EU域内で販売されるデジタル製品へのサイバーセキュリティ法規制、
EUサイバーレジリエンス法（CRA）は2024年10月10日にEU理事会にて正式採択されました。

主なタイムライン

1. 2024年10月10日: EU理事会と欧州議会での正式採択されました。
2. 2024年11月: EU官報に記載予定。
3. CRAの発効日：EUの官報に掲載された後、20日後に発効します。
4. 36ヶ月間の猶予期間: 企業は、CRAの要件に適合するための対策を36ヶ月以内に実施する必要があります。
5. 猶予期間終了後: 全ての要件が適用され、違反した場合には罰則が科される可能性があります。

CRAが企業に与える影響

CRAは、EU域内で製品を販売する全ての企業に影響を与えます。
対応には以下の様な開発プロセスや脆弱性対策の公表体制など、
企業側の体制への見直しなどが含まれるため、
IoTデバイスやソフトウェアなどを製造・販売している企業は、早めの対策が必要です。

1. 製品のセキュリティ強化: 製品に組み込まれるソフトウェアのセキュリティ対策や、脆弱性の迅速な対応が求められます。
2. サプライチェーンの管理: サプライヤーに対して、セキュリティ要件を満たすことを要求する必要があります。
3. インシデント対応: セキュリティインシデントが発生した場合、迅速な対応と報告が義務付けられます。
4. ドキュメンテーション: 製品に関するセキュリティ情報を適切に管理し、当局への報告に備える必要があります。

対応を進めるには

1. CRAの詳細な内容を把握する: CRAの対象製品、要件、罰則などを詳細に理解しましょう。
2. 自社の製品への影響を評価する: 自社の製品がCRAの対象となるか、どの程度の対策が必要かを評価しましょう。
3. 対策計画を策定する: CRAの要件を満たすための具体的な対策計画を策定しましょう。
4. 専門家の支援を受ける: 必要に応じて、専門家の支援を受けましょう。

弊社アイティアクセスではCRAやRED-DAを主軸にセキュリティ認証取得支援のワンストップサービスを提供しております。

組込み向けセキュリティ認証取得支援ワンストップサービスの詳細はこちら