Interface編集部
Nordic Tech Tour Japan 2026レポートその5 欧州及び各国におけるサイバーセキュリティ法制の最新動向
ノルディック・セミコンダクターは,Bluetooth LE,セルラIoT,Wi-Fi,電源管理ICなどの分野で,無線通信向け半導体を開発・提供している企業である.2026年初頭,同社の最新技術を紹介する「Nordic Tech Tour Japan 2026」が東京と大阪で開催された.
午後のセッションでは,無線技術そのものに加え,製品化や市場展開を支える制度,標準化,法規制といった周辺要素に焦点が当てられた.
欧州および各国におけるサイバーセキュリティ法制の最新動向
福井 洋則
TUV Rheinland Japan
製品事業部 電気製品部
Wireless/IoT課
エンジニア
写真1 講演の様子
講演では,IoT/デジタル製品向けサイバーセキュリティ規制の強化動向を概観した.特に日本のJC-STARおよび欧州のRED Cybersecurity,CRA(Cyber Resilience Act)を中心に,その実務的影響を解説した.従来,サイバーセキュリティ対応は任意対応が主流であったが,近年は各国で法的義務へと急速に移行しており,製品を市場に投入するための前提条件になりつつあるとする.
●日本のJC-STAR
日本では,IoT製品向けの任意ラベリング制度としてJC-STARが運用されている.図1の★1から★4までの段階的な適合レベルが設定され,★1は製品類型共通の基礎要件として自己適合宣言で取得可能である.2025年3月から申請が開始され,すでに多数の製品が取得している.さらに,2025年11月に日本と英国の間で相互承認に向けた覚書が締結され,2026年以降はJC-STAR★1取得製品が英国PSTI法の技術要件に適合するとみなされる点は,日本企業にとって大きな実務的メリットである.
図1 JC-STARの適合レベル構成(★1〜★4)
●欧州のRED Cybersecurity
欧州では,無線機器を対象とするRED Cybersecurity要件が2025年8月から義務化される.対象は上市時期で判断され,2025年8月以降に上市される既存製品および新製品は,サイバーセキュリティ要件への適合が必要となる.整合規格としてEN 18031:2024が採用され,自己宣言(Module A)またはNB認証による適合性評価が求められる.
ただし,2027年12月に次項のCRAが全面適用されるのに伴い,REDのサイバーセキュリティ委任規則は廃止予定であり,規制はCRAへ一本化される.
図2 REDのサイバーセキュリティ委任規則は廃止予定でありCRAへ一本化される
●欧州のCRA(Cyber Resilience Act)
CRAはREDよりも対象範囲が広く,有線・無線を問わず,何らかの形でデータ接続を行うデジタル要素を含む製品全般が対象となる.製品本体だけでなく,連携するクラウド・サービスやスマートフォン・アプリなども評価対象に含まれ得る点が特徴である.
CRAでは製品を,デフォルト製品,重要製品(Class I/II),クリティカル製品に分類し,重要度に応じて要求事項や適合性評価手続きが異なる.
図3 CRAにおける製品区分と要求事項の考え方
CRAでは,Secure by Design,Secure by Defaultの考え方に基づく設計,既知脆弱性の排除,アップデートによる脆弱性対応,アクセス制御やデータ保護などが要求される.加えてSBOM(ソフトウェア部品表)の作成や,協調的脆弱性開示(CVD)を含む脆弱性ハンドリング要件が明確に規定されている.さらに,脆弱性や重大インシデント発覚時の報告義務があり,2026年9月以降は,上市済み製品も含めてCSIRTおよびENISAへの迅速な報告が義務付けられる.
●サイバーセキュリティは義務になりつつある
総じてサイバーセキュリティ規制は世界的に任意から義務へと転換点を迎えており,製造業者には設計段階からの対応,長期的なサポート体制,そしてグローバル規制を見据えた戦略的な適合が求められている.
●用語解説
▲Secure by Design(設計段階からのセキュリティ確保)
製品の設計,開発,製造の初期段階から,リスクに基づいた適切なレベルのサイバーセキュリティを確保するように構築する考え方.
▲Secure by Default(初期設定でのセキュリティ確保)
製品がユーザの手元に届き,使用を開始した時点(デフォルト状態)で,すでにセキュリティが最適化されているべきであるという考え方.
