＜目次＞
1. サイバーレジリエンス法が適用される製品の範囲
(1) デジタル製品（“products with digital elements”）
(2) 適用除外
2. サイバーレジリエンス法が適用される事業者の範囲
3. 規制の概要
(1) 事業者の義務
① 製造業者の義務
② 輸入業者の義務
③ 流通業者の義務
(2) デジタル製品に要求されるサイバーセキュリティ要件
4. 罰則・制裁等
(1) 是正措置
(2) 制裁金
5. 施行日・経過措置
6. おわりに

　2024年12月10日に、EUにおけるサイバーセキュリティに関する規則であるサイバーレジリエンス法（Cyber Resilience Act（CRA）。以下「サイバーレジリエンス法」といいます。）が発効しました。サイバーレジリエンス法によって、デジタル要素を含む製品の製造業者や流通業者に対して共通のサイバーセキュリティルールが導入されるとともに、法所定のサイバーセキュリティ要件を満たさないデジタル要素を含む製品はEU市場から排除されることとなります。
　後記2.で後述するとおり、サイバーレジリエンス法は、EU域内に拠点を有しない日本企業にも適用され得るため、適用の可能性のある企業は、サイバーレジリエンス法の適用の有無を検討し、適用がある場合には対応を進める必要があります。
　本稿では、①どのような製品にサイバーレジリエンス法が適用されるのか（後記1）、②どのような場合に日本企業にサイバーレジリエンス法が適用されるのか（後記2）、③適用される規制の概要（後記3）、④罰則・制裁等（後記4）、及び⑤施行日・施行の猶予措置（後記5）について概観します。

1. サイバーレジリエンス法が適用される製品の範囲

(1) デジタル製品（“products with digital elements”）

　サイバーレジリエンス法は、EU市場に上市されたデジタル要素を含む製品であって、意図された目的又は合理的に予見可能な使用方法に、デバイス又はネットワークへの直接又は間接の論理的又は物理的なデータ接続が含まれるものに適用されます（2条1項）。デジタル要素を含む製品（以下「デジタル製品」といいます。）とは、ソフトウェア又はハードウェア製品、及びその遠隔データ処理（※）ソリューションをいい、別個に上市されるソフトウェア・ハードウェアコンポーネントも含むとされています（3条1号）。つまり、IoT機器、スマートデバイス、通信機器の他、商用のSaaSやオープンソースソフトウェアなど、幅広い製品が対象となり得ます。

　※「遠隔データ処理」とは、製造業者によって設計・開発され、又は製造業者の責任の下に行われる、遠隔でのデータ処理をいい、当該データ処理がない場合、デジタル製品がその機能の1つを実行することができなくなるものをいいます（3条2号）。

　なお、デジタル製品は、①クリティカルなデジタル製品、②重要なデジタル製品、及び③通常のデジタル製品に分かれており、これらの分類に応じてサイバーセキュリティ要件への適合性評価の手続が異なります（後記3.（1）①参照）。

