欧州共同体のサイバーセキュリティに関する法律や規則でもって、見逃していたものがあるので、まとめてみたいと思います。
1 ニュースレター
すこし古いのですが、2023年5月の欧州連合出版局のニュースレターは、「サイバーセキュリティへのスポットライト」でした。リンクは、こちら。このニュースレターをみながら、フォロー漏れをカバーしようかと考えています。ニュースレターは、
サイバーセキュリティとは、コンピュータシステム、ネットワーク、データを、不正アクセス、盗難、破損、改ざん、その他の形態のサイバー攻撃から保護することを指します。サイバーセキュリティには、さまざまな慣行や技術が含まれ、ユーザーの間でサイバーセキュリティ文化を確立することが必要です。
というのから始まっています。
現在、サイバーセキュリティは現代生活にとって重要な側面となっていますとして、「サイバー攻撃(からの防御の意味?)のコストの減少が重要か」という欧州議会のニュースページをリンクしています。
この重要性については、
- EUが世界で最も強力な法規制を持つ領域であるEU市民の個人データの保護を確保
- サイバー攻撃が公共の安全や国家・EUの安全保障に重大な影響を及ぼす可能性のある重要インフラシステム(医療、エネルギー、交通、防衛)の保護
- EUの経済と、それに貢献し技術に依存している多くの企業を守るため
- EUとその加盟国の民主的プロセスが悪意ある行為者によって損なわれないようにするため
に不可欠としています。
具体的な法との関係では、
- 一般データ保護規則(GDPR)
- EU全体でサイバーセキュリティを高度に共通化するための措置に関する指令(NIS2指令)
- EU Cyber Resilience Act
- EU Cyber Solidarity Act
があげられています。そして、製品、サービス、プロセスのサイバーセキュリティ認証のための枠組みを目指す作業と組み合わせていることが触れられています。
EUは、情報、ベストプラクティス、脅威情報を共有するために、加盟国、国際機関、業界関係者との協力を保証していること、サイバーセキュリティの研究開発に資金を提供していることなどについてふれており、
- 欧州連合サイバーセキュリティ機関(ENISA)を設立
- 欧州サイバー犯罪センター(EC3)
- 欧州サイバーセキュリティ・コンピテンスセンター
の組織が紹介されています。
また、今回のニュースレターでは、サイバーセキュリティと、市民、企業、民主主義の保護を確保するためにEUがこの領域で行っていることに関するEUの出版物を厳選して紹介します、となっています。
ということで、私のブログでばこれらのうち、EU Cyber Solidarity Actと欧州サイバーセキュリティ・コンピテンスセンターについてふれていないので、これについて分析をしたいと思います。あと、NIS2指令、重要設備レジリエンス指令( Critical Entities Resilience Directive (CER))などについてもみるのを怠っていたので、この機会にみておきます。
2 EU Cyber Solidarity Act
The EU Cyber Solidarity Actについての委員会のページは、こちらです。
EUのサイバー態勢を改善するために、
- 「欧州サイバーセキュリティ・シールド」(EU全域で相互接続されたセキュリティ・オペレーション・センターからなる)
- 包括的な「サイバーセキュリティ緊急メカニズム」
を提案するものです。条文自体は、提案自体はこちらです。 なお、2024年4月24日の欧州議会の立法決議は、こちらです。
2024年10月現在の状況としては、2024年3月の段階で、政治的合意に達したというプレスリリースが出ています。
提案書を読んでみます。
2.1 提案の背景
提案の背景は、提案の理由と目的、政策領域における既存の政策規定との整合性、他のユニオンポリシーとの整合性からなりたっています。
提案の理由と目的
これに関しての要旨は、以下のとおりです。
- サイバーセキュリティ事件やその潜在的な影響にさらされる機会が増えていること。同時に、構成国はサイバーセキュリティリスクの増大と全体的に複雑な脅威の状況に直面しており、サイバーインシデントが加盟国から他国に急速に波及するリスクも明らかになっていること
- サイバー作戦がハイブリッド戦略や戦争戦略に組み込まれ、対象に大きな影響を与えるようになってきていること(ロシアの軍事侵攻はゲームチェンジャーであること)
- サイバーセキュリティの脅威やインシデントをより適切に検知し、準備し、対応するためには、連合レベルでの連帯強化が必要であること
- サイバー脅威やインシデントの検知に関しては、サイバー脅威が大規模な損害やコストを引き起こす前に、検知に必要な時間を大幅に短縮するために、情報交換を増やし、集団能力を向上させることが急務であること
- 2021年10月の理事会結論は、欧州委員会がサイバーセキュリティのための新たな緊急対応基金に関する提案を提示するよう求め、こうしたギャップに対処する必要性を強調したこと
という背景のもと、
本規則は、2020年12月に採択されたEUサイバーセキュリティ戦略 、欧州サイバーシールドの創設を発表し、各国および国境を越えたSOCの連合体を通じて欧州連合におけるサイバー脅威の検知と情報共有能力を強化することも実施
するものです。
具体的な目標としては
- サイバー脅威とインシデントのEU共通の検知と状況認識を強化し、サイバーセキュリティ分野における欧州の技術的主権に貢献する;
- 第三国がインシデント対応支援を利用できるようにすることを含め、重大または大規模なサイバーセキュリティインシデントに対する共通の対応能力を開発することにより、EU全域の重要な事業体の備えを強化し、連帯を強化する。
