« 米国 FBI 2021年インターネット犯罪レポート | Main | ハーバード ベルファーセンター 大いなる経済的ライバル:中国vs.米国 »

2022.03.24

欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案

こんにちは、丸山満彦です。

欧州委員会は、欧州議会、機関等のサイバーセキュリティを強化する規則案を公表していますね。。。

CERT-EUの権限の拡大等を含む内容で、EUに関連する組織間の連携を強化することが重要であるということなんでしょうね。。。

セキュリティ対策に必要なリソースを準備すること、定期的な成熟度の評価、インシデント情報等のCERT-EUへの報告等が含まれていますね。。。

分析はまだですが、、、

 

Europian Commission

・2022.03.22 (press) New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies

New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies EUの機構・団体・事務局・機関においてサイバーセキュリティと情報セキュリティを強化するための新しい規則
Today, the Commission proposed new rules to establish common cybersecurity and information security measures across the EU institutions, bodies, offices and agencies. The proposal aims to bolster their resilience and response capacities against cyber threats and incidents, as well as to ensure a resilient, secure EU public administration, amidst rising malicious cyber activities in the global landscape.  本日、欧州委員会は、EUの機関・団体・事務所・機関全体に共通するサイバーセキュリティおよび情報セキュリティ対策を確立するための新たな規則を提案しました。この提案は、世界的に悪質なサイバー活動が増加する中、サイバー上の脅威や事件に対する耐性と対応能力を強化し、弾力的で安全なEU行政を確保することを目的としています。 
Commissioner for Budget and Administration, Johannes Hahn, said: “In a connected environment, a single cybersecurity incident can affect an entire organisation. This is why it is critical to build a strong shield against cyber threats and incidents that could disturb our capacity to act. The regulations we are proposing today are a milestone in the EU cybersecurity and information security landscape. They are based on reinforced cooperation and mutual support among EU institutions, bodies, offices and agencies and on a coordinated preparedness and response. This is a real EU collective endeavour.” ヨハネス・ハーン予算行政担当委員は、次のように述べています。「接続された環境では、たったひとつのサイバーセキュリティの事故が組織全体に影響を及ぼしかねなません。このため、我々の行動能力を乱す可能性のあるサイバー脅威やインシデントに対して、強力なシールドを構築することが極めて重要です。我々が本日提案する規則は、EUのサイバーセキュリティと情報セキュリティの状況において画期的なものです。この規則は、EUの機関・団体・事務局・機関間の協力と相互支援の強化、および調整された準備と対応に基づくものです。 これは、EUの真の集団的努力です」。
In the context of the COVID-19 pandemic and the growing geopolitical challenges, a joint approach to cybersecurity and information security is a must. With this in mind, the Commission has proposed a Cybersecurity Regulation and an Information Security Regulation. By setting common priorities and frameworks, these rules will further strengthen inter-institutional cooperation, minimise risk exposure and further strengthen the EU security culture. COVID-19の大流行と地政学的な課題の増大の中で、サイバーセキュリティと情報セキュリティに対する共同アプローチが必須です。このことを念頭に置いて、欧州委員会はサイバーセキュリティ規則と情報セキュリティ規則を提案しています。共通の優先事項と枠組みを設定することにより、これらの規則は、制度間の協力をさらに強化し、リスク・エクスポージャーを最小化し、EUのセキュリティ文化をさらに強化します。
Cybersecurity Regulation サイバーセキュリティ規則
The proposed Cybersecurity Regulation will put in place a framework for governance, risk management and control in the cybersecurity area. It will lead to the creation of a new inter-institutional Cybersecurity Board, boost cybersecurity capabilities, and stimulate regular maturity assessments and better cyber-hygiene. It will also extend the mandate of the Computer Emergency Response Team for the EU institutions, bodies, offices and agencies (CERT-EU), as a threat intelligence, information exchange and incident response coordination hub, a central advisory body, and a service provider. 提案されているサイバーセキュリティ規則は、サイバーセキュリティ分野におけるガバナンス、リスク管理、統制のための枠組みを整備するものです。これは、新たな機関間サイバーセキュリティ委員会の設立、サイバーセキュリティ能力の向上、定期的な成熟度評価とサイバー衛生の向上を促進するものです。また、EUの機関、団体、事務所、機関に対するコンピュータ緊急対応チーム(CERT-EU)の権限を拡大し、脅威情報、情報交換、事故対応の調整ハブ、中央諮問機関、サービスプロバイダーとして機能するようにします。
Key elements of the proposal for a Cybersecurity Regulation: サイバーセキュリティ規則の提案の主な要素
・Strengthen the mandate of CERT-EU and provide the resources it needs to fulfil it; ・CERT-EUの権限を強化し、その遂行に必要なリソースを提供する。
・Require from all EU institutions, bodies, offices and agencies to: ・すべてのEUの機関、団体、事務所、代理店に要求する。
 ○ Have a framework for governance, risk management and control in the area of cybersecurity;  ○ サイバーセキュリティの分野におけるガバナンス、リスク管理、統制の枠組みを持つこと。
 ○ Implement a baseline of cybersecurity measures addressing the identified risks;  ○ 特定されたリスクに対応するサイバーセキュリティ対策のベースラインを実施すること。
 ○ Conduct regular maturity assessments;  ○ 定期的な成熟度評価を実施すること。
 ○ Put in place a plan for improving their cybersecurity, approved by the entity's leadership;  ○ 企業のリーダーシップによって承認されたサイバーセキュリティを向上させるための計画を実施する。
 ○ Share incident-related information with CERT-EU without undue delay.  ○ インシデント関連情報をCERT-EUと不当に遅延なく共有すること。
・Set up a new inter-institutional Cybersecurity Board to drive and monitor the implementation of the regulation and to steer CERT-EU; ・規則の実施を推進・監視し、CERT-EUを指導するために、新たな機関間サイバーセキュリティ委員会を設置する。
・Rename CERT-EU from ‘Computer Emergency Response Team' to ‘Cybersecurity Centre', in line with developments in the Member States and globally, but keep the short name ‘CERT-EU' for name recognition. ・CERT-EUの名称を、加盟国や世界の動きに合わせて「Computer Emergency Response Team」から「Cybersecurity Centre」に改称するが、知名度のために「CERT-EU」という略称を維持する。
