が起点となります。この判断で迷って時間を浪費しないよう、合理的な判断基準をあらかじめ社内でルール化・明文化しておくことが必要です。
CRAでは経済活動を行う組織を5つの役割(製造業者、輸入業者、販売業者、認定代理人など)に定義しています。基本的には「誰の名義(ブランド)でEU市場に出すか」によって、製造業者としてのフル要件が課されるかどうかが決まります。グループ会社や欧州拠点がどれに該当するかを条文を基に整理する必要があります。
自動車自体はCRAの対象外として明文化されているため、24時間ルールなどの報告義務も対象外です。また、OEMに直接納品するECUなどの自動車部品も基本的には対象外となります。ただし、アフターマーケット品(カー用品店などで一般向けに販売される車載グッズ等)として欧州市場に流通する部品に関しては、CRAの対象になる可能性があるため注意が必要です。
迫りくるEU CRAの要件をクリアする鍵は、コストという捉え方を脱却し「経営課題」として捉えることです。
セキュリティの専門知識と自社製品の仕様理解を掛け合わせられる人材の育成には膨大な時間がかかり、9月の義務化には間に合いません。これらをすべて自前で回そうとすると、日々の運用が破綻し、報告遅延や出荷停止を招く原因になります。
製造業の皆様のCRA対応を加速させるため、セキュア開発や脆弱性管理のプロセス策定、PSIRT体制の整備を支援しています。さらに、専門エンジニアがお客様に代わって脆弱性の影響有無を一時判定するサービスなど、総合的なメニューを柔軟にご提案可能です。
「何から手を付ければいいかわからない」「現場の運用負荷を下げたい」といった課題をお持ちの企業様は、製品企画から出荷、運用保守フェーズまでトータルでサポートいたしますので、ぜひお気軽にお問い合わせください。