欧州委員会は、通信ネットワークの安全確保のために高リスク供給業者の排除を義務付け、重要インフラを標的とする国家支援の攻撃者やサイバー犯罪グループに対する防御を強化する新たなサイバーセキュリティ法制を提案した。
この動きは、加盟国に高リスクベンダーへの依存を制限するよう促す目的で2020年1月に導入されたEUの任意の5Gセキュリティ・ツールボックスが、各国で不均一に適用されてきたことへの長年の不満を受けたものだ。
提案では特定の企業名は挙げていないものの、5Gセキュリティ・ツールボックスの実施時に、EU当局者は中国のテクノロジー企業(HuaweiやZTEなど)について懸念を表明してきた。
新たなサイバーセキュリティ・パッケージにより、欧州委員会はEU全体のリスク評価を組織し、機微なインフラで使用される特定の機器に対する制限や禁止を支援する権限を得ることになる。EU加盟国もまた、供給業者の原産国および国家安全保障上の含意に基づき、EUの18の重要セクター全体にわたるリスクを共同で評価する。
「サイバーセキュリティの脅威は、単なる技術的課題ではありません。私たちの民主主義、経済、そして生活様式に対する戦略的リスクです」と、EUの技術担当委員であるヘンナ・ヴィルックネン氏は本日述べた。
「新たなサイバーセキュリティ・パッケージにより、重要なICTサプライチェーンをより適切に保護するための手段を整えるとともに、サイバー攻撃に断固として対抗できるようになります。これは、欧州の技術的主権を確保し、すべての人々により大きな安全を確保するための重要な一歩です。」
この法制には、情報通信技術(ICT)サプライチェーンの安全確保を目的とした改正サイバーセキュリティ法も含まれており、欧州のモバイル通信ネットワークから高リスクの外国供給業者を排除することを義務付ける。
改正サイバーセキュリティ法はまた、企業向けの認証手続きを合理化し、EUサイバーセキュリティ機関(ENISA)が運用する任意の認証制度を通じて、規制上の負担とコストを削減できるようにする。
欧州委員会がさらに説明したところによれば、新法制はENISAに対し、早期の脅威警報の発出、インシデント報告のための単一窓口の運用、そしてEuropolおよびコンピュータ・セキュリティ・インシデント対応チームと協力して、企業のランサムウェア攻撃への対応を支援する権限を付与する。
ENISAはまた、EU全体で通用するサイバーセキュリティ技能の認定制度を設け、欧州のサイバーセキュリティ人材を育成するためにサイバーセキュリティ・スキルズ・アカデミーの試行を行う。
サイバーセキュリティ法は、欧州議会およびEU理事会の承認を受け次第直ちに発効し、加盟国にはサイバーセキュリティ関連の改正を国内法に反映させるための1年の猶予が与えられる。
