(欧州委員会)EUの新サイバーセキュリティ戦略と、物理的・デジタル的な重要エンティティをより強固なものにするための新ルール

Categories
< Back
You are here:
Print

(欧州委員会)EUの新サイバーセキュリティ戦略と、物理的・デジタル的な重要エンティティをより強固なものにするための新ルール

欧州委員会
https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391

2020年12月16日

EUの新サイバーセキュリティ戦略と、物理的・デジタル的な重要エンティティをより強固なものにするための新ルール

本日、欧州委員会と欧州連合(EU)の外務・安全保障政策上級代表は、新しいEUサイバーセキュリティ戦略を発表した。「欧州のデジタルの未来を形作る」、「欧州復興計画」、「EU安全保障連合戦略」の重要な構成要素として、この戦略は、サイバーの脅威に対する欧州全体の回復力を強化し、すべての市民と企業が信頼できる信頼できるサービスとデジタルツールの恩恵を十分に受けることができるようにするのに役立つだろう。接続されたデバイスであれ、電力網であれ、銀行、飛行機、行政、病院であれ、ヨーロッパの人々が利用したり、頻繁に利用したりするものは、サイバーの脅威から守られているという安心感を持って利用するのが当然である。

新しいサイバーセキュリティ戦略はまた、EUがサイバー空間における国際的な規範や基準に関するリーダーシップを強化し、法の支配、人権、基本的自由、民主主義的価値に基づいた、グローバルで開放的で安定した安全なサイバー空間を促進するために、世界中のパートナーとの協力を強化することを可能にするものである。

さらに、欧州委員会は、重要な事業体やネットワークのサイバー回復力と物理的回復力の両方に対処するための提案を行っている。すなわち、EU全体で共通レベルの高いサイバーセキュリティ対策に関する指令(改訂NIS指令または「NIS 2」)と、重大事象の回復力に関する新しい指令である。これらの指令は、幅広い分野をカバーし、サイバー攻撃から犯罪や自然災害に至るまで、現在および将来のオンラインおよびオフラインのリスクに、首尾一貫した補完的な方法で対処することを目的としている。

EUの「デジタルの10年」の中心にある信頼とセキュリティ

新しいサイバーセキュリティ戦略は、グローバルでオープンなインターネットを保護すると同時に、セキュリティを確保するだけでなく、欧州の価値とすべての人の基本的権利を保護するためのセーフガードを提供することを目的としている。この戦略は、過去数ヶ月と数年の成果を踏まえ、EUの行動の3つの分野における規制、投資、政策イニシアティブのための具体的な提案を含んでいる。

1. レジリエンス、技術的主権、リーダーシップ

この一連の行動の下で、欧州委員会は、EU全体で共通レベルの高いサイバーセキュリティ対策に関する指令(改正NIS指令または「NIS 2」)の下で、ネットワークおよび情報システムのセキュリティに関する規則を改革することを提案している。

欧州委員会はまた、人工知能(AI)を搭載したセキュリティ・オペレーション・センターのネットワークをEU全域で立ち上げることも提案している。これは、EUにとって真の「サイバーセキュリティの盾」となり、サイバー攻撃の兆候を十分に早期に検知し、被害が発生する前に事前対策を講じることができるようになる。追加措置として、デジタル・イノベーション・ハブの下での中小企業(SME)への献身的な支援や、労働力のスキルアップ、最高のサイバーセキュリティ人材の誘致と維持、オープンで競争力があり、卓越性に基づいた研究とイノベーションへの投資を強化するための努力が含まれる。

2. 予防、抑止、対応のための運用能力の構築

欧州委員会は、文民、法執行、外交、サイバー防衛の各分野を含むサイバー攻撃の防止、抑止、対応に責任を持つEUの機関と加盟国当局との協力を強化するため、加盟国との漸進的かつ包括的なプロセスを経て、新たな共同サイバー・ユニットを設立する準備を進めている。上級代表は、特に我々の重要インフラ、サプライチェーン、民主的な制度、プロセスに影響を及ぼす悪質なサイバー活動を予防、抑止、抑止し、効果的に対応するために、EUのサイバー外交ツールボックスを強化するための提案を行う。EUはまた、欧州防衛庁の活動を基盤として、サイバー防衛協力をさらに強化し、最先端のサイバー防衛能力を開発することを目指し、加盟国が恒久的な構造的協力と欧州防衛基金を最大限に活用するよう奨励する。

