欧州連合は重要な動きを見せている欧州委員会が、高リスクの外国サプライヤーを排除し、国家主導のサイバー脅威に対する防御を強化することを目的とした新たなサイバーセキュリティ法案を発表したことを受け、EUは通信・重要インフラセクター全体にわたるサイバーセキュリティ管理を迅速に強化する必要がある。この提案は、特に2020年に導入された自主的な5Gセキュリティツールボックスの実施が不均一であったことを受けて、各国の断片的なアプローチがEUのデジタルセキュリティに欠陥を残しているという懸念の高まりを反映している。.
提案された枠組みの下では、欧州委員会はEU全体のリスク評価を調整し、機微なインフラで使用される機器の制限または禁止を支援する権限を拡大される。加盟国は、原産国リスクと国家安全保障への影響を考慮しつつ、18の重要セクターにわたるサプライヤーを共同で評価することが求められる。具体的な企業名は挙げられていない。一方、EU当局は以前、5Gセキュリティの観点から中国の技術ベンダーについて懸念を表明している。.
この提案の中心となるのは、サイバーセキュリティ法の改正です。この改正法は、高リスクの外国サプライヤーを欧州のモバイル通信ネットワークから排除することを義務付けます。この改正法は、ICTサプライチェーンのセキュリティ確保と、企業にとっての規制上の摩擦軽減を目的としています。また、欧州連合サイバーセキュリティ機関(ENISA)が管理する自主的なスキームを通じて、簡素化された認証プロセスを導入します。.
この法案は、ENISAの運用面の役割も拡大します。ENISAは、早期の脅威アラートの発令、EU全域にわたる単一のインシデント報告窓口の運用、そしてユーロポールや各国のコンピュータセキュリティインシデント対応チームと連携した企業のランサムウェア攻撃への対応支援など、権限を付与されます。同時に、ENISAはサイバーセキュリティスキル認定制度を導入し、人材不足に対処するため、サイバーセキュリティスキルアカデミーを試験的に導入します。.
政策立案者と業界にとっての重要なポイント:
- EUは、通信ネットワークから高リスクの外国サプライヤーを強制的に排除することを計画している。
- 欧州委員会はEU全体のリスク評価を調整する権限を強化する。
- ENISAの役割は、脅威アラート、インシデント対応、人材育成にまで拡大しています。
- 認証改革は、コンプライアンスコストを削減しながらセキュリティを強化することを目指している。
欧州議会とEU理事会の承認が得られれば、サイバーセキュリティ法は直ちに発効します。加盟国には、改正内容を国内法に組み込むための1年間の猶予が与えられています。これにより、自主的なガイダンスからEU全体にわたる拘束力のあるサイバーセキュリティの執行への決定的な転換が示されます。.
ソース:
