本文の内容は、2024年9月26日にRayna Stamboliyska が投稿したブログ(https://sysdig.com/blog/navigating-the-future-key-eu-cybersecurity-regulatory-frameworks-for-2024-2029/)を元に日本語に翻訳・再構成した内容となっております。
欧州連合(EU)は、包括的なサイバーセキュリティ規制の開発をリードしています。これらのフレームワークは、安全なデジタル環境を形成し、企業や市民をサイバー脅威から守ります。特にクラウド技術に注力する業界リーダーやサイバーセキュリティの専門家にとって、これらのフレームワークを理解し適切に対処することは、コンプライアンスの維持や競争優位の獲得に重要です。
2019-2024年の立法府からの規制的背景と、再選した影響力のある欧州議会議員(MEP)について以前のブログで探求してきましたが、ここでは、新しい立法府でEUのサイバーセキュリティの風景を形作る5つの主要な規制フレームワークに焦点を当てます。
NIS2指令
NIS2指令は、元のNIS指令に基づき、EU全体で高水準のサイバーセキュリティを実現することを目指しています。
重要性:
NIS2は、クラウドベースのシステムを含む重要インフラを保護するために、重要および重要な事業体に対し、強力なリスク管理とインシデント対応措置を実施することを義務付けています。
状況:
NIS2指令は2023年1月16日に施行され、現在加盟国は2024年10月17日までに国内法に移行する義務があります。
課題:
- 範囲の拡大:NIS2は、前指令より多くの分野をカバーしており、特に新たに対象となった中小規模のクラウドサービスプロバイダー(CSP)に対するコンプライアンス負担が増大しています。
- 罰則の統一:指令はEU全体で制裁を導入しており、非遵守に対する罰則が厳しくなっています。
- 国内法移行の不均一性:複数の国で事業を展開する企業は、異なる国内法や要件に対応する必要があり、コンプライアンスの複雑性とコストが増加します。
戦略的影響:
- 経営者は、適切な監視体制を構築し、従業員向けのトレーニングに投資する必要があります。
- サイバーセキュリティチームは、特にクラウドセキュリティに焦点を当てて、迅速なインシデント対応を支援するためのフレームワークを強化することが重要です。
対応策:
- 組織のセキュリティ対策をNIS2要件に沿って監査し、コンプライアンスロードマップを策定しましょう。
- 従業員に対するトレーニングプログラムを強化し、コンプライアンスとインシデント対応プロトコルに関する教育を行いましょう。
- 関連する国々におけるNIS2の国内法移行の進展を追跡し、コンプライアンス戦略を調整しましょう。
- SysdigのPoint of View ペーパーを読み、規制基準を満たすためのセキュリティ技術やインフラのアップグレードに関する貴重な洞察を得ます。
デジタル運用レジリエンス法(DORA)
DORAは金融セクターを対象とし、ITセキュリティと運用レジリエンスを強調しています。
重要性:
DORAは、ICTに関連するインシデントの管理に厳しい要件を課し、クラウドサービスを含むデジタルリスクの増加に対処するために、運用レジリエンステストを義務付けています。
状況:
DORAは2025年1月17日に適用される予定です。
戦略的影響:
- リーダーシップ戦略では、ITセキュリティフレームワークを強化し、レジリエンスとインシデント管理がビジネス継続計画の一環として確立されることを確保する必要があります。
- サイバーセキュリティの専門家は、特にクラウド環境において、サイバー脅威に耐え、顧客の信頼を維持するために、定期的なテストと更新を実施する必要があります。
対応策:
- ICT関連のインシデントに対応するため、運用レジリエンス計画を作成・更新します。
- システムがサイバー脅威に耐えられるよう、定期的なレジリエンステストのスケジュールを実施します。
- コンプライアンスの取り組みと他のビジネス目標とのバランスを取るために、リソースを賢く配分します。
- Sysdig CNAPPプラットフォームを使用して、自動ポリシー更新により継続的なコンプライアンスを確保します。
EUクラウドサービスサイバーセキュリティ認証スキーム(EUCS)
EUCSはクラウドサービスを対象とした重要な認証スキームであり、包括的なセキュリティ要件を定義することで、クラウドサービスへの信頼を向上させることを目的としています。また、特定の保証レベルやあらゆる種類のクラウドサービスにわたるサイバーセキュリティ保証を向上させ、効率化することを目指しています。
状況:
EUCSの最新草案は2024年3月に更新されましたが、採択日はまだ決まっていません。
重要性:
EUCSは、クラウドサービスプロバイダー(CSP)が厳格なサイバーセキュリティ基準を順守し、EUの顧客にCSPのリスクに関する包括的な情報を提供することを目的としています。最高レベルの認証を求めるCSPは、「国際企業プロファイル証明書」を提出し、どの管轄地域に従属しているかを明示します。この情報は顧客に伝達されます。
