欧州委員会は2026年1月、NIS2指令を効率化する改正案と新法(CSA2)を提出しました。柱は、①報告義務の簡素化や管轄の明確化による企業負担の軽減、②一度の取得でNIS2準拠を証明できる「ポスチャー認証」の導入、③ハイリスク・ベンダー製品の強制排除を含むサプライチェーン管理の強化です。 日本企業は、EUの重要インフラ向け製品から特定国の部品を排除する等の対応を迫られます。2026年9月の脆弱性報告義務化を見据え、早期のサプライチェーン可視化と、安全保障視点でのリスク管理強化が不可欠です。
欧州委員会は2026年1月21日、EU全体のサイバーレジリエンス(回復力)を強化し、ICTサプライチェーンの安全を確保するための強化法案を提出しました。
すでに施行されている「NIS2指令」そのものの強化案というよりは、「NIS2指令をより効果的に運用するための修正案」と、それを補完する「新サイバーセキュリティ法(Cybersecurity Act 2)」の提案に関する内容となっており、安全保障の視点も加えられております。
この発表のポイントを分かりやすく解説します。
1. なぜ今、新法案提出がなされたのか?
2023年に発効したNIS2指令は、現在EU加盟国で国内法化が進んでいますが、以下の課題が浮き彫りになっていました。
- サプライチェーンのリスク:
特定の国(ハイリスク・ベンダー)への依存が、安全保障上の大きな脅威となっている。 - コンプライアンスの複雑さ:
多くの企業にとって、規制への対応コストや手続きが重荷になっている。
これらを解決するため、欧州委員会は「ルールの簡素化」と「サプライチェーン管理の強化」を同時に進めることにしました。
2. 解説:主な3つの柱
① サプライチェーン・セキュリティの強化(新サイバーセキュリティ法)
今回の目玉は、EUレベルで「信頼できるICTサプライチェーン・フレームワーク」を構築することです。
- ハイリスク・ベンダーの指定:
欧州委員会が、特定の第三国政府の影響下にあるような「リスクの高いサプライヤー」を特定できるようになります。 - 使用禁止措置:
重要セクター(エネルギー、交通、保健など)の企業に対し、これらハイリスク・ベンダーの機器やサービスの利用を禁止、または段階的に廃止(フェーズアウト:実質的撤去命令)させる法的権限を欧州委員会に与えます(5Gツールボックスの考え方を他の重要インフラにも拡大するイメージです)。
② NIS2指令の修正と簡素化
すでに運用が始まっているNIS2指令に対しても、企業負担を減らすための「ターゲットを絞った修正」が行われます。
- 報告義務の効率化:
ランサムウェア攻撃の報告手順などを合理化し、二重・三重の報告コストを削減します。 - 管轄ルールの明確化:
国境を越えて活動する企業が、どの国の当局に従うべきかをより明確にします。 - 中小企業への配慮:
規制対象となる企業の定義をより精密にし、リスクの低い小規模企業が過度な負担を負わないよう調整します。
③ サイバーセキュリティ認証の活用
企業がNIS2指令に「適合していること」を証明しやすくするため、欧州サイバーセキュリティ認証フレームワーク(ECCF)を強化します。
- 製品だけでなく、企業全体のサイバーセキュリティ姿勢(Posture)を認証できるようになります。
- 一度認証を取得すれば、それが「NIS2に準拠している」という証拠として認められる仕組みを作り、監査対応を楽にします。
3. 日本企業への影響
この「パッケージ」が正式に採択されると、欧州で事業を展開する日本企業には以下のような影響が考えられます。
- サプライヤー選定の厳格化:
自社が提供する製品やサービスに、EUが「ハイリスク」とみなすベンダーの部品が含まれていないか、より厳密な管理が求められます。 - 認証取得のメリット増:
EU独自の認証制度を利用することで、現地当局への説明責任を簡素化できる可能性があります。
まとめ
今回の動きは、「NIS2指令という『守りのルール』を、サプライチェーン管理という『攻めの安全保障』とドッキングさせ、同時に企業の事務負担を減らそうとするもの」と言えます。
今後、欧州議会と理事会で議論され、正式な法案として確定していくことになります。
NIS2指令の対象産業を認識されていない方のために以下の解説を加えました。
EUのNIS2指令(改正ネットワーク・情報システム指令)は、サイバーセキュリティ対策を強化するため、旧指令(NIS指令)から対象分野を大幅に拡大しました。
対象産業は「極めて高い重要性を持つ分野」と「その他の重要な分野」の2つに大別されます。
1. 極めて高い重要性を持つ分野(Annex I)
社会・経済への影響が特に大きい11のセクターです。
