罰金だけでは済まない？【EU法規制】甘く見る経営者が陥る深刻なサイバーリスク､｢CRA｣｢NIS2指令｣への対応が進む企業と遅れている企業の差

企業に求められるのは、まず「セキュア・バイ・デザインの実践」。製品の設計段階から脅威を未然に防ぐ仕組みを導入し、リスクを最小化する設計思想を採用する必要があります。

また、「ソフトウェア部品表（SBOM）」を作成して脆弱性管理や透明性の向上を図り、脆弱性が発見された場合にEUサイバーセキュリティ庁（ENISA）へ24時間以内に報告する「体制整備の構築」も必須です。

そのほか、CRA要件を満たした製品であることを示すため、「『CEマーク』を取得して『適合宣言書』を提出すること」や、販売終了後も「最低5年間はセキュリティアップデートを提供すること」も求められます。

対応を怠ればリコールや市場撤退のリスクも

さらにCRAでは、製品をリスクに応じて以下の3つに分類し、それぞれに異なる適合性評価（Conformity Assessment）を求めています。

CRAの対応を怠れば、EU市場での販売禁止やCEマーク取得不可によるEU市場での販売禁止、最大1500万ユーロまたは売上高の2.5%の罰金、製品リコールや市場撤退の可能性があります。

一方で、CRAへの対応は、製品の競争力を高める「品質投資」であり、その投資効果は絶大です。