- 重要な事件や大規模な事件を検討・評価し、教訓を引き出し、必要に応じて勧告することで、ユニオンの回復力を高め、効果的な対応に貢献する。
があげられています。そして、制定される仕組みとしては、欧州サイバーセキュリティ・シールド(European Cybersecurity Shield)、サイバー緊急メカニズム、欧州サイバーセキュリティインシデントレビューメカニズムの設立が提案されています。その後、2024年4月24日の欧州議会の立法決議では、名称等において、相当の変更があります。
2.2 条文の構造
立法決議の条文の構造は、第一章 一般的な目的、対象、定義、第2章 欧州サイバーシールド、第3章 サイバーセキュリティ緊急対策機構、第4章 サイバーセキュリティインシデント審査機構、第5章 最終規定となっています。
2.3 欧州サイバーセキュリティアラートシステム(THE EUROPEAN CYBERSECURITY ALERT SYSTEM)
提案における欧州サイバーシールド(European Cybersecurity Shield)
国内セキュリティオペレーションセンター(「国内SOC」)および国境を越えたセキュリティオペレーションセンター(「国境を越えたSOC」)で構成される欧州サイバーシールドは、サイバー脅威の検知、分析、対応を改善することを任務とするものであるとさていました(提案規則3条)。これに対して立法提案では
欧州サイバーセキュリティアラートシステム(THE EUROPEAN CYBERSECURITY ALERT SYSTEM)
と名称が変わっています。
各国のサイバーハブと国境を越えたサイバーハブが任意で参加する汎欧州的なインフラネットワークである欧州サイバーセキュリティ・アラート・システムを構築し、サイバー脅威の検知、分析、データ処理能力を強化し、欧州連合におけるインシデントの防止を図るための高度な能力の開発を支援する。
とされています(3条1項) その機能は、
欧州サイバーセキュリティ・アラートシステムは以下のことを行う:
(-a) 関連団体、特にCSIRTs、CSIRTsネットワーク、EU-CyCLONe、指令(EU)2022/2555の第8条に従って指定または設立された管轄当局を支援し、協力し、その能力を強化することにより、サイバー脅威に対するより良い保護と対応に貢献する;
(a) 国境を越えたサイバーハブ内の様々な情報源からのサイバー脅威及びインシデントに関する関連するデータ及び情報をプールし、国境を越えたサイバーハブを通じて、分析又は集約された情報を、関連する場合には、CSIRTsネットワークと共有する;
(b) 最先端のツール及び先進的な技術を活用することにより、高品質で実用的な情報及びサイ バー脅威インテリジェンスを収集・支援し、その情報及びサイバー脅威インテリジェンスを共有する;
(d)関連する場合、事業体に対する具体的な勧告を提供することを含め、サイバー脅威の協調的な検知と、連合全体にわたる共通の状況認識の強化、および警告の発出に貢献する;
(e)人工知能やデータ分析ツールなどの先進的なツールや技術の開発への貢献を含め、連合内のサイ バーセキュリティコミュニティのためのサービスや活動を提供する。
参加構成国は、国家サイバーハブを指定しないといけません(4条1項)。国家サイバーハブは、サイバー脅威及びインシデントを検 出及び防止する目的で、不可欠かつ重要な事業体からなるセクター及びセクター横断的なコミュ ニティを含む、関連するデータ及び情報を交換するために、民間事業体と協力することができる。適切な場合、国内法及び連合法に従い、国家サイバーハブが要求または受領する情報は、テレメトリ、センサー及びロギングデータを含むことができるとされています(同1b項)。国家サイバーハブは、加盟国の権限の下で行動する単一のエンティティでなければならない。それは、CSIRT、または該当する場合、指令(EU) 2022/2555に基づき指定もしくは設立された国家サイバー危機管理当局もしくはその他の管轄当局、またはその他の団体であって、その任務としては、
- (a)サイバー脅威及びインシデントに関する情報を収集・分析し、本規則第5条で言及される国境を越えたサイバーハブに貢献するために、国レベルの他の公的及び民間組織への参照点及びゲートウェイとして機能する能力を有すること、及び
- (b)特に最先端技術を使用し、インシデントを防止する目的で、サイバー脅威インテリジェンスなど、サイバー脅威及びインシデントに関連するデータ及び情報を検出、集約、分析する能力を有すること。
があがっています。また、サイバー見地と脅威モニタリングのためにクロスボーダー・サイバーハブを構築しうるとされています(5条)。そのためには、コンソーシアム契約に基づいて構築されます。また、情報共有が定められています(6条、7条)。欧州サイバーセキュリティ・アラートシステムは、サイバーセキュリティを高いレベルで満たさないといけないとされます(8条)。
2.4 サイバー緊急メカニズム(Cyber Emergency Mechanism)
サイバー緊急メカニズムは、サイバーセキュリティの主要な脅威に対する連合の回復力を向上させ、重大かつ大規模なサイバーセキュリティインシデントの短期的な影響に備え、連帯の精神で緩和するために、設立される仕組みをいいます(9条)。
この仕組みは、サイバーセキュリティ事件に対する準備と対応を改善することを確実にするものであって、
準備行動
金融、エネルギー、医療などの重要なセクターの事業体が、サイバー脅威に対して脆弱である可能性があるかどうかをテストする。テスト対象となるセクターの選定は、EUレベルでの共通のリスク評価に基づいて行われる。
対応行動
これは、EUサイバーセキュリティ・リザーブ(民間サービス・プロバイダー(「信頼できるプロバイダー」)による事故対応サービスで構成される)加盟国やEU機関、団体、機関の要請に応じて配備され、重大または大規模なサイバーセキュリティ事故への対応行動です。
