EUサイバーレジリエンス法の概要と対応ステップ、企業が今取り組むべきことは？

　EUサイバーレジリエンス法（CRA）は、EU市場で販売される全てのデジタル要素を含む製品に対し、ライフサイクル全体にわたるセキュリティ耐性の確保を求める包括的な法規制だ。セキュリティの脆弱性に起因する被害の抑制を目的としており、「規則」として制定されているため、法的拘束力を持つことが大きな特徴となっている。

　もう1つ注意したいのは、CRAは“セキュアバイデザイン”な製品を求める規則であるという点だ。つまり、システムやソフトウェアの設計・開発初期段階からセキュリティを組み込む必要があり、CRAではその詳細な要件を定めている。このような要件を踏まえ、製造企業は早急に対応する必要がある。対応に際しては、技術やプロセスの表面的な変更にとどまらず、組織全体で取り組む姿勢が求められる。

　本資料ではCRAの概要を解説するとともに、対応の段階的なステップとして、「6カ月間」「6～18カ月間」「18カ月以降」の行動指針を提示している。さらに、「サードパーティー管理の重要性」や「オープンソースへの影響」などの関連トピックも取り上げているので、ぜひ参考にしてほしい。