- エネルギー: 電気、地域熱供給、石油、ガス、水素
- 運輸: 航空、鉄道、水上、道路
- 金融: 銀行、金融市場インフラ(取引所など)
- 保健(ヘルスケア): 医療機関、医薬品製造(ワクチン含む)
- 水: 飲料水、廃水(排水)
- デジタルインフラ: インターネット交換、DNS、クラウド、データセンター、通信ネットワーク
- ICTサービス管理: マネージドサービスプロバイダー(MSP)など(B2B)
- 公共行政: 中央および地域の行政機関
- 宇宙: 地上インフラの運用
2. その他の重要な分野(Annex II)
重要ではあるものの、上記に次ぐとされる7つのセクターです。
- 郵便・宅配サービス
- 廃棄物管理
- 化学品: 製造、生産、流通
- 食品: 生産、加工、流通
- 製造: 医療機器、コンピュータ、電子機器、光学機器、電気機器、機械、自動車、その他輸送機器
- デジタルプロバイダー: オンラインマーケットプレイス、検索エンジン、SNSプラットフォーム
- 研究機関
適用対象となる企業の基準
原則として、上記の分野に属し、EU域内で事業を行う「中規模以上の企業」が対象となります。
- 従業員数: 50人以上
- 年間売上高 / 年間総収入: 1,000万ユーロ以上
※一部の小規模企業でも、特定サービス提供者や単一障害点(SPOF)となる場合は対象に含まれることがあります。
2026年1月21日の提案に基づき、今後のタイムラインと重要なマイルストーンを整理します。
このパッケージは現在「提案段階」であり、これからEUの立法プロセス(欧州議会と理事会による審議)に入るため、今後数年にわたるスケジュールとなります。
実施に向けた予測タイムライン
時期フェーズマイルストーンの内容2026年 前半立法審議の開始欧州議会とEU理事会による「第一読会」が始まります。提案内容に対する修正案が議論されます。2026年 後半三者対話(トリローグ)欧州委員会、議会、理事会の3者が最終的な合意に向けて調整を行います。2027年 前半正式採択・発効最終案が可決され、EU官報に掲載。掲載から20日後に正式に「発効」します。2027年〜2028年移行・国内法化加盟国が自国の法律に組み込む期間(通常18〜24ヶ月)。企業はこの期間に準備を進めます。2028年末〜2029年全面適用新しいサプライチェーン規則や簡素化された報告義務が、実務として強制力を持ち始めます。
注意すべき3つの「時間軸」のポイント
1. NIS2指令(現行)との重なり
現在、多くのEU加盟国は「既存のNIS2指令」の国内法化を進めている真っ最中です(本来の期限は2024年10月でしたが、遅れている国が多い状況です)。今回の修正案は、この既存のNIS2の運用を「走りながら調整する」ものにするため、企業は「現行ルールへの対応」と「将来の修正(簡素化)への注視」を同時並行で行う必要があります。
2. ハイリスク・ベンダーの特定(新サイバーセキュリティ法)
「新サイバーセキュリティ法(Cybersecurity Act 2)」が発効された後、欧州委員会が実際にどのベンダーを「ハイリスク」と指定するかの調査が始まります。
- 指定後、対象ベンダーの機器を撤去・交換するための「猶予期間(フェーズアウト期間)」が設定される見込みですが、これは数年単位(例:3〜5年)の長期スパンになると予想されます。
3. 認証制度(ECCF)の整備
認証を通じたNIS2準拠の簡素化は、技術的な基準策定に時間がかかります。本格的な運用は、法案採択からさらに1〜2年後(2028年以降)になる可能性が高いです。
重要:サプライチェーンに関する規制は、一度決まると「遡及的(過去に導入したものも対象)」になるケースや、「交換に莫大なコスト」がかかるケースがあります。マイルストーンとしては2028年頃の全面適用を目指していますが、調達戦略の検討は対象分野の企業内では、すでに始まっていますので、今すぐ(2026年中)に始めておくのが安全です。
2026年1月21日に提案された「サイバーセキュリティ・パッケージ(CSA2およびNIS2修正案)」は、現在施行が進んでいる「サイバーレジリエンス法(CRA)」や「現行のNIS2」と密接に絡み合っています。
日本企業の皆様が特に注意すべき、今後3年間の「4つのクリティカルなマイルストーン」を整理しました。
日本企業が注視すべき4つの重要マイルストーン
1. 【2026年9月11日】脆弱性・インシデント報告の義務化(CRA)
この日付は、今回の新提案よりも前に確定している「サイバーレジリエンス法(CRA)」の大きな節目です。
- 内容:
