EU統一のサイバーセキュリティ認証スキームの確立が目的

欧州委員会は、2023年10月03日から10月31日までの期間、欧州でのICT製品認証スキーム(EUCC)の確立に関する実施規則案について意見募集しました。

意見募集は終了し、欧州委員会での採択を待っています。採択は、2023年の第4四半期中に予定、発効後12ヶ月後に適用されます。

このイニシアティブは、共通の基準に基づいた欧州サイバーセキュリティ認証スキーム (EUCC) を確立することが目的です。

EUCCは、EUサイバーセキュリティ法・(EU)規則2019/881に定められた欧州サイバーセキュリティ認証フレームワークに基づいた最初のスキームです。

背景

EUのサイバーセキュリティに関する取り組みは、2004年の欧州ネットワーク情報セキュリティ庁(ENISA)設立に始まり、2013年にEUサイバーセキュリティ戦略が採択され、2016年にはネットワークおよび情報セキュリティ指令(NIS指令)を施行と着実に進んできました。

近年の社会の急速なデジタル化やパンデミック、ロシアとの地政学的緊張の高まりにより、サイバーセキュリティ対応強化やEU全体としての統一運用などが課題として認識されるようになりました。

2019年06月27日に施行されたEUサイバーセキュリティ法は、EUにおけるデジタル関連製品・サービス・プロセスのサーバーセキュリティ認証の枠組みを設定し、EUサイバーセキュリティ庁（ENISA）の職務権限を強化しました。

この規則案は、EUサイバーセキュリティ法に基づくICT製品に対する欧州共通基準に基づくサイバーセキュリティ認証スキーム（EUCC）を確立する実施規則案です。

概要

この実施規則案では、EUサイバーセキュリティ法に定められた欧州サイバーセキュリティ認証フレームワークに従って、サイバーセキュリティ認証スキーム (EUCC)の役割、規則、義務、構造を規定しています。

EUCCは、任意の認証スキームです。EUCCによってICTセキュリティ製品（ファイアウォール、暗号化デバイス、電子署名デバイスなど）およびセキュリティ機能が組み込まれたICT製品（ルーター、スマートフォン、銀行カードなど）に対する一連のセキュリティ要件が導入されます。

要点

• 提案されたスキームは第三者評価に基づいており、このスキームでは自己評価は認められません。
• EUCCスキームでは、確立された国際基準に合わせた7つの評価保証レベル (EAL) を想定しています。
• EUCCスキームは、認定されたICT製品のマークとラベルを確立し、その信頼性を実証し、ユーザーが情報に基づいた選択をできるようにします。
• EUCC証明書は、国のサイバーセキュリティ認証局がそれより長い有効期間を承認しない限り、最長5年間発行されます。
• 規制案では、ICT製品の校正およびテスト活動を行うITセキュリティ評価施設 (ITSEF)と、認証および検査活動を行う認証機関の2種類の適合性評価機関を規定しています。
• EUCCスキームは、スキームの維持、最先端の文書の承認と発行、ガイダンスと推奨事項の提供において、欧州サイバーセキュリティ認証グループとEUサイバーセキュリティ庁 (ENISA) に重要な役割を割り当てています。

参考情報

• 意見募集ページ
• サイバーセキュリティ法（EU2019/881) 
• EUサーバーセキュリティ認証枠組み(欧州委員会）
• サイバーセキュリティ法案の説明メモ
• サイバーセキュリティ認証枠組み（ENISA)