EUサイバーレジリエンス法の整合規格整備状況の現状
本コラムでは、EUサイバーレジリエンス法(Regulation(EU)2024/2847、EU Cyber Resilience ACT、以降CRA)の適合基準である整合規格(harmonised standards)の整備状況について概説します。なお、本コラムは2025年7月に執筆しており、正式な制度開始時には内容が異なる部分がある可能性があることをご認識ください。
CRAは、情報の授受が前提となった社会で、インシデントが起こらないための事前対策に加え、起きてしまったときの影響を最小限に抑え、迅速に回復することを目的としています。この規則は、ネットワークに接続する機能を持つデジタル製品およびその製造業者等が守るべき事項を定めた、EUの規則(Regulation)であり、EU加盟各国の法律を直接上書きするものです。CRAの詳細は先のコラム「日本のIoT製品のセキュリティ適合性評価制度とEUサイバーレジリエンス法について」をご確認ください。
JC-STAR制度の運用開始とCRAへの適合を支援する欧州標準(整合規格)の整備要請
先のコラムを公開して1年ほどが経過しようとしていますが、この間、日本のIoT製品のセキュリティ適合性評価制度は、JC-STAR制度[1]として運用が開始され、同制度における基準★1に適合した製品の登録が始まっています。当社もJC-STAR検証事業者として、★1の適合性評価を行うサービスの提供を開始しています[2]。
一方、CRAについては、2026年9月の製造業者の報告義務(CRA第14条 悪用されている脆弱性、重大なインシデントに関する報告)の適用、そして2027年12月の完全施行に向けて、整合規格の整備が進められています。
2025年2月3日、欧州委員会は、3つの欧州標準化機構 CEN[3]、CENELEC[4]、ETSI[5]に対し、CRAに基づく製品のサイバーセキュリティ要件に対応し、適合を支援する欧州標準(整合規格)の策定を要請(M/604[6])しました。これに対して、2025年4月3日、CEN、CENELEC、ETSIはこの要請を正式に受理し、CRAの適用開始までに41の整合規格を提供することを約束しています。
CRA整合規格の分類
JC-STARの適合基準がすべての製品に適用される基準★1と、製品群固有の基準(★2以上)に分かれているのと同様に、CRAの整合規格は、対象とする製品群に応じて、二つのクラスに分けて整備されています。
- •水平規格:製品に依存せずフレームワーク指向で、全体に適用できる基礎的なガイダンスを提供する規格
- •垂直規格:製品固有であり、特定のカテゴリのデジタル製品を対象とした要件を提供する規格
整合規格の採択・発行スケジュールは、クラスに応じて異なっています。そこで、次にCRAの施行と上記の要請に基づいて定められた整合規格発行のタイムラインについて確認しましょう。
CRAの施行と整合規格発行に向けたタイムライン
図1は、CRAの施行と整合規格発行に向けたタイムラインを示しています。図の上段はCRA完全施行までのイベント、下段は整合規格の発行時期を示しています。
2027年12月11日におけるCRAの完全施行に先立ち、2026年9月11日以降は、悪用されている脆弱性および重大なインシデントに関する報告義務が適用されます。これに向けて、リスクに基づいて適切なレベルのサイバーセキュリティを確保する方法でデジタル製品を設計・開発・製造するための整合規格と、デジタル製品の脆弱性処理に関する整合規格(いずれも水平規格)が2026年8月30日までに採択される予定となっています。
その後、完全施行に備え、製品固有の特定カテゴリのデジタル製品向けの要件を提供する整合規格(垂直規格)が2026年10月30日までに、CRAの必須要件に関する整合規格(水平規格)が2027年10月30日までに採択され、欧州官報で発行される予定となっています。
製品カテゴリ固有の垂直規格はCRAの完全施行の少なくとも1年前までには提供される予定であるのに対して、すべての製品に適用できる水平規格はデジタル製品のサイバーセキュリティの採択予定である2027年10月30日、つまり完全施行の2027年12月の直前が採択期限となっている点に、注意が必要です。
図1:CRAの施行と整合規格発行に向けたタイムライン
CRA整合規格の一覧
次の表1は、要請M/604に基づいて整備が開始されているCRAの整合規格を一覧化し、対応するCRAの条項番号とともに整理したものです。要請の当初では、項番に挙げられている41の規格の整備が求められていましたが、例えば項番2~14はCRAの附属書I パート I (2) にある必須のサイバーセキュリティ要件の各項番に相当しており、整合規格としてはこれらをまとめて1つの規格となる可能性があります。また、項番17のように規格そのものが二つに分けて作られるものもあり、厳密に41個の規格として作られるわけではなさそうです。また、項番20,
21, 22, 25, 27, 36のように産業用自動制御システムの規格の分野向けプロファイルEN 62443-5 シリーズとして整備されるものもあるようです。
すべての製品に適用できる水平規格は項番1~15に相当する規格であり、製品カテゴリ固有の垂直規格は、項番16~41に相当する規格です。
スクロールできます→
| 項番 | 規格参照番号 | 規格名 | 概要 | 対応CRA項番 | 採択期限 |
