EU サイバーレジリエンス法

EU CRAは製品を3つのカテゴリに分類します。(1) 一般製品（Default）：自己評価で十分で、ほとんどのコネクテッド消費者製品に適用されます。(2) 重要製品 Class I：ルーター、OS、産業用コントローラーなど、第三者審査が必要です。(3) 重要製品 Class II：産業用ファイアウォール、HSM、スマートメーターなど、最も厳格な第三者認証が必要です。台湾企業は輸出前に製品分類を確認し、Class IIは認証に12〜18ヶ月かかる場合があります。

EU CRAの主要なスケジュールは以下の通りです。2024年12月に正式発効。2026年9月には製造業者が脆弱性報告メカニズムを確立する必要があります。2027年9月には全面的な強制実施となり、EU市場の全コネクテッド製品はCRAに準拠しCEマークを貼付する必要があります。台湾企業は2025年末までにギャップ評価を開始し、2026年に設計改善、2027年上半期に認証を完了し、余裕を持たせることを推奨します。

EU CRAは主にIEC 62443（OT/ICS環境向け産業制御システムセキュリティ）とETSI EN 303 645（消費者IoTデバイスセキュリティ基準）に対応しています。EN IEC 62443-4-2はコンポーネントレベルの技術要件をカバーします。TISAXやISO 21434を持つ自動車メーカーは、セキュリティプロセスの一部を再利用できます。クロスフレームワーク統合評価により、重複を避け、認証コストを30-50%削減することが可能です。

以下の台湾企業が優先的にEU CRAに準拠する必要があります。(1) 電子製造業（EMS/ODM/OEM）：欧州ブランド向けにコネクテッド製品、IoTデバイス、スマート家電を製造する企業。(2) 産業制御機器メーカー：PLC、SCADA、HMIなどを製造しEUに輸出する企業。(3) 車載電子部品サプライヤー：欧州自動車メーカーのサプライチェーンに参入しており、TISAX/ISO 21434をIEC 62443フレームワークに拡張する必要がある企業。(4) ネットワーク機器メーカー：ルーター、スイッチ、産業用ゲートウェイ製造業者（Class I製品で第三者審査が必要）。

EU CRAは、製造業者に対し、上市後の脆弱性管理メカニズムの確立を求めています。(1) 積極的に悪用されている脆弱性を発見した場合、24時間以内にENISAおよび管轄当局に報告。(2) 重大なセキュリティインシデントは72時間以内に報告。(3) 製品の合理的な寿命（最低5年）の間、セキュリティ更新を受け取れるよう更新メカニズムを確立。(4) 製品販売終了後も最低10年間は脆弱性報告チャネルを維持。この義務は2026年9月から発効します。

EU CRAは個人情報保護と密接に関連しています。個人データを処理するコネクテッドデバイス（スマート家電、ウェアラブル、健康機器など）は、CRAとGDPRの両方の規制を受けます。CRAは、設計段階でのデータ最小化、デフォルトでの安全な設定、強制的なアクセス制御など、GDPRの「プライバシーバイデザイン」原則と重なるプライバシー保護メカニズムを要求します。統合された評価プロセスにより、CRA、GDPR、ISO 27701の3つの要件を満たし、コンプライアンスコストを削減できます。