分類	該当し得る製品の例
①クリティカルなデジタル製品 （critical products）	1.セキュリティボックス付きハードウェアデバイス 2. Directive (EU) 2019/944 of the European Parliament and of the Councilの2条23号に定義されるスマート・メーター・システム内のスマート・メーター・ゲートウェイ、及び安全な暗号処理を含む高度なセキュリティ目的のためのその他のデバイス 3. セキュアエレメントを含むスマートカード又は類似デバイス
②重要なデジタル製品 （important products）	ANNEX IIIに定めるカテゴリ（下記クラスI及びII）に当たり、次のいずれかを満たすもの（7条2項） ① デジタル製品が、他の製品、ネットワーク、又はサービスのサイバーセキュリティにとって重要な機能（認証とアクセスの保護、侵入防止と検知、エンドポイントセキュリティ、ネットワーク保護等）を主に実行すること ② デジタル製品が、ネットワーク管理、構成制御、仮想化又は個人データの処理を含む中央システム機能等の直接的な操作を通じて、他の多数の製品又はそのユーザの健康、セキュリティ、若しくは安全性に関して、混乱を生じさせ、支配し、又は損害を与える、その強度及び能力の点で悪影響を生じさせる重大なリスクを有する機能を実行すること
	【クラスI】 1. 生体認証リーダーを含む認証及びアクセス制御リーダーを含むID管理システム並びに特権アクセス管理ソフトウェア及びハードウェア 2. スタンドアロン及び組み込みブラウザ 3. パスワードマネージャ 4. マルウェアの検知、削除、隔離を行うソフトウェア 5. VPN機能を持つデジタル製品 6. ネットワーク管理システム 7. セキュリティ情報・イベント管理（SIEM）システム 8. ブートマネージャ 9. 公開鍵基盤及び電子証明書発行ソフトウェア 10. 物理的及び仮想的なネットワークインターフェース 11. オペレーティングシステム（OS） 12. ルーター、インターネット接続用モデム、スイッチ 13. セキュリティ関連機能を持つマイクロプロセッサ 14. セキュリティ関連機能を持つマイクロコントローラ 15. セキュリティ関連機能を持つ特定用途向け集積回路（ASIC）及びフィールドプログラマブルゲートアレイ（FPGA） 16. 汎用スマートホームバーチャルアシスタント 17. スマートドアロック、防犯カメラ、ベビーモニタリングシステム、警報システム等、セキュリティ機能を備えたスマートホーム製品 18. Directive 2009/48/EC of the European Parliament and of the Councilの対象となるインターネットに接続された玩具で、ソーシャルインタラクティブ機能（会話や撮影等）を有するもの、又は位置追跡機能を有するもの。 19. 健康監視（トラッキング等）を目的とし、Regulation (EU) 2017/745 又は (EU) No 2017/746が適用されない、人体に装着又は装着される個人用ウェアラブル製品、又は子供による使用及び子供のための使用を意図した個人用ウェアラブル製品	【クラスII】 1. オペレーティングシステム及び類似環境の仮想化実行をサポートするハイパーバイザー及びコンテナランタイムシステム 2. ファイヤウォール、侵入検知・防止システム 3. 耐タンパー性マイクロプロセッサ 4. 耐タンパー性マイクロコントローラ
③通常のデジタル製品	重要なデジタル製品、又はクリティカルなデジタル製品に該当しないデジタル製品

(2) 適用除外

　サイバーレジリエンス法は、デジタル製品のうち、(a)医療機器規則（Regulation (EU) 2017/745）、(b)体外診断用医療機器規則（Regulation (EU) 2017/746）、又は(c)自動車の型式認証に関する一般規則（Regulation (EU) 2019/2144）が適用されるデジタル製品（2条2項）、民間航空分野における一般規則（Regulation (EU) 2018/1139）に則って認証されているデジタル製品（同条3項）、国家安全保障又は軍事のみを目的として製造されるデジタル製品、機密情報を処理するために特別に設計されたデジタル製品（同条7項）等については適用が除外されており、これらのデジタル製品には各個別法が適用されることになります。
　また、デジタル製品の機能をサポートしないウェブサイトや、デジタル製品の製造者の責任外で設計・開発されたクラウドサービス、オープンソースソフトウェア（open-source software）のうち商業活動の過程で頒布又は使用されるために市場に提供されたものでないものについても、サイバーレジリエンス法の適用範囲から除外されています（前文12号、18号）。

2. サイバーレジリエンス法が適用される事業者の範囲

　サイバーレジリエンス法が適用される主体は、以下のとおり定められています。

主体	サイバーレジリエンス法が適用される要件
製造業者 （manufacturer）	デジタル製品を開発若しくは製造する、又はデジタル製品を設計、開発若しくは製造させ、有償、収益化、無償を問わず、その名称又は商標の下で販売する自然人又は法人（3条13号）
輸入業者 （importer）	EU域外で設立された自然人又は法人の名称又は商標を付したデジタル製品を市場に上市する、EU域内で設立された自然人又は法人（3条16号）
流通業者 （distributor）	製造業者又は輸入業者以外のサプライチェーンに属する自然人又は法人で、デジタル製品を、その特性に影響を与えることなくEU市場で入手可能にする者（3条17号）

