近年、EUがサイバーセキュリティに対してますます真剣に取り組む姿勢を見せています。サイバーセキュリティへの真剣な取り組みは、重大なセキュリティ侵害が相次ぎ、その多くが重要インフラを標的にしたサプライチェーン攻撃によるものであったことを踏まえれば、歓迎すべきことです。しかし、善意と良質な政策は必ずしも一致するものではありません。提案されているEUサイバーセキュリティ法2.0は、後者よりもむしろ前者に近いものになりつつあります。
CSA 2.0が抱える問題
2019年に施行された当初のEUサイバーセキュリティ法は、確固たる基盤となるものでした。CSA 2.0は、現在の脅威環境に対応するための慎重な進化を目指すものであるはずでした。しかし実際に浮上してきたのは、より野心的で憂慮すべき内容です。欧州委員会が特定の国を「高リスク」に指定する権限を初めて持つことになり、該当国のベンダーは自動的にその烙印を押され、EU全体で厳しい制限に直面することになります。
この影響は計り知れないものがあり、利益よりも害が大きくなる恐れがあります。「地獄への道は善意で舗装されている」という格言が、CSA 2.0にまさに当てはまりつつあります。
アイルランド企業経営者連盟(IBEC)は、今回の改正案がアイルランド国内だけで18の重要セクターにわたる安定性を脅かす可能性があると警告しており、機器の撤去・交換費用としてアイルランドの通信業界に約7億3,000万ユーロの負担が生じると指摘しています(報告書参照)。
私が所属するBH Consultingがデジタルビジネスアイルランド向けに実施した調査では、CSA 2.0の直接的な規制対象外の企業であっても、より厳しいサプライチェーン要件や調達ルール、投資家の慎重姿勢を通じて大きな打撃を受けることが明らかになりました。
しかし、公に問われることが少なすぎる問いがあります。それは「誰が、どのようにして、その『高リスク』リストに載るのか」という問いです。
正直なところ、まだ誰にもわかりません。現在の枠組みは、高リスクの認定を検証可能な技術的欠陥よりも、主として地政学的な出自に結びつけています。あるベンダーがEU市場から締め出されるとすれば、それはコードが安全でないからでも、パッチ管理が不十分だからでもなく、ただ本社の所在地によるものということになりかねません。
多大なコストを伴う混乱のリスク
明らかな対象として想定されるのは、中国・ロシア・北朝鮮・イランといった、西側諸国が長年議論してきた国々です。しかし、今回設けようとしているメカニズムはこれらの国々に限定されたものではありません。それはいかなる第三国にも適用できる汎用的な権限であり、現在の地政学的環境を踏まえると、すべてのEUの政策立案者は真剣に立ち止まって考える必要があります。
その好例が、EUと米国の関係が過去2年間で明確に変化したことです。貿易摩擦、防衛費をめぐる対立、グリーンランド侵攻の脅し、EU規制への反発、テクノロジー政策をめぐる広範な緊張など、つい最近まで考えられなかったような摩擦が生じています。CSA 2.0の提案する新たな枠組みのもとでは、原則として欧州委員会が将来いずれかの時点で米国を高リスク国に指定することを妨げるものは何もありません。
それが実際に何を意味するか考えてみてください。欧州の重要インフラ、クラウドプラットフォーム、サイバーセキュリティツール、エンタープライズソフトウェアの大部分は、米国に本社を置くベンダーのものです。たとえ部分的・条件付きの指定であっても、数千もの組織において移行義務の発動、調達除外、サプライチェーンの再評価が生じることになります。その混乱は、中国の通信ベンダーをめぐって現在議論されているものを大幅に上回るでしょう。
欧州メディアに引用されたある試算によれば、18のセクターで中国ベンダーに厳しい制限を課すだけでも、直接・間接的な影響を合わせると5年間でEUに約3,680億ユーロのコストが生じるとされています。この論理を他の主要なテクノロジー供給国にまで拡大すれば、その数字は想像を絶するものになります。
さらに根深い問題は、このアプローチが適切なセキュリティの実践と真逆の発想であるということです。健全なリスク管理は証拠から始まります。実際の技術的脆弱性は何か、現実的な脅威ベクターは何か、独立した監査や認証は何を示しているのか——こうした点を問うことが出発点であるはずです。地政学的な文脈はそのリスク評価における正当な要素ですが、評価そのものを置き換えてはなりません。
中小企業を潰しかねないCSA 2.0
本物のシステムリスクが存在する場合には、適切な対応策があります。セグメンテーション、モニタリング、機密性の低い環境における条件付き利用、現実的なスケジュールと財政支援を伴う段階的な移行計画などです。技術的証拠ではなく政治的な地理に基づいて発動される一律禁止や短期間での撤去・交換義務は、最も標的が絞られておらず、最も混乱をもたらす選択肢です。そうした手段は最後の手段であるべきであり、出発点にしてはなりません。
CSA 2.0が中小企業(SMEs)に与える影響についても、深刻な懸念があります。多国籍企業のような大規模組織は突然の規制変動を吸収できますが、地域の中小マネージドサービスプロバイダーや中小のメドテック企業、薄利で事業を営む産業自動化の専門企業には、その余裕がありません。
中小企業には、大規模組織が持つような資金・人材・専門知識の余力がありません。依存している中核コンポーネントが突然「高リスクサプライヤー由来」に再分類された場合、高コストのアーキテクチャ再設計・再構築か、主要顧客の喪失かという厳しい選択を迫られます。
誤解のないように申し上げますが、サプライチェーンリスクを無視すべきと言っているわけではありません。この分野でより一貫性と規律を求めるEUの姿勢は正しいものです。しかしCSA 2.0は、技術的リスク評価、セキュアな開発手法、脆弱性管理、独立した認証、透明性といった客観的・検証可能な基準に根ざしたものでなければなりません。ベンダーの経営幹部が持つパスポートは、セキュリティ管理策ではありません。
この法案のバランスを取り直す時間は、まだあります。問題は、そうするための政治的意志があるかどうかです。
翻訳元: https://www.helpnetsecurity.com/2026/06/16/eu-cybersecurity-act-2-0-regulation/
