　欧州連合（EU）では、デジタル製品のサイバーセキュリティを抜本的に強化する新たな規制として、サイバーレジリエンス法（以下、CRA：Cyber Resilience Act）［参考文献1］が施行された。規則（EU）2024/2847として2024年12月11日に発効したCRAは、「デジタル要素を含む製品」に対し、設計から市場提供後まで継続したセキュリティ対策を義務付けるものである。

　CRAは運用側を対象とするNIS2指令［参考文献2］と補完関係にあり、製造者側へ製品自体のセキュリティ組み込みを義務付ける点に特徴がある。EU域外の企業であっても、EU市場に製品を供給する場合は対象となるため、日本の装置、機械、電機や組み込み機器などのメーカーにとって、CRA対応は今や避けられない必須課題となっている。本格適用は2027年12月11日からだが、脆弱性報告義務は2026年9月11日から開始される。

　当社Moxaは産業用ネットワーク機器のリーディングカンパニーとして、2019年より産業サイバーセキュリティの国際規格IEC 62443への対応を進めてきた。2020年にはIEC 62443-4-1（セキュア開発ライフサイクル）の認証を取得し、2025年7月にはEUの無線機器向けセキュリティ規格RED-DA（EN 18031）［参考文献3］の認証も取得している。本稿では、こうしたセキュリティ対応経験を踏まえながら、日本のメーカーが知るべきCRAの要点を解説する。

なぜCRAが制定されたのか：適用対象とクラス分け

　IoT（モノのインターネット）機器の急速な普及や社会インフラのデジタル化に伴い、サイバー攻撃が社会や経済に与える影響は深刻化している。欧州委員会によると、サイバー攻撃は高い頻度で発生しており、グローバルなサイバー犯罪による年間コストは数兆ユーロに達するとされる。このような背景から、EUは製品段階からのセキュリティ確保を通じて、デジタル製品のサイバーセキュリティを抜本的に強化する包括的規制に踏み切った。

　CRAが対象とするのは「デジタル要素を持つ製品（PDE: Product with Digital Elements）」だ。リスクに応じて、デフォルトカテゴリー、重要製品クラスI、重要製品クラスII、クリティカルの4段階に分類され、クラスが上がるほど適合性評価が厳しくなる。

デフォルト

　大部分の製品が該当し、原則として製造者による自己適合宣言のみでCEマーキングが可能である。スマートテレビなどの一般コンシューマー製品、重要製品クラスに定義されていない産業機器も、通常はこちらに含まれる。

重要製品クラスI

　一般製品よりリスクが高く、ネットワークや認証など中核的セキュリティ機能を担う製品群。生体認証リーダーや産業用以外のルーターやスイッチ、VPN装置などが該当する。適合性評価については、CRA向けに策定される整合規格（Harmonised Standards）を全面的に適用する場合に限り、自己適合宣言が可能となる。整合規格を用いない場合は、第三者機関による適合性評価が必須となる。

重要製品クラスII

　産業用途や重要インフラなどの高リスク環境で使われ、侵害時の波及影響が大きい製品群。産業用ファイアウォールや侵入検知（IDS）や侵入防止（IPS）デバイスなどが該当する。自己宣言は認められておらず、整合規格の使用有無にかかわらず、第三者機関による適合性評価が必須となっている。

クリティカル

　重要製品クラスIIよりも高いリスクを持ち、侵害された場合に重要インフラやサプライチェーンへ重大な影響を及ぼし得る製品群。スマートメーター用ゲートウェイ、スマートカードなどが該当する。適合性評価に関しては、欧州委員会が採択する委任法（Delegated Act）に基づき、欧州サイバーセキュリティ認証スキーム（European cybersecurity certification scheme）による認証取得が義務付けられる。