|---|---|---|---|---|---|
| 1 | EN xxxxxx (別途定義) |
デジタル要素を備えた製品のサイバーセキュリティ要件 - サイバーレジリエンスの原則 | リスクに基づいて適切なレベルのサイバーセキュリティを確保する方法でデジタル要素を備えた製品を設計、開発、製造するための欧州規格 | 附属書I パートI (1) | 2026/8/30 |
| 2~14 | EN xxxxxx (別途定義) |
デジタル要素を備えた製品のサイバーセキュリティ要件 - 一般的なセキュリティ要件 | CRA必須要件の欧州規格 | 附属書I パートI (2)(a)~(m) | 2027/10/30 |
| 15 | EN xxxxxx (別途定義) |
デジタル要素を備えた製品のサイバーセキュリティ要件 - 脆弱性への対応 | デジタル要素を備えた製品の脆弱性処理に関する欧州規格 | 附属書I パートII | 2026/8/30 |
| 16 | EN xxxxxx (別途定義) |
認証およびアクセス制御リーダー(生体認証リーダーを含む)を含む、ID管理システムおよび特権アクセス管理ソフトウェアとハードウェア:規則2024/2487(CRA)の必須要件を満たすための基準 | 認証およびアクセス制御リーダー(生体認証リーダーを含む)を含む、アイデンティティ管理システムおよび特権アクセス管理ソフトウェアとハードウェアの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (1) | 2026/10/30 |
| 17a | EN 304 617-1 | 組み込みブラウザの必須サイバーセキュリティ要件に関する欧州規格 | スタンドアロンおよび組み込みブラウザの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (2) | 2026/10/30 |
| 17b | EN 304 617-2 | スタンドアロンブラウザの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (2) | 2026/10/30 | |
| 18 | EN 304 618 | パスワードマネージャの必須サイバーセキュリティ要件に関する欧州規格 | パスワードマネージャの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (3) | 2026/10/30 |
| 19 | EN 304 619 | 悪意のあるソフトウェアを検索、削除、または隔離するソフトウェアの必須サイバーセキュリティ要件に関する欧州規格 | 悪意のあるソフトウェアを検索、削除、または隔離するソフトウェアの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (4) | 2026/10/30 |
| 20a | EN 304 620 | 仮想プライベートネットワーク(VPN)機能を備えたデジタル要素を備えた製品の必須サイバーセキュリティ要件に関する欧州規格 | 仮想プライベートネットワーク(VPN)機能を備えたデジタル要素を備えた製品に対する必須のサイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (5) | 2026/10/30 |
| 20b | EN 62443-5-XX (別途定義) |
仮想プライベートネットワーク(VPN)機能を備えたデジタル要素を備えた製品のセキュリティプロファイル | 附属書III クラスI (5) | 2026/10/30 | |
| 21a | EN 304 621 | ネットワーク管理システムの必須サイバーセキュリティ要件に関する欧州規格 | ネットワーク管理システムの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (6) | 2026/10/30 |
| 21b | EN 62443-5-XX (別途定義) |
ネットワーク管理システムのセキュリティプロファイル(IEC 62443に基づく) | 附属書III クラスI (6) | 2026/10/30 | |
| 22a | EN 304 622 | セキュリティ情報・イベント管理(SIEM)システムにおける必須サイバーセキュリティ要件に関する欧州規格 | セキュリティ情報イベント管理(SIEM)システムの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (7) | 2026/10/30 |
| 22b | EN 62443-5-XX (別途定義) |
セキュリティ情報・イベント管理(SIEM)システムのセキュリティプロファイル(IEC 62443に基づく) | 附属書III クラスI (7) | 2026/10/30 | |
| 23 | EN 304 623 | ブートマネージャーのための必須サイバーセキュリティ要件に関する欧州規格 | ブートマネージャーのための必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (8) | 2026/10/30 |
