デジタル技術の利用増加に伴い、サイバーセキュリティ事件やその潜在的なリスクにさらされる機会が増加

情報通信技術の利用と依存は、今や、これまで以上に、経済活動のあらゆる分野で基本的な必要性を持つようになり、行政、企業、市民が分野や国境を越えて相互に連結と依存を深めています。

このようにデジタル技術の利用が進むことにより、サイバーセキュリティ事件やその潜在的なリスクにさらされる機会が増加しています。同時に、サイバーインシデントが加盟国の一つから他の加盟国へ急速に波及するリスクによって、加盟国はサイバーセキュリティリスクの増大と包括的な脅威に直面しています。

2023年4月19日、欧州委員会は、このような事態をより適切に検知、準備、対応するために、連合レベルでの連帯を強化するために、現行のサイバー連帯法の強化を提唱しました。

重要または大規模なインシデントのレビューと評価（教訓を引き出し、適切な場合には勧告を含む）により、EUの変化に対するレジリエンスを高め、効果的な対応を図るために、2023年4月20日～2023年6月27日の８週間の意見聴衆のためのフィードバック期間を設けています。

サイバー連帯法案に関わる提案の理由と目的

提案の理由

前述したように、重要なインフラに重大な混乱と損害をもたらす大規模な事件が起こりうるという脅威は、EUのサイバーセキュリティ環境のあらゆるレベルにおける準備と対策の強化を必要としています。

さらに、サイバー作戦がハイブリッド戦略や戦争戦略に組み込まれ、標的に大きな影響を与えるようになってきていることが原因です。特に、ロシアのウクライナに対する軍事侵攻を先行して行い、敵対的なサイバー作戦の戦略を伴っていることは、EUの集団的サイバーセキュリティ危機管理の備えに対する認識と評価にとってゲームチェンジャーであり、緊急行動が求められています。

その脅威は、ロシアのウクライナへの軍事的侵略にとどまらず、国家・非国家主体による継続的なサイバー脅威を含んでおり、現在の地政学的緊張に関わる国家の連携、犯罪、ハッキング行動の多様性を考慮すると、今後も継続する可能性が高いと考えられます。近年、サイバースパイ、ランサムウェア、ディスラプションを狙ったサプライチェーン攻撃の数は劇的に増加しています。

2020年、ソーラーウィンズのサプライチェーン攻撃は、政府機関、大手企業など、全世界で18,000以上の組織に影響を与えました。重大なサイバーセキュリティ事件は、影響を受ける加盟国が単独で対処するには、あまりにも破壊的で困難を伴うものです。

そのため、サイバーセキュリティの脅威やインシデントをより適切に検知・準備・対応するためには、連合レベルでの連帯の強化が重要になっています。

サイバー脅威やインシデントの検知については、情報交換を強化し、集団的能力を向上させることで、サイバー脅威が大規模な被害やコストを引き起こす前に、検知するために必要な時間の大幅な削減を図ることが急務です。

提案の目的

デジタルインフラの相互の接続は加盟国間での関連情報の共有は限られているため、サイバーセキュリティの脅威や事件の多くは国境を越えて発生する可能性があります。今回の提案は、国境を越えたセキュリティ・オペレーション・センター（SOC）のネットワークを構築し、検知・対応能力を強化することで、この問題に対処することを目的としています。

また、本規則は、2020年12月に採択された欧州サイバーシールドの創設を発表したEUサイバーセキュリティ戦略の具体的な実施を行うものです。これは、EU内において国内および国境を越えたSOCの連合体を通じて、サイバー脅威の検知と情報共有の機能を強化して実現化するものです。

本規則は、デジタル・ヨーロッパ・プログラム（DEP）の支援を受け、主要な利害関係者との緊密な協力のもとで既に開発された最初のステップに基づいています。特にSOCに関しては、国境を越えたSOCを設立するためのツールやインフラを共同調達するための関心表明の募集と、公共機関と民間団体に対してSOCの能力開発を可能にするための補助金の募集が実施されました。これらは、DEPサイバーセキュリティ作業計画2021-2022の下で実施されたものです。

準備態勢とインシデント対応に関して、欧州委員会は、欧州連合サイバーセキュリティ機関（ENISA）に割り当てられた追加資金を通じて、加盟国を支援する短期プログラムを立ち上げ、大規模なサイバーインシデントに対応する準備態勢と能力を早急に強化するために加盟国との緊密な連携のもとに準備されています。本規則は、不測の事態に対処し、これらの行動から得られる知見を統合化するものです。

