　CRAでは、EU市場で販売されるデジタル製品に対し、設計段階からのセキュリティ対策と出荷後の管理を義務付けている。2026年9月11日から、対象事業者は悪用されている脆弱（ぜいじゃく）性や重大なインシデントを認識した際、24時間以内にEU当局へ報告しなければならない。違反した場合は、最大1500万ユーロ（約28億円）または全世界年間売上高の2.5％のいずれか高い額を上限とする制裁金が科される可能性がある。

　新サービスでは、報告義務要件を満たすための運用フロー策定や体制構築を支援する。具体的には、SBOM（ソフトウェア部品表）の作成と管理、SBOMに基づいた脆弱性の常時監視、製品への影響調査を一括して請け負う。これにより、インシデント発生時に事業者が迅速かつ適切に当局へ報告できる体制を整える。

顧客が実施すべきCRA対応領域［クリックで拡大］出所：ベリサーブ

　また、2027年12月11日のCRA全面適用を見据えた「CRA対応支援サービス」も併せて提供する。国際規格「IEC 62443-4-1」を踏まえたアセスメントや、セキュアな開発プロセスの構築、専門組織であるPSIRT（製品セキュリティインシデント対応チーム）の立ち上げなどを伴走型で支援し、将来的に事業者が自部署の体制だけで運用できるよう技術文書の作成なども補助する。

　デジタル製品のサプライチェーンに関わる製造業者や輸入業者にとって、適用開始までの体制整備は急務となっている。同社は、製品セキュリティ支援で培った実績を生かし、ノウハウ不足などの課題を抱える事業者のCRA準拠を多角的に支援していく。

⇒その他の「IoTセキュリティ」の記事はこちら

2026年の最重要事案かもしれない「欧州サイバーレジリエンス法（CRA）」の衝撃
近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象を紹介し考察する本連載。今回は、2026年の最重要課題になるかもしれない「欧州サイバーレジリエンス法（CRA）」について論じる。
ITだけじゃない。セキュリティの新分野「製品セキュリティ」とは
インターネットとつながるデジタル機器が普及してきた現在、サイバー攻撃の対象はPCやスマートフォンのようなIT分野だけではなくなってきた。本連載では、近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象や考察を述べる。
製造業の「SBOM」は誰が構築し運用／管理すべきか【前編】
近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象を紹介し考察する本連載。今回は、製造業で広く利用されている「EBOM」「MBOM」「サービスBOM」と、製品セキュリティを守る上で重要な役割を果たすSBOM（ソフトウェア部品表）の違いについて論じる。
製造業の「SBOM」は誰が構築し運用／管理すべきか【後編】
近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象を紹介し考察する本連載。今回は、製造業においてどの部門がSBOMを管理すべきかについて論じる。
組み込み機器のセキュリティ対策はどうなっているのか？　2025年版調査レポート
MONOist編集部は「組み込み機器向けサイバーセキュリティ対策の動向調査（2025年版）」を実施した。調査期間は2025年11月17日～12月8日で、有効回答数は342件だった。調査結果の詳細をレポート形式でお届けする。
米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。