【EU】EU理事会と欧州議会、サイバー連帯法とCSA改正で政治的合意。認証制度対象拡大へ

　EU上院の役割を担うEU加盟国閣僚級のEU理事会とEU下院の役割を担う欧州議会は3月6日、EUでのサイバーセキュリティ強化のため、「サイバー連帯法」の立法とサイバーセキュリティ法（CSA）の改正で政治的合意に達した。今後、双方での立法手続に入る。

【参考】【EU】欧州委、越境サイバーセキュリティ対策強化。専用センターやスキルアカデミー創設へ（2023年4月29日）

　EU規則として制定される予定のサイバー連帯法では、EU全域の国や国境を越えたセキュリティ・オペレーション・センター（SOC）からなる汎欧州のインフラ「サイバーセキュリティ・アラート・システム」と、危機に備える「サイバーセキュリティ緊急メカニズム」の2つを創設する。

　欧州委員会は2023年4月、準備段階として、デジタル・ヨーロッパ・プログラムで、17の加盟国とアイスランドの公的機関を集めた国境を越えたセキュリティ・オペレーション・センター（SOC）のコンソーシアム3つを選定。セキュリティ・オペレーション・センターは、サイバー攻撃の検知と対処を任務とする組織で、人工知能（AI）や高度なデータ分析等の最先端技術を駆使し、サイバー攻撃やインシデントを検知し、他のEU加盟国にタイムリーに警告する役割を担う。今回創設される「サイバーセキュリティ・アラート・システム」は、SOCの情報共有を強化し、サイバー脅威を検知して対応することをミッションとする。

　サイバーセキュリティ緊急メカニズムは、共通のリスクシナリオとメソドロジーに基づき、重要度の高いセクター（医療、運輸、エネルギー等）の事業体の潜在的脆弱性テストを含む準備を制度化する。また、EU加盟国、EU機関及び関連する第三国の要請に応じ、深刻または重大なサイバーセキュリティインシデントが発生した際の対処行動として、民間のインシデント対応サービスからなるEUサイバーセキュリティ予備部隊も指揮する。

　サイバーセキュリティ法の改正では、CSAの適用範囲を拡大し、現行のCSAが対象とする情報技術（ICT）製品、ICTサービス、ICTプロセスに加え、マネージド・セキュリティ・サービスにも適用。マネージド・セキュリティ・サービスに対しても、欧州サイバーセキュリティ認証制度を導入できるようにする。マネージド・セキュリティ・サービスとは、専門企業がサイバーセキュリティ・インシデントの予防、検知、対応、復旧等を顧客に提供するサービスのことを指す。インシデント対応に関するコンサルティング、侵入テスト、セキュリティ監査、技術サポート等で構成される。今後認証制度に向けた議論を開始する。

【参照ページ】Cyber solidarity package: Council and Parliament strike deals to strengthen cyber security capacities in the EU

株式会社ニューラル サステナビリティ研究所