リサーチ・フォーカス No.2024-049

EUのサイバーセキュリティ規制動向と日本への示唆

2024年11月28日　森口善正

EU は、経済・社会のデジタル化と相互接続の進展、さらにはロシアによるウクライナ侵攻等を背景とするサイバー脅威の増大を背景に、企業に対するサイバーセキュリティ規制を強化しており、環境規制と同様、当該分野においても世界をリードする存在となっている。

具体的に EU は、2016 年 7 月に採択した「ネットワーク・情報システムのセキュリティに関する指令」（NIS 指令）を一段と強化する「NIS2 指令」を 2022 年 12月に採択した（2023 年 1 月発効）。NIS2 指令は、NIS 指令よりも幅広い事業者を対象に、最低限のサイバーセキュリティ・リスク管理措置の実施や加盟国政府（CSIRT または所管官庁）への迅速なインシデント報告を義務づける。

2024 年 10 月には「サイバーレジリエンス法」（Cyber Resilience Act：CRA）を採択し（2024 年 12 月発効）、最低限のサイバーセキュリティ要件を満たさないデジタル製品（ハードウェア、ソフトウェア）の域内流通を
2027 年 12 月以降禁止する。

EU の規制動向を踏まえると、日本への示唆として、①経済・社会に大きな影響を与え得る重要事業者に対する最低限のサイバーセキュリティ対策の義務づけ、②重要事業者に対する重大インシデント報告の義務づけ、③2025 年 3 月から運用が開始される IoT 製品のセキュリティラベリング制度（JC-STAR）に対する消費者や中小企業の認知度向上と将来的なラベル取得の義務づけ、の 3 点を指摘できる。

脆弱なサイバーセキュリティはもはや自組織だけの問題ではなく、消費者や取引先企業、地域社会・経済への悪影響、さらには国家安全保障上の懸念すら惹起させ得る。また、わが国経済・社会の DX を阻む大きな要因ともなり得る。それだけに、より幅広い重要事業者やデジタル製品の製造業者が、サイバーセキュリティの強化に向けて一定の社会的責任を果たしていくことが望まれる。

政府としても、サイバー脅威がますます高まるなか、企業の報告負担を軽減しつつ効率的、効果的なインシデント即応体制を構築するとともに、リソースに乏しい中小企業のコンプライアンスやサイバーセキュリティ・リスク管理を資金面やノウハウ面でこれまで以上に支援していく必要がある。

(全文は上部の「PDFダウンロード」ボタンからご覧いただけます)