Information Security Regulation 情報セキュリティ規則
The proposed Information Security Regulation will create a minimum set of information security rules and standards for all EU institutions, bodies, offices and agencies to ensure an enhanced and consistent protection against the evolving threats to their information. These new rules will provide a stable ground for a secure exchange of information across EU institutions, bodies, offices and agencies and with the Member States, based on standardised practices and measures to protect information flows. 提案されている情報セキュリティ規則は、EUのすべての機関、団体、事務局、機関に対し、情報に対する進化する脅威から強化された一貫した保護を確保するために、最低限の情報セキュリティ規則と基準を設けるものです。これらの新規則は、情報の流れを保護するための標準化された慣行と対策に基づき、EUの機関、団体、事務局、機関間および加盟国との安全な情報交換のための安定した基盤を提供するものです。
Key elements of the proposal for Information Security Regulation: 情報セキュリティ規則の提案の主要な要素
・Set up an efficient governance to foster the cooperation across all EU institutions, bodies, offices and agencies, namely an inter-institutional Information Security Coordination Group; ・EUのすべての機関、団体、事務所および機関間の協力を促進する効率的なガバナンス、すなわち機関間の情報セキュリティ調整グループを設置する。
・Establish a common approach to information categorisation based on the level of confidentiality; ・機密性のレベルに基づいて情報を分類するための共通のアプローチを確立する。
・Modernise the information security policies, fully including digital transformation and remote work; ・情報セキュリティ政策を近代化し、デジタル・トランスフォーメーションとリモートワークを完全に含む。
・Streamline current practices and achieve greater compatibility between the relevant systems and devices. ・現行の慣行を合理化し、関連するシステムとデバイス間の互換性を高める。
Background 背景
In its resolution from March 2021, the Council of the European Union stressed the importance of a robust and consistent security framework to protect all EU personnel, data, communication networks, information systems and decision-making processes. This can only be achieved through enhanced resilience and improved security culture of the EU institutions, bodies, offices and agencies. 欧州連合理事会は2021年3月の決議で、EUのすべての人員、データ、通信ネットワーク、情報システム、意思決定プロセスを保護するため、強固で一貫したセキュリティの枠組みの重要性を強調しました。これは、EUの機関、団体、事務局、機関のレジリエンスの強化とセキュリティ文化の改善によってのみ達成することができます。
Following the EU Security Union Strategy and the EU Cybersecurity Strategythe Cybersecurity Regulation proposed today will ensure consistency with existing EU cybersecurity policies, in full alignment with current European legislation: EU安全保証連合戦略およびEUサイバーセキュリティ戦略に続き、本日提案されたサイバーセキュリティ規則は、現行の欧州の法律と完全に整合する形で、既存のEUサイバーセキュリティ政策との一貫性を確保するものです。
・The Directive on the security of Network and Information Systems (NIS Directive) and the future Directive on measures for high common level of cybersecurity across the Union(‘NIS 2') that the Commission proposed in December 2020; ネットワークおよび情報システムのセキュリティに関する指令(NIS指令)および欧州委員会が2020年12月に提案したEU全域で高い共通レベルのサイバーセキュリティのための措置に関する将来の指令('NIS 2')です。
・The Cybersecurity Act; ・サイバーセキュリティ法
・The Commission Recommendation on building a Joint Cyber Unit; ・合同サイバーユニットの構築に関する欧州委員会の勧告。
・The Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises. ・大規模なサイバーセキュリティ事件や危機への協調的対応に関する欧州委員会勧告
Considering the ever-increasing amounts of sensitive non-classified and EU classified information handled by EU institutions, bodies, offices and agencies, the proposed Information Security Regulation aims to increase the protection of the information, by streamlining the different legal frameworks of the Union institutions, bodies, offices and agencies in the field. The proposal is in line with: EUの機関、団体、事務所、機関が取り扱う機密性の高い非分類情報およびEU分類情報の量が増え続けていることを考慮し、情報セキュリティ規則案は、この分野におけるEUの機関、団体、事務所、機関の異なる法的枠組みを合理化することにより、情報の保護を強化することを目的としています。この提案は、それに沿ったものです。
The EU Security Union Strategy, which includes a comprehensive EU commitment to complement Member States' efforts in all areas of security; EU安全保障連合戦略は、安全保障の全分野における加盟国の努力を補完するためのEUの包括的なコミットメントを含んでいます。
The key feature of the Strategic Agenda for 2019-2024, adopted by the European Council in June 2019, to protect our societies from the ever-evolving threats targeting the information handled by EU institutions, bodies, and agencies; 2019年6月に欧州理事会で採択された「2019-2024年の戦略的アジェンダ」の主要な問題である、EUの機関、団体、機関が扱う情報を標的とした進化し続ける脅威から社会を保護すること。
The Conclusions of the General Affairs Council of December 2019 calling on the EU institutions, bodies and  agencies, supported by Member States, to develop and implement a comprehensive set of measures to ensure their security. 2019年12月の総務理事会の結論で、加盟国の支援を受けながら、EUの機関、団体、機関に対し、そのセキュリティを確保するための包括的な対策を策定し、実施するよう求めていること。
For More Information 詳細についてはこちら
Proposal for a Regulation of the European Parliament and of the Council laying down measures on a high level of cybersecurity at the institutions, bodies, offices and agencies of the Union   欧州連合の機関、団体、事務所、省庁における高水準のサイバーセキュリティに関する措置を定めた欧州議会および理事会の規則案  
Proposal for a Regulation of the European Parliament and of the Council on information security in the institutions, bodies, offices and agencies of the Union 欧州連合の機関、団体、事務局および機関における情報セキュリティに関する欧州議会および理事会の規則案

