[本文]

国・地域名:
EU
元記事の言語:
英語
公開機関:
欧州委員会(EC)
元記事公開日:
2020/12/17
抄訳記事公開日:
2021/02/24

新たなEUサイバーセキュリティ戦略と新規規則

New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient

本文:

2020年12月16日付欧州委員会(EC)の発表では、物理的およびデジタルの主要な事業体をよりレジリエンスのあるものにするための標記戦略と規則について概略以下のように述べている。

「欧州のデジタル未来の形成」、「欧州復興計画」、「EUセキュリティ連合戦略」の主要構成要素として、今回発表のサイバーセキュリティ戦略は、サイバー脅威に対する欧州の集団的レジリエンスを強化し、すべての市民と企業が信頼できるサービスとデジタルツールから十分な恩恵を得られるようにする。
インターネットに接続されたデバイス、電力網、または欧州市民が利用する銀行、飛行機、公共機関、病院であるかどうかにかかわらず、サイバー脅威から保護されるという保証を備えることで、それらを安心して利用することができる。

新しいサイバーセキュリティ戦略により、欧州連合(EU)は、サイバー空間の国際的な規範・基準に関するリーダーシップを強化し、法の支配、人権、基本的自由、民主主義的価値に基づいた、グローバルで開かれた安定した安全なサイバー空間を促進するために、世界中のパートナーとの協力を強化することが可能となる。

さらに、欧州委員会(EC)は、重要な事業体・ネットワークのサイバーおよび物理的両方のレジリエンスに対処するための提案を行っている。EU全体の高度の共通レベルのサイバーセキュリティ対策に関する指令(改訂NIS(ネットワーク・情報セキュリティ)指令、NIS2)、および重要な事業体のレジリエンスに関する新規指令である。これらは幅広いセクターをカバーし、サイバー攻撃から犯罪や自然災害まで、一貫性のある補完的な方法で、現在および将来のオンライン・オフラインのリスクに対処することを目的としている。

● 今後10年間のEUデジタルの中核をなす信頼とセキュリティ

1) レジリエンス、技術主権、リーダーシップ
ECはこの一連の施策の下で、ネットワークおよび情報システムのセキュリティに関する規則を、(上記)NIS2 の下で改革することを提案する。これは重要な官・民セクターのサイバーレジリエンスのレベル向上を目的とする。病院、電力網、鉄道だけでなく、データセンター、行政機関、研究所、重要な医療機器・医薬品の製造、その他重要なインフラやサービスは、ますます急速に変化する複雑な脅威環境において、漏洩・侵入を防ぐ構造を維持する必要がある。
欧州委員会はまた、人工知能(AI)を搭載した、EU全体のセキュリティ運用センターのネットワークの立ち上げを提案している。これは、EUの真の「サイバーセキュリティ・シールド」を構成し、サイバー攻撃の兆候を十分に早期に検出し、損害が発生する前に予防的な対応を行うことを可能にする。追加の対策には、デジタルイノベーションハブの下での中小企業への専用サポートのほか、従業員のスキルアップ、最高のサイバーセキュリティ人材の誘致と維持、オープンで競争力があり卓越性に基づいた研究・イノベーションへの投資の取り組み強化が含まれる。

2) 防止、抑止、対応のための運用能力の構築
ECは、加盟国との進歩的かつ包括的なプロセスを通じて、新しい合同サイバーユニットを準備しており、EU機関と(民間人、法執行機関、外交・サイバー防衛コミュニティなどサイバー攻撃の防止、抑止、対応を担当する)加盟国当局との間の協力を強化している。EU上級代表は、EUサイバー外交ツールボックスを強化して、悪意のあるサイバー活動、特に重要インフラ、サプライチェーン、民主的な制度やプロセスに影響を与える活動を防止、阻止、抑止、効果的に対応するための提案を行う。EUはまた、サイバー防衛協力をさらに強化し、最先端のサイバー防衛能力を開発することを目指し、欧州防衛機関(EDA)の活動を基盤として、加盟国が常設軍事協力枠組み(PESCO)と欧州防衛基金(EDF)を最大限に活用することを奨励する。

