- EUはサイバーセキュリティ認証プロセスの合理化を目指している
- 任意の認証により、製品やサービスなどにわたる適合性を示せる
- NIS2指令の変更も、欧州の28,700社のコンプライアンス負担を軽減する見込み
欧州委員会はサイバーセキュリティ法の改正計画を示し、重要サービスや民主的機関への攻撃の増加を受けた対応だとしている。
提案された変更では、「設計段階からサイバーセキュア(cyber-secure by design)」というアプローチを打ち出し、認証プロセスを迅速化・簡素化することで、国家安全保障上の懸念があると見なされる供給者への依存を減らすことを狙う。
世界的に地政学的緊張が続く中、議員らは国家支援を受けた集団の活動増加を懸念している。
欧州の提案は重要サービスのサイバーセキュリティを標的に
欧州委員会は更新の中で、「最近のサイバーセキュリティ事案は、重要サービスやインフラの機能に不可欠なICTサプライチェーンにおける脆弱性がもたらす重大なリスクを浮き彫りにした」と記した。
この提案は、加盟国間で採用状況にばらつきがある既存の5Gセキュリティ・ツールボックスを踏まえつつ、高リスク供給者から通信ネットワークを必須でリスク低減(デリスキング)することを可能にする。
EUサイバーセキュリティ機関(ENISA)の認証は任意となるが、欧州の規制への適合を証明する手段として機能する。「最終的に、刷新された[欧州サイバーセキュリティ認証枠組み(ECCF)]は、EU企業にとって競争上の資産となる」と投稿にはある。
認証の対象は、製品、サービス、プロセス、マネージド・セキュリティ・サービス、そして組織のサイバー態勢に及ぶ。
政策立案者らはまた、推定28,700社のコンプライアンス負担を軽減するため、NIS2指令の簡素化も望んでいる。
サイバーセキュリティ法およびNIS2指令の変更は承認が必要で、承認後、加盟国には変更を実施するための1年の猶予が与えられる。
技術主権・安全保障・民主主義担当の執行副委員長ヘンナ・ヴィルックネン氏は、サイバーセキュリティ上の脅威を「私たちの民主主義、経済、そして生活様式に対する戦略的リスク」と表現した。
「新たなサイバーセキュリティ・パッケージにより、重要なICTサプライチェーンをより良く守るための手段を整えるとともに、サイバー攻撃に断固として対抗できるようになる」