相互援助
– このメカニズムは、サイバーセキュリティ事件の影響を受けた他の加盟国に対して相互支援を提供する加盟国を支援するものです。
からなりたっています(10条)。具体的な準備行動については、10条、11条、サイバーセキュリティリザーブ(クライシスマネジメント・CERT-EUなど)の構築(12条)・支援要請・その要請の方法(13条)、信頼できるプロバイダ(人的資源のレベル、機密情報保護などの要求事項 15条)、相互支援(16a条)、連合クライシスマネジメントとの協調(17a条)などが規定されています。
2.5 サイバーセキュリティインシデント審査機構(Cybersecurity Incident Review Mechanism)
「サイバーセキュリティインシデント審査機構」というのは、特定のサイバーセキュリティインシデントを評価・検討するためのの一連の仕組みをいいます。具体的には、欧州委員会、EU-CyCLONeまたはCSIRTsネットワークの要請により、ENISAは、特定の重大または大規模なサイバーセキュリティインシデントに関する脅威、脆弱性および緩和措置のレビューおよび評価を行うこと、インシデントのレビュー及び評価の完了後、ENISAは、特に指令(EU)2022/2555の第15条及び第16条に規定された事項を考慮して、CSIRTsネットワーク、EU-CyCLONe及び委員会の任務遂行を支援するために、インシデントレビュー報告書を配信するものとすること、関連する場合、欧州委員会は、報告書を上級代表と共有するものとすること、とされています(18条)。
2.6 最終規定
最終規定は、2021/694規則(デジタル欧州プログラムを設立し、決定(EU)2015/2240を廃止する2021年4月29日付欧州議会および理事会規則(EU)2021/694号)の改正 (19条)です。本規則の「EUサイバーアラートシステム」と「サイバーセキュリティ緊急メカニズム」は、デジタル欧州プログラム(DEP)の戦略目標「サイバーセキュリティ」に基づく資金により支援されることを示しています。
3 欧州サイバーセキュリティ・コンピテンスセンター(European Cybersecurity Competence Centre)
3.1 意義
欧州サイバーセキュリティ能力センター(ECCC)は、欧州のサイバーセキュリティ能力と競争力を高めることを目的とし、各国調整センター(NCC)のネットワークと協力して、強力なサイバーセキュリティ共同体を構築するものです。
欧州サイバーセキュリティ能力センター(ECCC)は、サイバーセキュリティ技術共同体の能力を強化し、サイバー攻撃から経済と社会を守り、卓越した研究を維持し、この分野におけるEU産業の競争力を強化することを目的として、各国調整センター(NCC)ネットワークとともに、サイバーセキュリティにおけるイノベーションと産業政策を支援する欧州の新たな枠組みであるとされています。ECCCは、ブカレストに設置されており加盟国、産業界、サイバーセキュリティ技術共同体とともに、技術開発と、公共の関心分野および企業、特に中小企業への幅広い展開のための共通アジェンダを策定し、実施します。また、センターとネットワークは、戦略的サイバーセキュリティプロジェクトへの共同投資を通じて、技術的主権を強化するとされています。
3.2 ECCC設立規則
2021年6月8日、欧州サイバーセキュリティ能力センター・ネットワーク設立規則が発表されました。規則は、こちらです。
規則は、対象事項および範囲(1条)、定義(2条)、ミッション(3条)、コンピテンスセンターの目的(4条)、タスク(5条)、国家コーディネーションセンターの指名(6条)、国家コーディネーションセンターのタスク(7条)、サイバーセキュリティ・コンピテンス・コミュニティ(8条)、コミュニティメンバーのタスク(9条)、コピテスセンターの協力(10条)を定めています。第2章は、組織(11条ないし20条)、第3章は、財政的規定(21条-29条)、第4章は、スタッフ(30条-32条)、5章は、一般規定(33条-45条)、6省・最終規定(46条-48条)です
3.3 国家コーディネーションセンターなど
加盟国から1つずつ、合計27のナショナル・センターがナショナル・コーディネーション・センター(NCC)ネットワークに参加している。このリストは、このページです。
NCCsの使命は、サイバーセキュリティの分野において、卓越した研究とEUの競争力を高めることである。NCCは、デジタル・ボーダー、重要インフラの構築と維持、国内/欧州の重要インフラのリスク、脅威、脆弱性に関するデータベースの維持、この分野の研究を促進する任務など、共通の課題を多く抱えている。欧州連合(EU)のサイバーセキュリティレベルを維持・向上させる役割を担い、この使命に積極的に取り組んでいる。
3.4 戦略アジェンダ
EUサイバーセキュリティ戦略で設定された目標を達成するために必要な、EUのサイバーセキュリティ投資に対する統一された共通のビジョンを策定するECCC理事会は戦略アジェンダを採択しました(2023年3月16-17日)。
アジェンダ自身のリンクはこちらです。
戦略的アジェンダ(「アジェンダ」)は、サイバーセキュリティ分野における研究、技術革新、産業発展の促進を通じて、「EUのリーダーシップと戦略的自律性を強化し、EUの技術的能力を支援し、EUのサイバーセキュリティ産業の国際競争力を高める」野心的かつ具体的なプロジェクトに投資することによって達成すべき目標を設定すべきである。
アジェンダの目標は、EUサイバーセキュリティ戦略およびECCC規則2021/887(「規則」)で定められた目標を達成するために必要な、サイバーセキュリティに対するEUの投資に対する統一された共通のビジョンを作成することです。EUと加盟国の投資の優先順位を一致させることにより、アジェンダは、より大きな効果を達成することに貢献し、サイバーセキュリティに対する各国の投資のインセンティブを提供することになります。