　なお、以下の場合には、製造業者に当たらない場合であっても、製造業者とみなされ、その義務が課されるとされているため注意が必要です。
(a) 輸入業者又は流通業者が、自身の名称又は商標の下でデジタル製品を上市する場合、又は既に上市されているデジタル製品に対して実質的な変更を行う場合（21条）
(b) 製造業者、輸入業者若しくは流通業者以外の自然人又は法人であって、デジタル製品に実質的な変更を加え、かつその製品を上市する者（22条。ただし、義務の対象は、実質的な改変によって影響を受けるデジタル製品の全部又は一部に限る。）

3. 規制の概要

(1) 事業者の義務

① 製造業者の義務

　製造業者の義務は13条以下に定められており、その主なものは以下のとおりです。

i. デジタル製品上市前の義務

　製造業者は、EU市場に上市されるデジタル製品について、サイバーセキュリティ要件（後記（2））を満たすようにデジタル製品が設計、開発及び製造されていることを保証することが求められます（13条1項）。そのため、製造業者は、デジタル製品の上市前に、①サイバーセキュリティリスクアセスメントの実施及び文書化（13条2項、3項）、②技術文書の作成（13条12項、31条）、③適合性評価の実施（12条12項、32条）、④EU適合宣言書の作成（13条12項、28条）、及び⑤「CEマーク」のデジタル製品への貼付（13条12項、29条、30条）といった対応を講じる必要があります。
　また、デジタル製品に第三者のコンポーネントを組み込む場合は、当該製品についてデュー・デリジェンスを実施し、当該製品がデジタル製品のセキュリティリスクを高めるものではないことを確認する必要があります（13条5項）。当該義務は、サイバーレジリエンス法の適用対象外となっている商業活動外で市場に提供されたフリーソフトウェアやオープンソースソフトウェアのコンポーネントを組み込む場合にも及ぶことに注意が必要です（同条項）。

ii. デジタル製品上市時～上市後の義務

　製造業者は、デジタル製品を上市する際、デジタル製品と共に型式やシリアル番号等の一定の情報を提供する必要があります（13条15項、16項、18項、19項、ANNEX II）。
　また、上市後は、①当該デジタル製品がセキュリティ要件に適合した状態を維持するための手続の確保（13条14項）、②脆弱性情報等の体系的な文書化、及び③最低5年間の「サポート期間」（13条8項）に渡るサイバーセキュリティリスクアセスメント結果のアップデート（13条3項）といった対応を講じることが求められます。
　なお、デジタル製品に該当するソフトウェアについては、新しいバージョンを上市すれば直ちに従前のバージョンのセキュリティ適合性を維持する必要がなくなるわけではない点にも注意が必要です。すなわち、製造業者がソフトウェアについて大幅に変更されたバージョンを上市した場合において、最新バージョンについてのみサイバーセキュリティ適合性を確保すれば足りるのは、旧バージョンのユーザが最新バージョンに無料でアクセス可能であり、かつ、旧バージョンを使用するハードウェア及びソフトウェア環境で利用することに追加のコストが発生しない場合に限られます（13条10項）。

iii. 報告・通知義務

　製造業者は、デジタル製品に積極的に悪用されている脆弱性を認識したときは、コーディネーターとして指定されたComputer Security Incident Response Team（CSRT）及びEuropean Network and Information Security Agency（ENISA）に対し、下記表の報告期限までに下記表の報告事項を報告する必要があります（14条1項、2項）。また、デジタル製品のセキュリティに影響を与える重大なインシデント（※）を認識したときも、CSRT及びENISAに対し、下記表の報告期限までに下記表の報告事項を報告しなければなりません（14条3項、4項）。

※ デジタル製品のセキュリティに影響を与えるインシデントは、以下の場合に「重大」とみなされます（14条5項）。
(a) その製品が、機密又は重要なデータや機能の可用性、信頼性、完全性、又は機密性を保護する能力に悪影響を与え、又は与える可能性がある場合
(b) その製品、又は製品のユーザが使用するネットワーク及び情報システムに、悪意のあるコードが導入又は実行された、又は導入又は実行される可能性がある場合

