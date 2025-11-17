

近年、ランサムウェア攻撃によって、企業のシステムが停止し、注文や配送などの業務が滞る事例が相次いでいますが、サイバー攻撃はもはやIT部門だけの問題ではありません。国内外問わず、製造業やIoT機器を含むOT（Operational Technology）領域にも広がり、操業停止やサプライチェーンの混乱など深刻な事業リスクを招いています。



こうした背景から、EUではサイバーセキュリティ規制の整備が急速に進んでいます。とくに注目すべきは、製品のセキュリティ確保を義務づける「サイバーレジリエンス法（Cyber Resilience Act 、以下CRA）」と、組織全体のセキュリティ体制強化を求める「NIS2指令（Network and Information Systems Directive 2）」です。

これらは、EU市場に製品やサービスを提供する企業だけでなく、今後グローバル基準として広がる可能性が高く、日本企業にとっても対応は避けられません。

CRAやNIS2指令への対応は、単なる法令遵守にとどまらず、企業の信頼性・国際競争力・持続可能性を左右する重要な経営テーマとなっています。つまり、適切な対応を取らなければ事業運営に影響を及ぼす可能性があるといえます。

やるべきことが多岐にわたる｢CRA｣

CRAは、EU市場で販売されるデジタル要素を含む製品に対し、設計段階からセキュリティを組み込むことを義務づける法律で、2027年12月に全面適用が予定されています。

対象製品は以下のように、IoT機器、産業用制御装置、ソフトウェアなど多岐にわたります。

【対象製品の範囲】

ハードウェア製品：ノートPC、スマート家電、スマートフォン、ネットワーク機器、CPUなど

ソフトウェア製品：OS、ワープロ、ゲーム、モバイルアプリ、ソフトウェアライブラリなど

クラウド連携型製品：リモートデータ処理を含むもの

企業に求められるのは、まず「セキュア・バイ・デザインの実践」。製品の設計段階から脅威を未然に防ぐ仕組みを導入し、リスクを最小化する設計思想を採用する必要があります。

また、「ソフトウェア部品表（SBOM）」を作成して脆弱性管理や透明性の向上を図り、脆弱性が発見された場合にEUサイバーセキュリティ庁（ENISA）へ24時間以内に報告する「体制整備の構築」も必須です。

そのほか、CRA要件を満たした製品であることを示すため、「『CEマーク』を取得して『適合宣言書』を提出すること」や、販売終了後も「最低5年間はセキュリティアップデートを提供すること」も求められます。

対応を怠ればリコールや市場撤退のリスクも

さらにCRAでは、製品をリスクに応じて以下の3つに分類し、それぞれに異なる適合性評価（Conformity Assessment）を求めています。





CRAの対応を怠れば、EU市場での販売禁止やCEマーク取得不可によるEU市場での販売禁止、最大1500万ユーロまたは売上高の2.5%の罰金、製品リコールや市場撤退の可能性があります。

一方で、CRAへの対応は、製品の競争力を高める「品質投資」であり、その投資効果は絶大です。

例えば、EU市場へのアクセス維持、ブランド価値の強化、サプライチェーン内での選定優位性の獲得、インシデント発生時における操業停止や風評被害の回避といった投資効果があり、将来的な市場拡大や顧客維持に直結します。

CRAの技術要件を満たすには、欧州委員会が認定する整合規格への準拠が必要です。CRAの全面施行（2027年12月）より1年以上前に整備されることが目標とされていますが、整合規格は2026年から順次公開予定であるため現時点ではまだ着手できません。

とはいえ、CRA対応は製品のライフサイクル全体に影響を及ぼすため、2027年に出荷される製品に対応するには、今からできる準備を始める必要があります。

｢対応が進む企業｣と｢遅れている企業｣の差

海外企業では既にCRAの影響を強く意識し、SBOM（ソフトウェア部品表）の整備やセキュア・バイ・デザインの導入を加速させています。CRAを製品品質とブランド信頼性を高める「戦略的投資」と捉え、EU市場での競争力強化の機会と位置づけています。

先行する日系の大企業でも、製品セキュリティの既存の国際規格やCRAのガイドラインのドラフトを参照し、設計・開発・出荷プロセスに反映させることで、CRAの要求に先回りした対応を進めています。