| 24 | EN 304 624 | 公開鍵インフラストラクチャおよびデジタル証明書発行ソフトウェアの必須サイバーセキュリティ要件に関する欧州規格 | 公開鍵インフラストラクチャおよびデジタル証明書発行ソフトウェアの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (9) | 2026/10/30 |
| 25a | EN 304 625 | 物理および仮想ネットワークインターフェースの必須サイバーセキュリティ要件に関する欧州規格 | 物理および仮想ネットワークインターフェースの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (10) | 2026/10/30 |
| 25b | EN 62443-5-XX (別途定義) |
物理および仮想ネットワークインターフェースのセキュリティプロファイル(IEC 62443に基づく) | 附属書III クラスI (10) | 2026/10/30 | |
| 26 | EN 304 625 | オペレーティングシステムの必須サイバーセキュリティ要件に関する欧州規格 | オペレーティングシステムの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (11) | 2026/10/30 |
| 27a | EN 304 627 | ルータ、インターネット接続用モデム、およびスイッチの必須サイバーセキュリティ要件に関する欧州規格 | ルータ、インターネット接続用モデム、スイッチの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (12) | 2026/10/30 |
| 27b | EN 62443-5-XX (別途定義) |
ルータ、インターネット接続用モデム、およびスイッチのセキュリティプロファイル(IEC 62443に基づく) | 附属書III クラスI (13) | 2026/10/30 | |
| 28, 29 | EN 50XXX (別途定義) |
セキュリティ関連機能を備えたマイクロプロセッサおよびマイクロコントローラに対するサイバーセキュリティ要件 | セキュリティ関連機能を備えたマイクロプロセッサの必須サイバーセキュリティ要件に関する欧州規格およびセキュリティ関連機能を備えたマイクロコントローラの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (13), (14) | 2026/10/30 |
| 30 | EN xxxxxx (別途定義) |
セキュリティ関連機能を備えた特定用途向け集積回路(ASIC)およびフィールドプログラマブルゲートアレイ(FPGA)の必須サイバーセキュリティ要件に関する欧州規格 | セキュリティ関連機能を備えた特定用途向け集積回路(ASIC)およびフィールドプログラマブルゲートアレイ(FPGA)の必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (15) | 2026/10/30 |
| 31 | EN 304 631 | スマートホーム汎用仮想アシスタントの必須サイバーセキュリティ要件に関する欧州規格 | スマートホーム汎用仮想アシスタントの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (16) | 2026/10/30 |
| 32 | EN 304 632 | スマートドアロック、セキュリティカメラ、ベビーモニタリングシステム、警報システムなどのセキュリティ機能を備えたスマートホーム製品に必須のサイバーセキュリティ要件に関する欧州規格 | スマートドアロック、セキュリティカメラ、ベビーモニタリングシステム、警報システムなどのセキュリティ機能を備えたスマートホーム製品に必須のサイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (17) | 2026/10/30 |
| 33 | EN 304 633 | 指令2009/48/ECの対象となる、ソーシャルインタラクティブ機能(会話や撮影など)または位置追跡機能を備えたインターネット接続玩具の必須サイバーセキュリティ要件に関する欧州規格 | 指令2009/48/ECの対象となる、ソーシャルインタラクティブ機能(会話や撮影など)または位置追跡機能を備えたインターネット接続玩具の必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (18) | 2026/10/30 |
| 34 | EN 304 634 | 健康モニタリング(追跡など)の目的を持ち、規則(EU)2017/745または規則(EU)2017/746が適用されない、人体に装着または配置される個人用ウェアラブル製品、または子供が使用することを意図した個人用ウェアラブル製品に関する必須のサイバーセキュリティ要件に関する欧州規格 | 健康モニタリング(追跡など)の目的を持ち、規則(EU)2017/745または規則(EU)2017/746が適用されない、人体に装着または配置される個人用ウェアラブル製品、または子供が使用することを意図した個人用ウェアラブル製品に関する必須のサイバーセキュリティ要件に関する欧州規格 | 附属書III クラスI (19) | 2026/10/30 |
