サイバーレジリエンス法（CRA）の要求事項と対策のポイント

サイバーレジリエンス法（CRA）の要求事項と対策のポイント
～適合評価、必要な技術文書、脆弱性／インシデント情報の取扱いなど～

＜Zoomオンライン受講見逃し視聴あり＞

★昨年12月発効のサイバーレジリエンス法最新状況をふまえ、必要となる具体的な取り組みについて、事例を交えて講義します！

講師
（株）アトリエ　サイバーセキュリティアシュアランス事業部　事業部長　杉山 歩 氏

●日時：2025年5月23日(金)　10:30-16:30　＊途中、お昼休みや小休憩を挟みます。
●受講料：
【オンライン受講（見逃し視聴なし）】：1名 50,600円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき39,600円
【オンライン受講（見逃し視聴あり）】：1名 56,100円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき45,100円
＊学校法人割引：学生、教員のご参加は受講料50％割引。→「セミナー申込要領・手順」を確認ください。

＊受講料やセミナー申し込み～開催までの流れなど、詳細については、弊社HPのセミナーページを必ずご確認ください。

○セミナーポイント
　EU（欧州）では、あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法（Cyber Resilience Act：CRA）」が2024年12月 に発効され、その36か月後には法規制が開始される見込みです。そして、この法規に違反した企業には巨額の罰金が科されることがあります。
　サイバーセキュリティに関連する法規と言えば、2021年にUN ECE（国連欧州経済委員会）より発行されたUN-R155が記憶に新しいですが、UN-R155の対象が自動車のみであったのに対して、CRAでは「あらゆるデジタル製品」が対象となります。つまり、それは欧州に製品を輸出する全ての企業にて対応が必要となることを意味しています。
　本セミナーでは、まずCRAによる法規制の動向から各種要求事項について解説します。その後、それらの要求事項を満たすために必要となる様々な取り組みについて事例を交えて紹介します。なお、サイバーセキュリティ対策の事例については、先行して取り組みが進んでいる自動車業界の事例を参考とします。

○受講対象：
　EUにデジタル製品を輸出する企業の方々。その中でも特に以下に該当する方々。
　・経営層
　　（※企業としてCRAへの対応を推進するため）
　・デジタル製品の設計者
　　（※デジタル製品上にサイバーセキュリティ対策を設計・実装するため）
　・部品の調達を行う方
　　（※外注部品のサイバーセキュリティの保証を行うため）
　・情報セキュリティ部門または品質保証部門の方
　　（※P-SIRT活動に関連するため）

○受講後、習得できること：
　・CRAに記載されている要求事項を理解することができる
　・CRAの対象となる製品および適合までのスケジュールを理解することができる
　・CRAの適合評価の方法を理解することができる
　・CRAに適合するために策定が必要な技術文書を理解することができる
　・CRAに適合するために構築が必要なP-SIRT活動を理解することができる

セミナー内容

１．Cyber Resilience Act（CRA）とは？
　（１） CRA策定の背景と目的
　（２） CRAの概要
　　　a．デジタル製品の開発＆生産に関する必須要件
　　　b．デジタル製品の脆弱性対応プロセスに関する必須要件
　　　c．当局による市場監視の実施
　（３） CRAの対象となる製品
　　　a．重要だがリスクの低いデジタル製品（CLASS I）
　　　b．重要でリスクの高いデジタル製品（CLASS II）
　　　c．その他、重要でないデジタル製品
　（４） CRAへの適合評価の方法
　　　a．自己適合宣言
　　　b．第三者による型式審査＆生産管理
　　　c．第三者による品質保証システムの審査
　（５） CRAによる規制が開始されるまでのスケジュール
　（６） CRAに違反した場合の罰則

２．Cyber Resilience Act（CRA）における製造業者の義務
　（１） デジタル製品に実装すべきサイバーセキュリティ対策
　　　a．デジタル製品にリスクアセスメントの実施
　　　b．リスクに応じたサイバーセキュリティ対策の実施
　　　c．第三者から提供された部品のサイバーセキュリティの保証
　　　d．デジタル製品に対するサイバーセキュリティ対策の文書化
　（２） デジタル製品の脆弱性に対処するための仕組み
　　　a．デジタル製品の脆弱性の特定と文書化
　　　b．デジタル製品のSBOMを利用した脆弱性管理
　　　c．デジタル製品に対するセキュリティアップデートの実施
　　　d．脆弱性とセキュリティアップデートに関する情報公開
　（３） デジタル製品の製造業者に課せられる報告義務
　　　a．ENISAに対する脆弱性／インシデント情報の報告
　　　b．ユーザに対する脆弱性／インシデント情報の通知
　　　c．OSSの管理団体に対する脆弱性情報の通知

３．Cyber Resilience Act（CRA）への適合に必要な技術文書
　（１） 技術文書を体系的に作成するためのCSMS（Cyber Security Management System）
　（２） デジタル製品に対する脅威分析とリスクアセスメント結果の事例
　（３） デジタル製品のサイバーセキュリティアーキテクチャの事例
　（４） デジタル製品に対する脆弱性分析／脆弱性評価結果の事例
　（５） デジタル製品のセキュリティアップデート機能の事例
　（６） デジタル製品のSBOMの作成事例

４．Cyber Resilience Act（CRA）への適合に必要なP-SIRTの仕組み
　（１） P-SIRT活動を実施するための体制
　（２） P-SIRT活動を実施するためのプロセス
　　　a．脆弱性／インシデント情報を調査＆収集するプロセス
　　　b．脆弱性／インシデント情報に対する脆弱性分析を実施するプロセス
　　　c．脆弱性／インシデント情報のリスクアセスメントを行うプロセス
　　　d．脆弱性／インシデント情報の対処を行うプロセス
　　　e．脆弱性情報を外部へ開示するためのプロセス

　　＜質疑応答＞

• セミナーホームページを見る