アジェンダは、サイバーセキュリティ投資の優先順位に関する全体的な視点を反映したものであり、研究・学界、中小企業や新興企業に強く焦点を当てたサイバーセキュリティ産業、公的機関、ネットワーク情報セキュリティ(NIS)2指令に基づく必須・重要インフラの運営者など、利害関係者や利用者の重要なグループからの意見を取り入れている。
戦略的アジェンダの重要なインパクトエリアは、以下のとおりです。
- 2027年までに、ECCCとネットワークは、NCCと各国の共同出資を通じた協調的なカスケード資金調達メカニズムを通じて、戦略的なサイバーセキュリティ技術、サービス、プロセスを開発・利用する欧州の中小企業に資金を提供し、中小企業の申請敷居を下げる。
- 2027年までに、ECCCとネットワークは、サイバーセキュリティスキルの標準化と認証、サイバーセキュリティ専門家の教育と訓練への投資を通じて、量と質の両面においてサイバーセキュリティ専門家の労働力を支援し、成長させる。
- 2027年までに、ECCCとネットワークは、効率的で首尾一貫した行動計画の策定と実施を通じて、EUサイバーセキュリティコミュニティの研究、開発、技術革新の専門性と競争力を強化する。
優先事項と行動として
- 中小企業が戦略的なサイバーセキュリティ技術、サービス、プロセスを開発し、利用することを支援 (サイバーセキュリティ情報およびリスクマネジメントのための過程およびツール、安全でレジリエントなハードウエアやソフトウエア・システム)
- 専門的な人材の支援および育成(教育および専門家トレーニング-サイバーセキュリティスキルの開発、サイバーセキュリティンスキル枠組とコンピタンス評価)
- 広範な欧州サイバーセキュリティ・エコシステムにおける調査・開発・イノベーションの強化(量子後の暗号標準化採用の促進、欧州サイバーセキュリティ認証の支援、市場競争の強化、協力と情報共有の促進)
があげられています。
4 欧州における重要インフラのサイバーセキュリティについての法規制
4.1 全体像
シンガポールのスマート国家2.0の検討の際に、NIS2指令との対応とかもふれました(シンガポール・スマートネーション2.0について)が、そもそも、NIS2指令についてまだふれていなかった気がします。なので、重要インフラのサイバーセキュリティを細かくみて整理したいところですが、その前に、重要インフラ保護について欧州で議論されてきた歴史をおっていきます。
4.2 重要インフラの保護の 法的歴史
欧州においては、重要インフラについては、「欧州の重要インフラ防護についてのグリーンペーパー」(GREEN PAPER ON A EUROPEAN PROGRAMME FOR CRITICAL INFRASTRUCTURE PROTECTION)「重要インフラ保護のための欧州プログラムについての委員会コミュニケ」(COMMUNICATION FROM THE COMMISSION on a European Programme for Critical Infrastructure Protection)などの議論を経て重要インフラ指令(「欧州の重要インフラの特定と保護の向上の必要性評価に関する理事会指令」(COUNCIL DIRECTIVE on the identification and designation of European Critical Infrastructures and the assessment of the need to improve their protection)(2008/114/EC)に基づいて、EU 重要インフラ防護ポリシ(CIIPポリシ)が定められています。
ここでは、「重要インフラ」について「加盟国に位置する資産、システムまたはその一部であって、重要な社会的機能、健康、安全、セキュリティ、人々の経済的または社会的福利、の維持に不可欠であり、そして、その中断または破壊がなされることによって、機能を維持できなくなり、加盟国に重大なインパクトをもたらすもの」と定義しています。
別表1において、エネルギー、運輸各セクターが、欧州重要インフラセクターとして掲げられています。
また、2009年には、重要インフラ防衛に対しては、大規模なサイバー攻撃に対する対応の新たな枠組みも定められている。これらの枠組みのもとで、欧州連合重要インフラ防護プログラム・イニシアチブ(EU CIP initiative(EPCIP))(COM(2006)786 final)が構築され、そのための情報交換ネットワークも存在しています(CIWIN)。
「サイバーセキュリティ法」(Regulation (EU) 2019/881 on the European Union Agency for Cybersecurity and on information and communications technology cybersecurity certification (Cybersecurity Act))は、EUレベルのサイバーセキュリティ能力強化に向けて、①ENISAの権限強化、②EUレベルのセキュリティ認証制度の導入、③欧州サイバーセキュリティ研究・コンピテンスセンターの設立、④EUサイバーセキュリティ危機対応枠組の構築、⑤国際協力の強化、という目的のために 提案され、2019年6月から効力を有しています。
この法に基づいて、ENISAの名称は「EUサイバーセキュリティ庁(European Union Agency for Cybersecurity)」に変更され、EU各機関や各加盟国に対してベストプラクティス、法制度、市場振興について従来と同様に助言を行うと共に、各国の国境を越えた脅威や攻撃に対する対処を支援する役割を担うこととなった。