 

Proposal for Cybersecurity Regulation

Proposal for Cybersecurity Regulation サイバーセキュリティ規則の提案
The Commission proposes a Regulation to establish common cybersecurity measures across the European Union institutions, bodies, offices and agencies. The key elements of the proposal for Cybersecurity Regulation: ・欧州委員会は、欧州連合の機関、団体、事務局および機関全体に共通するサイバーセキュリティ対策を確立するための規則を提案しています。サイバーセキュリティ規則の提案の主要な要素は次の通りです。
・Strengthen the mandate of CERT-EU and provide the resources it needs to fulfil it; ・CERT-EUの権限を強化し、その遂行に必要なリソースを提供すること。
・Require from all EU institutions, bodies, offices and agencies to: ・すべてのEUの機関、団体、事務局、機関に要求すること。
 ・Have a framework for governance, risk management and control in the area of cybersecurity;  ・サイバーセキュリティの分野におけるガバナンス、リスク管理、統制の枠組みを持つこと。
 ・Implement a baseline of cybersecurity measures addressing the identified risks;  ・特定されたリスクに対応するサイバーセキュリティ対策のベースラインを実施すること。
 ・Conduct regular maturity assessments;  ・定期的な成熟度評価を実施すること。
 ・Put in place a plan for improving their cybersecurity, approved by the entity's leadership;  ・組織のリーダーシップによって承認されたサイバーセキュリティを向上させるための計画を実施すること。
 ・Share incident-related information with CERT-EU without undue delay.  ・インシデント関連情報をCERT-EUに遅延なく共有すること。
・Set up a new inter-institutional Cybersecurity Board to drive and monitor the implementation of the regulation and to steer CERT-EU; ・規則の実施を推進・監視し、CERT-EUを指導するために、新たな機関間サイバーセキュリティ委員会を設置すること。
・Rename CERT-EU from ‘Computer Emergency Response Team' to ‘Cybersecurity Centre', in line with developments in the Member States and globally, but keep the short name ‘CERT-EU' for name recognition. ・CERT-EU の名称を、加盟国および世界の動きに合わせて「コンピュータ緊急対応チーム」から「サイ バーセキュリティ・センター」に変更するが、知名度のために「CERT-EU」という略称を維持する。