課題:
- コンプライアンスコスト: EUCSの実装には高額な費用がかかる可能性があり、特にクラウドスタートアップや中小企業にとって、認証要件を満たすことは大きな財政的負担となる場合があります。
- 法的複雑性: EUCSは加盟国が主権要件を証明書に含めることを許可しており、これが契約に組み込まれる可能性があります。
- 市場参入: EUCSは技術的なツールとして機能し、CSPに対するベストプラクティスを通じて顧客が適切な判断を下すための支援を行います
戦略的影響:
- Cレベルの経営者にとって、特に非EUプロバイダーに依存している場合、EUCSがクラウド戦略に与える戦略的影響を評価することは重要です。これらの要件を理解することで、企業はクラウドサービスの選択を適切に調整できます。
- サイバーセキュリティの専門家は、クラウドサービスが認証レベルを満たしていることを確認し、特にデータのローカライゼーションやセキュリティ対策に関して、CSPと連携してEUCSに準拠させるべきです。
対応策:
- 現在のクラウドサービスプロバイダー(CSP)が既知のEUCS要件をどの程度満たしているかを評価し、必要に応じて認定されたプロバイダーへの切り替えを検討しましょう。
- 直接的および間接的なコストを考慮し、EUCS認証の取得および維持に向けたリソースを割り当てます。
- 認証に関連する管理プロセスを簡素化し、複雑さを軽減し効率を向上させましょう。
サイバーレジリエンス法(CRA)
CRA は、ハードウェアやソフトウェアなどのデジタル要素を備えた製品のサイバーセキュリティ要件に重点を置いています。
なぜ重要なのか:
CRA は、製造業者に対し、製品ライフサイクル全体にわたってサイバーセキュリティを実装することを義務付けています。また、デジタル市場における透明性と説明責任を促進します。
状況:
サイバーレジリエンス法は2024年3月12日に議会で承認され、理事会による正式な採択を待っています。
課題:
- 製品ライフサイクル管理: 製品ライフサイクル全体にわたってサイバーセキュリティを確保することは、特にクラウドベースの製品の場合、多くのリソースを必要とし、複雑になる可能性があります。
- コンプライアンスの制約: 特にリソースが限られている小規模企業の場合、厳格なセキュリティ対策に従うことは複雑になる可能性があります。
戦略的影響:
- リーダーシップは、新しい標準を競争上の優位性を得る機会と捉え、新しい標準への準拠を優先する必要があります。
- サイバーセキュリティの専門家は、セキュリティ機能を組み込み、CE マークを取得するために製品開発プロセスを更新する必要があります。
対応策:
- 製品開発プロセスを評価および更新し、最初からセキュリティ対策を組み込むようにします。
- サプライヤーやパートナーを含む関係者と連携し、サプライ チェーン全体のコンプライアンスを確保します。
- 要件の変更に関するコンプライアンスの傾向を追跡し、戦略を調整します。
- Sysdig のPoint of View ペーパーを読んで、CRA の技術要件を満たすセキュリティ テクノロジーとインフラストラクチャのアップグレードに関する独自の洞察を得てください。
サイバー連帯法(Cyber Solidarity Act)
この取り組みは、EU加盟国間の協力を促進し、脅威検知および対応能力を強化することで、クラウドインフラを含むヨーロッパ全体のサイバーセキュリティシールドを構築することを目指しています。
重要性:
これは、EU加盟国間の協力を促進し、脅威の検知および対応能力を強化することで、クラウドインフラを含むヨーロッパ全体のサイバーセキュリティシールドを構築することを目指しています。
状況:
サイバー連帯法は2024年3月5日に暫定合意に達し、現在は欧州議会と理事会による正式な承認を待っています。
課題:
- 調整の複雑さ: 多くの加盟国間での取り組みを調整し、さまざまな国のシステムを統合することは複雑で時間がかかる可能性があります。
- リソース共有: EU全体でサイバーセキュリティサービスへの公平なリソース共有とアクセスを確保することは、特に小規模な加盟国にとって課題となることがあります。
戦略的影響:
- リーダーは、共有リソースやインテリジェンスの恩恵を受けるために、協力的なフレームワークへの参加を推進するべきです。
- サイバーセキュリティチームは、信頼できるサービスや認証へのアクセス拡大を活用し、特にクラウドセキュリティに焦点を当てて、セキュリティポスチャーを強化するべきです。
対応策:
- EU全体でのサイバーセキュリティ協力に参加し、共有リソースとインテリジェンスの利点を享受しましょう。
- 欧州の認証スキームを活用して、組織のセキュリティ態勢と信頼性を向上させましょう。
- EU全体でサイバーセキュリティリソースとサービスへの公平なアクセスを推進しましょう。
これらの規制フレームワークは、EU内で事業を展開する企業に影響を与えます。特にクラウド分野において、Cレベルの経営者やサイバーセキュリティの専門家は、競争優位性を得るために、これらの規制に積極的に適応する必要があります。