また、欧州セキュリティ認証制度も実施に向けて動きがあります。これについては、「IOT接続機器を巡る米国・欧州の動向(連邦脆弱性開示ガイドライン/U.S. Cyber Trust Mark/CRA)と日本」でふれています。
4.3 NIS2指令
NIS指令の見直し案(いわゆるNIS2) が、2022年5月に成立しています。条文はこちらになります。PwCの解説はこちら。
NIS2指令案の条文の構成としては、
第1章
主題と範囲(第1-2条)、基幹重要組織(3条)、定義(6条)など、
第2章 協調されたサイバーセキュリティ枠組
- 国家セキュリティ戦略(7条)
- 権限ある当局および単一のコンタクトポイント(8条)
- 国家サイバー危機マネジメント枠組(9条)
- コンピュータセキュリティインシデントレスポンスチーム(CSIRTs)(10条)
- CSIRTの要求事項、技術的能力およびタスク(11条)
- 協調された脆弱性開示と欧州脆弱性データベース(12条)
- 国家レベルでの調整(13条)
第3章 連合および国際レベルでの協調
- 協調グループ(14条)
- CSIRTs ネットワーク(15条)
- 欧州サイバー危機リエゾン組織ネットワーク(European cyber crisis liaison organisation network (EU-CyCLONe))(16条)
- 国際協調(17条)
- 連合におけるサイバーセキュリティの状況の報告(18条)
- ピア・レビュー(19条)
第4章 サイバーセキュリティリスクマネジメント手段および報告義務
- ガバナンス(20条)
- サイバーセキュリティリスクマネジメント手段(21条)
- 連合レベルの重要サプライチェーンの調整されたセキュリティリスク評価(22条)
- 報告義務(23条)
- 欧州サイバーセキュリティ認証スキームの利用(24条)
- 標準化(25条)
第5章 管轄権および登録
- 管轄および属地性(26条)
- 組織の登録(27条)
- ドメイン名登録データのデータベース(28条)
第6章 情報共有
- サイバーセキュリティ情報共有アレンジメント(29条)
- 関連情報の自主的通知(30条)
第7章 監視および執行
- 監視および執行に関する一般的局面(31条)
- 基幹組織に関する監督および執行(32条)
- 重要組織に関する監督及び執行(33条)
- 基幹・重要組織への行政罰賦課についての一般的条件(34条)
- 個人情報の侵害を伴う違反行為(35条)
- 罰則(36条)
- 相互共助(37条)
第8章 権限委譲および 実施法
- 委譲の実施(38条)
- 委員会手続(39条)
第9章 最終規定
が定められています。なので、これを図示するとこのような感じでしょうか。
注目すべき内容として、
(1)能力向上
- 監督執行体制が強化されていること
(2)経済的・社会的重要性の見地から新たな部門(食品、宇宙など)を追加
- 基幹インフラ事業者とデジタル・サービス提供者との区別を廃止し、監督体制に応じて基幹・重要のカテゴリに分類されている
これについては、
指令(EU) 2016/1148の廃止に伴い、セクター別の適用範囲を経済のより多くの部分に拡大し、域内市場における主要な社会・経済活動にとって極めて重要なセクターやサービスを包括的にカバーすべきである。特に、この指令は、必須サービスの事業者とデジタルサービスプロバイダーとの区別の欠点を克服することを目的としており、この区別は、域内市場における社会的・経済的活動にとって重要な分野やサービスを反映していないため、時代遅れであることが証明されている。
とされています。
第3条は、「基幹かつ重要な事業体」(Essential and important entities)です。
条文については、以下のような感じです。
基幹事業体(essential entity) | (a)勧告 2003/361/EC の附属書 2 条(1)に規定された中堅企業の上限を超える附属書 I に記載された種類の事業体 |
(b)DNSサービスプロバイダーだけでなく、その規模に関係なく、適格な信頼サービスプロバイダーやトップレベルドメイン名レジストリも含まれる; | |
(c)勧告2003/361/ECの附属書第2条に基づき中堅企業として認定された、公衆電子通信網のプロバイダーまたは公に利用可能な電子通信サービスのプロバイダー; | |
d)第2条2項の(f)(i)にいう行政機関; | |
(e)附属書I又は附属書IIで言及される種類の事業体であって,加盟国が第2条2項の(b)から(e)に従って不可欠な事業体として特定するもの; | |
(f)本指令の第 2 条(3)で言及されている、指令(EU)2022/2557 に基づき重要な事業体として特定された事業体; | |
(g)加盟国がそのように規定する場合、当該加盟国が指令(EU)2016/1148または国内法に従い、2023年1月16日以前に必須サービスの事業者として特定した事業体。 | |
重要な事業体 | 附属書 I または II で言及されるタイプの事業体で、本条第 1 項に従って必須事業体に該当しないものは、重要な事業体とみなされる。これには、加盟国が第2条(2)の(b)から(e)に従って重要な事業体として特定した事業体が含まれる。 |
附属文書1 は「高度な重要性を有するセクター(SECTORS OF HIGH CRITICALITY)」です。
セクター | サブセクター | 事業体の種類 |
エネルギー | (a)電力 | 欧州議会および欧州委員会の指令(EU)2019/944(1 )の第2条(57)に定義される電気事業であって、同指令の第2条(12)に定義される「供給」機能を遂行するもの。 |
– 指令(EU)2019/944の第2条、ポイント(29)に定義される配電系統運用者 | ||
– 指令(EU)2019/944の第2条(35)に定義される送電系統運用者 | ||
