【EU】ENISA、中小企業のEUサイバー・レジリエンス法対応調査。66%認知も実務対応に遅れ

　欧州ネットワーク・情報セキュリティ機関（ENISA）は6月24日、EUサイバー・レジリエンス法（CRA）に関する中小企業の認識を分析した調査レポートを発表した。CRAの認知度は66%あった一方、技術文書、適合性評価、脆弱性管理、製品ライフサイクル管理等の実務対応では成熟度に課題があると指摘した。

　CRAは、EU市場に上市される「デジタル要素を持つ製品」に対し、サイバーセキュリティ要件を課すEU規則。2027年12月に適用開始予定で、ソフトウェア及びハードウェアの製造事業者、輸入事業者、販売事業者等は、製品ライフサイクル全体を通じ、サイバーセキュリティ要件を満たす必要がある。

　今回の調査は、2026年2月から3月にかけて実施。31ヶ国・地域区分から194組織が回答した。回答企業の内訳は、従業員1人から9人の零細企業が53社、10人から49人の小企業が69社、50人から249人の中企業が72社。回答企業の役割では、ソフトウェア開発事業者が80社で最多、サービスプロバイダー・インテグレーターが53社、最終製品製造事業者が39社だった。

　回答者の66%は、CRAを事前に認知していた。一方、自社がCRAの対象に該当するかに関しては、70%が該当する、20%は不明、10%は対象外と回答。ENISAは、一般的な認知は広がっているものの、実際に自社製品やサプライチェーン上の役割にどう適用されるかについては混乱が残っていると分析した。

　CRAの理解度では、同期生が定める製品の必須サイバーセキュリティ要件について「良く理解している」または「非常に良く理解している」と回答した割合は31%、脆弱性取扱・管理義務では28%、セキュア開発、セキュリティ・バイ・デザインでは29%だった。一方、技術文書を含む文書化要件では13%、適合性評価・コンプライアンス手続では14%に留まった。特に適合性評価では、回答の54%が「理解なし」または「限定的理解」と回答した。

　現在の実務対応では、ISO/IEC27001対応を実施済みの企業が101社で52%、GDPR対応が94社で48%、内部セキュリティ監査・自己評価が86社で44%だった。CEマーキング対応は62社で32%、Common CriteriaやEUCC等の製品認証は44社で23%。一方、過去に正式なサイバーセキュリティ認証、規制対応、監査プロセスを実施したことのない企業も32社で16%あった。

　技術的実務では、セキュアなソフトウェア開発慣行を実施している企業が99社で51%、セキュアコーディングガイドラインが84社で43%、コードレビューが82社で42%、脆弱性管理プロセスが80社で41%だった。一方、CRAで重要となる脅威モデリングの実施は47社で24%、ソフトウェア部品表（SBOM）の維持は67社で35%に留まった。ENISAは、脅威モデリングとSBOMについて、中小企業の現在の実務とCRAが求める対応との間で大きなギャップがあるとした。

　製品セキュリティ成熟度では、「ガバナンス・文書化」「リスク管理・セキュリティ・バイ・デザイン」「脆弱性・パッチ管理」「インシデント対応・製品ライフサイクル管理」「意識・能力・スキル」の5領域を5段階で評価。全体で最も低かったのは、インシデント対応・製品ライフサイクル管理で、平均スコアは2.6だった。零細企業では3分の1超がインシデント対応計画を持たず、正式に実施・定期更新される製品ライフサイクル方針を持つ零細企業はなかった。

　企業規模による差も大きかった。中企業では93%がサイバーセキュリティ責任者を社内に置いていた一方、零細企業では57%がサイバーセキュリティの担当責任を定めていなかった。ENISAは、零細企業ではCRA対応を担う担当者が開発、顧客対応、日常業務も兼務するケースが多いとして、専門知識を前提としない実務的な支援が必要とした。

　支援ニーズでは、技術文書テンプレートを求めた回答が73%、セキュア開発慣行の文書化テンプレートが71%だった。脆弱性取扱プロセス、リスク評価等に関するテンプレートも半数超が求めた。財務支援も142回答で最多項目の一つとなり、ENISAは、中小企業が規制要件の明確化だけでなく、対応コスト、時間、リソース負担を軽減する手段を求めているとした。

　ENISAは、CRA対応支援では、一般的なガイダンスだけでなく、技術文書、適合性評価、脅威モデリング、SBOM、インシデント対応、製品ライフサイクル管理等について、実務で使えるテンプレート、チェックリスト、セクター別のユースケースを提供する必要があると提言した。

【参照ページ】SME CRA Survey Report

株式会社ニューラル サステナビリティ研究所