| 開催日 | 2026年1月22日(木) |
|---|---|
| 開催地 | Web |
講師 ESTCJ(EMC&Safety/CEサポート) コンサルタント 井原房雄 氏
講師紹介
・総合電気メーカ:電子機器の開発全般、EMC/製品安全部門(CE、UL/FCC適合サポート)
・関連会社:EMC&安全認証事業の確立、各種製品分野の海外規格適合サポート
・東京都立産業技術研究センター:「製品安全、EMC規制」への適合コンサル
・ESTCJ:「CE取得、米国FCC/U規格等の適合」をサポート
■専門・得意分野
・EU規制の全般解説(EMC/LVD/MR/RED/RoHS/WEEE/PPWR/EPSR/CRAなど)
・製品安全規格の解説(IEC61010,IEC62368-1,IEC60335-1,IEC60204-1,NFPA,UL他)
・EMC規制の全般解説(EMC指令,米国,FCC他)
・電気安全試験の実地サポート
・EMC試験の実践(EN55011,EN55035,EN61326-1,FCC他)
■講座のポイント
Cyber Resilience Actは2024年12月10日に発効され、主要な義務は、2027年12月11日から適用されます。この2027年適用を控える「欧州サイバーレジリエンス法(CRA)の最重要義務に焦点を当て、EU市場で流通するデジタル要素を備えた製品(IoT機器、組込みソフトウェア等)」の製造業者に求められる、CRA対応を解説します。
尚、CRA遵守は、単なる製品の適合・認証ではなく、製品のライフサイクル全体にわたるセキュリティ体制の変革を要求しています。セミナーでは、以下の重要項目を説明します。
・設計段階の義務:製品のセキュリティを確保する中核的要件「Security by Design」の実装方法と、「リスクアセスメント(TVRA)」の実施。
・情報開示とトレーサビリティ:「SBOM(Software Bill of Materials)」の提供義務と、効率的な作成・管理ノウハウ。
・上市後の義務:脆弱性発見時の「ENISAへの迅速な報告義務(最短24時間)」と、脆弱性管理プロセスの構築。
・法的証明:製品の分類(Class I~III)に応じた適合性評価の進め方とCEマーキングの取得。
本セミナーを通じて、多額の罰金リスクを回避し、CRA要件をセキュア開発ライフサイクル(SDLC)へ組み込むための組織的・技術的なロードマップを習得できます。
■受講対象者
・特にEUにデジタル要素を備えた製品(IoT機器、ソフトウェアなど)を輸出・販売している、または計画している企業の経営層、企画部門、海外事業部門の責任者
製品の設計・開発部門、品質保証部門、情報セキュリティ部門、法務・コンプライアンス部門の担当者
EU向け製品のサプライチェーンに関わる部品・ソフトウェアを提供する企業の担当者
■受講後、習得できること
・RA法の適用可能性の判断
・製造業者として負うべき義務の明確化
・SBOM・リスク管理体制の構築に向けた知識
・セキュリティサポート期間と報告義務への対応計画
■講演内容
1. CRA成立の背景とEU規制の整理
1.1 サイバーリスクの現状、制定の経緯、タイムライン
1.2 NIS2指令、GDPRとの明確な違いと整合性
2. CRAの概要と適用範囲
2.1 「デジタル要素を備えた製品」の定義(ハードウェア・ソフトウェアの範囲)
2.2 製品分類(Class I, II, III)の判定基準と具体例
2.3 オープンソースソフトウェア(OSS)の適用除外と、商用利用されるOSSへの対応義務
3. 製造業者に求められる主要な義務と要件
3.1 必須要件(セキュリティ設計)の組込みとCEマーキングの手順
3.2 技術文書・EU適合宣言の作成・記載事項
3.3 輸入者・販売業者の義務
4. CRA対応1(リスク管理と脆弱性管理)
4.1 リスクアセスメントの実施手順と要求される文書化
4.2 SBOMの構成要素、作成・更新のタイミング
4.3 製品ライフサイクルを通じたセキュリティサポート要件
5. CRA対応2(報告義務と罰則)
5.1 重大なインシデント・脆弱性の定義と報告義務
5.2 ENISAへの報告プロセスと、具体的な報告項目
5.3 報告を怠った場合の罰則規定
6.EU域外企業の遵守戦略と今後のステップ
6.1 欧州域内代表者の選任義務と、この代表者が負う責任と役割
6.2 セキュア開発ライフサイクル(SDLC)のCRA要件へのマッピングと整備
6.3 サプライヤーへのセキュリティ要求事項の設定と管理体制の構築
7.Q&A
