EU -「CRAの重要および重大なデジタル要素を含む製品の技術的説明公表」のお知らせ

2025年12月10日
一般財団法人日本品質保証機構

2025年12月1日、欧州委員会は規則（EU）2024/2847（CRA; サイバー・レジリエンス法）の実施規則（EU）2025/2392（2025年11月28日）を公表しました。実施規則では、製品のコア機能（core functionality）がどのカテゴリに該当するかを判断するための具体的な説明が提供されています。EU官報掲載日は2025年12月1日、発効日は2025年12月21日です。

実施規則（EU）2025/2392の重要ポイント

1. 製品分類は「コア機能」で判断
   製品が重要製品・高度重要製品に該当するかは、そのコア機能（主要機能）によって決まります。
   具体例：
   • スマートフォンにパスワード管理機能が搭載されていても、コア機能が「通信端末」であれば、パスワード管理システムとしては分類されません。
   • WEBブラウザを含むOSでも、コア機能が「OS」であれば、ブラウザとしては分類されません。

   つまり、付随的な機能や組み込まれた部品のみで自動的に上位カテゴリに該当するわけではありません。

2. 製造者の義務
   製品分類にかかわらず、全ての製造者は以下を実施する必要があります。
   • 包括的なサイバーセキュリティリスク評価の実施
   • CRA付属書Iの必須要件の実装と検証
   • リスクに応じた適切なセキュリティ対策の適用
3. その他
   Annex I/II に例示的なカテゴリ（ID管理システム、VPN、ファイアウォール、セキュアエレメント、スマートメーター、ゲートウェイ等）が示されていますが、網羅的ではありません。

詳細につきましては「参考リンク」よりご確認ください。

（上記内容と参考リンクの原文が違っている場合は、原文が優先されますことをご了承ください。また、本文中の日時は現地時間になります。）

当機構は、産業用制御システム向けサイバーセキュリティ規格であるIEC 62443シリーズや民生用IoT機器のサイバーセキュリティ規格であるETSI EN 303 645の評価、各国の認証取得をサポートする申請代行サービスのほか、製品安全試験、EMC試験、無線試験、環境・信頼性試験などの各種試験も承っておりますので、ぜひご利用ください。