EU域内で販売されるデジタル製品(ソフトウェア、ハードウェア)のメーカーは、悪用された脆弱性を24時間以内にENISA(欧州サイバーセキュリティ機関)へ報告することが義務付けられます。 - 影響:
日本のメーカーやITベンダーは、2026年後半から非常にタイトな報告プロセスを運用に乗せる必要があります。
2. 【2026年後半〜2027年前半】サプライヤー・リスク評価の本格化
新提案(CSA2)の審議が欧州議会で進むこの時期、EU当局は「ハイリスク・ベンダー」を特定するための暫定リストや評価基準の作成に入ります。
- 影響:
EU企業の取引先である日本企業に対し、「自社の製品に第三国などの特定国のモジュールが含まれていないか」といったデューデリジェンス(詳細調査)の要請が急増する可能性があります。
3. 【2027年12月11日】製品へのCEマーク貼り付け義務(CRA全面適用)
- 内容:
CRAのすべての要件が適用されます。セキュリティ要件を満たさない製品はEU市場から締め出されます。 - 影響:
日本からEUへ輸出する際、従来の安全性だけでなく「サイバーセキュリティ」の適合証明が必須となります。
4. 【2028年〜2029年】「サイバー・ポスチャー認証」の活用開始
今回の「NIS2修正案」と「CSA2」が成立・適用される時期です。
- 内容:
個別の製品単位ではなく、「企業全体のサイバー対応能力」を証明する認証(サイバー・ポスチャー証明書)が導入されます。 - 影響:
これを取得している日本企業は、EU内の取引先から「NIS2準拠の信頼できるパートナー」として選別されるための強力な武器を得ることになります。
日本企業の事業計画における推奨アクション
今回の法改正は「規制の強化」だけでなく、複雑な手続きの「簡素化」も目的としています。以下のステップを計画に組み込むことをお勧めします。
時期推奨アクション2026年前半サプライチェーンの可視化: 自社製品・サービスの部品(SBOM)やクラウドインフラが、EUの「ハイリスク・ベンダー」基準に抵触する可能性があるか予備調査を行う。2026年中盤報告体制の構築: 2026年9月の報告義務化に向け、現地の販売代理店やENISAとの連絡ルート、社内のインシデント初動フローを確立する。2027年以降認証戦略の策定: 製品単位の認証(CRA対応)だけでなく、将来的な「企業単位の認証(CSA2対応)」を見据え、ISMS(ISO27001)などの既存体制をEU基準に寄せ始める。
アドバイス:2026年1月の提案により、今後は「一度の報告で複数の法律(NIS2/GDPR/CRAなど)の報告義務をカバーできる」ような報告窓口の一本化が進みます。無駄な事務作業を減らすチャンスでもあるため、法務・IT部門と連携して最新の「簡素化ツール」の情報を追うことをお勧めします。
2026年1月21日の最新提案(CSA2/NIS2修正)を踏まえ、日本企業が直面する「ハイリスク・ベンダー」の定義と、活用すべき「認証制度」について深掘りして解説します。
1. 「ハイリスク・ベンダー」の定義と日本企業への影響
今回のCSA2(改正サイバーセキュリティ法)案で最も注目すべきは、技術的な脆弱性だけでなく、「非技術的リスク」に基づくベンダー排除の仕組みが法制化される点です。
判定基準(非技術的リスクの重視)
欧州委員会は、以下の観点からベンダーを評価します:
- 第三国政府の影響力:
ベンダーが第三国(EU国外)の政府から、サービス停止や脆弱性の隠蔽を命じられる法的・実質的なリスクがあるか。 - 所有構造と支配力:
企業の持ち株比率や経営陣に、特定の政府と密接な関わりがあるか。 - 単一ベンダー依存:
特定のベンダーに市場が独占され、そのベンダーに問題が起きた際にEUのインフラ(電力・通信等)が麻痺するリスク(ロックイン・リスク)があるか。
日本企業の具体的な対応
- SBOM(ソフトウェア部品表)の精査:
自社製品の中に、将来「ハイリスク」と指定されそうな国の部品やソフトウェアが含まれていないか確認が必須です。 - 代替調達(マルチベンダー戦略):
EUの顧客からは「少なくとも2社以上の独立したサプライヤーから調達しているか」という証明を求められるようになります。
2. 新しい認証制度「サイバー・ポスチャー認証」について
これまでのEU認証は「製品(モノ)」が中心でしたが、今回の提案では「企業(組織)の構え(Posture)」を認証する仕組みが導入されます。
認証による「NIS2準拠」の証明(みなし適合)
NIS2指令は非常に要求事項が多岐にわたりますが、新しい認証制度を活用することで以下のようなメリットが得られます。
- 重複監査の回避:
