EUサイバーセキュリティ規制の「NIS2」と「CRA」が日本企業に与える影響と対応策

　一方のCRAは、EU市場向けに製品を展開する企業に対し極めて広範な影響を及ぼす。ツィメルマン氏は「『デジタル要素を含む製品』という定義は非常に広く、ハードウェアだけでなく単体のソフトウェアも含まれる。原則、ネット接続機能を持つ全ての製品が対象になると考えてほしい」と強調する（図3）。

図3：CRAの適用になるかどうかを判断する流れ

　具体的には、設定でWi-Fiを無効化した製品や、スマート家電に付随するアプリケーションも、この法律の適用対象だ。ただし、医療機器や自動車など既に専門の規制が存在する分野はCRAの適用外になる。

CRAへの早期対応では“適合性の推定”がカギに

　特に、2027年12月11日から全面適用されるCRAについてツィメルマン氏は「特に注意すべきは、規制の対象が製品の『モデル』ではなく『個体』である点だ。全面適用日以降にEU市場へ投入する製品は、たとえ、それ以前に投入した製品と同一ロットであっても規制が適用される。2026年9月からは脆弱性の報告義務も加わるため早期の備えが不可欠だ」と指摘する。

　備えとしてツィメルマン氏は“適合性の推定”という仕組みの活用を推奨する。適合性の推定とは「整合規格（hEN）などを適用することでCRAの規制要件を満たしていると法的にみなされる原則」（同）を指す。

　「適合性の推定を得られれば、市場監視当局とのやり取りにおいても証拠提示の責任が当局側に移る。そのため日本製品のEU域内での流通が格段に容易になる。現時点では共通仕様書が未整備であるため、近い将来にリリースされる整合規格をいかに活用するかが実務上のポイントになる」（ツィメルマン氏）という。

　CEN（欧州標準化委員会）やCENELEC（欧州電気標準化委員会）、ETSI（欧州通信規格協会）などの標準化機関は現在、43件の規格策定を進めている。ツィメルマン氏は「水平規格の『40000シリーズ』や、コンシューマーIoT（Internet of Things：モノのインターネット）向け規格の『ETSI EN 303 645』、産業セキュリティの国際標準『IEC 62443』が、将来的に整合規格として採用される可能性がある」とする。

　製品がCRA要件を満たしていることを証明し「CEマーク」を表示するためには、適切な「適合性評価」の手続きを選択する必要がある。「最も一般的なのは、メーカー自身が評価を完結させる『モジュールA（自己評価）』だ。欧州委員会は対象製品の約9割がモジュールA方式に該当するとしている」とツィメルマン氏は説明する（図4）。

図4：自己評価と適合性の推定の対応関係

　認定機関による第三者評価が求められるのは、重要製品（クラス1、クラス2）やクリティカル製品である。「自己評価と適合性の推定は、実務上リンクする場合もあるが、概念としては別物だ。製品タイプに応じた最適な評価手続きを見極める必要がある。スマートフォンなどの一般的な製品については、まだ規格整備が十分ではない現状も把握しておくべきだ」とツィメルマン氏は解説する。

最終製品の責任は原則、メーカーにある

　また、複雑なサプライチェーンを抱えるメーカーに対しては「最終製品メーカーが責任を負うという原則に留意すべきだ」とツィメルマン氏は指摘する。「CRAに直接対応していないコンポーネントを最終製品に組み込むこと自体は禁じられていない。しかし、最終製品がCRA要件を満たすためには、最終製品の製造メーカー側での安全確認が不可欠」（同）だからだ。

　そこでは「単に取引先にCRAの適合性を確認するだけでなく、SBOM（Software Bill of Materials：ソフトウェア部品構成表）のレビューや脆弱性管理、技術的な確認などを通じたデューディリジェンスが求められる」（ツィメルマン氏）という。

　IEC 62443シリーズとCRAの整合については現在、コンポーネント要件を定める「IEC 62443-4-2」を中心に検討が進む。ツィメルマン氏は「既にNIS2は施行されており、日本のサービス事業者にも影響が及び始めている。整合規格が完成するまで手を止めるべきではない。IEC 62443に基づく取り組みを実践している企業は、その枠組みを継続し、早期に準備を進めるべきだ」と力説する。