はじめに
2026年9月11日、EUサイバーレジリエンス法(CRA)14条の脆弱性・インシデント報告義務が適用開始となる。すでにEU市場に流通している製品であっても、この日以降にCRAが対象とする脆弱性・インシデントを認識すれば当局への報告が求められる。自社製品は対象か、24時間以内の報告体制の整備は間に合うか――本セミナーでは、TMI総合法律事務所の野呂悠登弁護士が、CRAの適用範囲から、施行日に向けた実務対応のロードマップまでを約90分で解説している。
その製品、本当に「対象外」か—広がるCRAの射程
CRAが対象とする「デジタル要素を持つ製品」の射程は、多くの企業が想定するよりも広い。IoT機器やソフトウェア製品だけでなく、製品に付随するクラウドサービスも「リモートデータ処理ソリューション」として規制の対象に入る場合がある。
見落としやすいのが「データ接続」の解釈だ。製品とデバイス又はネットワークへの接続が直接行われる場合のみならず、間接的に行われる場合(例:OSを介して間接的に接続されるオフラインテキストエディタ)も該当しうる。セミナーでは、部品への適用可能性や「市場に置く」の解釈、さらには重要製品・クリティカル製品への該当性と第三者認証の要否など、判断に迷いやすい論点が具体的に整理されている。
まず来たる「報告義務」—2026年9月に問われる体制
CRAの主要な義務は2段階で適用開始となる。先行するのが脆弱性・インシデントの報告義務(適用開始日:2026年9月11日)で、翌年に製品のサイバーセキュリティ要件の遵守義務(適用開始日:2027年12月11日)が続く。
報告義務で特に注意すべきは、認識から24時間以内に「早期警告通知」を当局に提出する必要がある点だ。脆弱性の把握から社内エスカレーション、判断、報告までを1日で完結できる体制が求められる。セミナーでは、脆弱性報告とインシデント報告それぞれの3段階のタイムラインの違いも解説されており、報告フローの設計に直結する内容となっている。
次に対応すべき「製品のサイバーセキュリティ要件の遵守」—2027年12月11日の適用開始に向けてどこから手を付けるか
実務対応は「対象製品の特定→ギャップ分析→実装」の3ステップで進めるアプローチがセミナーでは提案されている。実装は技術・文書・運用の3観点に整理され、サイバーセキュリティリスク評価の文書化からEU適合宣言書の作成、さらにはサポート期間中の継続的な脆弱性対応まで、製造業者に課される主な義務は多数に及ぶ。主な義務違反の制裁金は最大1,500万ユーロ又は全世界年間売上の2.5%。早期に優先順位をつけて着手することが欠かせない。
セミナーではこのほか、附属書に定められたサイバーセキュリティ必須要件や、その要件の一つであるSBoM(ソフトウェア部品表)の作成、さらに質疑応答ではEU機械規則との関係や部品メーカーの責任範囲といった実務上の疑問にも踏み込んでいる。CRA対応の全体像を掴み、二つの施行日に向けた自社のロードマップを描くうえで、確認しておきたい一本だ。
野呂悠登
TMI総合法律事務所 パートナー弁護士
TMI総合法律事務所パートナー弁護士。データ・AI・デジタルビジネスに関連する国内外の法規制を主に取り扱う。個人情報保護委員会事務局に参事官補佐として出向(2017~2018)、キングス・カレッジ・ロンドン修了(知財・情報法LLM 、2021)、Simmons & Simmons法律事務所のロンドンオフィスのDigital Business Teamに出向(2022~2023)。近時の著書・論文・セミナーには、著書『個人情報管理ハンドブック〔第5版〕』、論文「EUデータ法の規律と実務対応」(ビジネス法務、2025)、論文「EU AI法における汎用目的AIモデルの規制の概要と実務上の留意点」(Law & Technology、2026)、セミナー「知っておきたい EUサイバーレジリエンス法の基本と実務対応」(一般社団法人企業研究会、2026)等がある。