EU CRA 網路韌性法合規輔導

EU CRAは2024年12月に正式に施行されますが、段階的な移行期間があります。通知機関の義務（21ヶ月後、2026年9月）、脆弱性報告の義務（21ヶ月後）、全面的な強制施行（36ヶ月後、2027年12月）です。台湾の輸出業者は、2027年12月以降にEU市場への参入を禁止されないよう、直ちに製品の適用性を評価し始めるべきです。

SBOM（Software Bill of Materials、ソフトウェア部品表）は、ソフトウェアを構成するすべてのコンポーネント（オープンソースライブラリ、サードパーティコンポーネント、自社開発コード）をリスト化したものです。CRAがSBOMを要求するのは、多くのソフトウェアの脆弱性がオープンソースコンポーネント（Log4jなど）に由来するためであり、SBOMによってメーカーは影響を受ける製品を迅速に特定し、タイムリーに修正できるようになります。

CRA Annex IIIにリストされているClass Iの重要なPDEには、ID管理ソフトウェア、ブラウザ、パスワードマネージャー、VPN、ネットワーク監視ツール、オペレーティングシステム、ルーター、ファイアウォール、産業用IoTデバイスなどが含まれます。Class IIには、HSM（ハードウェアセキュリティモジュール）、スマートカード、産業用自動化制御システムなどが含まれます。Annex IIIに記載されていない製品は一般PDEに分類され、自己評価が可能です。

台湾の輸出業者には3つの経路があります。1. EU代理人（EU域内で代理人を指定し、CRAのコンプライアンス義務を負わせる）。2. 欧州調和規格への適合（ETSI EN 18031などの調和規格を採用し、CRA要件に適合していると推定される）。3. 第三者認証（Class IIは必須で、EUが承認した通知機関によって認証が行われる）。

CRA違反の最高罰金は、全世界の年間売上高の2.5%または1500万ユーロ（いずれか高い方）です。より深刻な結果は、製品がEU市場での販売を禁止されることであり、欧州市場に依存する台湾の輸出業者にとって、その損失は罰金額をはるかに超えます。

産業用自動化制御システムメーカーにとって、IEC 62443はCRA Annex Iのセキュリティ要件に最も直接的に対応する規格です。IEC 62443認証を取得することは、CRA適合性の重要な根拠となり、CRAコンプライアンスプロセスを大幅に簡素化します。積穗科研は、CRAとIEC 62443の統合コンサルティングを提供しています。

積穂科研は、EU CRA、EU AI Act、IEC 62443の統合コンサルティング能力を持つ台湾でも数少ないコンサルティング機関の一つです。台湾の輸出業者が、EUの4つの法律（CRA + EU AI Act + IEC 62443 + ISO 26262）を統合した最も効果的な経路で欧州市場に参入できるよう支援します。

いいえ。OSレイヤー以上のソフトウェアでも、ネットワーク接続性がある限りCRAの対象となります。CRAのトリガー条件は「ネットワーク接続性」であり、「ハードウェアインターフェース」ではありません。EUの公式FAQは、モバイルアプリとコンピューターゲームをデフォルトカテゴリーPDEの適用例として明示しており、両者ともファームウェアとは無関係の純粋なOSレイヤー以上のソフトウェアです。デスクトップアプリ（ネットワーク接続あり）、モバイルアプリ、ブラウザ拡張機能はすべてCRAの対象となります。唯一の免除は純粋なSaaS（すべてのソフトウェアロジックがクラウドにあり、ダウンロード可能なデバイス側コンポーネントがない）です。

はい。純粋なSaaSはCRA第2条(5)(h)により免除されますが、免除条件は「ダウンロード可能なデバイス側コンポーネントがない」ことです。SaaSにダウンロード可能なモバイルアプリ、デスクトップクライアント（.exe/.dmg）、またはブラウザ拡張機能が含まれる場合、そのデバイス側コンポーネントはCRAのデフォルトカテゴリーまたはクラスI/II要件のトリガーとなります。SaaSコア（クラウド部分）は免除されますが、デバイス側コンポーネントは準拠する必要があります。積穂科研はどのコンポーネントが準拠を必要とするかを明確にし、最小範囲のコンプライアンス経路を計画します。