欧州委員会は、欧州連合(EU)域内における情報通信技術(ICT)サプライチェーンの安全性を高めることを目的とした、包括的なサイバーセキュリティ関連の立法パッケージを導入した。この取り組みは、リスクが高いと分類された国から調達されるモバイルおよび通信ネットワークの「高リスク」製品を段階的に排除することを目指している。法案支持者は、これらの措置が欧州全体のセキュリティ枠組みを強化するうえで不可欠だと主張している。
委員会によれば、改正サイバーセキュリティ法は、重大なリスクをもたらす供給者からのモバイル通信ネットワークについて、リスク低減(デリスキング)を義務付けるよう設計されている。このアプローチは、5Gセキュリティ・ツールボックスで確立された従来の取り組みを基盤とするもので、より安全なデジタル基盤に向けた重要な一歩となる。
法案の適用範囲
新たな法案は広範に及び、モバイルネットワークだけでなく、高リスクベンダーが供給する、モバイル・固定・衛星通信ネットワークの中核資産に統合されるすべてのICTコンポーネントを対象とする。モバイルネットワーク事業者には新規制に対応するための移行期間として36か月が与えられる一方、固定および衛星通信ネットワークの期限は、後日、委員会が決定する。
高リスク供給者の特定
提案された法案は詳細な具体性に欠けるものの、ロシアや中国などの国の通信機器供給者が精査の対象になると広く見られている。法案は、民主的プロセスへの外国の干渉を指摘した欧州議会の2023年決議に言及している。また、ICTサプライチェーンを確保するための拘束力ある立法の策定を委員会に促し、とりわけ高リスク国に拠点を置くメーカーの機器およびソフトウェアの排除を求めており、主として中国とロシアを念頭に置いている。
提案された変更への反応は分かれており、中国当局者およびファーウェイはこの措置に反対している。ファーウェイの広報担当者は、出自の国に基づいて高リスク供給者を排除しようとする同法案が、公平性と平等を促進するEUの基本的な法原則を損なうと懸念を示した。
重要分野への影響
この法案の影響は、検知機器、コネクテッドカー、電力供給システム、さらにはドローン技術を含む18の重要分野に及ぶ。特に、医療機器、クラウドサービス、監視技術、宇宙資源、半導体といった、EUの技術的基盤にとって不可欠な重要サービスにも影響が及ぶ。
セキュア・バイ・デザイン:新たな認証アプローチ
改正サイバーセキュリティ法は、EUの消費者に提供される製品が「設計段階からサイバーセキュア(cyber-secure by design)」であることを確保することを目的としている。これは、製品の安全性を効率的に検証することを意図した、簡素化された認証プロセスを通じて実現される。立法パッケージはまた、EUサイバーセキュリティ機関(ENISA)に対し、サイバーセキュリティ脅威の管理および認証の監督に関する責務を強化することで権限を付与することも目指している。
新たな枠組みは、ICTサプライチェーン内に信頼できるセキュリティ環境を確立し、リスクに基づく調和の取れたアプローチを提供することを狙う。この取り組みにより、EUおよび加盟国は、経済的な考慮も踏まえつつ、さまざまな重要分野にわたるリスクを共同で評価し、低減できるようになる。
さらに、更新された欧州サイバーセキュリティ認証枠組み(ECCF)の導入により、製品およびサービスの認証手続きが簡素化され、認証スキームを1年以内に整備できるようになる見込みだ。これらのスキームは、市場の要請に応えるため、自社のサイバーセキュリティ態勢を示したい企業にとって、実務的で任意のツールとして機能することが意図されている。
立法パッケージにはNIS2指令の改正も含まれており、法的枠組みを明確化し、多数の企業にとってのコンプライアンスコストを削減することを目指している。管轄ルールの合理化や、ランサムウェア事案に関するデータ収集の改善も目的に含まれ、加盟国間におけるENISAの調整機能強化に重点が置かれている。
欧州議会およびEU理事会の承認を経て、サイバーセキュリティ法は施行される。その後、加盟国は新規則で定められたとおり、NIS2指令改正を実施するために1年の猶予が与えられる。
翻訳元: https://cyberwarriorsmiddleeast.com/eu-to-eliminate-high-risk-mobile-and-telecom-network-products/