3. 協力の強化によるグローバルで開かれたサイバー空間の推進

EUは、ルールに基づく国際秩序を強化し、サイバー空間における国際的な安全保障と安定を促進し、オンライン上での人権と基本的自由を保護するために、国際的なパートナーとの協力を強化する。EUは、国連やその他の関連するフォーラムにおいて国際的なパートナーと協力して、これらのEUの中核的価値観を反映した国際的な規範や基準を推進する。EUは、EUサイバー外交ツールボックスをさらに強化し、「EU対外サイバー能力開発アジェンダ」を策定することにより、第三国に対するサイバー能力開発の取り組みを強化する。第三国、地域・国際機関、マルチステークホルダー・コミュニティとのサイバー対話を強化する。また、EUは、サイバー空間のビジョンを推進するために、世界各地にEUサイバー外交ネットワークを形成する。

EUは、次の長期EU予算、特にデジタル・ヨーロッパ・プログラムホライゾン・ヨーロッパ(Horizon Europe)欧州復興計画(Recovery Plan for Europe)を通じ、今後7年間のEUのデジタル移行への前例のないレベルの投資で、新しいサイバーセキュリティ戦略を支援することにコミットしている。このため、加盟国は、サイバーセキュリティを強化し、EUレベルの投資に見合うだけの投資を行うために、EU復興・回復ファシリティをフルに活用することが奨励されている。その目的は、EU、加盟国、産業界を合わせた投資額を最大45億ユーロとし、特にサイバーセキュリティ・コンピテンス・センターとネットワーク・オブ・コーディネーション・センターの下で、その大部分を中小企業に確実に提供することである。

欧州委員会はまた、EUと国家予算が共同で支援するプロジェクトを含め、サイバーセキュリティにおけるEUの産業・技術能力を強化することを目指している。EUには、その資産をプールして戦略的自律性を強化し、その価値観や優先事項に沿って、デジタル・サプライチェーン(データとクラウド、次世代プロセッサ技術、超安全な接続性、6Gネットワークを含む)全体のサイバーセキュリティにおけるリーダーシップを推進するというユニークな機会がある。

ネットワーク、情報システム、重要なエンティティのサイバーおよび物理的な回復力

サイバーリスクと物理的リスクの両方から主要なサービスとインフラを保護することを目的とした既存のEUレベルの対策を更新する必要がある。サイバーセキュリティのリスクは、デジタル化と相互接続の進展に伴い、進化し続けている。物理的リスクもまた、2008年に重要インフラに関するEU規則が採択されて以来、より複雑になっている。今回の改定は、EUの安全保障連合戦略の論理に沿って規則を更新し、オンラインとオフラインの誤った二分法を克服し、サイロのアプローチを打ち破ることを目的としている。

デジタル化と相互接続性による脅威の増大に対応するため、提案されているEU全体で共通レベルの高いサイバーセキュリティ対策に関する指令(改訂NIS指令または「NIS 2」)は、経済と社会にとっての重要性に基づいて、より多くの分野の中堅・大企業を対象としている。NIS 2は、企業に課せられるセキュリティ要件を強化し、サプライチェーンと供給者関係のセキュリティに対処し、報告義務を合理化し、国家当局に対するより厳格な監督措置、より厳格な執行要件を導入し、加盟国間の制裁制度を調和させることを目的としています。NIS2の提案は、国やEUレベルでのサイバー危機管理に関する情報共有と協力を促進するのに役立つ。

提案されている重要事象回復(CER)指令は、2008年の欧州重要インフラ指令の範囲と深さの両方を拡大するものである。現在、エネルギー、輸送、銀行、金融市場インフラ、健康、飲料水、排水、デジタルインフラ、行政、宇宙の10分野が対象となっている。提案されている指令の下では、加盟国はそれぞれ、重要な事業体の回復力を確保するための国家戦略を採用し、定期的なリスク評価を実施することになる。これらの評価はまた、サイバー以外のリスクに直面した場合の回復力強化を目的とした義務の対象となる重要事業体の小集団を特定するのにも役立つであろう。欧州委員会は、加盟国と重要事業体に対して補完的な支援を提供する。例えば、国境を越えたリスクや分野を越えたリスクに関する欧州連合レベルの概要、ベストプラクティス、方法論、国境を越えた訓練活動、重要事業体の回復力をテストするための演習などを開発することである。

