欧州委員会が火曜日に公表した広範な提案により、欧州連合(EU)全域の国々は、ファーウェイやZTEといった中国の通信機器メーカーを重要インフラのサプライチェーンから排除することを迫られる可能性がある。
この提案には、2019年サイバーセキュリティ法の大幅な改正が含まれる。重要サプライチェーンに関する規則を厳格化することに加え、すべてのEU加盟国に等しく適用される新規則は、サイバーセキュリティ認証スキームを監督するために欧州連合サイバーセキュリティ機関の役割を拡大し、さらに、まだ完全には実施されていないネットワークおよび情報セキュリティ指令(NIS2)にも大きな変更を加える(参照:欧州各国、サイバーセキュリティ指令の実施で足踏み)。
「新しいサイバーセキュリティ・パッケージにより、重要なICTサプライチェーンをより良く保護する手段を整えるとともに、サイバー攻撃に断固として対抗できるようになります」と、欧州委員会の技術主権担当エグゼクティブ・バイスプレジデントであるヘンナ・ヴィルックネン氏は声明で述べた。
提案されているCSA改正は中国を名指ししていないが、その含意は明白だ。
高リスク第三国の指定を扱う第100条では、既知の悪用が行われる前に脆弱性について自国当局へ事前通報することを企業に義務付ける法律に言及している。これは、2021年9月以降の中国で見られる状況である(参照:中国、脆弱性開示法によりゼロデイを蓄積している可能性)。
また、実効的な司法救済や「独立した民主的な統制メカニズム」の欠如、さらに「当該国によって統制され、当該国の領域から活動する脅威アクターが、悪意あるサイバー活動またはキャンペーンを実行した一つ以上の事案に関する裏付けのある情報」にも言及している。
EUがある国をサイバーセキュリティ上の懸念をもたらす国として指定した場合、欧州委員会はその国の高リスク供給者を特定し、通信ネットワーク事業者に対して3年以内に当該供給者の部品を段階的に排除するよう命じることができる。
この強制的排除は通信ネットワークに関してのみ明記されているが、提案の他の部分は、コネクテッドカーやドローンから太陽光発電システム、セキュリティスキャナーに至るまで、他の多くのサプライチェーンも標的になり得ることを示唆している。
「サイバーセキュリティ法により、EUは重要なバリューチェーンから高リスクベンダーを排除できるようになりました(例:5Gネットワークにおけるファーウェイ)」と、欧州委員会の産業戦略担当エグゼクティブ・バイスプレジデントであるステファン・セジュルネ氏は、ファーウェイとの関連を明確にしたXへの投稿で述べた。「この時代において、サイバーセキュリティは贅沢品ではなく、生存の問題です。
「5Gサイバーセキュリティ・ツールボックス」と呼ばれる枠組みは、加盟国に対し、5Gネットワークから高リスク供給者を排除することをすでに促している。これは約10の加盟国でファーウェイとZTEをネットワークから制限または排除するために用いられてきたが、大多数は一切の制限を実施していない。「今後はこれに関してより厳格なルールが適用されます」と、ヴィルックネン氏は新提案の公表に先立ちPoliticoに語った。
この提案要素が、複雑な大陸規模の立法プロセス(欧州委員会は今後、欧州議会および加盟国と交渉する必要がある)を乗り切れば、ファーウェイとZTEの通信機器を全面禁止するという米国の要求を、遅ればせながら受け入れたものだと見なされ得る。オバマ政権および第一次トランプ政権はいずれも欧州での禁止を強く働きかけたが、「5Gサイバーセキュリティ・ツールボックス」の任意アプローチは、そうした呼びかけを退けるものとなった。
「貿易を安全保障や政治の問題にしてしまえば、技術進歩と経済成長を妨げ、誰の利益にもなりません」と、中国外務省は提案公表前の報道に対する反応としてロイターに語った。同省はこの提案を「露骨な保護主義」と位置づけた。
高リスク供給者の問題に加え、提案パッケージは、製品およびサービス向けの、より簡素とされるサイバーセキュリティ認証の枠組みも導入する。こうした認証は原則として1年以内に策定され、欧州連合サイバーセキュリティ機関(通称ENISA)がプロセスを担当する。
当初のサイバーセキュリティ法で最初の枠組みが導入されて以来、ハードウェア、ソフトウェアおよびコンポーネントを対象とするEUサイバーセキュリティ認証(EUCC)という1つのスキームのみが公表されており、クラウドサービス、5G、デジタルIDウォレットを対象とするスキームは、いまだ開発段階にとどまっている。欧州委員会自身も火曜日の提案で、この枠組みの実施は「停滞している」と述べた。
改訂された枠組みの下でも認証スキームは任意のままだが、欧州委員会はこの枠組みを「EU企業にとっての競争上の資産」と位置づけ、欧州市民や他の企業に対して安全な製品・サービスをより売り込みやすくなるはずだとしている。
米国テック業界にとってブリュッセル最大のロビー団体であるコンピュータ・アンド・コミュニケーションズ・インダストリー・アソシエーション(CCIA)は、この提案が、非EU企業が高水準の認証を取得できなくなるような形で欧州の「主権」制限を枠組みに導入しなかったことに、慎重ながら安堵を示した。
「欧州のデジタル・エコシステムの安全性を損なう差別的な制限を復活させようとする保護主義的衝動に、EU機関が引き続き抵抗することを求めます」と、CCIA Europeのテック政策マネージャーであるミッチェル・ラトリッジ氏は電子メールの声明で述べた。
一方で、この提案は理論上、重要インフラを運用する組織のサイバーセキュリティ強化を目的とするNIS2指令への企業の準拠を容易にすることになる。
指令を国内実装する期限から15カ月が経過したにもかかわらず、実際に実装した加盟国は3分の2未満にとどまっている。そのため、フランスやアイルランドのような国では、影響を受ける企業が、国内当局への登録という最初の必須ステップすら踏めない状況にある。サイバーセキュリティ法を改正するための法案が導入されたことで、NIS2準拠の性質を変える欧州委員会の提案が、現在2本並立している。
1つ目は、11月に提案されたデジタル・オムニバス草案で、NIS2を含む複数の法律要件を、ENISAへの一度の簡素化された通知で満たせるようにするものだ。CSA改正も同様に準拠の容易化を図るが、今回は欧州委員会が「2万2,500社の準拠コストを引き下げる」とする新たな「小規模ミッドキャップ企業」区分を導入する。
欧州委員会がQ&A文書で述べたところによれば、新提案はまた、海底データケーブル・インフラに対する指令の適用範囲を拡大し、「電力や化学などのセクター」に関する「より精緻な法文起草」を導入することで、NIS2に実質的な変更を加える。改訂されたNIS2は、その後、最初の版すら移植できていない国々を含むすべての加盟国で、国内法へ移植される必要がある。
権限拡大に合わせ、ENISAは提案の下で資金が75%超増額され、職員数も増える見込みだ。
翻訳元: https://www.databreachtoday.com/europe-readies-law-to-eject-chinese-equipment-from-telecoms-a-30566
