よくある質問

分類は、製品が含むあらゆる機能ではなく、製品の中核機能に従います。中核機能が附属書IIIに名指しされたカテゴリーに合致する場合、その製品は「重要」（クラスIまたはII）です。附属書IVに合致する場合は「重大」、それ以外は「デフォルト」です。識別管理やVPNのような能力は、一機能としてのみ含まれている場合、それが中核目的でない限り、製品を「重要」にはしません。複数のカテゴリーが該当し得る場合は、より厳格なクラスが適用されます。 Art. 7

商業活動の外で開発された非商業的なオープンソースソフトウェアは概ね適用範囲外です。オープンソースソフトウェアスチュワードには、より軽い、調整された一連の義務があります。商業活動の過程で供給されるオープンソースの構成要素は、適用範囲に含まれることがあります。

スタンドアロンのサービスは一般的にCRAの対象外です。ただし、製品がその機能を果たすために必要なリモートデータ処理ソリューションは、その製品の一部として扱われ、適用範囲に含まれます。 Art. 3(2)

はい。CRAは、製造者がどこに設立されているかにかかわらず、EU市場に上市される製品に適用されます。EU域外の製造者は、EU域内に設立された経済事業者が関連する義務について責任を負うことを確保しなければなりません。

それらは附属書Iの2つの部分に分かれます。すなわち、製品が備えるべきセキュリティ特性（既定で安全、機密性、完全性、可用性、最小化された攻撃対象領域、セキュリティ更新）と、製造者が運用すべき脆弱性対応プロセス（SBOM、是正、調整された開示）です。 附属書I

はい。製造者は、一般的に利用され機械可読な形式でソフトウェア部品表を作成することを含め、製品に含まれる構成要素を特定し文書化しなければなりません。 附属書I · II(1)

サポート期間とは、製造者がセキュリティ更新を提供しなければならない期間です。それは製品が合理的に使用されると想定される期間を反映しなければなりません。委員会ガイダンスは、想定される使用期間がより短い場合を除き、これが一般的に少なくとも5年とすべきであることを示しています。 Art. 13(8)

実際に悪用されている脆弱性および製品のセキュリティに影響を及ぼす重大なインシデントは、ENISAおよび関連するCSIRTに通知されなければなりません。早期警告は認識から24時間以内に行い、続いてより詳細な通知および最終報告を行います。 Art. 14

本法は2024年12月10日に発効しました。報告義務は2026年9月（21か月後）から適用され、義務の大部分は2027年12月（36か月後）から適用されます。 Art. 71

必須要件または製造者の義務への違反は、1,500万€または全世界年間総売上高の2.5％のいずれか高い方を上限とする制裁金を招く可能性があります。その他の違反および誤った情報の提供については、より低い上限が適用されます。

第14条の報告義務は2026年9月11日に執行可能となります。ENISAは第16条に基づいて単一の報告プラットフォームを構築しており、製造者はこれを通じて実際に悪用されている脆弱性および重大なインシデントをENISAおよび各国CSIRTに通知します。これはその期日までに稼働することが意図されています。 Art. 14

委員会の標準化要請M/606は、約41の規格（横断的および製品固有）を対象として、2025年にCEN、CENELECおよびETSIに受け入れられました。2つの中核的横断規格（セキュア開発および脆弱性対応）は2026年8月30日まで、縦断的な製品規格は2026年10月30日まで、残りの横断規格は2027年10月30日まで、2027年12月の全面適用に先立って予定されています。引用された整合規格に従うことで、適合の推定が得られます。 附属書I

お客様の製品クラスに該当する適合性評価ルートを実施し、技術文書を編集し、EU適合宣言を作成・署名し、その後CEマーキングを貼付します。デフォルト製品は自己評価が可能ですが、重要製品および重大製品にはより厳格なルートが求められます。 Art. 28 · 32

CRA Fast Checkから始めて適用範囲とクラスを確認し、お客様の役割に応じて書かれたガイドに従い、コンプライアンスマトリクスを使用して必須要件を完了まで追跡してください。