次世代ネットワークの確保。5G とその先

新しいサイバーセキュリティ戦略の下で、加盟国は、欧州委員会とENISA(欧州サイバーセキュリティ機関)の支援を受けて、5Gと将来の世代のネットワークのセキュリティのための包括的かつ客観的なリスクベースのアプローチである「EU 5Gツールボックス」の実施を完了することが奨励されている。

本日発表された報告書によると、5Gネットワークのサイバーセキュリティに関する欧州委員会勧告の影響と、緩和措置のEUツールボックスの実施状況について、2020年7月の進捗報告以降、ほとんどの加盟国はすでに勧告された措置の実施に向けて順調に進んでいる。加盟国は今後、2021年の第2四半期までに実施を完了し、特にリスクの高い供給者へのエクスポージャーを最小限に抑え、これらの供給者への依存を回避するという観点から、特定されたリスクが協調的に適切に緩和されることを確保することを目指すべきである。欧州委員会はまた、本日、EUレベルでの調整作業の継続を目的とした主要な目標と行動を発表した。

カレッジのメンバーは次のように述べている

デジタル時代に適した欧州を担当するマルグレット・ヴェスタガー副社長「欧州は、私たちの社会と経済のデジタル変革に取り組んでいます。そのため、我々は前例のないレベルの投資を行い、デジタル変革を支援する必要があります。デジタル変革は加速していますが、人々や企業が接続された製品やサービスが安全であることを信頼できるようにならなければ成功はありません。」

ジョセップ・ボレル上級代表「国際的な安全保障と安定は、これまで以上に、法の支配、人権、自由、民主主義が尊重されるグローバルでオープンで安定した安全なサイバースペースに依存しています。本日の戦略により、EUは、世界的なサイバー脅威から自国の政府、市民、企業を守り、サイバー空間においてリーダーシップを発揮し、誰もがインターネットと技術の利用の恩恵を享受できるようにするために力を尽くします」。

欧州の生活様式推進担当副社長のMargaritis Schinas「サイバーセキュリティは安全保障連合の中心的な役割を果たしています。もはやオンラインとオフラインの脅威の区別はありません。デジタルと物理的なものは、今や密接に絡み合っています。本日の一連の措置は、EUがあらゆるリソースと専門知識を駆使して、物理的脅威とサイバー脅威に備え、同じレベルの決意を持って対応する準備ができていることを示している」。

ティエリー・ブルトン域内市場担当委員「サイバーの脅威は急速に進化し、ますます複雑化し、適応力を増しています。市民とインフラを確実に保護するためには、数歩先のことを考える必要があります。欧州の回復力のある自律的なサイバーセキュリティ・シールドは、専門知識と知識を活用して、より迅速に検知・対応し、潜在的な被害を抑え、回復力を高めることを意味します。サイバーセキュリティへの投資は、オンライン環境の健全な未来と戦略的自律性への投資を意味します。」

内務大臣のYlva Johansson「私たちの病院、排水システム、交通インフラは、その弱点となるリンクの強さだけで成り立っています。国内市場の円滑な機能と欧州に住む人々の生活を確保するためには、我々の重要なインフラは、自然災害、テロ攻撃、事故、現在経験しているようなパンデミックなどのリスクに強いものでなければなりません。重要インフラに関する私の提案は、まさにそれを実現するものです。」

次のステップ

欧州委員会と上級代表は、今後数ヶ月の間に新しいサイバーセキュリティ戦略を実施することを約束する。両者は、定期的に進捗状況を報告し、欧州議会、欧州連合理事会、利害関係者に十分な情報を提供し、関連するすべての行動に関与し続ける。

現在、欧州議会と理事会は、提案されている NIS 2 指令と重要エンティティ・レジリエンス指令を検討し、採択する必要がある。提案が合意され、結果的に採択されれば、加盟国は発効後18ヶ月以内にこれらに置き換えなければならない。

欧州委員会は、NIS 2指令と重要事業体対応力指令を定期的に見直し、その機能について報告する。

背景

サイバーセキュリティは欧州委員会の最優先事項の一つであり、デジタルでつながりのある欧州の礎となるものである。コロナウイルス危機の際のサイバー攻撃の増加は、病院、研究センター、その他のインフラを保護することの重要性を示している。EUの経済と社会の将来を守るためには、この分野での強力な対策が必要である。