– 指令(EU)2019/944の第2条(38)に定義される生産者 | ||
—欧州議会および理事会規則(EU)2019/943の第2条(8)に定義される指名電力市場運営者 —指令(EU)2019/944の第2条、ポイント(18)、(20)及び(59)に定義されるアグリゲーション、需要応答又はエネルギー貯蔵サービスを提供する規則(EU)2019/943の第2条、ポイント(25)に定義される市場参加者 —エンドユーザーに充電サービスを提供する充電ポイントの管理・運営に責任を持つ充電ポイントの運営者。 |
||
(b)地域冷暖房 | – 欧州議会および理事会の指令(EU)2018/2001の第2条(19)に定義される地域暖房または地域冷房の事業者(3 )。 | |
(c) オイル | – 石油輸送パイプライン事業者- 石油生産、精製、処理施設、貯蔵、送電の事業者 – 理事会指令2009/119/EC ( 4) の第2条、ポイント(f)に定義される中央株式保有事業体。 |
|
– 石油輸送パイプライン事業者- 石油生産、精製、処理施設、貯蔵、送電の事業者 | ||
– 理事会指令2009/119/EC ( 4) の第2条、ポイント(f)に定義される中央株式保有事業体。 | ||
(d) ガス | – 欧州議会および理事会指令 2009/73/EC の第 2 条 (8) 項に定義される供給事業 ( 5)- 指令2009/73/ECの第2条、ポイント(1)に定義される天然ガス事業者 | |
– 指令2009/73/ECの第2条、ポイント(6)に定義される配電系統運用者 | ||
– 指令2009/73/ECの第2条、ポイント(4)に定義される送電システム運用者 | ||
– 指令2009/73/ECの第2条、ポイント(10)に定義される貯蔵システム運営者- | ||
-指令2009/73/ECの第2条、ポイント(12)に定義されるLNGシステムオペレーター | ||
– 天然ガス精製・処理施設の経営者 | ||
(e) 水素 | – 水素製造、貯蔵、送電の事業者 | |
2 運輸 | 航空 | – 商業目的で使用される、規則(EC) No 300/2008の第3条(4)に定義される航空会社 |
– 欧州議会および理事会指令2009/12/EC( 6)の第2条第2項に定義される空港管理団体、欧州議会および理事会規則(EU)No 1315/2013( 7)の付属書Ⅱのセクション2に記載される基幹空港を含む同指令の第2条第1項に定義される空港、および航空港に含まれる付帯設備を運営する団体 |
||
– 欧州議会および理事会規則(EC) No 549/2004 ( 8)の第2条、ポイント(1)に定義された航空交通管制(ATC)サービスを提供する交通管制事業者。 | ||
(b) 鉄道 | – 欧州議会および理事会指令 2005/65/EC ( 11) の第 3 条第(1)項に定義される港湾管理機関(規則(EC)No 725/2004 の第 2 条第(11)項に定義される港湾施設を含む)、および港湾内の工事および設備を運営する事業体。 | |
-指令2012/34/EUの第3条、ポイント(1)に定義される鉄道事業者(同指令の第3条、ポイント(12)に定義されるサービス施設の運営者を含む | ||
(c) 水 | – 欧州議会および理事会規則(EC) No 725/2004の附属書 I で海上輸送について定義されている、内陸、海 上および沿岸の旅客および貨物の水運会社。 | |
– 欧州議会および理事会指令2012/34/EUの第3条ポイント(2)に定義されるインフラ管理者 | ||
– 欧州議会および理事会の指令2002/59/ECの第3条、ポイント(o)に定義される船舶交通サービス(VTS)のオペレーター | ||
(d) 道路 | – 交通管理を担当する欧州委員会委任規則(EU)2015/962( 13)の第2条、ポイント(12)に定義される道路当局で、交通管理またはインテリジェント交通システムの運用がその一般的な活動の非本質的な部分である公的機関を除く。 | |
– 欧州議会および理事会指令2010/40/EUの第4条(1)に定義される高度道路交通システム(ITS)の運営者 | ||
3 銀行業務 | 欧州議会および理事会規則(EU)No 575/2013 ( 15)の第4条、ポイント(1)に定義される信用機関。 | |
4.金融市場インフラ | – 欧州議会および欧州委員会指令2014/65/EUの第4条、ポイント(24)に定義される取引所の運営者( 16) | |
– 欧州議会および理事会規則(EU)No 648/2012 ( 17) の第2条、ポイント(1)に定義される中央カウンターパーティ(CCPs) | ||
5 ヘルスケア | – 欧州議会および欧州理事会指令2011/24/EUの第3条、ポイント(g)に定義される医療提供者( )18- 欧州議会および理事会規則(EU) 2022/2371 第 15 条で言及されている EU 基準試験所 | |
—欧州議会および理事会指令2001/83/EC ( 20) の第1条、ポイント(2)に定義される医薬品の研究開発活動を行う事業者。 | ||
—NA CE Rev. 2 のセクション C の区分 21 で言及されている基礎的医薬品および医薬製剤を製造する事業者。 | ||
—欧州議会および理事会規則(EU) 2022/123 第22条の意味において、公衆衛生上の緊急事態において重要であると考えられる医療機器(公衆衛生上の緊急事態における重要機器リスト)を製造する事業者。 | ||
6 飲料水 | 欧州議会および理事会指令(EU) 2020/2184 ( 22)の第2条、(1)(a)に定義される、ヒトの消費を目的とする水の供給者および販売業者。ただし、ヒトの消費を目的とする水の流通が、その他の商品および製品の流通という一般的な活動の非本質的な一部である販売業者を除く。 | |
