サイバーレジリエンス法

サイバーレジリエンス法（規則 (EU) 2024/2847）は、デジタル要素を含む製品に対する水平的なサイバーセキュリティ要件に関する欧州連合の規則です。2024年11月20日に官報に掲載され、2024年12月10日に発効し、ほとんどの義務は2027年12月11日から適用されます。

適用範囲

CRAは、ハードウェアおよびソフトウェア製品を含む、EU市場に投入されるデジタル要素を含むすべての製品に適用されます。製造業者、輸入業者、販売業者を対象とし、製品ライフサイクル全体にわたるサイバーセキュリティ要件を定めています。

主な要件

• デジタル要素を含む製品のセキュリティ・バイ・デザインおよびセキュリティ・バイ・デフォルト
• 製造業者の脆弱性管理およびセキュリティアップデート義務
• 24時間以内のENISAへのインシデントおよび脆弱性報告義務（第14条）
• 製品リスクカテゴリに基づく適合性評価手続
• ソフトウェア部品表（SBOM）要件
• 最大1,500万ユーロまたは全世界売上高の2.5%の罰金による市場監視と執行

条文

左側の目次を使用して、規則の全文を条文ごとにご覧ください。