EUサイバーセキュリティ規制とサードパーティリスク管理 Part.1
Komiya SN
本ブログでは、GRC (ガバナンス・リスク・コンプライアンス) やサイバーセキュリティ関連の国内外の規制の中からピックアップした要件やガイドライン等について解説するとともに、OneTrustのソリューションについてご紹介しています。
はじめに
サイバーセキュリティインシデントの発生件数は、国内外問わず依然増加傾向にあります。トレンドマイクロ社のレポートでは、2024年の国内におけるインシデントは増加しており、被害傾向としてはランサムウェア攻撃、不正アクセスに加え、サプライチェーンに起因する二次被害について増加傾向にあると報告しています。二次被害の例としては、自組織のランサムウェア攻撃に伴う情報窃取から、契約関係にある委託先(サードパーティ)企業等で管理していた個人情報が漏洩してしまうというケースがあげられています。
上記の事例のようにサプライチェーンの脆弱性を狙ったサイバー攻撃、いわゆるサプライチェーン攻撃については、国内外で増加の一途を辿っており、各国の規制当局はサプライチェーンのリスク管理の強化を求めています。EUでは先行する形で次々とサイバーセキュリティ関連の法律が発効・適用されており、これらの法律にはサプライチェーンやサードパーティのリスク管理の強化を求める要件が含まれています。グローバルに展開する日本企業にとってもこれらの規制への対応が求められています。
今回のブログでは、Part1としてEUのサイバーセキュリティ規制の動向に触れたのち、ネットワークと情報システムに関する指令 (NIS2)、サイバーレジリエンス法 (CRA)、デジタルオペレーションレジリエンス法 (DORA)をピックアップし、主にサプライチェーンおよびサードパーティのリスク管理の要件に着目し解説します。
次回のブログPart2 では、サプライチェーンおよびサードパーティ経由のリスクおよびそれらのリスク管理における課題について解説した後に、OneTrustのソリューションであるサードパーティリスク管理の特長的な機能についても一部ご紹介したいと思います。
EUサイバーセキュリティ規制動向と要件概要
本章では、サイバーセキュリティ関連のEU法の動向をご紹介後、下記3つの法律のそれぞれの概要、ポイントとなる要件、そしてサプライチェーンリスクに関わる要件について解説したいと思います。
- ネットワークと情報システムに関する指令 (NIS2)
- サイバーレジリエンス法 (CRA)
- デジタルオペレーションレジリエンス法 (DORA)
EUのサイバーセキュリティ関連規制タイムライン
冒頭で述べた通り、EUでは次々とサイバーセキュリティ関連の法律が施行・適用されています。
以下が2024年10月以降に発効または、適用開始する主なサイバーセキュリティ法の一覧です。
補足情報:EU法の4種類の法律
EU法では、上記のように指令 (Directive)や規則 (Regulation)など適用範囲や拘束力によって異なる4種類の法律が存在します。以下が対象となる法律の一覧です。
| 法律の種類 | 適用範囲・拘束力 |
| 規則 (Regulation) | すべての加盟国を拘束し、直接適用する。 |
| 指令 (Directive) | 指令の中で命じられた結果についてのみ加盟国を拘束し、それを達成する手段と方法については、加盟国に任される。 |
| 決定 (Decision) | 特定の加盟国、企業、個人に限定し、直接効力を有する。 |
| 勧告・意見 (Recommendation・Opinion) | 欧州委員会が原案を提案するもので、法的拘束力をもたない。 |
NIS2 (ネットワークと情報システムに関する指令)の概要とポイント
概要
NIS2 指令は、ネットワークおよび情報システムのセキュリティに関する指令の略で、EU内の全体的なサイバーセキュリティ フレームワークを強化するために設計された法律です。2016 年発効されたNIS 指令を基盤として、2022 年に採択され、2024年10月までに加盟国は国内法を整備することが求められています。NIS2 は、サイバーセキュリティに対するより包括的かつ厳格なアプローチを導入し、重要なインフラストラクチャ、エネルギー、ヘルスケア、金融など、より幅広い分野に対応しています。
主要な要件
- サイバーセキュリティ管理対策 (Chapter IV)
- サイバーセキュリティに対してリスクベースのアプローチの採用、内部ガバナンスの構築、インシデント対応計画の実施が求められる。
- 重大なセキュリティインシデント検出後、24時間以内に関係当局への報告義務が求められる。
- 監督と執行 (Chapter VII)