 

・[PDF] REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union

20220324-70346

 

・[PDF] Commission Staff Working Document – Impact analysis accompanying the proposal for a regulation

20220324-70617

 

 

 

2022/0085 (COD)  2022/0085 (cod) 
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union  欧州連合の機関、団体、事務所及び機関におけるサイバーセキュリティの高い共通レベルのための措置を定める欧州議会及び欧州理事会の規則のための提案 
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the European Union, and in particular Article 298 thereof, Having regard to the Treaty establishing the European Atomic Energy Community, and in particular Article 106a thereof, Having regard to the proposal from the European Commission, After transmission of the draft legislative act to the national parliaments, Acting in accordance with the ordinary legislative procedure, Whereas:  欧州連合の欧州議会及び欧州連合理事会は、欧州連合の機能に関する条約、特にその第298条に鑑み、欧州原子力共同体の設立条約、特にその第106a条に鑑み、欧州委員会の提案に鑑み、通常の立法手続に従って行動する立法草案を各国議会に送付した後、次のとおりとする。
(1)          In the digital age, information and communication technology is a cornerstone in an open, efficient and independent Union administration. Evolving technology and increased complexity and interconnectedness of digital systems amplify cybersecurity risks making the Union administration more vulnerable to cyber threats and incidents, which ultimately poses threats to the administration’s business continuity and capacity to secure its data. While increased use of cloud services, ubiquitous use of IT, high digitalisation, remote work and evolving technology and connectivity are nowadays core features of all activities of the Union administration entities, digital resilience is not yet sufficiently built in.  (1) デジタル時代において、情報通信技術は、開かれた、効率的かつ独立した連合行政の基礎である。技術の進化、デジタルシステムの複雑化と相互接続の増大は、サイバーセキュリティのリスクを増大させ、連邦行政をサイバー脅威や事件に対してより脆弱にし、最終的に行政の事業継続性とデータを保護する能力に対する脅威となる。クラウドサービスの利用拡大、ITのユビキタス利用、高度なデジタル化、リモートワーク、進化するテクノロジーと接続性は、今日、連邦行政機関のすべての活動の中核となっているが、デジタル・レジリエンスはまだ十分に構築されていない。
(2)          The cyber threat landscape faced by Union institutions, bodies and agencies is in constant evolution. The tactics, techniques and procedures employed by threat actors are constantly evolving, while the prominent motives for such attacks change little, from stealing valuable undisclosed information to making money, manipulating public opinion or undermining digital infrastructure. The pace at which they conduct their cyberattacks keeps increasing, while their campaigns are increasingly sophisticated and automated, targeting exposed attack surfaces that keep expanding and quickly exploiting vulnerabilities.  (2) 欧州連合の機関、団体、機関が直面するサイバー脅威の状況は、常に進化を続けている。脅威の主体が採用する戦術、技術、手順は常に進化しているが、そうした攻撃の顕著な動機は、貴重な未公開情報の窃盗から金儲け、世論操作、デジタルインフラの弱体化までほとんど変化していない。また、サイバー攻撃のペースは増加の一途をたどっており、サイバー攻撃はますます高度化・自動化され、拡大し続ける攻撃対象領域を狙い、迅速に脆弱性を突いてくる。
(3)          The Union institutions, bodies and agencies’ IT environments have interdependencies, integrated data flows and their users collaborate closely. This interconnection means that any disruption, even when initially confined to one Union institution, body or agency, can have cascading effects more broadly, potentially resulting in far-reaching and long-lasting negative impacts on the others. In addition, certain institutions, bodies and agencies’ IT environments are connected with Member States’ IT environments, causing an incident in one Union entity to pose a risk to the cybersecurity of Member States’ IT environments and vice versa.  (3) EUの機関、団体、機関のIT環境には相互依存関係があり、データの流れが統合され、ユーザーは密接に連携している。このような相互関係は、いかなる障害も、たとえ最初は連合の1つの機関、団体または機関に限定されていたとしても、より広範囲に連鎖的に影響を及ぼし、他の機関に広範囲かつ長期的な悪影響を及ぼす可能性があることを意味する。さらに、特定の機関、団体、機関のIT環境は加盟国のIT環境とつながっているため、ある連合組織の事故が加盟国のIT環境のサイバーセキュリティにリスクを与え、その逆もまた然りである。
