　その代表格が、2024年に成立した欧州の「サイバーレジリエンス法（CRA：Cyber Resilience Act）」です。これは、EU市場で販売されるPCやスマートフォン、PLC（プログラマブルロジックコントローラー）など産業用コントローラーに至る、インターネットにつながる全てのデジタル要素を持つ製品に対して、製品のセキュリティ面での弱点、つまり脆弱（ぜいじゃく）性を継続的に把握／管理することや、インシデントの検知／報告などのセキュリティ対策を義務付けるものです。

　2026年9月11日から、これらのセキュリティ対策に関する審査が開始され、2027年12月11日からは、罰則適用が始まります。製品はセキュリティレベルに応じてクラス分けされ、基準を満たさない製品は事実上、EU市場から締め出されます。

　米国でも、政府調達の基準である「NIST SP800シリーズ」や、国防総省がサプライヤーに要求する「CMMC2.0（サイバーセキュリティ成熟度モデル認証）」など、セキュリティレベルが取引の絶対条件となる制度がすでに稼働しています。

　これらの法規制や標準化の動きは、国際的な制御システムセキュリティ規格である「IEC 62443」と密接に関連しています。この規格は、後述するように、製品やシステムの技術的な堅牢性（セキュリティレベル：SL）と、開発／運用する組織の成熟度（マチュリティレベル：ML）の両面からセキュリティを定義しており、グローバルなルール形成における重要な参照点となっているのです。

　もはや、サイバーセキュリティは自主的な取り組みではなく、グローバル市場でビジネスを行うための“パスポート”となりつつあります。シーメンス、ロックウェル・オートメーション、シュナイダーエレクトリックといった欧米の巨大FAメーカーはもちろん、台湾のアドバンテックなどアジア企業も、すでにIEC 62443認証の取得を完了し、この新しい経済圏での覇権争いに備えています。

取引のルールを変える世界のサイバーセキュリティ新基準［クリックで拡大］

日本を待つ未来～2026年、国内でも“選別”が始まる～

　「欧米の話は分かったが、うちは国内取引が中心だから関係ない」と考えるのは早計です。この格付けの波は、確実に日本にも到達します。

　経済産業省は、「サプライチェーン強靱化に向けたサイバーセキュリティ対策評価制度（仮称）」の創設準備を進めており、2026年度の開始を目指しています。この新制度は、企業のセキュリティ対策状況を客観的な指標で評価し、3つ星、4つ星、5つ星といった星の数でランク付けするというものです。

サプライチェーン対策評価制度に関する現状整理（案）［クリックで拡大］出所：経済産業省

　この評価結果は、補助金の採択や政府調達、さらには金融機関の融資判断にも活用されることが検討されています。つまり、セキュリティ対策レベルの低い企業は、事業機会や資金調達の面で明確に不利な扱いを受ける可能性があるのです。これは、国内市場においても、セキュリティによる企業の“選別”が始まることを意味します。

　もちろん、日本のメーカーも手をこまねいているわけではありません。

　FA／ロボット分野では、三菱電機やファナックがIEC 62443-4-1 組織認証のサイバーセキュリティ成熟度レベルで高度な「ML3」認証を取得して先行。オムロン、富士電機、オークマ、DMG森精機、川崎重工業といった名だたる企業も成熟度レベル「ML2」を取得するなど、対応を着実に進めています（いずれも2025年7月現在）。