EUが新たなサイバーセキュリティ法案を提案
欧州委員会は、通信ネットワークを保護し、国家支援型およびサイバー犯罪グループによる重要インフラへの攻撃に対する防御を強化するため、新たなサイバーセキュリティ法案を提案しました。この法案は、高リスクのサプライヤーを排除することを義務付けるものです。
この動きは、2020年1月に導入されたEUの自主的な「5Gセキュリティツールボックス」が加盟国によって不均一に適用され、高リスクベンダーへの依存を制限する効果が不十分であったことへの長年の不満を背景にしています。法案では特定の企業名を挙げていないものの、5Gセキュリティツールボックスの導入時には、EU当局者が中国のテクノロジー企業(HuaweiやZTEなど)に対する懸念を表明していました。
欧州委員会の権限強化と加盟国の連携
新しいサイバーセキュリティパッケージは、欧州委員会に以下の権限を付与します:
- EU全体でのリスク評価の実施
- 機密インフラで使用される特定の機器に対する制限または禁止の支援
また、EU加盟国は、サプライヤーの原産国および国家安全保障への影響に基づき、EUの18の重要セクター全体で共同でリスクを評価することになります。
EUのテクノロジー担当委員であるヘンナ・ヴァークネン氏は、「サイバーセキュリティの脅威は単なる技術的課題ではありません。それは、私たちの民主主義、経済、そして生活様式に対する戦略的リスクです。新しいサイバーセキュリティパッケージにより、重要なICTサプライチェーンをより良く保護し、サイバー攻撃に断固として対抗する手段が整います。これは、欧州の技術主権を確保し、すべての人の安全を強化するための重要な一歩です」と述べました。
改正サイバーセキュリティ法とENISAの役割拡大
この法案には、情報通信技術(ICT)サプライチェーンを保護するために設計された改正サイバーセキュリティ法も含まれており、欧州の移動体通信ネットワークから高リスクの外国サプライヤーを排除することが義務付けられています。
改正サイバーセキュリティ法はまた、企業向けの認証手続きを合理化し、EUサイバーセキュリティ機関(ENISA)が管理する自主的な認証スキームを通じて、規制負担とコストを削減できるようにします。
欧州委員会がさらに説明したところによると、新しい法案はENISAに以下の権限を与えます:
- 早期の脅威アラートを発行
- インシデント報告のための単一エントリーポイントを運営
- ユーロポールやコンピューターセキュリティインシデント対応チームと協力し、企業がランサムウェア攻撃に対応するのを支援
さらに、ENISAはEU全体でのサイバーセキュリティスキル認定スキームを確立し、欧州のサイバーセキュリティ労働力を育成するためのサイバーセキュリティスキルアカデミーを試験的に導入する予定です。
今後の展望
サイバーセキュリティ法は、欧州議会とEU理事会による承認後直ちに発効し、加盟国はサイバーセキュリティの改正を国内法に組み込むために1年間の猶予が与えられます。