【CRA続報・4/15締切】CRAにおける重要/クリティカル製品の技術的定義(草案)が公開!パブリックコメント募集中
こんにちは、グローバル戦略部の卞 知賢です。
2027年には本格的に適用が始まるとされる欧州サイバーレジリエンス法(CRA)。対応準備を進めている、あるいはまさにこれから本格化させようとしている企業様も多いのではないでしょうか?
CRA対応を進める上で、「うちの製品って、追加の義務がある「重要(Important)製品」や、さらに厳しい「クリティカル(Critical)製品」に該当するんだろうか?」と、具体的な判断基準が明示されていないが故に、悩まれていた方もいらっしゃるかもしれません。
そんな皆さまにとって、「重要製品」「クリティカル製品」の判断のヒントとなりうる「技術的定義」を示した文書の草案が欧州委員会から公開されました。
本ブログでは、この草案が、これまで不明瞭だった点をどのように具体化しようとしているのか、そのポイントといくつかの例を速報としてご紹介します。 自社製品への影響を確認する最初のステップとして、ぜひご一読ください。
今回のアップデートの概要
2025年3月13日、欧州委員会は、CRAの附属書(Annex)III/IVにリストされた「重要(Important)製品」および「クリティカル(Critical)製品」に関する技術的定義を具体化する文書(Technical description of important and critical products with digital elements)の草案を公開しました。そして、2025年4月2日現在、この草案に対するパブリックコメント(意見募集)を実施しています(※1)。
CRAにおける「重要製品」とこれまでの問題点
CRAでは、サイバーセキュリティ上重要な機能を持つか、悪用時の影響が大きい製品を附属書(Annex)IIIで「重要(Important)製品」として指定しており、リスクの大きさによってさらにクラスⅠ/クラスⅡに分類されています。さらに、附属書(Annex)IV では、 「重要製品」の基準に加え、必須エンティティ等への依存性が高い、もしくは重要サプライチェーンへの影響が大きい製品を「クリティカル(Critical)製品」として指定しています。これらの製品に対しては、「重要製品」クラスI であっても特定の条件(※2)を満たさない限り自己適合宣言が認められず、第三者機関の関与が必要となる場合があります。「重要製品」クラスII および「クリティカル製品」については、原則として第三者機関による認証が必須となります。
自社製品が、CRAにおける「通常の製品」なのか、あるいは「重要製品」なのか、さらに厳しい「クリティカル製品」なのかによって、遵守すべき義務、特に適合性評価の厳しさ(=第三者認証の要否)やコスト、開発期間が全く異なります。しかし、これまでのCRAにおいては、「重要製品」と「クリティカル製品」の大まかな定義とカテゴリは示されていたものの、それぞれのカテゴリに具体的にどのような技術仕様や機能を持つ製品が含まれるのかという詳細な定義は示されていませんでした。これにより、多くの企業において、「自社製品が通常の製品より厳しい義務を負うクラスに該当するのか」の判断ができず、具体的なCRA対応計画を立てる上で大きな不確実性を抱えていました。
(※2 )「重要製品」クラスI で、関連する整合規格、共通仕様、または保証レベル「実質的」以上の欧州サイバーセキュリティ認証スキームを適用している場合。(CRA Article 32(1)および(2)参照)
ついに公開!対象製品の判断基準となる「技術的定義(草案)」とは?
この「重要製品」および「クリティカル製品」について、2025年3月13日、各製品カテゴリに関する具体的な「技術的定義」を定めた実施規則の草案が公開されました。
先述した通り、これまでのCRAでは、「重要製品」や「クリティカル製品」は「オペレーティングシステム」「ルーター」といったカテゴリ名でしか示されていませんでしたが、今回の草案では、これらのカテゴリごとに詳細な「技術的定義」が書き加えられています。どのような機能・目的・技術的特性を持つ製品が想定されているのかが、以前より具体的に記述されており、さらに「含まれる製品例」として具体的な製品タイプがいくつも例示されています。これにより、「うちの製品は該当するのか?」という疑問に対して、具体的な検討が可能になりました。
以下に、今回の草案において記載されている各クラスの製品の技術的定義と製品例をいくつかピックアップしてご紹介します(※3)。
【重要(Important)製品クラスⅠ】
- ・セキュリティ機能付きスマートホーム製品
- ・定義概要:家庭環境の物理的セキュリティ(安全性含む)保護を目的とし、遠隔制御・管理可能な製品、およびそれらを中央制御するハードウェア/ソフトウェア
- ・含まれる例:スマートドアロック、セキュリティカメラ、ベビーモニターシステム、警報システム、スマート煙探知機など
【重要(Important)製品クラスⅡ】
- ・ファイアウォール、侵入検知・防御システム
- ・定義概要:ネットワーク通信を監視・制御する製品(ファイアウォール)、侵入を検知・識別する製品(IDS)、侵入に対し能動的に対応する製品(IPS、通常は疑わしいトラフィックをブロック)
- ・含まれる例:(記載なし)
【クリティカル(Critical)製品】
- ・スマートメーターゲートウェイ等(セキュア暗号処理含む)
- ・定義概要:スマートメーターシステム内の通信制御、データ収集・処理・保存、データ保護(暗号化、復号、ファイアウォールによるネットワーク分離)を行う製品
- ・含まれる例:電力用スマートメーターゲートウェイなど(ガス・熱等他のエネルギー用も含む可能性あり)
(※3)上記は草案の抜粋・要約です。必ず原文で全文を確認し、自社製品との照合を行ってください。もし原文をご確認いただく中で、内容についてご不明な点や、今後の対応についてご不安などがございましたら、どうぞお気軽にお問い合わせください。
意見提出のチャンス!締切は2025年4月15日
一方で、上記の定義は、現段階(2025年4月4日)ではあくまでも「草案」であり、解釈が不明瞭な点、技術的に不正確な点、ビジネスの実態にそぐわない点、あるいは過度に広範・厳格すぎると考えられる点などがあれば、パブリックコメントを通じてEU側に意見を伝えることができます。ただし、意見提出の締め切りは【2024年4月15日】 と間近に迫っています。
今後の流れ
これまでのCRAにおいて、「重要製品」および「クリティカル製品」の具体的な技術的定義については、実施法(implementing act)という形式で2025年12月11日までに採択することが欧州委員会の義務として明記されていました。今回公開された草案は、まさにこの義務に基づいて、欧州委員会が策定を進めている文書ということになります。
パブリックコメント募集期間終了後、欧州委員会は提出された意見を分析し、草案の修正を検討します。その後、内部手続き(実施法としての採択プロセス)を経て、最終的な定義がEU官報で公表され、効力を持つことになります。最終決定されるまで、引き続き欧州委員会の発表を注視していく必要があります。
まとめ
CRA対応における大きな不確定要素であった「重要製品」「クリティカル製品」の具体的な技術的定義が、草案という形でついに姿を現しました。これは、自社製品のCRA上の位置づけを把握し、具体的な対応計画を進める上で不可欠な情報です。
同時に、これはまだ最終決定ではなく、意見を届ける機会が残されています。ぜひこの機会を捉え、原文を確認し、自社への影響を評価するとともに、必要であれば声を上げることをご検討ください。
CRA対応は複雑であり、多くの企業様が課題に直面されていることと存じます。今回の技術的定義(草案)の内容確認や、今後の具体的な対応策の検討などでお困りのことがございましたら、どうぞお気軽にお問い合わせください。
■お問い合わせページ
(お問い合わせ対象を「PSIRT支援・製品セキュリティ」に選択の上、お問い合わせください。)
