CRA (Cyber Resilience Act) 第13条と最新動向

Transcript

1. CRA (Cyber Resilience Act) 第13条と最新動向 January 15, 2026 Linux Foudation

   Japan community days 大阪 OpenSSF Japan Chapter 余保 束 （ルネサスエレクトロニクス） Copyright © 2026 The Linux Foundation®. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks.

2. Disclaimer スピーカーは法律の専門家ではありません。 ここではスピーカーが CRA （EU Cyber Resilience Act ）をウォッチし調べたことを共有しま すが、誤りを含む可能性があります。

   法令の正確・正式な意味・解釈は、別途専門家に確認を取ることをお勧めいたします。 2

3. Agenda • CRA タイムライン • 第13条 製造業者の義務 /第14条 製造業者の報告義務 •

   主な要件の要点（第13条 6項） • 最新動向 • LF Trainingの紹介 • ご協力のお願い：LF Research 2026 Cyber Resiliency Survey 3

4. CRAタイムライン 4

5. EU CRA タイムライン 5 2027 12月 CRA （対策義務） 2024 12月

   2019 製品、サービス、プロセスを対象とした「サイバーセキュリティ認証制度」、 およびインシデントの確率と影響の観点で評価される「保証レベル」の指定 2023 12月 欧州域内における政治的合意発表 2026 9月 CRA （報告義務） 12/11 発効・施行 移行猶予期間36か月 2024/12/11 以前に販売開始した製品についても、 これ以降に出荷を継続する場合は報告義務が発生 2027/12/11 以前に販売開始した製品については 適用範囲外（ただし報告義務はあることに注意） 報告猶予期間21か月 Now (2026/01/15)

6. 第13条 製造業者の義務 第14条 製造業者の報告義務 6

7. CRA 第13条 製造業者の義務 7 1. デジタル製品を市場に出す際、附属書Iの１「セキュリティ特性要件」を遵守して設計・開発・製造 されていることを確認する。 2. サイバーセキュリティ上のリスクアセスメントを実施し、その結果を設計・開発・製造・配送・メンテナ ンスの際の考慮に⼊れる。

   3. デジタル製品を市場に出す際、上記のリスクアセスメントの結果を技術⽂書に含める。 4. 第31条および付属書VIIに従って要求される技術文書には、本条第3項で言及されるサイバーセキュリティリスク評価を含める。 5. 第三者から提供された部品を使⽤する際は、その部品により製品のセキュリティリスクを⾼めないことを保証する。 6. 特定した脆弱性を報告・対処・修復する。対処のための変更は機械可読形式でコンポーネントの製造または保守を行う個人または団体と共有する。 7. デジタル製品に関するサイバーセキュリティ観点の情報を体系的に⽂書化する。 8. サポート期間は5年間と製品の使用期限のうち短い方とし、期間内は製造業者は脆弱性に効果的に対処する。製造業者は脆弱性開等に適切なポリシーや⼿続き を有する。 9. セキュリティアップデート公開から10年間、またはサポート期間のいずれか長い方の期間、セキュリティアップデートを利用可能とする。 10. 大幅な変更バージョンは付属書 I、パート II、ポイント (2) の必須要件に準拠すればよい。最新バージョンへは無料でアクセスでき、旧バージョンユーザーが環 境調整コストなしで適用できること。 11. ユーザーが過去のバージョンおよびサポート外ソフトウェアの使用に伴うリスク情報にアクセスできるようにする。 12. 上市前に製造業者は技術⽂書を作成する。対応する適合性評価⼿続きを⾏い、適合性が実証された場合はCEマーキングを貼付する。 13. 上市後10年間、技術⽂書と（該当する場合は）EU適合性証明書を市場監視当局が⾃由に使えるように保管する。 14. ⼀連の製造の中で、適合性を維持するための⼿順が整備されていることを確認する。 15. 製品の個体識別のため型番、バッチ番号、シリアル番号などを付記する。 16. 製品に製造業者の名前、商標、郵便住所、電子メールアドレスなどのデジタル連絡先、ウェブサイトなどを表示する。 17. 脆弱性報告ための単一の連絡先を附属書 II に記載されているユーザーへの情報および指示に記載する。連絡先はユーザーが通信手段を選択できるようにし、手 段を自動化ツールに限定してはならない。 18. 附属書 II に定めるユーザーへの情報および説明書を紙または電子形式で添付する。情報および説明書は10年間とサポート期間の長い方の期間保持し、オンラ イン提供の場合はアクセス可能とする。 19. 購入時に、第8項のサポート期間の終了日へアクセスできるようにする。可能であれば、製造業者はサポート期間の終了をユーザーに通知する。 20. EU適合性証明書か簡易EU適合宣言を提供する。簡易宣言の場合は完全なEU適合宣言へのURLを提供する。 21. サポート期間内に附属書IＩ「セキュリティ特性要件」を遵守しない場合、直ちに必要な是正措置を講じ製品の撤回またはリコールを⾏う。 22. 市場監視当局からの要求に応じて製品の適合性を証明する情報・⽂書を提出する。 23. 操業を停⽌し義務を遵守できなくなる場合、操業停⽌前に市場監視当局やユーザに通知する。 24. 欧州委員会は実施法の中で、SBOMの形式と要素を指定することができる。 25. ADCO は製品のフリーソフトウェアおよびオープンソースソフトウェアへの依存度評価の実施を決定できる。市場監視当局は附属書I第II部ポイント(1)の SBOM 提供を要求できる。