とくに、2026年9月から施行される製造事業者の報告義務に対応するため、これまで一部の製品や窓口に限られていた「PSIRT（Product Security Incident Response Team）」の設置をグローバルな体制として本格運用を始めようとしています。

しかし、CRAへの対応は大企業と中小企業で進捗に大きな差があります。中小企業ではCRAの認知度が低く、技術的知識や人材、予算の不足が障壁となり対応が遅れています。EUから提供予定のSME向けガイドラインを活用し、関連企業と連携して取り組む必要があるでしょう。

もう1つ、2024年10月から各国で対応が進められているのが、NIS2指令です。これは、EU全域の重要インフラや製造業を含む事業体に、組織全体のセキュリティ体制強化を求める指令です。対象セクターは下図に示すように非常に幅広いです。





経営者の責任が明確化された｢NIS2指令｣

企業には、既存の国際規格に基づく「サイバーリスク管理体制の構築」のほか、サービス提供に重大な影響を及ぼすインシデントが発生した場合にCSIRTまたは所管当局へ24時間以内に通知する「報告義務」が求められます。

また、「経営層の責任」が明確化されており、経営層はサイバーセキュリティ対策の承認・監督責任を負い、インシデント対応の不備や違反があった場合には個人責任が問われるリスクがあります。さらに、委託先や外部ベンダーを含む「サプライチェーンのセキュリティリスクを評価・管理すること」が求められます。

NIS2指令に違反すると、最大1000万ユーロまたは全世界の年間売上高の2.0％の罰金や取引停止などの可能性があります。一方で、NIS2指令への対応は、組織のレジリエンスを高める「経営投資」であり、事業継続性と企業の持続可能性を支える基盤となります。

欧州ではすでに16カ国以上がNIS2指令を国内法化しており、対象企業はCSIRTへの24時間以内の報告体制や経営層の責任明確化など、実務対応を加速させています。

すでに対応を進めている日系企業では、本社主導の下で欧州統括会社が中心となり、欧州の子会社ごとにNIS2指令の該当性を判定し、各国の国内法への移行を注視しながら取り組んでいます。ISO27001等を基準に、欧州ガバナンス体制や社内規定の整備を行い、欧州委員会の実施規則（Implementing Regulation EU 2024/2690）やENISAの技術実装ガイダンスを参考にしています。

対応が遅れている企業では、NIS2指令の認知度が低く、「国内法化されていないため対応不要」「欧州子会社のみが対応する」等と誤認も見られ、経営層の関与不足や予算・人材の制約も障壁となっています。法令遵守にとどまらず、信頼性と競争力を左右する経営課題として捉える視点が求められます。

経営層が持つべき｢3つの視点｣

CRAとNIS2指令は、もはや技術部門だけで完結する課題ではありません。とくにNIS2指令では、経営層の説明責任と関与義務が明文化されており、対応の遅れは企業の株価下落や信用失墜、法的責任、さらには事業継続リスクに直結します。

EUに製品を輸出する企業やEU域内に拠点を持つ企業はもちろん、EU企業のサプライヤーとしてかかわる日本企業も、規制の影響を受けます。

CRAとNIS2指令対応は今や、取引先からの信頼を得るための「取引条件」に変わりつつあり、サイバーセキュリティを経営戦略に組み込むことは不可欠といえます。そのため、経営層は次の3つの視点が求められます。

【1】リスク管理の視点

サイバーリスクは財務・法務・レピュテーションに直結する「経営リスク」です。取締役会レベルでの定期的なレビューが求められます。

【2】組織文化の視点

経営層が率先してメッセージを発信し、全社的な意識改革と教育を推進することで、セキュリティ文化を根付かせることができます。

【3】グローバル競争の視点

CRAとNIS2指令対応は、海外市場での信頼性・選定優位性の獲得につながります。

CRAとNIS2指令への対応は、単なる法令遵守やリスク回避ではなく、経営層が今すぐ取り組むべき戦略的な経営判断なのです。ESGやガバナンス評価にも直結するため、中長期的な事業価値を高める「攻めの投資」と捉えるべきです。

経営層が率先して対応を進めれば、企業全体のレジリエンスを高め、グローバル市場での信頼と競争力を確保できるでしょう。

（保坂 範和 ： KPMGコンサルティング Technology Risk Servicesアソシエイトパートナー）