新しいサイバーセキュリティ戦略は、サプライチェーンのあらゆる要素にサイバーセキュリティを統合し、国内市場、法執行、外交、防衛という4つのサイバーセキュリティのコミュニティにまたがるEUの活動と資源をさらに結集させることを提案している。これは、EUの「Shaping Europe’s Digital Future」と「EU安全保障連合戦略」に基づいており、サイバーセキュリティの能力を強化し、よりサイバーに強い欧州を確保するために、EUが実施してきた多くの立法行為、行動、イニシアチブを活用している。これには、2013年のサイバーセキュリティ戦略(2017年に見直された)や欧州委員会の「安全保障に関する欧州アジェンダ2015-2020」が含まれる。また、特に「共通外交・安全保障政策」を通じた内外の安全保障の相互接続の高まりも認識している。

2016年に発効したサイバーセキュリティに関する最初のEU全体の法律であるNIS指令は、EU全体でネットワークや情報システムの共通の高水準のセキュリティを実現するのに役立った。欧州をデジタル時代に適合させるという重要な政策目標の一環として、欧州委員会は今年2月にNIS指令の改正を発表した。2019年から施行されているEUサイバーセキュリティ法は、製品、サービス、プロセスのサイバーセキュリティ認証の枠組みを欧州に装備し、EUサイバーセキュリティ機関(ENISA)の権限を強化した。

5Gネットワークのサイバーセキュリティに関しては、加盟国は、欧州委員会とENISAの支援を受けて、2020年1月に採択された「EU 5Gツールボックス」で、包括的かつ客観的なリスクベースのアプローチを確立した。5Gネットワークのサイバーセキュリティに関する2019年3月の欧州委員会の勧告のレビューでは、ほとんどの加盟国がツールボックスの実施に向けて前進していることがわかった。

2013年のEUサイバーセキュリティ戦略を皮切りに、EUは首尾一貫した総合的な国際サイバー政策を展開してきた。二国間、地域、国際レベルでのパートナーとの協力により、EUは、EUの中核的価値観に導かれ、法の支配に基づいた、グローバルで開かれた安定した安全なサイバー空間を推進してきた。EUは、第三国のサイバー耐性を高め、サイバー犯罪に取り組む能力を高めることを支援してきたほか、2019年のサイバー制裁体制を初めて申請し、8人の個人と4つの事業体・団体をリストアップするなど、2017年のEUサイバー外交ツールボックスを活用して、サイバー空間の国際的な安全と安定にさらに貢献してきました。EUは、サイバー防衛能力を含むサイバー防衛協力についても、特にサイバー防衛政策枠組(CDPF)の枠組みや、恒久的構造化協力(PESCO)や欧州防衛庁の活動の中で、大きな進展を遂げてきた。

サイバーセキュリティは、EUの次期長期予算(2021年~2027年)にも反映されている優先事項である。欧州デジタル計画の下、EUはサイバーセキュリティの研究、イノベーション、インフラ、サイバー防衛、EUのサイバーセキュリティ産業を支援する。また、ロックダウン中にサイバー攻撃が増加したコロナウイルス危機への対応として、「欧州復興計画」の下、サイバーセキュリティへの追加投資が確保されている。

EUは、国内市場の円滑な運営と欧州市民の生活と生活に不可欠なサービスを提供する重要インフラの回復力を確保する必要性を長い間認識してきた。このため、EUは2006年に重要インフラ保護のための欧州プログラム(EPCIP)を設立し、2008年にはエネルギーおよび輸送部門に適用される欧州重要インフラ(ECI)指令を採択した。これらの措置は、その後、気候変動対策、市民保護、外国直接投資などの特定の側面に関する様々なセクター別・横断的な措置によって補完されている。

詳細情報

新EUサイバーセキュリティ戦略に関するファクトシート

連邦全体で共通レベルの高いサイバーセキュリティ対策に関する指令(改訂NIS指令)の提案に関するファクトシート

サイバーセキュリティに関するファクトシート EUの対外行動

Q & A。 EUの新しいサイバーセキュリティ戦略と、物理的・デジタル的に重要なエンティティをより強固なものにするための新規則

欧州連合全体で共通レベルの高いサイバーセキュリティ対策に関する指令に対する提案(改訂NIS指令または「NIS 2」)。

重要事業体の回復力に関する指令の提案(提案の附属書1影響評価及びその概要も参照)。

欧州安全保障連合

改正NIS指令(NIS 2)の影響評価

サイバーセキュリティの詳細

NIS指令の詳細

出典:https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391

付記:下訳にhttps://www.deepl.com/translatorを用いました。

Table of Contents