(4)          The Union institutions, bodies and agencies are attractive targets who face highly skilled and well-resourced threat actors as well as other threats. At the same time, the level and maturity of cyber resilience and the ability to detect and respond to malicious cyber activities varies significantly across those entities. It is thus necessary for the functioning of the European administration that the institutions, bodies and agencies of the Union achieve a high common level of cybersecurity through a cybersecurity baseline (a set of minimum cybersecurity rules with which network and information systems and their operators and users have to be compliant to minimise cybersecurity risks), information exchange and collaboration.  (4) EUの機関、団体、機関は、他の脅威と同様に、高度なスキルと豊富なリソースを持つ脅威者に直面する魅力的なターゲットである。同時に、サイバーレジリエンスのレベルや成熟度、悪意のあるサイバー活動を検知し対応する能力は、これらの機関によって大きく異なる。したがって、欧州連合の機関、団体、機関がサイバーセキュリティのベースライン(サイバーセキュリティのリスクを最小化するためにネットワークや情報システム、その運用者や利用者が遵守しなければならない最低限のサイバーセキュリティルールの集合)、情報交換、協力を通じて、高い共通レベルのサイバーセキュリティを実現することが欧州行政の機能上必要である。
(5)          The Directive [proposal NIS 2] on measures for a high common level of cybersecurity across the Union aims to further improve the cybersecurity resilience and incident response capacities of public and private entities, national competent authorities and bodies as well as the Union as a whole. It is therefore necessary that Union institutions, bodies and agencies follow suit by ensuring rules that are consistent with the Directive [proposal NIS 2] and mirror its level of ambition.  (5) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(提案NIS 2)は、公共および民間団体、各国の所轄官庁および団体、さらには欧州連合全体のサイバーセキュリティの回復力と事故対応能力をさらに向上させることを目的としている。したがって、EUの機関、団体、機関は、指令[提案NIS 2]と整合的で、その野心のレベルを反映した規則を確保することによって、これに追随することが必要である。
(6)          To reach a high common level of cybersecurity, it is necessary that each Union institution, body and agency establishes an internal cybersecurity risk management, governance and control framework that ensures an effective and prudent management of all cybersecurity risks, and takes account of business continuity and crisis management.  (6) サイバーセキュリティの高い共通レベルに到達するためには、各連合機関、団体、機関が、すべてのサイバーセキュリティリスクの効果的かつ慎重な管理を保証し、事業継続と危機管理を考慮に入れた、内部のサイバーセキュリティリスク管理、ガバナンス、統制の枠組みを確立することが必要である。
(7)          The differences between Union institutions, bodies and agencies require flexibility in the implementation since one size will not fit all. The measures for a high common level of cybersecurity should not include any obligations directly interfering with the exercise of the missions of Union institutions, bodies and agencies or encroaching on their institutional autonomy. Thus, those institutions, bodies and agencies should establish their own frameworks for cybersecurity risk management, governance and control, and adopt their own baselines and cybersecurity plans.  (7) 欧州連合機関、団体及び機関間の相違は、一つのサイズがすべてに適合しないため、実施において柔軟性を必要とする。高い共通レベルのサイバーセキュリティのための措置は、EUの機関、団体及び機関の任務の行使を直接妨げたり、その機関自治を侵害するような義務を含むべきではありません。したがって、これらの機関、団体、機関は、サイバーセキュリティのリスク管理、ガバナンス、制御のための独自の枠組みを確立し、独自のベースラインとサイバーセキュリティ計画を採用すべきである。
(8)          In order to avoid imposing a disproportionate financial and administrative burden on Union institutions, bodies and agencies, the cybersecurity risk management requirements should be proportionate to the risk presented by the network and information system concerned, taking into account the state of the art of such measures. Each Union institution, body and agency should aim to allocate an adequate percentage of its IT budget to improve its level of cybersecurity; in the longer term a target in the order of 10% should be pursued.  (8) 連邦機関、団体及び機関に不均衡な財政的及び管理的負担を課さないために、サイバーセキュリティ・リスク管理の要件は、当該措置の最新状況を考慮し、当該ネットワーク及び情報システムが示すリスクに見合ったものであるべきである。各連合機関、団体及び機関は、IT予算の適切な割合をサイバーセキュリティのレベル向上のために割り当てることを目指すべきであるが、より長期的には10%程度の目標を追求すべきである。
