EU委員会は、現在のサイバーセキュリティ法(CSA)の改正案を含む新しいサイバーセキュリティパッケージを発表しました。
CSAは、2019年3月にEU議会と理事会が採択した、EU全体のサイバーセキュリティを強化するための規制です。主な目標は2つで、情報通信技術(ICT)製品、サービス、プロセスのEU全域恒久的なサイバーセキュリティ認証フレームワークを確立すること、およびEUサイバーセキュリティ機関(ENISA)の権限を強化することです。
しかし、この規制は批判を受けました。特にその任意性のため、多くの企業、特に中小企業(SMB)がコストのため認証を避けており、また認証スキームの展開が遅いためです。
さらに、この法律はAI脅威の民主化と世界的な地政学的緊張の高まりが生じる前に設計されました。
その結果、欧州委員会はサイバーセキュリティ法のアップデートに取り組んでおり、これは「サイバーセキュリティ法2.0」と呼ばれることがあります。
サイバーセキュリティ法1.0の主な問題への対応
1月20日に新しいサイバーセキュリティパッケージの一部として発表された委員会の最終提案では、取り組む予定の4つの主な問題を特定しました:
- EUのサイバーセキュリティ政策フレームワークと利害関係者のニーズとの間のズレ
- 欧州サイバーセキュリティ認証フレームワーク(ECCF)の実装の停滞
- EUのサイバー態勢に影響を与えるサイバーセキュリティ関連政策の複雑性と多様性
- 増加するICTサプライチェーンのセキュリティリスク
これらの問題に対処するため、委員会は改正された規制を5つの主な目標を中心に体系付けることを提案しました。これには、EU拠点の企業のニーズをサポートし、コンプライアンスの達成を支援するための新しいメカニズムの創設、および現在のサイバーセキュリティ認証スキーム(特にECCF)の合理化と簡素化が含まれます。
サイバーセキュリティ法2.0の主な変更
- EUの18の重要セクター全体のリスクを特定および軽減するための、信頼できる新しいICTサプライチェーンセキュリティフレームワークを導入する。経済的影響と市場供給も考慮に入れます
- 認証スキームはデフォルトで12ヶ月以内に開発されること
- 認証スキームはEU法制への適合性の推定に使用できること
- 5Gセキュリティツールボックスの下で既に実施された作業に基づいて、高リスク第三国供給者からのヨーロッパのモバイル通信ネットワークの強制的なリスク低減
- CSIRTsネットワークのサポートと関連加盟国の承認を得て、主要なサイバーインシデント中にリード、またはサポートする
- 欧州サイバー危機連絡機関ネットワーク(EU-CyCLONe)のサポートを得て、サイバーセキュリティ演習のリポジトリを維持する
- 機密でないサイバー脅威インテリジェンスを公開で共有する
- 重要技術(例:5G機器、クラウドサービス)の供給者の審査を支援する
- 調和された標準の評価者となる
- サイバーセキュリティスキルのための欧州証明スキーム(サイバーセキュリティ専門家のためのライセンス)をパイロットし、スキル認識のための品質ラベルを探索する
機関はまた、新しいリーダーシップ体制を整えることになります。ENISAの増加する業務負荷を管理するのを支援するための副エグゼクティブディレクターの追加、および企業が認証決定に異議を唱える場合など、紛争を処理するための異議申立委員会が含まれます。
サイバーセキュリティ法2.0は、欧州議会とEU理事会の承認後、即座に適用されます。ただし、委員会はまだ採択の具体的なタイムラインを指定していません。
採択されれば、EU加盟国は指令を国内法に実装し、関連する文書をEU委員会に通知するまでに1年を費やします。
技術主権、セキュリティ、民主主義に関するEU委員会のエグゼクティブVPであるヘンナ・ヴィルックネンは、サイバー脅威は単なる技術的課題ではなく、「私たちの民主主義、経済、生活様式に対する戦略的リスク」でもあることを強調しました。
「新しいサイバーセキュリティパッケージにより、重要なICTサプライチェーンをより良く保護するための手段を備えるだけでなく、サイバー攻撃と断固として戦うことができるようになります。これは、ヨーロッパの技術主権を確保し、すべての人のためにより大きな安全を確保するための重要なステップです」と彼女は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/eu-unveils-cybersecurity-act-2/
