ベリサーブ、EUサイバーレジリエンス法の報告義務対応を支援する新サービスを提供開始

欧州サイバーレジリエンス法（CRA）は、EU市場で販売されるデジタル要素を持つ製品を対象に、設計から販売後まで一貫したセキュリティ対策を義務付ける規則です。2026年9月11日から、実際に悪用されている脆弱性や重大なインシデントを認識した場合、24時間以内にEU当局へ報告することが求められます。違反した場合、最大1,500万ユーロ（約28億円）または全世界の年間総売上の2.5％の高い方の制裁金が科される可能性があり、適合しない製品はCEマークを表示できず、EU市場で販売できなくなります。多くの企業が対応に必要な人材やノウハウの不足に直面しており、早急な準備が求められています。

ベリサーブの新サービスでは、CRA対応方針の策定や社内体制の構築支援から、SBOM（ソフトウェア部品表）の作成、日々の脆弱性監視、バージョン管理、製品への影響調査、そしてEU当局への報告支援までを一括して代行します。特に、脆弱性の監視は24時間体制で行い、実際に悪用されている脆弱性が検出された場合には即座にアラートを発報します。また、重大なインシデント発生時には問い合わせ窓口を設置し、報告に必要な情報整理や提出を支援することで、事業者の負担を大幅に軽減します。

2027年12月11日のCRA全面適用に向けて、ベリサーブは「CRA対応支援サービス」を併せて提供します。このサービスでは、国際規格「IEC 62443-4-1」に基づく開発プロセスのアセスメントや構築支援、製品のセキュリティインシデントに対応する専門組織「PSIRT」の体制構築、SBOMを活用した脆弱性管理プロセスの整備、ペネトレーションテストなどの実装検証、CEマーク取得に必要な技術文書の作成支援まで、幅広くカバーします。将来的に企業が自組織でCRA対応を運用できるよう、伴走型のサポートを提供します。

A. CRAで求められる脆弱性監視や当局への報告などの業務を、ベリサーブが企業に代わって一括で行うサービスです。専門的なノウハウがなくても、期限に間に合わせることができます。

A. SBOMの作成から日々の脆弱性監視、影響調査、EU当局への報告書作成までを代行するため、企業は自社で専門チームを設ける必要がありません。特に24時間以内の報告義務に対応できる体制が整います。

A. EU市場で販売される、デジタル要素を備え、ネットワークに接続する機能を持つほぼ全ての製品が対象です。ただし、自動車や医療機器など既に別の規制でカバーされている製品は除外されます。

• https://www.veriserve.co.jp/service/detail/cra.html
• https://www.veriserve.co.jp/
• https://www.veriserve.co.jp/engage/contact/cra

O!Productニュース編集部からのコメント

EU向け製品を持つ企業は2026年9月からの24時間報告義務に備える必要がありますね。ベリサーブの代行サービス、自社で体制を組む時間がないところに刺さりそうです。

引用元：PR TIMES