(9)          A high common level of cybersecurity requires cybersecurity to come under the oversight of the highest level of management of each Union institution, body and agency, who should approve a cybersecurity baseline that should address the risks identified under the framework to be established by each institution, body and agency. Addressing the cybersecurity culture, i.e. the daily practice of cybersecurity, is an integral part of a cybersecurity baseline in all Union institutions, bodies and agencies.  (9) 共通の高いサイバーセキュリティのレベルでは、サイバーセキュリティを各連合機関、団体及び機関の最高レベルの管理者の監督下に置くことが必要であり、各機関、団体及び機関が確立する枠組みの下で特定されたリスクに対処すべきサイバーセキュリティの基本水準を承認することが必要である。サイバーセキュリティ文化、すなわちサイバーセキュリティの日常的な実践に取り組むことは、すべての連合機関、団体、機関におけるサイバーセキュリティのベースラインの不可欠な部分である。
(10)       Union institutions, bodies and agencies should assess risks related to relationships with suppliers and service providers, including providers of data storage and processing services or managed security services, and take appropriate measures to address them. These measures should form part of the cybersecurity baseline and be further specified in guidance documents or recommendations issued by CERT-EU. When defining measures and guidelines, due account should be taken of relevant EU legislation and policies, including risk assessments and recommendations issued by the NIS Cooperation Group, such as the EU Coordinated risk assessment and EU Toolbox on 5G cybersecurity. In addition, certification of relevant ICT products, services and processes could be required, under specific EU cybersecurity certification schemes adopted pursuant to Article 49 of Regulation EU 2019/881.  (10) 連合機関、団体及び機関は、データの保存及び処理サービス又は管理されたセキュリティサービスの提供者を含む供給者及びサービス提供者との関係に関連するリスクを評価し、それらに対処するための適切な措置を講じるべきである。これらの対策は、サイバーセキュリティの基本方針の一部を形成し、さらにCERT-EUが発行するガイダンス文書や勧告に明記する必要がある。対策やガイドラインを定める際には、EU協調リスク評価や5Gサイバーセキュリティに関するEUツールボックスなど、NIS協力グループが発行したリスク評価や勧告を含む、関連するEUの法律や政策に十分配慮する必要があります。さらに、規則EU 2019/881の第49条に従って採択された特定のEUサイバーセキュリティ認証制度に基づき、関連するICT製品、サービス、プロセスの認証が要求される可能性がある。
(11)       In May 2011, the Secretaries-General of the Union institutions and bodies decided to establish a pre-configuration team for a computer emergency response team for the Union’s institutions, bodies and agencies (CERT-EU) supervised by an interinstitutional Steering Board. In July 2012, the Secretaries-General confirmed the practical arrangements and agreed to maintain CERT-EU as a permanent entity to continue to help improve the overall level of information technology security of the Union’s institutions, bodies and agencies as an example of visible inter-institutional cooperation in cybersecurity. In September 2012, CERT-EU was established as a Taskforce of the European Commission with an interinstitutional mandate. In December 2017, the Union institutions and bodies concluded an interinstitutional arrangement on the organisation and operation of CERT-EU[1]. This arrangement should continue to evolve to support the implementation of this Regulation.  (11) 2011年5月、EUの機関および団体の事務総長は、機関間の運営委員会が監督するEUの機関、団体および機関のためのコンピュータ緊急対応チーム(CERT-EU)のための事前構成チームを設立することを決定した。2012年7月、事務総長は実務的な取り決めを確認し、サイバーセキュリティにおける目に見える機関間協力の例として、EUの機関、団体および機関の情報技術セキュリティの全体的なレベルの向上を引き続き支援するために、CERT-EUを常設組織として維持することに合意した。2012年9月、CERT-EUは、機関間の権限を持つ欧州委員会のタスクフォースとして設立されました。2017年12月には、EUの機関・団体がCERT-EUの組織・運営に関する制度間取り決めを締結しました[1]。この取り決めは、本規則の実施を支援するために、引き続き発展させるべきである。
