プレスリリース要約
株式会社ベリサーブは、EU(欧州連合)で施行される「欧州サイバーレジリエンス法(EU CRA)」の報告義務対応を支援するアウトソーシングサービスおよび総合的な伴走支援サービスの提供を開始しました。2026年9月に一部適用される厳しい報告義務を前に、ノウハウ不足に悩む企業の体制構築を急ぎ支援します。
EU市場で販売されるネットワーク接続機能を持つほぼ全てのデジタル製品を対象とした「欧州サイバーレジリエンス法(CRA)」への対応が、日本企業にとっても急務となっています。特に2026年9月11日からは、製品の脆弱性や重大なインシデントを認識してから「24時間以内」にEU当局へ報告することが義務付けられます。違反した場合には、最大1,500万ユーロ(約28億円)または全世界の年間総売上高の2.5%のいずれか高い額という巨額の制裁金が科されるほか、EU市場からの製品強制回収などの厳しい処分を受けるリスクがあります。
これに対しベリサーブは、2026年秋の報告義務化に向けた「CRA報告義務アウトソーシングサービス」を提供します。対応方針の策定から、ソフトウェア部品表(SBOM)の作成・監視、インシデント発生時の24時間以内の報告支援までを一括して受託します。さらに、2027年12月のCRA全面適用を見据え、国際規格「IEC 62443-4-1」に準拠したセキュア開発プロセスの構築や、製品セキュリティ対応チーム(PSIRT)の組織立ち上げを伴走支援する「CRA対応支援サービス」も合わせて展開します。
Journalポイント
実はこれ、EUに製品を輸出している企業にとって、経営を揺るがしかねない大転換なんです。
え、そうなんですか?単なるセキュリティの新しいルールかと思っていました。
実は今、ネット接続機能を持つほぼ全ての製品に厳しいセキュリティ対策が義務付けられようとしています。対応できないと、最大約28億円の制裁金やEU市場からの排除という厳しいペナルティが科されるんです。
devでも、それってもともと大企業なら自社で対応できているものじゃないんですか?
たとえば、2026年9月からは『重大なインシデントの認識から24時間以内の報告』が求められます。これを自社の夜間や休日の体制だけでカバーし続けるのは、大企業であっても極めて困難なんです。
なるほど!だからベリサーブが提供する SBOM の管理や監視のアウトソーシングが必要になるんですね。
SBOMというのはソフトウェア部品表のことで、製品にどんなプログラムが含まれているかを一覧化したものです。ベリサーブはこのSBOMを常に監視し、新たな脆弱性が見つかったらすぐにアラートを出す仕組みを提供します。
なるほど。ただ報告するだけでなく、社内の体制自体を整える PSIRT の構築も支援してくれるのですか?
PSIRTというのは製品のセキュリティインシデントに対応する専門チームのことです。ベリサーブは、報告業務の代行だけでなく、将来的にお客様が自社でCRA対応を運用できるよう、組織づくりまで総合的に伴走支援します。
ただのアウトソーシングではなく、自立支援までしてくれるのは心強いですね。勉強になりました!