より強力な執行メカニズムの導入と罰則が科される。- 主要事業体(主要エンティティ):全世界の年間総売上高の少なくとも1000万ユーロまたは、少なくとも2%以下の行政罰金が科される可能性
- 重要事業体 (重要エンテイティ):全世界の年間総売上高の少なくとも700万ユーロまたは、少なくとも1.4%以下の行政罰金が科される可能性
※上記の事業体(エンテイティ)の詳細については、過去の弊社ブログ「EUのサイバーセキュリティに関する法律: NIS2指令について」をご参照ください。
※NIS2 (ネットワークと情報システムに関する指令) 最終文章より抜粋
サプライチェーン・サードパーティ関連の要件のポイント
サプライチェーンおよびサードパーティのリスク管理に関わる要件としては、下記のポイントを考慮する必要があります。
- サイバーセキュリティ管理対策の中にサプライチェーンのセキュリティ事項を含める。
- 重要なサプライチェーンのセキュリティリスク評価を実施する。
- サイバーセキュリティ管理対策を策定するにあたり、加盟国の規制当局より欧州サイバーセキュリティ認証のスキームの下で認証されたサプライヤーまたはサービスプロバイダーから調達された製品を要件の準拠のために推奨される場合があります。
補足情報:各国の準拠法の整備状況 ※右側の矢印を展開すると詳細情報が表示されます。
上記の補足情報で触れましたが、EU法の指令(Directive)については、結果についてのみ加盟国は拘束されるため、各国は指令に準拠する国内法の整備を求められています。そのため、国によっては新たに国内法を制定・追加・修正する必要があります。以下が、現在までのEU加盟国の整備状況のリストになります。※がついている国については、法案が可決されすでに整備が進んでいる状況です。それ以外の国については、現在法案提出中またはスペイン、エストニアのように整備が進んでいない国もあり加盟国間でもばらつきがみられています。(2024年12月時点の情報)
| 国 | NIS2 準拠法 | 国 | NIS2 準拠法 |
| オーストリア | Network and Information System Security Act 2024 | スウェーデン | New Rules on Cybersecurity (SOU 2024:18) |
| ベルギー※ | Transposition Act | ラトビア | National Cybersecurity Act – Regulations on Minimum Cybersecurity Requirements (22-TA-3183) |
| ブルガリア | Cyber Security Law Amendment Act | リトアニア※ | Cyber Security Law No.12-1428 |
| クロアチア※ | Cybersecurity Act | ルクセンバーグ | Draft law (n8364) |
| チェコ | Amending the Act on Cyber Security | マルタ | Measures For A High Common Level of Cybersecurity Across The European Union |
| デンマーク | Danish bill Implementing NIS2 | オランダ | Cybersecurity Act |
| エストニア | N/A | ポーランド | Bill Transporting Directive (EU) 2022/2555 |
| フィンランド | Proposal HE 57/2024 | ポルトガル | Bill Transporting Directive (EU) 2022/2555 |
| フランス | Senate Bill No.33 | キプロス | Amendment of Law on Security of Networks and Information System of 2020 |
| ドイツ | NIS2 Implementing and Cybersecurity Strengthening Act | ルーマニア | Emergency Ordinance regarding the establishment of a framework for cybersecurity of computer networks and systems from the Civil National Cyberspace |
| ギリシャ | National Cybersecurity Authority | スロバキア | LP/2024/264 Act amending Act. No.69/2018 Coll on cyber security |
