2024年11月20日 EUサイバーレジリエンス法（CRA）がEU官報に掲載されたことにより、

すべての義務が有効になるまでのタイムラインが確定しました。

主なタイムライン

1. 2024年10月10日: EU理事会と欧州議会で正式採択
2. 2024年11月20日: EU官報掲載
3. 2024年12月11日: CRA発効日
4. 2026年6月11日: 評価機関届出の開始
5. 2026年9月11日: 脆弱性報告が義務化
6. 2027年12月11日: 猶予期間終了予定日となり、この日以降全てのCRA要件が適用

CRAが企業に与える影響

CRAは、EU域内で製品を販売する全ての企業に影響を与えます。
対応には以下の様な開発プロセスや脆弱性対策の公表体制など、
企業側の体制への見直しなどが含まれるため、
IoTデバイスやソフトウェアなどを製造・販売している企業は、早めの対策が必要です。

1. 製品のセキュリティ強化: 製品に組み込まれるソフトウェアのセキュリティ対策や、脆弱性の迅速な対応が求められます。
2. サプライチェーンの管理: サプライヤーに対して、セキュリティ要件を満たすことを要求する必要があります。
3. インシデント対応: セキュリティインシデントが発生した場合、迅速な対応と報告が義務付けられます。
4. ドキュメンテーション: 製品に関するセキュリティ情報を適切に管理し、当局への報告に備える必要があります。

対応を進めるには

1. CRAの詳細な内容を把握する: CRAの対象製品、要件、罰則などを詳細に理解しましょう。
2. 自社の製品への影響を評価する: 自社の製品がCRAの対象となるか、どの程度の対策が必要かを評価しましょう。
3. 対策計画を策定する: CRAの要件を満たすための具体的な対策計画を策定しましょう。
4. 専門家の支援を受ける: 必要に応じて、専門家の支援を受けましょう。

弊社アイティアクセスではEU法制への対応を主軸にセキュリティ認証取得支援のワンストップサービスを提供しております。

組込み向けセキュリティ認証取得支援ワンストップサービスの詳細はこちら