| 35 | EN 304 635 | 仮想化されたオペレーティングシステムおよび類似の環境の実行をサポートするハイパーバイザーおよびコンテナランタイムシステムに対する必須のサイバーセキュリティ要件に関する欧州規格 | オペレーティングシステムおよび類似環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステムの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスII (1) | 2026/10/30 |
| 36a | EN 304 636 | ファイアウォール、侵入検知および/または侵入防止システムに関する必須サイバーセキュリティ要件に関する欧州規格 | ファイアウォール、侵入検知および/または防止システムの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラスII (2) | 2026/10/30 |
| 36b | EN 62443-5-XX (別途定義) |
ファイアウォールおよび侵入検知および防止システムのセキュリティプロファイル(IEC 62443に基づく) | 附属書III クラスII (2) | 2026/10/30 | |
| 37, 38 | EN 5XXXX (別途定義) | 耐タンパー性マイクロプロセッサおよびマイクロコントローラに対するサイバーセキュリティ要件 | 耐タンパー性マイクロプロセッサの必須サイバーセキュリティ要件に関する欧州規格と耐タンパー性マイクロコントローラの必須サイバーセキュリティ要件に関する欧州規格 | 附属書III クラス II (3), (4) | 2026/10/30 |
| 39 | EN xxxxxx (別途定義) |
セキュリティボックスを備えたハードウェアデバイスのサイバーセキュリティ要件 | セキュリティボックスを備えたハードウェアデバイスに必須のサイバーセキュリティ要件に関する欧州規格 | 附属書IV (1) | 2026/10/30 |
| 40 | EN xxxxxx (別途定義) |
デジタル要素を備えた製品のサイバーセキュリティ要件 – スマートメーターゲートウェイ | 指令(EU)2019/944の第2条(23)で定義されるスマートメーターシステム内のスマートメーターゲートウェイおよび安全な暗号処理を含む高度なセキュリティ目的のその他のデバイスに対する必須のサイバーセキュリティ要件に関する欧州規格 | 附属書IV (2) | 2026/10/30 |
| 41a | EN xxxxxx (別途定義) |
スマートカードおよび類似デバイス(セキュアエレメントを含む)のEUCC認証プラットフォームのサイバーレジリエンス | スマートカードまたは類似のデバイス(セキュアエレメントを含む)の必須サイバーセキュリティ要件に関する欧州規格 | 附属書IV (3) | 2026/10/30 |
| 41b | EN xxxxxx (別途定義) |
スマートカード、類似デバイス、およびセキュアエレメント - 規則(EU)2024/2847の必須要件への適合を達成するための基準 | 附属書IV (3) | 2026/10/30 |
最後に
本コラムでは、CRAの技術基準である整合規格の現時点での整備状況について確認しました。これらの整合規格は、2026年から2027年にかけて採択され、欧州官報において発行が予定されていますが、現時点(2025年7月)では、ドラフト段階にあります。製造業者や関係者は、ドラフト規格やガイダンスの公開状況を継続的に確認し、早期に対応の準備を進めることが推奨されます。
注釈
- [1]独立行政法人 情報処理推進機構 セキュリティ要件適合評価及びラベリング制度(JC-STAR)
https://www.ipa.go.jp/security/jc-star/index.html - [2]NTTデータ先端技術、IoT製品に対するセキュリティラベリング制度「JC-STAR」の 検証事業者として活動を開始
https://www.intellilink.co.jp/topics/news_release/2025/062400.aspx
https://www.intellilink.co.jp/business/security/smart-device-diagnostics.aspx - [3]Comité Européen de Normalisation, European Committee for Standardization, 欧州標準化委員会
- [4]Comité Européen de Normalisation Electrotechnique, European Committee for Electrotechnical Standardization, 欧州電気標準化委員会
- [5]European Telecommunications Standards Institute, 欧州電気通信標準化機構
- [6]C(2025)618 – Standardisation request M/606
https://ec.europa.eu/growth/tools-databases/enorm/mandate/606_en
- ※文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。