| ハンガリー | Act XXIII of 2023 on cybersecurity certification and cybersecurity supervision | スペイン | N/A |
| アイルランド | National Cyber Security Bill 2024 Heads of Bill | イタリア | Legislative Decree No. 138 of September 4, 2024 Transporting Directive(EU) 2022/2555 (NIS2 Directive) |
CRA (サイバーレジリエンス法)の概要とポイント
概要
サイバーレジリエンス法は、欧州委員会が提案した規制であり、欧州連合(EU)で販売されるハードウェアおよびソフトウェア製品のサイバーセキュリティとレジリエンスを強化することを目的としています。この法律は、消費者向けデバイスから重要なインフラストラクチャコンポーネントに至るまで、デジタル製品がデフォルトで安全であり、進化するサイバー脅威に対して耐性を維持することを保証するように設計されています。
- サイバーセキュリティを確保するために、適切なサイバーセキュリティ特性を備えたデジタル要素を含む製品を市場投入するための規則
- デジタル要素を含む製品の設計、開発、製造に関する必須のサイバーセキュリティ要件、およびこれらの製品のサイバーセキュリティに関する経済事業者の義務
- デジタル要素を含む製品のライフサイクル全体にサイバーセキュリティを確保するために、製造業者が実施する脆弱性処理プロセスに関する必須のサイバーセキュリティ要件、およびこれらのプロセスに関する経済事業者の義務
- モニタリングを含めた市場監視の規則および本条 (Article1)で定めた規則、要件に関する執行
補足情報:経済事業者とは ※右側の矢印を展開すると詳細情報が表示されます。
上記の経済事業者(economic operator)とは、デジタル要素を含む製品の製造または、市場へ投入することに関連する義務の対象者の①製造業者 (manufacturer) ② 認定代理人 (authorized representative) ② 輸入業者 (importer) ③ 流通業者 (distributer)などが含まれると定義されています。( Article 2 Definition)
またデジタル要素を含む製品とは、ソフトウェアまたはハードウェア製品とそのリモートデータ処理ソリューションを意味し、ソフトウェアまたはハードウェアコンポーネントが個別に市場に出回っているものを含むと定義されています。( Article 2 Definition)
該当する製品の一例として、PC、スマートフォン、スマートロボット、ICカード、スマートホーム製品、モバイルアプリ、ビデオゲーム等があげられ、クラウドソリューションについては、ユーザーが遠隔地からデバイスを制御できるものが該当するとされています。(参照先:サイバーレジリエンス法の概要と具体策)
主要な要件
- 製品およびサービスのセキュリティ要求 ( Chapter I)
デジタル製品(ハードウェアおよびソフトウェア)やサービスは、市場に出る前に適切なセキュリティ基準を満たさなければならない。これには、リスク評価、脆弱性管理、セキュリティパッチの提供が含まれる。 - 消費者とエンドユーザーのセキュリティ(Chapter I)
消費者やエンドユーザーが製品を使用する際に、セキュリティ上のリスクを理解し、製品が安全に使用できることを確保する必要がある。 - 製品のセキュリティアップデートおよびパッチ (Chapter II)
市場に出回る製品やサービスは、発見された脆弱性に対して適切なセキュリティパッチやアップデートを提供し続ける必要がある。 - デジタル製品のライフサイクル管理 (Chapter II)
デジタル製品はそのライフサイクル全体を通じてセキュリティ基準を遵守し続ける必要があり、使用後もそのリスク管理が求められる - サプライチェーンのセキュリティ (Chapter V)
サプライチェーン全体のセキュリティを確保するために、製品やサービスの提供者が第三者(サプライヤー)によって導入されるリスクを管理し、セキュリティ基準を遵守させる必要がある。 - 脆弱性とインシデントの報告義務 (Chapter II)
企業は、セキュリティの脆弱性やサイバー攻撃などのインシデントが発生した場合、速やかに報告しなければならない。
※CRA (サイバーレジリエンス法) 最終文章より抜粋
サプライチェーン・サードパーティ関連の要件のポイント
サプライチェーンおよびサードパーティのリスク管理に関わる要件としては、下記のポイントが重要と考えられます。
- サプライヤー選定基準の明確化
- サプライヤーとセキュリティ契約の締結
