欧州委員会、ICTサプライチェーン安全性強化に向けたサイバーセキュリティ対策を提案

>>ニュースサイトTopへ　>>会社HPへ　

欧州委員会は20日、EU域内のサイバー耐性と対応能力の抜本的な底上げを図るため、新たなサイバーセキュリティ対策パッケージを提案しました。

本パッケージの主眼は、地政学的リスクを背景としたICTサプライチェーンの保護、欧州サイバーセキュリティ認証制度（ECCF）の刷新、および現行のNIS2指令の最適化にあります。

信頼できるICTサプライチェーン構築に向けた法的枠組み

今回の提案の中心となる改正サイバーセキュリティ法（CSA2）では、EU全域にわたる「信頼できるICTサプライチェーン・セキュリティ」のための水平的フレームワークが新たに導入されます。

これは従来の技術的な製品評価にとどまらず、供給者の背景にある外国勢力による不当な干渉や、重要分野における過度な依存といった戦略的リスクを管理することを目的としています。

具体的には、欧州委員会が「主要ICT資産」を特定し、セキュリティ上の懸念がある第三国の高リスクサプライヤーを指名できる権限が付与されます。これにより、エネルギーや化学、保健といった18の重要セクターにおいて、加盟国と連携したリスク低減措置が義務化される見通しです。

欧州サイバーセキュリティ認証制度の刷新と企業の負担軽減

認証制度の改革では、企業のコンプライアンス遵守を円滑化するため、欧州サイバーセキュリティ認証制度（ECCF）の手続きが簡素化されます。

改正案では、製品やサービスといった個別の単位だけでなく、組織全体のセキュリティ態勢を評価する「サイバーポスチャー認証」が導入されます。

これにより、事業者は単一の証明書を用いてNIS2指令などの欧州規制への適合性を証明できるようになり、特に中小企業（SMEs）やミドルキャップ企業における行政コストの削減が期待されています。

また、欧州連合サイバーセキュリティ機関（ENISA）は認証スキームの維持・管理においてより強力な権限を持ち、最新の脅威動向に合わせて制度を迅速に更新する体制が整えられます。

NIS2指令の改正による越境監督の強化とランサムウェア対策

パッケージには、2023年に施行されたNIS2指令のターゲットを絞った改正案も含まれています。この改正では、電力や化学などのセクターにおける適用範囲の明確化が行われるとともに、ランサムウェア攻撃に関するインシデント報告義務が強化されます。

具体的には、攻撃ベクトルの特定や緩和策の実施状況など、より精緻なデータの収集が求められます。さらに、ENISAの役割を拡張し、複数の国にまたがってサービスを提供する越境事業体に対する監督を、各国当局と連携して統合的に行う仕組みが構築されます。

>>ニュースサイトTopへ　>>会社HPへ