株式会社先読

解説EU－サイバーセキュリティ法（CSA）

法令の情報時期：2025年02月　統合版

ページ作成時期：2026年06月

目的

本規則は、EU域内における高い水準のサイバーセキュリティ、サイバーレジリエンス、および信頼を達成し、域内市場の適切な機能を確保することを目的としている。

■　欧州連合サイバーセキュリティ機関（ENISA）の目的、任務、および組織に関する事項を定めること。

■　ICT製品、ICTサービス、ICTプロセス、およびマネージドセキュリティサービスについて、欧州共通のサイバーセキュリティ認証スキームを確立する枠組みを提供すること。

■　サイバーセキュリティ認証スキームに関する域内市場の断片化を回避し、透明性と信頼を高めること。

概要

本規則は、EUデジタル単一市場におけるセキュリティ水準の向上と競争力の強化を目指し、これまでのENISAの権限を恒久化するとともに、EU全域で通用する共通の認証枠組みを導入したものである。

■　背景・問題意識：従来、加盟国ごとに独自の認証スキームが存在していたため、事業者は国ごとに異なる対応を迫られ、コスト増や市場の断片化が生じていた。これを解消するため、EUレベルでの統一的なルールが必要とされた。

■　適用範囲： ICT製品（ネットワーク機器等）、ICTサービス（クラウド、コンピューティング等）、ICTプロセス（設計・開発手順）、およびマネージドセキュリティサービス（インシデント対応、侵入テスト、コンサルティング等）が対象となる。

■　主な事業者要件：共通スキームに基づく認証の取得（任意または義務）、適合性自己宣言の実施、およびユーザーに対するセキュリティ情報の提供などが求められる。

■　施行時期: 本規則は2019年6月27日に発効した。ただし、認証に関連する特定の条項（第58条、60条、61条、63条、64条、65条）は、2021年6月28日から適用されている。

適用除外（対象外・猶予・免除等）

この法令は以下を妨げないと定められている。

■　任意または義務的な認証に関する他のEU法の特定の規定。

■　公共の安全、国防、国家安全保障に関する加盟国の活動。

■　刑法の分野における国家の活動。

事業者が注意すべき内容

本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。
ご関心がございましたら、お気軽にお問い合わせください。

■　欧州サイバーセキュリティ認証の取得（第46条、第56条）

事業者は、欧州サイバーセキュリティ認証スキームに基づき、対象となるICT製品等が特定のセキュリティ要件を満たしていることの証明を受けることができる。この認証は原則として任意であるが、EU法または加盟国法により、特定の製品やサービスに対して認証取得が義務付けられる可能性がある。

■　保証レベル（Assurance levels）の選択（第52条）

各認証スキームには、想定されるリスクの頻度と影響度に基づき、「低（basic）」「中（substantial）」「高（high）」の3段階の保証レベルが設定される。

低（basic）: 基本的な既知のリスクを最小化することを目的とし、技術文書の確認等が中心となる。
中（substantial）: 限定的なスキルとリソースを持つ攻撃者によるリスクを最小化することを目指し、脆弱性の不在確認や機能テストが行われる。
高（high）: 高度なスキルを持つ攻撃者による最先端のサイバー攻撃のリスクを最小化することを目指し、侵入テスト等を含む厳格な評価が行われる。

■　自己適合宣言（第53条）

低（basic）レベルに分類されるリスクの低い製品等については、製造者または提供者の自己責任による「EU自己適合宣言」が認められる場合がある。その場合、事業者は宣言を発行することで、要件遵守の責任を負い、技術文書を当局（CSA）に提出・維持しなければならない。

■　付加的なサイバーセキュリティ情報の公開（第55条）

認証を取得した、または自己宣言を行った製品等の事業者は、以下の情報を電子形式で一般公開し、更新し続ける義務がある。

安全な設定、設置、運用、保守のためのガイドライン。
セキュリティサポートの提供期間（特にアップデートの利用可能性）。
脆弱性情報の報告を受け付ける窓口の連絡先。
公開された脆弱性に関するリポジトリへの参照。

■　情報の提供と脆弱性の報告（第56条第7項・第8項）

認証を申請する事業者は、評価に必要なすべての情報を当局または認証機関に提供しなければならない。また、認証取得後に、認証要件への適合性に影響を及ぼす可能性のある脆弱性や不整合を発見した場合は、速やかに報告する義務がある。

■　政府への要件を通じた将来的な影響（第56条第3項）

欧州委員会は、定期的に認証スキームの利用状況を評価し、域内市場の適切な機能やセキュリティレベルの確保のために、特定のスキームを「義務化」する必要があるかを検討する。特に、NIS指令（Directive (EU) 2016/1148）で指定された重要セクター（エネルギー、運輸、保健等）が優先的に評価対象となるため、これらの分野に関わる事業者は、将来的に認証が必須となる可能性があることに注意が必要である。

注目定義

■　「欧州サイバーセキュリティ認証スキーム」（ European cybersecurity certification scheme）

特定のICT製品、ICTサービス、ICTプロセス、またはマネージドセキュリティサービスの認証または適合性評価に適用される、EUレベルで確立された包括的なルール、技術要件、規格、および手順のこと。

■　「欧州サイバーセキュリティ証明書」（European cybersecurity certificate）

特定のICT製品、ICTサービス、ICTプロセス、またはマネージドセキュリティサービスが、欧州サイバーセキュリティ認証スキームで定められた特定のセキュリティ要件に適合していることが評価されたことを証明する文書を指す。

■　「マネージドセキュリティサービス」（managed security service）

インシデント処理、侵入テスト、セキュリティ監査、およびコンサルティング（技術サポートに関連する専門的な助言を含む）など、サイバーセキュリティのリスク管理に関連する活動の遂行、またはそれらの活動への支援を第三者に提供するサービスのこと。

■　「保証レベル」（assurance level ICT）

製品、ICTサービス、ICTプロセス、またはマネージドセキュリティサービスが、特定の欧州サイバーセキュリティ認証スキームのセキュリティ要件を満たしているという信頼の根拠となるもの。インシデントの発生確率や影響に応じたリスクのレベルに見合った、評価の厳格さと深さの指標（「低」「中」「高」）を示す。

■　「適合性自己評価」（conformity self-assessment）

ICT製品、ICTサービス、ICTプロセス、またはマネージドセキュリティサービスの製造者または提供者が、特定の欧州サイバーセキュリティ認証スキームの要件を満たしているかどうかを、自らの単独の責任において評価する行為。

基礎情報

法令（現地語）	Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
法令（日本語）	ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日付欧州議会および理事会規則（EU）2019/881（規則（EU）526/2013を廃止）（サイバーセキュリティ法）
公布日	2019年6月7日

作成者

この続きは先読会員になるとお読みいただけます。

ログインして続きを読む