(12)       CERT-EU should be renamed from ‘computer emergency response team’ to ‘Cybersecurity Centre’ for the Union institutions, bodies and agencies, in line with developments in the Member States and globally, where many CERTs are renamed as Cybersecurity Centres, but it should keep the short name ‘CERT-EU’ because of name recognition.  (12) CERT-EUは、多くのCERTがサイバーセキュリティセンターと改名されている加盟国や世界での動きに合わせて、EUの機関、団体、代理店のために「コンピュータ緊急対応チーム」から「サイバーセキュリティセンター」に改名すべきであるが、知名度を考慮して「CERT-EU」の略称を維持するべきである。
(13)       Many cyberattacks are part of wider campaigns that target groups of Union institutions, bodies and agencies or communities of interest that include Union institutions, bodies and agencies. To enable proactive detection, incident response or mitigating measures, Union institutions, bodies and agencies should notify CERT-EU of significant cyber threats, significant vulnerabilities and significant incidents and share appropriate technical details that enable detection or mitigation of, as well as response to, similar cyber threats, vulnerabilities and incidents in other Union institutions, bodies and agencies. Following the same approach as the one envisaged in Directive [proposal NIS 2], where entities become aware of a significant incident they should be required to submit an initial notification to CERT-EU within 24 hours. Such information exchange should enable CERT-EU to disseminate the information to other Union institutions, bodies and agencies, as well as to appropriate counterparts, to help protect the Union IT environments and the Union’s counterparts’ IT environments against similar incidents, threats and vulnerabilities.  (13) 多くのサイバー攻撃は、連合の機関、団体、機関のグループ、あるいは連合の機関、団体、機関を含む利益共同体を標的とする、より広いキャンペーンの一部である。積極的な検知、インシデント対応、または軽減措置を可能にするために、連邦機関、団体、機関 は、重大なサイバー脅威、重大な脆弱性、重大なインシデントを CERT-EU に通知し、他の連邦機関、団体、機関 における同様のサイバー脅威、脆弱性、インシデントへの対応と同様に、検知や軽減を可能にする適切な 技術的詳細を共有する必要がある。指令[提案NIS 2]で想定されているものと同じアプローチに従って、事業体が重要なインシデントに気づいた場合、24時間以内にCERT-EUに最初の通知を提出することが義務付けられるべきである。このような情報交換により、CERT-EU は、他の連合の機関、団体、機関、および適切なカウンターパートに情報を広めることができ、連合の IT 環境と連合のカウンターパートの IT 環境を同様の事故、脅威、脆弱性から保護するのに役立つはずである。
(14)       In addition to giving CERT-EU more tasks and an expanded role, an Interinstitutional Cybersecurity Board (IICB) should be established, which should facilitate a high common level of cybersecurity among Union institutions, bodies and agencies by monitoring the implementation of this Regulation by the Union institutions, bodies and agencies and by supervising implementation of general priorities and objectives by CERT-EU and providing strategic direction to CERT-EU. The IICB should ensure representation of the institutions and include representatives of agencies and bodies through the Union Agencies Network.  (14)CERT-EUにより多くの任務と拡大された役割を与えることに加えて、機関間サイバーセキュリティ委員会(IICB)を設立すべきである。この委員会は、EUの機関、機関、機関による本規則の実施を監視し、CERT-EUによる一般優先事項と目的の実施を監督し、CERT-EUに戦略的方向を提供することにより、EU機関、機関、機関の間で高い共通レベルのサイバーセキュリティを促進する必要がある。IICB は、機関の代表を確保し、連合機関ネットワークを通じて機関および団体の代表を含めるべきである。
(15)       CERT-EU should support the implementation of measures for a high common level of cybersecurity through proposals for guidance documents and recommendations to the IICB or by issuing calls for action. Such guidance documents and recommendations should be approved by the IICB. When needed, CERT-EU should issue calls for action describing urgent security measures which Union institutions, bodies and agencies are urged to take within a set timeframe.  (15) CERT-EU は、IICB に対するガイダンス文書や勧告の提案、あるいは行動要請の発行を通じて、共通レベルの高いサイバーセキュリティのための施策の実施を支援する必要がある。このようなガイダンス文書や勧告は、IICB の承認を得る必要がある。必要に応じて、CERT-EUは、EUの機関、団体、機関が一定の期間内に実施することが望まれる緊急のセキュリティ対策を記述した行動のための呼びかけを発行すべきである。
