コネクティッドデバイスに共通のサイバーセキュリティ基準を設定することを目的としたEU サイバーレジリエンス法を発表、重要なサプライチェーンのセキュリティを保護するNIS2と相互補完します。
Cyber Resilience Act:デジタル要素を備えた製品のサイバーセキュリティ要件に関する規制について
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
NIS2 Derective:EU全体の高度の共通レベルのサイバーセキュリティ対策に関する指令について
https://www.nis-2-directive.com/
新しいサイバーセキュリティ戦略により、欧州連合(EU)は、サイバー空間の国際的な規範・基準に関するリーダーシップを強化し、法の支配、人権、基本的自由、民主主義的価値に基づいた、グローバルで開かれた安定した安全なサイバー空間を促進するために、世界中のパートナーとの協力を強化することが可能となります。
さらに、欧州委員会(EC)は、重要な事業体・ネットワークのサイバーおよび物理的両方のレジリエンスに対処するための提案を行っております。EU全体の高度の共通レベルのサイバーセキュリティ対策に関する指令(改訂NIS(ネットワーク・情報セキュリティ)指令、NIS2)、および重要な事業体のレジリエンスに関する新規指令です。これらは幅広いセクターをカバーし、サイバー攻撃から犯罪や自然災害まで、一貫性のある補完的な方法で、現在および将来のオンライン・オフラインのリスクに対処することを目的としています。
サイバーセキュリティ・シールド
ECCC:欧州サイバーセキュリティ コンピテンス センターと連携した国境を越えたサイバー脅威検出プラットフォーム
https://digital-strategy.ec.europa.eu/en/news/cybersecurity-eu-launches-first-phase-deployment-european-infrastructure-cross-border-security
人工知能(AI)を搭載した、EU全体のセキュリティ運用センターのネットワークの立ち上げを提案している。これは、EUの真の「サイバーセキュリティ・シールド」を構成し、サイバー攻撃の兆候を十分に早期に検出し、損害が発生する前に予防的な対応を行うことを可能にする。
合同サイバーユニット
Joint Cyber Unit :EU のInstitutions, Agencies, Bodies および加盟国の当局間の協力を強化することを目的とした新しいプラットフォーム
https://digital-strategy.ec.europa.eu/en/policies/joint-cyber-unit
EU機関と(民間人、法執行機関、外交・サイバー防衛コミュニティなどサイバー攻撃の防止、抑止、対応を担当する)加盟国当局との間の協力を強化している。EU上級代表は、EUサイバー外交ツールボックスを強化して、悪意のあるサイバー活動、特に重要インフラ、サプライチェーン、民主的な制度やプロセスに影響を与える活動を防止、阻止、抑止、効果的に対応するための提案を行う。EUはまた、サイバー防衛協力をさらに強化し、最先端のサイバー防衛能力を開発する
外部サイバー能力構築計画
EU Cyber Diplomacy Toolbox :外交および安全保障政策における EU のサイバー外交へのアプローチの一部であり、紛争の防止、サイバーセキュリティの脅威の軽減、および国際関係の安定性の向上を目指す
https://www.cyber-diplomacy-toolbox.com/
国際的なパートナーとの協力を強化して、ルールに基づく世界秩序を強化し、サイバー空間における国際的な安全と安定を促進し、オンラインでの人権と基本的自由を保護するサイバー外交ネットワークを形成する。
NIS2発効へ
NIS2が採択され、2023年1月16日から発効します。
DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022
https://eur-lex.europa.eu/eli/dir/2022/2555/oj
なお、2024年10月17日までに、加盟国は、この指令を遵守するために必要な措置を採択し公表、2024年10月18日からこれらの措置を適用します。
要求事項
- リスク分析及び情報システムセキュリティ方針、インシデント処理、事業継続及び危機管理、サプライチェーンセキュリティ、ネットワーク及び情報システムの取得・開発・保守におけるセキュリティ(脆弱性の処理及び開示を含む)、サイバーセキュリティリスク管理の有効性を評価するための方針及び手順(試験及び監査)、暗号及び暗号など、より具体的に要求されるセキュリティ要素一覧の提供
- 一定の場合におけるインシデントに関するサービスの受け手への通知
- 重要なサプライチェーンのセキュリティに対する要求事項
- 脆弱性開示プロセスの規制
- EU諸国当局に対する監督措置の厳格化
罰則について
報告および/またはサイバーセキュリティリスク管理措置に従わない場合、最高1000万ユーロまたは事業体の全世界総売上高の2%の罰則を課します。
対象となる事業者の範囲について
- 地域エネルギー及び水素エネルギー分野のサービス
- 研究所、医薬品の研究開発活動を行う事業者、基礎医薬品及び製剤の製造業者、並びに重要な医療機器の製造業者
- 廃水の収集、処分、処理
- データセンター、コンテンツデリバリーネットワーク、トラストサービスプロバイダー
- インターネットプロバイダー
- 行政機関
- 衛星通信サービス
- ソーシャルネットワークプラットフォーム
- 郵便・宅配便サービス
- 廃棄物管理
- 化学物質の製造・生産・販売
- 食品製造、加工、流通
- 製造業(医療機器、体外診断用機器、コンピュータ、電子・光学製品、電気機器、機械・装置、自動車、トレーラー、セミトレーラー、その他輸送機器)
域外適用について
DNS、TLDネームレジストリ、クラウドコンピューティング、データセンター、コンテンツデリバリーネットワークは、サイバーセキュリティの意思決定拠点がEU内にある場合、NIS2指令の要求事項に従います。そのような意思決定がEU域内で行われていない場合は、EU域内で最も従業員数が多い加盟国に主たる事業所があるとみなされます。