契機	報告先	報告期限	報告事項
デジタル製品の積極的に悪用されている脆弱性を認識した場合（14条1項）	ENISA 及び CSIRT	【速報】 不当に遅滞することなく、24時間以内	（該当する場合）製造業者が、デジタル製品が販売されていることを認識している加盟国
		【第2報】 不当に遅滞することなく、72時間以内	対象となるデジタル製品に関する一般的な情報
			悪用と脆弱性に関する一般的な性質
			講じられた修正又は緩和措置
			ユーザがとるべき修正又は緩和措置
			（該当する場合）通知された情報の機微の程度について、製造業者の見解
		【最終報】 14日以内	脆弱性の説明（重大性及び影響を含む）
			可能な限り、脆弱性を悪用している、又は悪用していた悪意のある攻撃者に関する情報
			脆弱性を修正するために提供されたセキュリティ更新又はその他の修正措置の詳細
デジタル製品のセキュリティに影響を与える重大なインシデントを認識した場合（14条3項）	ENISA 及び CSIRT	【速報】 不当に遅滞することなく、24時間以内	インシデントが違法又は悪意のある行為によって引き起こされた疑いがあるかどうか
			（該当する場合）製造業者が、デジタル製品が販売されていることを認識している加盟国
		【第2報】 不当に遅滞することなく、72時間以内	（可能な場合）インシデントの性質に関する一般的な情報
			インシデントの初期評価
			講じられた是正措置又は緩和措置
			ユーザがとることができる是正措置又は緩和措置
			（該当する場合）通知された情報の機微の程度に関する製造業者の見解
		【最終報】 第2報から1ヶ月以内	インシデントの詳細な説明（重大性及び影響を含む。）
			インシデントを引き起こした可能性の高い脅威の種類又は根本原因
			適用済み及び進行中の緩和措置

　また、製造業者は、脆弱性及びインシデントによって影響を受けるユーザ、又は適切な場合には全てのユーザに対して、当該脆弱性又はインシデントの情報と、必要な場合には当該脆弱性又はインシデントの影響を軽減するためにユーザがとることのできるリスク軽減策及び是正措置を通知する必要があります（14条8項）。

② 輸入業者の義務

　輸入業者は、デジタル製品を上市する前に、当該デジタル製品にCEマークが貼付されており、製造業者が適合性評価を実施し、技術文書を作成していること等を確認する必要があります（19条1項、2項）。
　また、輸入業者は、サイバーセキュリティ要件に適合しないデジタル製品を上市させてはならず（19条3項）、自らが上市したデジタル製品がサイバーセキュリティ要件に適合しないと判断した場合には、必要な是正措置を講じるか、適切な場合にはリコール等の措置を講じる必要があります（19条5項）。加えて、デジタル製品について脆弱性や重大なサイバーセキュリティリスクをもたらすものであることを把握した場合には製造業者や市場監視当局に報告をすることが求められます（同条項）。

③ 流通業者の義務

　流通業者は、デジタル製品を上市する前に、当該デジタル製品にCEマークが付されており、製造業者及び輸入業者がサイバーレジリエンス法上の義務を履行していることを確認する必要があります（20条2項）。また、流通業者は、サイバーセキュリティ要件に適合しないと判断したデジタル製品をEU市場で流通させてはならず（20条3項）、自らが流通させたデジタル製品がサイバーセキュリティ要件に適合しないと判断した場合には、必要な是正措置を講じるか、適切な場合にはリコール等の措置を行う必要があります（20条4項）。加えて、デジタル製品について脆弱性や重大なサイバーセキュリティリスクをもたらすものであることを把握した場合には流通業者は市場監視当局に報告をすることが求められます（同条項）。

(2) デジタル製品に要求されるサイバーセキュリティ要件

　デジタル製品は、以下のサイバーセキュリティ要件を満たす場合に限り上市することができるとされています（6条）。
(a) デジタル製品がANNEX IのPart Iに定められたセキュリティ要件を満たしていること（ただし、それが適切にインストールされ維持されること、意図された目的又は合理的に予測可能な条件下で使用され、かつ必要に応じて必要なセキュリティアップデートがインストールされている場合に限られます。）
(b) 製造業者が実施するプロセスが、ANNEX IのPart IIに定める脆弱性対応要件に適合していること

