ENISA(欧州連合サイバーセキュリティ機関)がEU Cybersecurity ACT.を欧州議会に提出し、欧州連合理事会で4月17日に議決された。
これによりEUの企業に関連認証取得の義務が課せられるEUサイバーセキュリティ法が8月26日に成立した。また、違反した場合、2021年6月28日以降は罰則が科せられることが決まった。
そのEUサイバーセキュリティ法のドキュメントは長文で様々な要素について書かれており難解であるため、要旨をここにまとめておきます。但し、要旨はあくまでもICS研究所が重要と思われたところをピックアップしてまとめたものであって、解釈における法的責任は一切負いません。
◎EUサイバーセキュリティ法のICS研究所がまとめた主要な要旨
1.施設や工場などのICT製品についての認証制度強化
サイバー攻撃におけるリスクを軽減するためには、中小企業から重要なインフラのオペレーターに至るまで、市民、組織、企業が使用するネットワークおよび情報システム、通信ネットワーク、デジタル製品、サービス、デバイスがサイバー脅威からより適切に保護されるように、連合のサイバーセキュリティを改善するために必要なすべての措置を講じる必要があります。
その中でも特に認証取得の製品使用が拡がっていないことで、ICT製品、ICTサービス、ICTプロセスのサイバーセキュリティ機能に関する情報が不十分な個人、組織、ビジネスユーザーにつながり、デジタルへの信頼を損ないます。
2.脅威モデル分析体制強化と政策の立法行使
ENISAは、EU外からのサイバーセキュリティ製品やサービスへの依存を減らし、連合内のサプライチェーンを強化するために、大学や研究機関との緊密な協力に努めるべきであります。そのためには、EUレベルでの効果的かつ協調的な対応と危機管理が必要であり、欧州の連帯と相互支援のための専用政策とより広範な手段の上に構築されます。さらに、業界とユーザーが、信頼できるユニオンデータに基づく連合のサイバーセキュリティとレジリエンスの状態を定期的に評価し、ユニオンとグローバルレベルでの将来の開発、課題、脅威の体系的な予測は、政策立案者にとって重要です。
3.ENISAの権限と対象範囲
加盟国や企業の能力と準備をさらに強化するとともに、加盟国および連合機関、機関と機関間の協力、情報共有、調整の改善が含まれます。さらに、あらゆる規模のサイバー脅威に対応するために、国家能力を維持し、さらに強化することの重要性から、サイバー脅威のボーダレスな性質を考えると、特に大規模な国境を越えた事件や危機が発生した場合には、加盟国の行動を補完する可能性のあるユニオンレベルで能力を高める必要があります。
4.情報公開の必要性
企業および個人消費者は、ICT製品、ICTサービス、ICTプロセスのセキュリティが認定されている保証レベルに関する正確な情報を持っている必要があります。同時に、ICT製品やICTサービスは完全にサイバーセキュアではなく、サイバー健全性の基本的なルールを推進し、優先順位を付ける必要があります。
5.ENISAの体制強化
ENISAは、高い専門知識を開発・維持し、基準点として運営し、独立性、提供するアドバイスの質、情報の質、その手順の透明性、運用方法の透明性、その業務遂行に対する勤勉さから、単一市場への信頼を確立する必要があります。ENISAは、国家の取り組みを積極的に支援し、連合機関、機関、機関及び加盟国との全面的な協力を行いながら、労働組合の取り組みに積極的に貢献し、作業の重複を回避し、シナジーを促進すべきである。
等々⇒詳細項目は序文に書かれておりますので本文でご確認ください。
これらの趣旨から、今後ENISAは重要インフラや産業別のガイドラインや施設及び工場の脅威モデル分析から、サイバーセキュリティ認証制度の整備や、そこに使用される制御機器などの認証制度の推進から、EU参加国の法整備の内容についての評価・改善指令立法含め、あらゆる対策を講じるというものです。
以下は、そのEUサイバーセキュリティ法成立における序文と法令ドキュメントを日本語化したものである。
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019R0881