7 廃水 | .理事会指令91/271/EEC( 23)の第2条(1)、(2)および(3)に定義される都市廃水、生活廃水または産業廃水を収集、処分または処理する事業。ただし、都市廃水、生活廃水または産業廃水を収集、処分または処理する事業がその一般活動の非本質的部分である場合は除く。 | |
8 デジタルインフラ | – インターネット・エクスチェンジ・ポイント・プロバイダー- ルート・ネーム・サーバーの運営者を除くDNSサービス・プロバイダー- | |
– TLD名レジストリ | ||
– クラウド・コンピューティング・サービス・プロバイダー | ||
データセンター・サービス・プロバイダー | ||
– コンテンツ・デリバリー・ネットワーク・プロバイダー | ||
信頼できるサービス・プロバイダー | ||
– 公衆電子通信ネットワークのプロバイダー | ||
– 一般に利用可能な電子通信サービスのプロバイダー | ||
9 ICTサービス管理(企業間) | —マネージド・サービス・プロバイダー —マネージド・セキュリティ・サービス・プロバイダー |
|
10 公的行政 | 加盟国が国内法に従って定める中央政府の行政機関 | |
加盟国が国内法に従って定める地域レベルの行政機関 | ||
11 宇宙 | 加盟国または民間が所有、管理、運営する、宇宙ベースのサービス提供を支援する地上インフラの運営者(公衆電子通信ネットワークのプロバイダーを除く |
附属文書2は、「その他の重要なセクター(OTHER CRITICAL SECTORS)」です。
1 郵便・宅配便サービス | 指令 97/67/EC の第 2 条の(1a)に定義される郵便サービス・プロバイダ(宅配便サービス・プロバイダを含む)。 | |
2.廃棄物 | 管理欧州議会および理事会指令2008/98/EC( 1)の第3条、ポイント(9)に定義される廃棄物管理を実施する事業者。ただし、 廃棄物管理が主たる経済活動ではない事業者は除く。 | |
3.化学製品の製造、生産、販売 | 欧州議会及び理事会規則(EC) No 1907/2006 の第 3 条の(9)及び(14)で言及されている、物質 の製造及び物質又は混合物の頒布を実施する事業者、並びに物質又は混合物から同規則の第 3 条の(3)で定義されている成形品の製造を実施する事業者。 | |
4.食料の生産、加工、流通 | 欧州議会および理事会規則(EC) No 178/2002( 3)の第3条(2)に定義される食品事業者で、卸売流通および工業的生産・加工に従事するもの。 | |
5.製造 | (a) 医療機器および体外診断用医療機器の製造 | 欧州議会及び理事会規則(EU) 2017/745( 4)の第 2 条第(1)項に定義される医療機器を製造する事業体、及び欧州議会及び理事会規則(EU) 2017/746( 5)の第 2 条第(2)項に定義される体外診断用医療機器を製造する事業体。ただし、本指令の附属書 I 第 5 項第(5)号に記載される医療機器を製造する事業体は例外とする |
(b) コンピュータ、電子機器、光学製品の製造 | NACE Rev.2のセクションC第26項に記載されている経済活動を実施する事業体。 | |
(c) 電気機器の製造 | NACE Rev.2のC部門27に記載されている経済活動を実施する事業体 | |
(d)機械及び装置の製造業 (例:その他 | NACE Rev.2のC部門28に記載されている経済活動を実施する事業体 | |
(e) 自動車、トレーラー、セミトレーラーの製造 | NACE Rev.2のC項29号に記載されている経済活動のいずれかを実施する事業体。 | |
(f) その他の輸送機器の製造 | NACE Rev.2のC部門30に記載されている経済活動を実施する事業体 | |
6.デジタルプロバイダー | – オンライン・マーケットプレイスのプロバイダー | |
– オンライン検索エンジンのプロバイダー | ||
– ソーシャル・ネットワーキング・サービス・プラットフォームのプロバイダー | ||
7 調査研究 | 研究機関 |
となっています。
(3)協力体制の強化
- 欧州危機対応リエゾン(EU- CyCLONe)が、大規模サイバーセキュリティインデント・危機にたいする対応を支援すること(第16条)
- 協力グループの役割が強化され、構成国当局間の情報共有と協力を強化すること(第14条)
- EU全体で新たに発見された脆弱性のための調整された脆弱性の開示が確立されること(第12条)
(4)サイバーセキュリティのリスク管理
- インシデント対応と危機管理、脆弱性の取り扱いと開示、サイバーセキュリティテスト、暗号化の効果的な使用など、重点的な対策を挙げたセキュリティ要件を強化(国家セキュリティ戦略の各項目、第7条)。
- 主要な情報通信技術のサプライチェーンのサイバーセキュリティを強化する(第22条)。
- サイバーセキュリティのリスク管理措置の遵守に関する企業経営陣の説明責任(第20条)。
- 報告プロセス、内容、タイムラインに関するより正確な規定により、インシデント報告義務を合理化する(第23条)。
などがあります。
これに基づいて各国の国内法が整備されるわけですが、例えば、イタリアでは、「EU全域におけるサイバーセキュリティの共通の高水準確保措置に関する指令(EU)2022/2555の導入、規則 (EU) No 910/2014および指令 (EU) 2018/1972を改正し、指令 (EU) 2016/1148 (NIS 2 指令) を廃止する2024年9月4日付政令第138号」が官報に載りました。
4.4 重要事業体(critical entities)レジリエンス指令(CER)
一般的な説明のページはこちらです。
重要事業体レジリエンス指令(CER)とは何ですか?