セキュリティ要件（ANNEX I Part 1）
(1)	デジタル製品が、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、及び製造されていること
(2)	デジタル製品は、13条2号で言及されるサイバーセキュリティリスクアセスメントに基づき、該当する場合には、以下の要件を満たすこと
(a)	悪用可能な既知の脆弱性がない状態で市場に提供されること
(b)	製品を元の状態にリセットする可能性を含め、オーダーメイドのデジタル製品に関して製造業者と企業ユーザの間で別段の合意がない限り、デフォルト設定で安全な状態で市場に提供されること
(c)	セキュリティアップデートを通じて脆弱性に対処できるようにすること（適用可能な場合には、明確で使いやすいオプトアウト機構を備えたデフォルト設定として有効化された、適切な時間枠内にインストールされる自動セキュリティアップデート、利用可能なアップデートのユーザへの通知、及び一時的にアップデートを延期するオプションを含む。）
(d)	適切な管理メカニズム（認証、ID又はアクセス管理システムを含むがこれに限らない。）により、不正アクセスからの保護を確保し、不正アクセスの可能性について報告すること
(e)	保存、送信、又はその他の方法で処理されたデータ（個人情報又はその他の情報）の機密性を保護すること
(f)	保存、送信、又はその他の方法で処理されたデータ、個人情報、その他の情報、コマンド、プログラム、及び設定の完全性を、ユーザの許可なく操作又は変更から保護し、破損について報告すること
(g)	デジタル製品の意図された目的に関連して、適切で、関連性があり、必要なものに限定された個人又はその他のデータのみを処理すること（データ処理の最小化）
(h)	サービス妨害（DoS）攻撃に対する回復力及び緩和策を含め、インシデント発生後も、必要不可欠かつ基本的な機能の可用性を保護すること
(i)	製品自体または接続されたデバイスが、他のデバイス又はネットワークが提供するサービスの可用性に与える悪影響を最小限に抑えること
(j)	外部インタフェースを含む攻撃対象領域を限定するように設計、開発及び製造されること
(k)	適切な攻撃緩和メカニズム及び技術を使用して、インシデントの影響を低減するように設計、開発及び製造されること
(l)	関連する内部活動（データ、サービス又は機能へのアクセス又は変更を含む。）を記録及び監視することにより、セキュリティ関連情報を提供すること
(m)	ユーザがすべてのデータ及び設定を安全かつ容易に永続的に削除できる可能性を提供し、そのようなデータが他の製品又はシステムに転送される可能性がある場合、これが安全な方法で行われることを保証すること
脆弱性対応要件（ANNEX I Part 2）
(1)	デジタル製品に含まれる脆弱性及びコンポーネントを特定し、文書化すること。これには、少なくとも製品のトップレベルの依存関係を網羅する、一般的に使用され機械で読み取り可能な形式のソフトウェア部品表（SBOM）を作成することが含まれる
(2)	デジタル製品にもたらされるリスクに関連して、セキュリティ更新を提供することを含め、脆弱性に遅滞なく対処し、是正すること。技術的に可能な場合、新しいセキュリティ更新は、機能の更新とは別に提供すること
(3)	デジタル製品のセキュリティについて、効果的かつ定期的なテスト及びレビューを適用すること
(4)	セキュリティアップデートが利用可能になった際には、修正された脆弱性に関する情報を共有し、公開すること。これには、脆弱性の説明、影響を受けるデジタル製品をユーザが特定できる情報、脆弱性の影響、重要性、ユーザが脆弱性を修正するのに役立つ、明確でアクセス可能な情報などが含まれる。製造業者が、公開によるセキュリティリスクがセキュリティ上の利点を上回ると考える正当な理由がある場合には、修正された脆弱性に関する情報の公開を、ユーザが関連するパッチを適用する可能性が与えられるまで延期することができる
(5)	協調的な脆弱性の公表に関する方針を定め、実施すること
(6)	デジタル製品で発見された脆弱性を報告するための連絡先を提供することを含め、デジタル製品及びその製品に含まれるサードパーティコンポーネントの潜在的な脆弱性に関する情報の共有を促進するための措置を講じること
(7)	脆弱性が適時に修正又は緩和され、セキュリティアップデートに該当する場合は自動的な方法で修正又は緩和されることを保証するために、デジタル製品のアップデートを安全に配布する仕組みを提供すること
(8)	特定されたセキュリティ上の問題に対処するためにセキュリティ更新が利用可能である場合には、遅滞なく、かつ、デジタル要素を備えたオーダーメイド製品に関して製造業者と企業ユーザとの間で別段の合意がない限り、無償で、ユーザが取るべき潜在的な措置に関する情報を含む関連情報を提供する勧告メッセージを添付して配布されるようにすること