- 継続的な監視と評価の実施
- インシデント発生時の連絡体制の整備
DORA (デジタルオペレーションレジリエンス法) の概要とポイント
概要
デジタル運用レジリエンス法 (DORA) は、2023 年 1 月 16 日に発効し、2025 年 1 月 17 日から適用される欧州連合 (EU) の規制です。この規制は、銀行、保険会社、投資会社などの金融機関の IT セキュリティを強化することを目的としています。その目的は、深刻なデジタル運用上の混乱が発生した場合でも、欧州の金融セクターがレジリエンスを維持できるようにすることです。DORA の要件により、20 種類の金融機関と ICT サードパーティ サービス プロバイダーに適用される金融セクターの運用レジリエンスに関する規則が統一されます。
主要な要件
- ICTリスク管理について (Chapter II)
- 金融機関は、ICTリスクを効果的に管理するため内部ガバナンスの体制を構築し、ICTリスクの枠組みを策定しなければならない。
- ICTリスクの枠組みは、デジタル・オペレーショナル・レジリエンス戦略を含めなければならない。
- ICT関連を含む異常な活動を迅速に検出し特定するメカニズムを整備しなければならない。
- ICT関連のインシデントの管理・分類・報告について (Chapter III)
- 金融機関は、ICT関連のインシデントを検出・通知・管理するためのプロセスを確立、実装しなければならない。特に、すべてのICT関連のインシデントと重大なサイバー脅威について記録しなければならない。
- 重大なICT関連インシデントが発生した場合は、管轄当局に報告しなければならない。
- インシデント発生後に、管轄当局に定められた期間内に初報、続報、最終報告書を提出しなければならない。
- デジタルレジリエンステストについて (Chapter IV)
- 金融機関は、ICT関連のインシデントに対策するためのデジタルオペレーションレジリエンステストのプログラムの確立、維持、レビューを行わなければならない。
- デジタルオペレーションレジリエンステストのプログラムの実施は、リスクベースのアプローチに従うものとする。
- 重要なICTシステムのテストを毎年実施する。
- ICTサードパーティリスク管理 (Chapter V)
- 金融機関は、ICTサービスに関する契約締結前に契約に関連するすべてのリスク評価を実施しなければならない。
- ICTリスク管理の枠組みの一部として、ICTサードパーティリスク管理に関する戦略を策定し、定期的に見直さなければならない。
- ICTサードパーティプロバイダーに係る情報について、管轄当局に毎年報告しなければならない。
- ICTサードパーティの評価については、リスクベースのアプローチを採用し、事前に頻度や監査を実施する領域を決定しなければならない。
- 情報共有 (Chapter VI)
- サイバー脅威の意識を高め、サイバー脅威に関する情報とインテリジェンスを共有することにより、デジタルオペレーションレジリエンスを強化するための体制を整える。
- サイバー脅威の意識を高め、サイバー脅威に関する情報とインテリジェンスを共有することにより、デジタルオペレーションレジリエンスを強化するための体制を整える。
補足情報:ICTリスクとは?※右側の矢印を展開すると詳細情報が表示されます。
DORAの定義によると、次の項目のセキュリティを侵害する恐れがあるものを指します。
- ネットワークと情報システムのセキュリティ
- 技術に依存するツールやプロセスのセキュリティ
- 業務とプロセスのセキュリティ
- デジタルまたは物理的環境に悪影響を及ぼすサービス提供のセキュリティ
※DORA (デジタルオペレーションレジリエンス法) 最終文章より抜粋
サプライチェーン・サードパーティ関連の要件のポイント
サプライチェーンおよびサードパーティのリスク管理に関わる要件のポイント
としては、下記のポイントが重要と考えられます。
- サプライヤーと契約締結時に適切なセキュリティ要件やリスク管理措置を盛り込む
- 定期的な監視と評価
- サプライチェーン内で重大な影響を与えるインフラやサービスの特定および優先的な監視
- サプライチェーン全体のリスク評価および情報共有
- インシデント発生時の連絡体制の整備
おわりに
Part1では、EUのサイバーセキュリティ法の中から昨年発効または適用開始された法律をピックアップし、主要な要件およびサプライチェーンに関連する要件のポイントについて解説しました。
Part2では、サイバーセキュリティ法に関連して企業が直面するであろうサードパーティ経由のリスクについて解説するとともに、それらのリスクの対策を講ずる上で、企業が抱える課題解決をサポートするOneTrustのソリューションについてご紹介します。
