C
月内に
欧州連合(EU)の「サイバーレジリエンス法(CRA)」が2026年9月から強制適用され、デジタル製品の脆弱性について24時間以内の通報義務が課せられます
📌 一言でいうと
欧州連合(EU)の「サイバーレジリエンス法(CRA)」が2026年9月から強制適用され、デジタル製品の脆弱性について24時間以内の通報義務が課せられます。この規制への対応には、SBOM(ソフトウェア部品表)やHBOM(ハードウェア部品表)の整備による迅速な資産把握能力が不可欠です。サイバーセキュリティはIT部門の課題ではなく、国際的なサプライチェーンへの参入条件となる戦略的な経営課題であると警鐘を鳴らしています。
🔍該当判定
- EU(欧州連合)市場向けに、デジタル機能を持つ製品(ハードウェア・ソフトウェア)を販売・輸出している
- EUの「サイバーレジリエンス法(CRA)」に基づき、製品の脆弱性報告を求められる立場にある
- 自社製品の構成部品を管理するSBOM(ソフトウェア部品表)やHBOM(ハードウェア部品表)をまだ作成・運用していない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. EUサイバーレジリエンス法(CRA)の要件を確認し、自社製品が対象か判定する。
2. SBOM(ソフトウェア部品表)およびHBOM(ハードウェア部品表)の管理体制を構築し、脆弱性検知から影響範囲の特定までの時間を短縮する。
3. 24時間以内の通報を可能にするための社内エスカレーションフローと報告体制を整備する。