本日、欧州標準化委員会であるETSIは、欧州委員会に正式な立場表明書を送付し、提案されているサイバーセキュリティ法第2号(CSA2)への変更を求めました。これはEUの既存のサイバーセキュリティ認証枠組みの改正予定案です。
この文書は2つの規定に焦点を当てています。1つはENISAの技術仕様開発における役割の拡大案であり、もう1つはArticle 100(4)(a)の条項で、サイバーセキュリティ上の懸念がある国から指定された主体が、欧州委員会の要請に関連する欧州標準化作業への参加を禁止するというものです。
ETSIはEU法に基づき調和基準を開発する3つの欧州標準化機関(ESO)の1つです。その会員には64カ国の900以上の組織が含まれています。
「高リスク供給業者」除外
CSA2提案の下では、欧州委員会はEUレベルのセキュリティリスク評価に基づいて「高リスク供給業者」を指定します。これには構造的な非技術的リスクも含まれます。その指定を受けた主体は、EU規則第1025/2012号の第10条(1)の下でESOが開発したサイバーセキュリティ基準の開発、評価、相談、および意思決定から除外されます。
欧州標準化への貢献は、連合法によって確立された禁止の対象とはなるべきではありません。組織は、自らが遵守しているWTO貿易技術障壁協定の原則と、EU規則第1025/2012号の両方を指摘しており、これらは基準開発における開放性、合意、および特殊利益からの独立を要求しています。
「ETSIの指令は、セキュリティ関連のニーズに対応するためのケースバイケースの柔軟性を提供します。2022年の欧州標準化戦略および関連する統治改革は、EUの外部からの不当な影響を軽減し、開放性、透明性、包括性、公平性、および特殊利益からの独立を保つために設計されました。これらの原則を損なうことは、システムの適切な機能、協力的性質、および信頼性に危険をもたらすでしょう」とETSIの最高政策責任者であるMartin ChatelはHelp Net Securityに語りました。
この文書は最近の類似例を引き合いに出しています。2019年、米国商務省の実体リストは特定の企業の5G及び通信標準化への参加に制限を課しました。ANSIはそれに応じて、基準のグローバルな関連性は誰が開発したかではなく、どのように開発されたかに依存することを指摘しました。NISTは、標準化は市場力と最良の技術的貢献が優先される自発的な業界主導の環境で、米国、EU、および中国企業が協力できるようにすべきであると述べました。業界安全局は最終的に制限を緩和しました。
ETSIの懸念は、ITU、ISO、およびIECで同様の動きが起こる可能性です。欧州委員会によって「高リスク」と指定されたサプライヤーはまだ貢献することが許可される可能性があります。欧州の標準化作業から除外されたサプライヤーは、同じ基準の国際版を形成する際に活動を続ける可能性があり、それらのフォーラムにおけるEUの影響力を低下させる可能性があります。
あらゆる制限は、ケースバイケースで評価され、ETSIおよび他のESOと調整され、EU法で一般的な法的根拠として確立されるのではなく、相応に適用されるべきです。
仕様書ドラフト作成におけるENISAの提案された役割
CSA2の第18条は、標準化活動への貢献と調和基準の評価に関する欧州委員会の支援に加えて、連合法の実装を支援するための技術仕様および技術ガイダンスを作成するための権限をENISAに付与しています。
ETSIはENISAの標準化作業への参加を歓迎し、機関の拡大した助言的役割をサポートしています。懸念は特に起草権に関するものです。ETSIの立場は、ENISAの役割を法的枠組みに関するアドバイスと技術ガイダンスの提供に限定すべきだというものです。これを技術仕様のドラフト作成に拡張することは、起草が私法で管理される機関に委ねられ、欧州委員会が監督的役割を保持している既存の法的枠組みと矛盾する並行した標準設定構造を作成するリスクがあります。
適切な機関参加がどのようなものかのモデルとして、文書はETSIの合法的傍受に関する技術委員会(TC LI)を指摘しており、これは政府、法執行機関、モバイルネットワークオペレータ、および機器ベンダーを一堂に集め、共通要件をサポートする基準を開発しています。Chatelは、ETSIの既存の構造は開放性、速度、グローバルな影響、およびEUの保護措置を組み合わせた運用上の答えを既に提供しており、これはまさにヨーロッパが現在の地政学的環境で保持し強化すべき能力であることに注目しました。
政策手段としての基準
ETSIの文書は、ヨーロッパのより広い標準化戦略の文脈で議論を提示しています。2022年のEU標準化戦略は、開放性と公平性を損なうことなく、戦略的依存を減らし、サイバーセキュリティ基準における非欧州アクターからの不当な影響を防ぐことを求めていました。EU規則第2022/2480号は、その後、欧州委員会の標準化要求の採択と調和基準の最終承認を含む特定の決定に対して、EU/EEA国家標準化団体に排他的権限を与えました。
ETSIはその役割を2つの補完的な機能として説明しています。その会員からの市場ニーズへの対応とEU法を直接支援する基準の開発です。組織は他の標準化団体への従属なく運営され、「国際的優先」アプローチにも拘束されていません。消費者IoTセキュリティのEN 303 645およびAIシステムのサイバーセキュリティのEN 304 223を含む、それが開発した基準は、欧州のプロセスから発生した後、国際的に採択されています。
文書は、欧州の標準化システムの透明性、正当性、および信頼を保ち、イノベーション、競争力、および国際標準化におけるヨーロッパ産業の地位への意図しない結果を避けるために、欧州委員会とETSIの間の改善されたコーディネーションを推奨することで終わります。
翻訳元: https://www.helpnetsecurity.com/2026/04/16/etsi-eu-cybersecurity-standards/
