EUサイバーレジリエンス法(CRA)の適用範囲と対応の進め方
CRA対応で求められる実務と技術文書・体制整備を体系的に学ぶSBOM・技術文書・P-SIRTなど実践的な対応を具体例で解説
日時
2026年10月7日(水)10:00~16:00
【アーカイブ(録画)配信】
2026年10月19日(月)まで申込み受付(視聴期間:10/19~10/29)
セミナー趣旨
EU(欧州)では、あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法(Cyber Resilience Act:CRA)」の策定が進んでおり、早ければ今年中に発効され、その36か月後には法規制が開始される見込みです。そして、この法規に違反した企業には巨額の罰金が科されることがあります。
サイバーセキュリティに関連する法規と言えば、2021年にUN ECE(国連欧州経済委員会)より発行されたUN-R155が記憶に新しいですが、UN-R155の対象が自動車のみであったのに対して、CRAでは「あらゆるデジタル製品」が対象となります。つまり、それは欧州に製品を輸出する全ての企業にて対応が必要となることを意味しています。
本セミナーでは、まずCRAによる法規制の動向から各種要求事項について解説します。その後、それらの要求事項を満たすために必要となる様々な取り組みについて事例を交えて紹介します。なお、サイバーセキュリティ対策の事例については、先行して取り組みが進んでいる自動車業界の事例を参考とします。
セミナープログラム
1.Cyber Resilience Act(CRA)とは?
(1)CRA策定の背景と目的
(2)CRAの概要
a.デジタル製品の開発&生産に関する必須要件
b.デジタル製品の脆弱性対応プロセスに関する必須要件
c.当局による市場監視の実施
(3)CRAの対象となる製品
a.重要だがリスクの低いデジタル製品(CLASS I)
b.重要でリスクの高いデジタル製品(CLASS II)
c.その他、重要でないデジタル製品
(3)CRAへの適合評価の方法
a.自己適合宣言
b.第三者による型式審査&生産管理
c.第三者による品質保証システムの審査
(4)CRAによる規制が開始されるまでのスケジュール
(5)CRAに違反した場合の罰則
2.Cyber Resilience Act(CRA)における製造業者の義務
(1)デジタル製品に実装すべきサイバーセキュリティ対策
a.デジタル製品にリスクアセスメントの実施
b.リスクに応じたサイバーセキュリティ対策の実施
c.ハード&ソフトの設計・開発時に適用が必要な要求事項
d.サプライチェーンを通じたサイバーセキュリティの保証
(2)デジタル製品の脆弱性に対処するための仕組み
a.デジタル製品の脆弱性の特定と文書化
b.デジタル製品のSBOMを利用した脆弱性管理
c.デジタル製品に対するセキュリティアップデートの実施
d.脆弱性とセキュリティアップデートに関する情報公開
(3)デジタル製品の製造業者に課せられる報告義務
a.ENISAに対する脆弱性/インシデント情報の報告
b.ユーザに対する脆弱性/インシデント情報の通知
c.OSSの管理団体に対する脆弱性情報の通知
3.Cyber Resilience Act(CRA)への適合に必要な技術文書
(1)技術文書を体系的に作成するためのCSMS(Cyber Security Management System)
(2)デジタル製品に対する脅威分析とリスクアセスメント結果の事例
(3)デジタル製品のサイバーセキュリティアーキテクチャの事例
(4)デジタル製品に対する脆弱性分析/脆弱性評価結果の事例
(5)デジタル製品のセキュリティアップデート機能の事例
(6)デジタル製品のSBOMの作成事例
4.Cyber Resilience Act(CRA)への適合に必要なP-SIRTの仕組み
(1)P-SIRT活動を実施するための体制
(2)P-SIRT活動を実施するためのプロセス
a.脆弱性/インシデント情報を調査&収集するプロセス
b.脆弱性/インシデント情報に対する脆弱性分析を実施するプロセス
c.脆弱性/インシデント情報のリスクアセスメントを行うプロセス
d.脆弱性/インシデント情報の対処を行うプロセス
e.脆弱性情報を外部へ開示するためのプロセス
【質疑応答】
セミナー講師
(株)アトリエ サイバーセキュリティアシュアランス事業部 事業部長 杉山 歩 氏
セミナー受講料
聴講料 1名につき55,000円(消費税込/資料付き)
〔1社2名以上同時申込の場合のみ1名につき49,500円〕
主催者
開催場所
全国
受講について
セミナーの接続確認・受講手順はこちらをご確認下さい。