本日(2022/09/15)、欧州委員会は、不十分なセキュリティ機能を備えた製品から消費者と企業を保護するための新たな「サイバー・レジリエンス法」の提案書を提出しました。この種のものとしてはEU全域で初めてとなるこの法律は、デジタル要素を持つ製品に対し、そのライフサイクル全体を通じてサイバーセキュリティに関する義務的要件を導入するものです。
2021年9月にウルスラ・フォン・デア・ライエン大統領がEU一般教書演説で発表したこの法律は、2020年EUサイバーセキュリティ戦略および2020年EUセキュリティ連合戦略を基に、無線・有線製品およびソフトウェアなどのデジタル製品がEU全域の消費者にとってより安全であるようにします。製造者にセキュリティサポートと特定された脆弱性に対応するソフトウェア更新を義務付け、責任を高めることに加え、消費者は購入および使用する製品のサイバーセキュリティについて十分な情報を得られるようになります。
Margrethe Vestager(Europe Fit for the Digital Age 上級副大統領)は、次のように述べています。「私たちは、単一市場で購入する製品について、安全だと感じることが当然です。CEマークの付いたおもちゃや冷蔵庫を信頼できるように、サイバーレジリエンス法は、私たちが購入するコネクテッドオブジェクトやソフトウェアが強力なサイバーセキュリティ保護対策に準拠していることを保証するものです。サイバーレジリエンス法は、製品を市場に送り出す側に、その責任を負わせることになるのです。」
Margaritis Schinas (Promoting our European Way of Life 担当副大統領)は、次のように述べています。「サイバー・レジリエンス法は、デジタル社会で遍在する現代のセキュリティの脅威に対する我々の回答である。EUは、重要インフラ、サイバーセキュリティへの備えと対応、サイバーセキュリティ製品の認証に関する規則を通じて、サイバーセキュリティのエコシステムを構築する上で先駆的な役割を果たしてきた。今日、私たちは、すべての人の家庭、すべての企業、相互接続されているすべての製品にセキュリティをもたらす法律を通じて、このエコシステムを完成させようとしている。サイバーセキュリティは社会の問題であり、もはや業界の問題ではないのです。」
ティエリー・ブルトン欧州委員会域内市場担当委員は、次のように述べています。「サイバーセキュリティに関して言えば、欧州は最も弱い部分、すなわち脆弱な加盟国であれ、サプライチェーン上の安全でない製品であれ、その強さを誇っているに過ぎなません。コンピュータ、電話、家電製品、バーチャルアシスタント機器、自動車、玩具…これら何億もの接続製品の一つひとつが、サイバー攻撃の侵入口となる可能性があるのです。しかし、今日、ほとんどのハードウェアおよびソフトウェア製品は、サイバーセキュリティの義務の対象ではありません。サイバーレジリエンス法は、デザインによるサイバーセキュリティを導入することで、欧州経済と我々の集団安全保障の保護に貢献します。」
ランサムウェア攻撃は世界中で11秒に1つの組織を襲い、サイバー犯罪の世界的な年間コストは2021年には5兆5千億ユーロに達すると推定されています(Joint Research Centre report (2020): “Cybersecurity – Our Digital Anchor, a European perspective”)、高いレベルのサイバーセキュリティを確保し、攻撃成功の主な手段の一つであるデジタル製品の脆弱性を減らすことは、これまで以上に重要な課題となっています。スマート製品やコネクテッド製品の増加に伴い、1つの製品におけるサイバーセキュリティの事故がサプライチェーン全体に影響を及ぼし、場合によっては域内市場全体の経済・社会活動に深刻な混乱をもたらし、セキュリティを損ねたり、生命を脅かすことさえあり得るのです。
本日提案された措置は、EU製品法に関する新たな立法枠組みに基づくものであり、以下を規定するものです。
(a) サイバーセキュリティを確保するためのデジタル要素を備えた製品の市場投入に関する規則。
(b) デジタル要素を含む製品の設計、開発、製造に関する必須要件、およびこれらの製品に関連する製造事業者の義務。
(c) デジタル要素を含む製品のライフサイクル全体におけるサイバーセキュリティを確保するために製造業者が実施する脆弱性対応プロセスに関する必須要件、及びこれらのプロセスに関連する経済事業者の義務。また、製造業者は、積極的に悪用された脆弱性やインシデントを報告する。
(d) 市場監視と執行に関する規則。
新規則は、EU市場で販売されるデジタル製品について、セキュリティ要件への適合を保証しなければならない製造業者に、その責任を転嫁するものです。その結果、セキュリティ特性の透明性を高め、デジタル要素を含む製品への信頼を促進し、プライバシーやデータ保護といった基本的権利の保護をより確実にすることで、消費者や市民、そしてデジタル製品を使用する企業に利益をもたらすことになります。
世界中の他の管轄区域がこれらの問題への対応を検討する中、サイバーレジリエンス法はEUの域内市場を超えて、国際的な参考となる可能性が高いのです。サイバーレジリエンス法に基づくEU標準は、その実施を容易にし、グローバル市場におけるEUのサイバーセキュリティ産業の資産となります。
提案されている規制は、他の機器やネットワークに直接または間接的に接続されるすべての製品に適用される。ただし、医療機器、航空、自動車など、既存のEU規則でサイバーセキュリティの要件がすでに定められている製品については、例外があります。
次のステップ
今後、欧州議会と理事会がサイバーレジリエンス法の草案を検討することになります。採択されれば、経済事業者と加盟国は新しい要件に適応するために2年間の猶予を与えられる。この規則の例外は、積極的に悪用される脆弱性やインシデントに関する製造業者への報告義務であり、これらは他の新しい義務に比べて組織的な調整を必要としないため、発効日からすでに1年間適用されることになる。欧州委員会は、サイバーレジリエンス法を定期的に見直し、その機能性について報告します。
背景
サイバーセキュリティは欧州委員会の最優先事項の一つであり、デジタルでつながった欧州の基礎となるものです。コロナウイルス危機の際のサイバー攻撃の増加は、病院、研究センター、その他のインフラの保護がいかに重要であるかを示しています。EUの経済と社会を将来にわたって支えていくためには、この分野での強力なアクションが必要です。データ漏洩の年間コストは少なくとも100億ユーロ、インターネット上のトラフィックを妨害する悪意のある試みの年間コストは少なくとも650億ユーロと推定されています(無線設備指令委任規則を補足する欧州委員会委任規則に付随する影響評価報告書)。
2020年12月に発表されたサイバーセキュリティ戦略は、サイバーセキュリティをサプライチェーンのあらゆる要素に統合し、サイバーセキュリティの4つのコミュニティ(EU域内市場、法執行、外交、防衛)にわたるEUの活動と資源をさらに結集させることを提案しています。この法律は、EUの「Shaping Europe’s Digital Future」と「EU Security Union Strategy」を基礎とし、サイバーセキュリティ能力を強化し、よりサイバーに強い欧州を確保するためにEUが実施してきた数多くの法律、行動、イニシアティブに依拠しています。
新サイバーレジリエンス法は、ネットワークおよび情報システムのセキュリティに関する指令(NIS指令)、最近欧州議会と理事会で合意されたEU全域のサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS 2指令)、EUサイバーセキュリティ法といったEUサイバーセキュリティの枠組みを補完するものです。
原文:https://ec.europa.eu/commission/presscorner/detail/en/ip_22_5374