一度「サイバー・ポスチャー認証」を取得すれば、EU各国の当局や取引先からの個別のセキュリティ監査に対応する必要がなくなり、「この企業はNIS2に準拠している」とみなされます。 - 単一市場アクセス:
ある加盟国で取得した認証は、EU全域で有効となります。
3. 日本企業が取るべき「3つの実務ステップ」
今回の改正により、日本企業は「製品の安全性」と「企業の信頼性」の両面で証明を求められるフェーズに入ります。
ステップ内容関連法規Step 1: サプライヤー調査自社製品・サービスに組み込んでいる「重要ICT資産」のリスト化。特定の高リスク国への依存度を評価。CSA2 (ICT Supply Chain)Step 2: 脆弱性報告体制2026年9月までに、発見された脆弱性を24時間以内にEU当局へ報告できるワークフローを確立する。CRA (Cyber Resilience Act)Step 3: 組織認証の検討ISO/IEC 27001(ISMS)をベースにしつつ、EUの新認証(ECCF)へのマッピングを行い、組織的な対応能力を可視化する。NIS2 / CSA2 (Posture)
今後の注目点
2026年後半には、欧州委員会から「キーICTアセット(重要ICT資産)」の具体的なリストが発表される予定です。これにより、「どの製品やコンポーネントが監視対象になるのか」がより明確になります。
2026年1月21日の最新提案に基づき、日本企業が注視すべき「重要ICT資産(Key ICT assets)」の具体例と、「ハイリスク・ベンダー」への具体的な規制内容、そして活用すべき「認証」について詳しく解説します。
1. 「重要ICT資産(Key ICT assets)」の具体例
新しく提案された「CSA2(改正サイバーセキュリティ法)」では、欧州委員会が「重要ICT資産」を指定し、そのサプライチェーンを厳格に管理します。
特に「電子通信ネットワーク(モバイル、固定、衛星)」については、追加の個別法を待たずして、CSA2自体に資産リストが含まれる見込みです。
分類具体的な製品・サービスの例通信インフラ5Gコアネットワーク機器、基地局、ルーター、交換機、衛星通信用地上設備デジタルインフラ欧州デジタルアイデンティティ(EUDI)ウォレット、クラウドインフラ(IaaS/PaaS)、データセンター管理システム、海底ケーブルサイバー製品VPN、ファイアウォール、侵入検知システム(IDS/IPS)、ID管理システム(Class I/II)産業用システムスマートメーター、エネルギー/水/交通の制御システム(OT/ICS)
【重要】日本企業がこれらの資産をEUの「重要インフラ事業者(NIS2対象企業)」に納入している場合、その製品から「ハイリスク・ベンダー」の部品を完全に排除することが求められます。
2. 「ハイリスク・ベンダー」への強制措置
特定の国(非EU諸国)の政府の影響下にあるとみなされたベンダーに対し、以下のような非常に強力な制限が課されます。
- 36ヶ月以内の排除:
ハイリスクと指定されたベンダーの部品は、36ヶ月以内に既存のシステムから撤去・交換(フェーズアウト)しなければなりません。 - 調達の禁止:
公共調達や、重要インフラ企業による新規購入が禁止されます。 - リモートアクセスの遮断:
第三国からのリモートメンテナンスやデータ転送が禁止、あるいは厳格に制限される可能性があります。
3. 日本企業が活用すべき「2種類の認証」
「NIS2準拠」を効率的に証明し、EU市場での競争力を維持するために、以下の2つの認証ルートを事業計画に盛り込む必要があります。
① 製品認証:CRA(サイバーレジリエンス法)対応
- 対象:
全てのデジタル製品。 - メリット:
CEマークを取得することで、EU域内での販売が可能になります。 - 重要度:
2026年9月から脆弱性報告義務が開始されるため、最優先事項です。
② 組織認証:サイバー・ポスチャー(Cyber Posture)認証
- 対象:
企業全体のセキュリティ体制(組織)。 - メリット:
個別の製品だけでなく、「この会社はNIS2の管理体制ができている」というお墨付きが得られます。これにより、EUの取引先からの監査対応が大幅に簡素化されます。 - 活用法:
日本国内でISMS(ISO/IEC 27001)を取得している場合、それをベースにEUの認証フレームワーク(ECCF)へ適合させる戦略が有効です。
まとめ:日本企業の「攻め」と「守り」
- 守り:
自社サプライチェーンから「ハイリスク」とみなされる可能性のある部品を特定し、2027年頃までに代替案を確立する。 - 攻め:
いち早く「サイバー・ポスチャー認証」の準備を整え、EU企業にとって「安全で低リスクなパートナー」としての地位を確立する。