8. CRA 第14条 製造業者の報告義務 8 1. 悪用されている脆弱性を認識した場合は第7項に従い CSIRT と ENISA に同時に通知する。

   2. 第1項の通知では以下を提出する。 (a) 脆弱性を認識してから24時間以内に早期警告通知 (b) 脆弱性を認識してから72時間以内に、製品の一般情報、悪用の性質、講じられた・またはユーザーが講じられる是正・緩和措置 を含む脆弱性通知 (c) 是正措置または緩和措置が利用可能になってから14日以内に以下を含む最終報告書 (i) 脆弱性の説明（その深刻度および影響を含む） (ii) 入手可能な場合、脆弱性を悪用した悪意のある行為者に関する情報 (iii) 脆弱性修正のためのセキュリティアップデートまたはその他の是正措置に関する詳細 3. 製品のセキュリティに影響を与える重大なインシデントを認識した場合は第7項に従い CSIRT と ENISA に同時に通知する 4. 第3項の通知では以下を提出する。 (a) インシデントを認識してから24時間以内に早期警告通知。違法または悪意のある行為により比企侵された疑いがあるかを含む (b) インシデントを認識してから72時間以内に、インシデントに関する一般情報と初期評価、講じられた・またはユーザーが講じら れる是正・緩和措置を含むインシデント通知 5. 以下の場合インシデントは重大とみなす。 (a) 機密性の高いまたは重要なデータや機能の可用性、真正性、完全性、または機密性を保護する能力に悪影響を及ぼす可能性がある (b) ユーザーのネットワークおよび情報システムにおいて悪意のあるコードの導入または実行につながる可能性がある 6. CSIRT は現在悪用されている脆弱性や重大なインシデントに関する中間レポートの提供を製造元に要求する場合がある。 7. 第1項と第3項の通知は、第16条で規定する単一の報告プラットフォームを介して提出される。 8. 積極的に悪用されている脆弱性または重大なインシデントを認識した場合、これらについてユーザーに通知する。 9. 本法案発効日から12ヶ月以内に欧州委員会は第61条に委任行為を採択する。 10. 欧州委員会は、通知された情報の種類、形式、⼿順を更に指定することができる。 自社製品に対するサイバーセキュリティ・インシデントへの報告・対応・連絡を行う組織が求められる 当該義務は法律施行前に販売を開始し、施行後も出荷を継続する製品にも課せられることに注意 (第69条 経過規程 3)

9. 主な要件の要点 9

10. 要件の要点： 脆弱性管理 10 • サイバーセキュリティリスクアセスメントを行いリスクを最小限に抑えるここと(第13条2) • サイバーセキュリティリスクアセスメントは、文書化され、適宜更新されること(第13条3) • 脆弱性を特定した場合、脆弱性に対処し、その脆弱性を改善しなければならない(第13条6) •

    セキュリティアップデートは上市してから最低10年間、またはサポート期間のどちらか長 い期間提供しなければならない(第13条9) • CSIRT及びENISAに対して製品に含まれる積極的に悪用された脆弱性を通知する(第14条1,2) ・積極的に攻撃された脆弱性に関する脆弱性を知った後24時間以内に早期警告通知 ・72時間以内に是正措置又は緩和措置を含む一般的な情報を提供 ・是正措置又は緩和措置が利用可能となった後14日以内に、最終報告書を作成する