重要事業体レジリエンス指令は、域内市場において重要な社会機能や経済活動の維持に不可欠なサービスが滞りなく提供されることを確保するために、EU加盟国が特定の措置を講じる義務を定めています。エネルギーや運輸などの特定の経済部門はすでにEUの分野別法的措置によって規制されていましたが、それらの法的措置には、それらの部門で事業を行う事業体のレジリエンスの特定の側面のみに関連する規定が含まれていました。域内市場の適切な機能にとって重要なこれらの事業体のレジリエンスを包括的に取り扱うため、重要事業体のレジリエンスに関する指令では、自然災害か人災か、偶発的か故意かを問わず、あらゆる危険に関して重要事業体のレジリエンスを取り扱う包括的な枠組みを構築しています。
重要事業体は、自らに影響を及ぼす可能性のある関連リスクを包括的に理解し、それらのリスクを分析する義務を負います。その目的のため、重要事業体は、その特定の状況とそれらのリスクの進化を考慮したリスク評価を実施しなければならず、また、いかなる場合でも、4年ごとに、その不可欠なサービスの提供を混乱させる可能性のあるすべての関連リスクを評価するために、リスク評価を実施しなければなりません(「重要事業体リスク評価」)。
条文
第1章
主題と範囲(第1条)、定義(2条)、最低のハーモナイゼーション(3条)
このなかで、主題のところを訳しておきます。
この指令は
(a)、TFEU114条の範囲内にある重要な社会的機能または経済活動の維持に不可欠なサービスが、域内市場において妨げられることなく提供されることを保証することを目的とした特定の措置を講じる義務を加盟国に課しており、特に、重要な事業体を特定し、重要な事業体が課された義務を果たすことを支援する義務を定めている;
(b)域内市場において、(a)で言及されたサービスを提供するための回復力と能力を強化することを目的とした、重要な事業体に対する義務を定めている;
(c)以下のルールを定める:
(i)重要な事業体の監督について
(ii)執行について
(iii)特に欧州的に重要な重要事業体を特定し、そのような事業体が第3章に基づく義務を果たすために実施している措置を評価するための諮問使節団を派遣する;
(d)は、この指令の適用に関する協力と報告のための共通の手続きを確立する;
(e)は、域内における必要不可欠なサービスの提供を確保し、域内市場の機能を向上させるため、重要な事業体の高水準の回復力を達成するための措置を定めている。
となっています。もっとも、NIS指令2との関係も問題となります。条文としては
2.本指令は、本指令の第8条を損なうことなく、指令(EU)2022/2555の対象事項には適用されない。重要な事業体の物理的セキュリティとサイバーセキュリティの関係に鑑み、加盟国は、本指令と指令(EU)2022/2555が協調して実施されるようにしなければならない。
となっていて、
重要な事業体の回復力にとってサイバーセキュリティが重要であることを考慮し、また一貫性を保つために、本指令と欧州議会・理事会指令(EU)2022/2555(NIS2指令)との間で、可能な限り、 首尾一貫したアプローチが確保されるべきである。サイバーリスクの高い頻度と特殊性を考慮すると、指令(EU)2022/2555は、サイバーセキュリティを確保するための包括的な要件を多くの事業体に課している。サイバーセキュリティは指令(EU) 2022/2555で十分に扱われていることから、デジタル・インフラ部門の事業体に対する特別な制度を損なうことなく、同指令の対象事項は本指令の範囲から除外されるべきである。
と説明されています(前文(9))
第2章 重要組織の国家枠組
- 重要組織のレジリエンス戦略(4条)
- 構成国家によるリスク評価(5条)
- 重要組織の特定(6条)
- 重要な破滅的効果(Significant disruptive effect)(7条)
- 銀行、金融市場インフラおよびデジタルインフラセクターにおける重要組織(8条)
- 権限ある当局と単一のコンタクトポイント(9条)
- 重要組織への構成国家の支援(10条)
- 構成国家の協力(11条)
第3章 重要組織のレジリエンス
- 重要組織によるリスク評価(12条)
- 重要組織のレジリエンス手段(13条)
- バックグラウンドチェック(14条)
- インシデント通知(15条)
- 標準化(18条)
- ピア・レビュー(19条)
第4章 サイバーセキュリティリスクマネジメント手段および報告義務
- ガバナンス(20条)
- サイバーセキュリティリスクマネジメント手段(21条)
- 連合レベルの重要サプライチェーンの調整さたセキュリティリスク評価(22条)
- 報告義務(23条)
- 欧州サイバーセキュリティ認証スキームの利用(24条)
- 標準化(25条)
第5章 管轄権および登録
- 管轄および属地性(26条)
- 組織の登録(27条)
- ドメイン名登録データのデータベース(28条)
第6章 情報共有
- サイバーセキュリティ情報共有アレンジメント(29条)
- 関連情報の自主的通知(30条)
第7章 監視および執行
- 監視および執行に関する一般的局面(31条)
- 基幹組織に関する監督および執行(32条)
- 重要組織に関する監督及び執行(33条)
- 基幹・重要組織への行政罰賦課についての一般的条件(34条)
- 個人情報の侵害を伴う違反行為(35条)
- 罰則(36条)
- 相互共助(37条)
第8章 権限委譲および 実施法
- 委譲の実施(38条)
- 委員会手続(39条)
第9章 最終規定
となっています。