この提案は、2022年11月10日に採択された「サイバー防衛に関する共同声明」に沿って、EUサイバー連帯のための提案を準備するというコミットメントを実現するものでもあります。EU共通の検知・状況認識・対応能力を強化し、信頼できる民間プロバイダーのサービスによりEUレベルのサイバーセキュリティ予備軍を徐々に構築し、重要な事業体の実験を支援しようとしています。

サイバーセキュリティへの具体的な対応

重大な大規模なインシデントのレビューと評価（教訓を引き出し、適切な場合には勧告を含む）により、EUの復旧能力を高めて、効果的な対応が実施されますが、サイバーセキュリティ事件に対する共通の対応能力を開発することにより、EU全域の重要な事業体の準備態勢を強化して連帯を強化できます。

・SOC（欧州サイバーシールド）の汎欧州インフラを展開し、共通の検知および状況認識能力の構築・強化

・重大かつ大規模なサイバーセキュリティインシデントの準備・対応・即時復旧において加盟国を支援するためのサイバー緊急メカニズムの創設

・インシデント対応のための支援は、欧州の機関、連邦の機関、事務所、機関（EUIBAs）にも提供

・特定の重大または大規模なインシデントを審査・評価するための欧州サイバーセキュリティインシデント審査機構の設立

・欧州サイバーシールドとサイバー緊急メカニズムは、DEPからの資金により支援

この立法措置は、上記の行動に対して、その発展のための資金援助を行い、その資金援助の恩恵を受けるための条件を明確にするために改正されます。

政策領域における既存の政策規定との整合性

EUの枠組みは、脆弱性を減らし、サイバーセキュリティリスクに対する重要な事業体の回復力を高め、大規模なサイバーセキュリティ事件や危機の協調管理を支援するために、すでに施行され、あるいは連合レベルで提案されている次に示す法律で構成されています。

連合全体の情報システム（NIS2）、サイバーセキュリティ法、情報システムに対する攻撃に関する指令委員会勧告（EU）2017/1584に関わる大規模なサイバーセキュリティ事件や危機に対する協調的な対応を具体化するものです。

サイバー連帯法の下で提案されたイニシアティブは、状況認識、情報共有、サイバーインシデントへの準備と対応への支援を含むものです。

これらのイニシアティブは、特に指令（EU）2022/2555（「NIS2指令」）に基づいて、EUレベルで実施されている規制枠組みの目的と一致するものです。

サイバー連帯法は、特に欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）やコンピュータセキュリティインシデント対応チーム（CSIRTs）ネットワークなど、既存のサイバーセキュリティ運用協力や危機管理の枠組みを構築し支援するものでもあります。

国境を越えた SOCs プラットフォームは、官民のサイバーセキュリティ脅威に関するデータをプールし共有することで、CSIRT ネットワークを補完する新たな能力を構成し、専門家の分析と最先端のツールによって当該データの価値を高め、連合の能力と技術的主権の開発に貢献する必要があります。

この提案は、重要インフラの回復力を強化するための欧州連合全体の協調的アプローチに関する理事会勧告に合致しています。

加盟国は、緊急かつ効果的な措置を講じるとともに、互いに、欧州委員会およびその他の関係者と、忠実かつ効率的に、連帯・協調して協力する責任があります。

そのため、公的機関および関係団体を対象とした国内市場の重要なサービスを提供するために使用される重要なインフラの回復力を強化するものです。

その他のEUポリシーとの整合性

この提案は、統合政治危機対応メカニズム（IPCR）などの他の危機緊急メカニズムやプロトコルと一致するものです。サイバー連帯法ではサイバーセキュリティ事件への準備と対応に特化した支援を提供することで、これらの危機管理の枠組みやプロトコルを補完します。

また、この提案は、大規模な事件に対応するためのEUの対外行動との整合性を持っています。EUサイバー外交ツールボックスを通じて、共通外交・安全保障政策（CFSP）の中で実施される行動を補完するものです。この提案は、欧州連合条約第42条7項、または欧州連合の機能に関する条約第222条に規定された状況において実施される行動を補完します。

また、2013年12月に設立され、May202111に採択された新しい法律で完成した連邦国民保護メカニズム（UCPM）を補完し、UCPMの予防、準備、対応の柱を強化し、欧州および世界の新たなリスクに対応するための追加能力をEUに与え、復旧予備力を強化するものです。

参考資料

資料１　サイバー連帯法

資料２　欧州議会および欧州評議会の規則に関する提案書：サイバーセキュリティの脅威及びインシデントを検知し対応するための連合における連帯及び能力を強化するための措置