　デジタル製品等がEU官報（Official Journal of the European Union）に掲載された整合規格（harmonised standards）又は欧州委員会が採択した共通仕様（common specifications）に準拠している場合、当該デジタル製品等はサイバーセキュリティ要件に適合しているものと推定されます（27条1項、2項）。また、EU AI Act（以下「AI法」といいます。）法における高リスクAIシステム（AI法6条）は、当該システムが上記のサイバーセキュリティ要件を満たしており、EU適合宣言においてAI法15条の定めるサイバーセキュリティ保護レベルの達成がEU適合宣言において示されている場合は、同条のサイバーセキュリティ要件を遵守しているものとみなされます（12条）。

4. 罰則・制裁等

(1) 是正勧告

　以下の違反が認められた場合、製造業者は、加盟国の市場監視当局による是正勧告の対象となります（58条1項）。

(a)	CEマークが29条及び30条に違反して貼付されている場合
(b)	CEマークが貼付されていない場合
(c)	EU適合宣言書が作成されていない場合
(d)	EU適合宣言書が正しく作成されていない場合
(e)	適合性評価手続に関与する通知機関の識別番号が付されていない場合（該当する場合）
(f)	技術文書が利用可能でない、又は不完全である場合

　是正勧告に従わずに違反状態を継続させた場合、当該加盟国において、関連するデジタル製品の販売等が禁止される可能性があります（同条2項）。

(2) 制裁金

　サイバーレジリエンス法上の規制への違反に関しては、以下のとおり違反の類型毎に非常に高額な制裁金が定められています。

違反類型	制裁金の上限
ANNEX Ⅰに規定されたサイバーセキュリティ要件、及び13条と14条に規定された義務に違反した場合	前会計年度の世界全体における総売上高の2.5%、又は1500万ユーロのいずれか高い金額（64条2項）
その他の義務に違反した場合	前会計年度における世界全体における総売上高の2%、又は1000万ユーロのいずれか高い金額（64条3項）
市場監視当局等に対する虚偽の情報提供等	前会計年度における世界全体における総売上高額の1%か、500万ユーロのいずれか高い金額（64条4項）

5. 施行日・経過措置

　サイバーレジリエンス法の各条項の適用日は以下のとおりです（71条）。

適用日	条項等
2026年6月11日	第IV章（適合性評価機関に関する規定。35条から51条）
2026年9月11日	14条（製造業者の報告・通知義務）
2027年12月11日	その他の条項

　施行日に関する経過措置の内容は以下のとおりです（69条）。
(a) 2027年12月11日より前に上市されたデジタル製品は、その日以降にそれらの製品に大幅な変更が加えられる場合にのみ、この規則に定められた要件が適用される。
(b) 14条に規定する製造業者の報告・通知義務は、2027年12月11日より前に市場に投入されたサイバーレジリエンス法の適用範囲内にあるすべてのデジタル製品に適用される。

6. 終わりに

　以上のとおり、サイバーレジリエンス法はEUに拠点を置いていない企業も対象となり得ます。また、対象となるデジタル製品の範囲も広範であるため、多くの企業がサイバーレジリエンス法の適用を受ける可能性があります。同法に違反した場合には高額な制裁金を課されるおそれがあるため、同法に違反することがないよう、慎重に検討を進める必要があります。

　当事務所は、Multilaw、ELA及びLAWといった独立系ローファームによるグローバルネットワークの日本における唯一のメンバーファームであるため、EU域内や他の国・地域の法制度に精通したトップレベルの現地法律事務所と連携し、高いクオリティのリーガル・サービスを速やかに提供できる体制を整えております。サイバーレジリエンス法やAI法をはじめとするEU域内の法制度に関するご相談がある場合、お問い合わせフォームよりお気軽にご連絡ください。
　なお、本稿は一般的な法令情報を提供するものであり、日本法以外の法に関するアドバイスや法的意見を提供するものではありません。

以上