11. 要件の要点： アップデートの提供 11 第13条 8. サポート期間は5年間と製品の使用期限のうち短い方とし、期間内は製造業者 は脆弱性に効果的に対処する。製造業者は脆弱性開等に適切なポリシーや⼿続き を有する。 9. セキュリティアップデート公開から10年間、またはサポート期間のいずれか長

    い方の期間、セキュリティアップデートを利用可能とする。 10. 大幅な変更バージョンは付属書 I、パート II、ポイント (2) の必須要件に準拠す ればよい。最新バージョンへは無料でアクセスでき、旧バージョンユーザーが環 境調整コストなしで適用できること。

12. 要件の要点： アップデートの提供 12 サポート期間※ ※サポート期間：新たに発見された脆弱性についてセキュリティアップデート提供が必要な期間 CRA Article13-9 Manufacturers shall ensure

    that each security update, as referred to in Part II, point (8), of Annex I, which has been made available to users during the support period, remains available after it has been issued for a minimum of 10 years or for the remainder of the support period, whichever is longer. サポート期間終了後もセキュリティアップデート 公開から10年は利用可能 セキュリティアップデート利用可能期間 セキュリティアップデート利用可能期間 10年 サポート期間中は公開したセキュリティアップデートは利用可能

13. 13 Article 13 (6) Manufacturers shall, upon identifying a vulnerability

    in a component, including in an open source-component, which is integrated in the product with digital elements report the vulnerability to the person or entity manufacturing or maintaining the component, and address and remediate the vulnerability in accordance with the vulnerability handling requirements set out in Part II of Annex I. Where manufacturers have developed a software or hardware modification to address the vulnerability in that component, they shall share the relevant code or documentation with the person or entity manufacturing or maintaining the component, where appropriate in a machine-readable format. 第13条(6) 製造業者は、製品に統合されているコンポーネント（オープンソースコンポーネントを含む）に脆弱性 を発見した場合、そのコンポーネントを製造または維持している者または事業体に脆弱性を報告し、附 属書Iの第II部に定められた脆弱性対応要件に従って、その脆弱性に対処し、修正しなければならない。 製造業者がそのコンポーネントの脆弱性に対処するためのソフトウェアまたはハードウェアの修正を開 発した場合、適切な場合には、関連するコードまたは文書を機械可読形式で、そのコンポーネントを製 造または維持している者または事業体と共有しなければならない。 要件の要点： 第13条(6) アップデートの還流義務 製造業者が自社製品に導入しているOSSの脆弱性に対処するために自社でOSSを修正した場合、導入元のOSSコミュ ニティに修正したコードor文書を共有する必要がある（修正した事実と修正内容を周知する義務がある）

14. 最新動向 14

15. CRA関連の最新動向 15 • FAQs on the CRA implementation Cyber Resilience

    Act implementation – Frequently asked questions CRAに対応する際の参考情報としてEuropean Commission expert groupが2025.12.3に発行 • Harmonized Stadards（整合規格） 欧州委員会はデジタル製品がEU官報に掲載された整合規格に適合している場合、CRAのサイバーセキュリティ要件に適 合していると推定する。欧州委員会は整合規格の策定を１つ以上の欧州標準化機関に要請する。（第27条１項） 2025.4.3 欧州委員会からの要請をCEN/CENELEC、ETSIが正式に受理 ・2027年12月11日の1年前までに整合規格を準備 ・Horizontal Standards（製品カテゴリ非依存）とVertical Standards（製品カテゴリ別）の２つのクラスに分けて策定 ・採択予定 Horizontal Standards：2026年8月、Vertical Standards：2026年10月 Interview - convenor of CEN-CENELEC Joint TC 13 - Working Groups 6 and 9

16. LF Trainingの紹介 16

17. EU CRA に関するLF Trainingコースの提供が開始されました（無料） Understanding the EU Cyber Resilience Act(CRA)(LFEL1001)

    17

18. 最後に LF Researchにて、2026年CRA調査アンケート が開始されました。是非、ご協力お願いします。 (アンケート項目は日本語です) 18

19. 19 https://www.research.net/r/CCHXVBV?lang=ja

20. 20 Thank you 20

21. Legal Notice Copyright © Open Source Security Foundation®, The Linux

    Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. 21