3) 協力の強化を通じたグローバルでオープンなサイバー空間の推進
EUは、国際的なパートナーとの協力を強化して、ルールに基づく世界秩序を強化し、サイバー空間における国際的な安全と安定を促進し、オンラインでの人権と基本的自由を保護する。国連やその他の関連フォーラムの国際パートナーと協力することにより、これらのEUの中心的価値を反映する国際的な規範と基準を推進する。EUは、サイバー外交ツールボックスをさらに強化し、外部サイバー能力構築計画を策定することにより、第三国へのサイバー能力構築の取り組みを強化する。第三国、地域機関や国際的機関、ならびに複数の関係機関コミュニティとのサイバー対話が強化される。EUはまた、そのサイバー空間構想を促進するために、世界中にサイバー外交ネットワークを形成する。

EUは、次期長期EU予算、特にデジタルヨーロッパプログラムや Horizon Europe 、欧州復興計画を通じて、今後7年間にわたるEUのデジタル移行への前例のない規模の投資で新しいサイバーセキュリティ戦略の支援に取り組んでいる。このため、加盟国は、サイバーセキュリティを強化し、EUレベルの投資とマッチングするべく、EUの復興・強靭化ファシリティを最大限に活用することが推奨されている。

ECはまた、EUと各国予算が共同で支援するプロジェクトを通じてなど、サイバーセキュリティにおけるEUの産業的・技術的能力の強化を目指している。EUにはその価値観と優先順位に沿って、資産をプールして戦略的自律性を強化し、デジタルサプライチェーン(データとクラウド、次世代プロセッサ技術、超安全な接続、6Gネットワークなど)全体でサイバーセキュリティのリーダーシップを推進するユニークな機会がある。

● ネットワーク、情報システム、重要事業体のサイバーおよび物理的なレジリエンス

サイバーリスクと物理的リスクの両方から主要なサービスやインフラの保護を目的とした既存のEUレベルの対策を更新する必要がある。デジタル化や相互接続性の向上に伴い、サイバーセキュリティのリスクは増大し続けている。物理的リスクも、現在エネルギー部門と運輸部門のみを対象としている、重要インフラに関する2008年のEU規則の採択以来、より複雑になっている。この改訂は、EUのセキュリティ連合戦略の論理に従ってルールを更新し、オンラインとオフラインの誤った二分法を克服し、サイロアプローチ(縦割り型手法)を打ち破ることを目的としている。

デジタル化と相互接続による脅威の増大に対応するべく、NIS2 は、その経済・社会に対する重要度に基づいて、より多くのセクターの中規模・大規模の事業体を対象とする。NIS 2は、企業に課せられるセキュリティ要件を強化し、サプライチェーンとサプライヤー関係のセキュリティに対処し、報告義務を簡素化し、各国当局に対してより厳格な監督措置を導入し、より厳格な施行要件を導入し、加盟国全体で制裁体制を調和させることを目的としている。NIS 2の提案は、各国・EUレベルでのサイバー危機管理に関する情報共有と協力の強化に役立つ。

提案された重要事業体レジリエンス(CER)指令は、2008年の欧州重要インフラ指令の範囲と深さの両方を拡大する。現在、エネルギー、運輸、銀行、金融市場インフラ、保健、飲料水、廃水、デジタルインフラ、行政、宇宙の10のセクターがカバーされている。提案された指令の下で、加盟国はそれぞれ、重要事業体のレジリエンスを確保するための国家戦略を採択し、定期的なリスク評価を実施する。ECは、例えば、国境を越えたリスクやセクターを越えたリスク、ベストプラクティス、方法論、国境を越えたトレーニング活動、重要事業体のレジリエンスをテストする演習のEUレベルの概要を策定することにより、加盟国と重要事業体に補完的な支援を提供する。

● 次世代ネットワーク(5G以降)の保護

新しいサイバーセキュリティ戦略の下で、加盟国は、ECとENISA(欧州サイバーセキュリティ機構)の支援を受けて、(5Gと次世代ネットワークのセキュリティに関する包括的で客観的なリスクベースのアプローチである) EU5G ツールボックスの実装を完了するよう奨励されている。

5Gネットワークのサイバーセキュリティに対する委員会勧告の影響と、EUツールボックスの実装の進捗状況に関して本日発表された報告書によると、ほとんどの加盟国は、推奨された措置の実施をすでに順調に進めている。加盟国は現在、2021年の第2四半期までの実装完了を目指し、特に、リスクの高いサプライヤーへの曝露を最小限に抑え、これらのサプライヤーへの依存を回避する目的で、特定されるリスクが統括された方法で適切に軽減されることを確保する必要がある。

[DW編集局]