【続きはeICS受講者のみログイン後、閲覧可。】
・具体的な法令内容と解説を掲載。
これによりEUの企業に関連認証取得の義務が課せられるEUサイバーセキュリティ法が8月26日に成立した。また、違反した場合、2021年6月28日以降は罰則が科せられることが決まった。
そのEUサイバーセキュリティ法のドキュメントは長文で様々な要素について書かれており難解であるため、要旨をここにまとめておきます。但し、要旨はあくまでもICS研究所が重要と思われたところをピックアップしてまとめたものであって、解釈における法的責任は一切負いません。
◎EUサイバーセキュリティ法のICS研究所がまとめた主要な要旨
1.施設や工場などのICT製品についての認証制度強化
サイバー攻撃におけるリスクを軽減するためには、中小企業から重要なインフラのオペレーターに至るまで、市民、組織、企業が使用するネットワークおよび情報システム、通信ネットワーク、デジタル製品、サービス、デバイスがサイバー脅威からより適切に保護されるように、連合のサイバーセキュリティを改善するために必要なすべての措置を講じる必要があります。
その中でも特に認証取得の製品使用が拡がっていないことで、ICT製品、ICTサービス、ICTプロセスのサイバーセキュリティ機能に関する情報が不十分な個人、組織、ビジネスユーザーにつながり、デジタルへの信頼を損ないます。
2.脅威モデル分析体制強化と政策の立法行使
ENISAは、EU外からのサイバーセキュリティ製品やサービスへの依存を減らし、連合内のサプライチェーンを強化するために、大学や研究機関との緊密な協力に努めるべきであります。そのためには、EUレベルでの効果的かつ協調的な対応と危機管理が必要であり、欧州の連帯と相互支援のための専用政策とより広範な手段の上に構築されます。さらに、業界とユーザーが、信頼できるユニオンデータに基づく連合のサイバーセキュリティとレジリエンスの状態を定期的に評価し、ユニオンとグローバルレベルでの将来の開発、課題、脅威の体系的な予測は、政策立案者にとって重要です。
3.ENISAの権限と対象範囲
加盟国や企業の能力と準備をさらに強化するとともに、加盟国および連合機関、機関と機関間の協力、情報共有、調整の改善が含まれます。さらに、あらゆる規模のサイバー脅威に対応するために、国家能力を維持し、さらに強化することの重要性から、サイバー脅威のボーダレスな性質を考えると、特に大規模な国境を越えた事件や危機が発生した場合には、加盟国の行動を補完する可能性のあるユニオンレベルで能力を高める必要があります。
4.情報公開の必要性
企業および個人消費者は、ICT製品、ICTサービス、ICTプロセスのセキュリティが認定されている保証レベルに関する正確な情報を持っている必要があります。同時に、ICT製品やICTサービスは完全にサイバーセキュアではなく、サイバー健全性の基本的なルールを推進し、優先順位を付ける必要があります。
5.ENISAの体制強化
ENISAは、高い専門知識を開発・維持し、基準点として運営し、独立性、提供するアドバイスの質、情報の質、その手順の透明性、運用方法の透明性、その業務遂行に対する勤勉さから、単一市場への信頼を確立する必要があります。ENISAは、国家の取り組みを積極的に支援し、連合機関、機関、機関及び加盟国との全面的な協力を行いながら、労働組合の取り組みに積極的に貢献し、作業の重複を回避し、シナジーを促進すべきである。
等々⇒詳細項目は序文に書かれておりますので本文でご確認ください。
これらの趣旨から、今後ENISAは重要インフラや産業別のガイドラインや施設及び工場の脅威モデル分析から、サイバーセキュリティ認証制度の整備や、そこに使用される制御機器などの認証制度の推進から、EU参加国の法整備の内容についての評価・改善指令立法含め、あらゆる対策を講じるというものです。
以下は、そのEUサイバーセキュリティ法成立における序文と法令ドキュメントを日本語化したものである。
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019R0881
【続きはeICS受講者のみログイン後、閲覧可。】
・具体的な法令内容と解説を掲載。