(16)       The IICB should monitor compliance with this Regulation as well as follow-up of guidance documents and recommendations, and calls for action issued by CERT-EU. The IICB should be supported on technical matters by technical advisory groups composed as the IICB sees fit which should work in close cooperation with CERTEU, the Union institutions, bodies and agencies and other stakeholders as necessary. Where necessary, the IICB should issue non-binding warnings and recommend audits.  (IICBは、本規則の遵守状況、ガイダンス文書や勧告のフォローアップ、CERT-EUが発行する行動要請を監視する。IICB は、CERTEU、EU の機関、団体、機関、その他の利害関係者と緊密に協力し、IICB が適切と考えるように構成された技術諮問グループによって、技術的な問題に関して支援される必要がある。必要な場合,IICBは拘束力のない警告を発し,監査を推奨することが望ましい。
(17)       CERT-EU should have the mission to contribute to the security of the IT environment of all Union institutions, bodies and agencies. CERT-EU should act as the equivalent of the designated coordinator for the Union institutions, bodies and agencies, for the purpose of coordinated vulnerability disclosure to the European vulnerability registry as referred to in Article 6 of Directive [proposal NIS 2].  (17) CERT-EU は、すべての連邦機関、団体、機関の IT 環境のセキュリティに貢献する使命を持つべきであ る。CERT-EU は、指令[提案 NIS 2]の第 6 条で言及されている欧州脆弱性登録への協調的な脆弱性 開示のために、EU 機関、団体、機関の指定調整者に相当する役割を果たすべきである。
(18)       In 2020, CERT-EU’s Steering Board set a new strategic aim for CERT-EU to guarantee a comprehensive level of cyber defence for all Union institutions, bodies and agencies with suitable breadth and depth and continuous adaptation to current or impending threats, including attacks against mobile devices, cloud environments and internet-of-things devices. The strategic aim also includes broad-spectrum Security Operations Centres (SOCs) that monitor networks, and 24/7 monitoring for highseverity threats. For the larger Union institutions, bodies and agencies, CERT-EU should support their IT security teams, including with first-line 24/7 monitoring. For smaller and some medium-sized Union institutions, bodies and agencies, CERT-EU should provide all the services.  (18) 2020年、CERT-EUの運営委員会は、モバイル機器、クラウド環境、モノのインターネットに対する攻撃を含む現在または差し迫った脅威に対して、適切な幅と深さと継続的な適応をもって、すべてのEU機関、身体、機関のための包括的なレベルのサイバー防御を保証するために、CERT-EUの新しい戦略目標を設定しました。この戦略的目標には、ネットワークを監視する広範なセキュリティ・オペレーション・センター(SOC)や、重大な脅威に対する24時間365日の監視も含まれています。大規模な連邦機関、団体、代理店のために、CERT-EUは、第一線の24時間365日の監視を含め、ITセキュリティチームを支援する必要があります。小規模および中規模の連合機関、団体、代理店に対しては、CERT-EU はすべてのサービスを提供す べきである。
(19)       CERT-EU should also fulfil the role provided for it in Directive [proposal NIS 2] concerning cooperation and information exchange with the computer security incident response teams (CSIRTs) network. Moreover, in line with Commission Recommendation (EU) 2017/1584[2], CERT-EU should cooperate and coordinate on the response with the relevant stakeholders. In order to contribute to a high level of cybersecurity across the Union, CERT-EU should share incident specific information with national counterparts. CERT-EU should also collaborate with other public as well as private counterparts, including at NATO, subject to prior approval by the IICB.  (19) CERT-EU は、コンピュータセキュリティ事故対応チーム(CSIRT)ネットワークとの協力と情報交換に関する指令(提案 NIS 2)に規定されている役割も果たすべきである。さらに、欧州委員会勧告(EU)2017/1584[2]に沿って、CERT-EUは関連するステークホルダーと対応について協力・調整する必要がある。EU全体の高いレベルのサイバーセキュリティに貢献するために、CERT-EUはインシデント特有の情報を各国のカウンターパートと共有する必要があります。また、CERT-EU は、IICB の事前承認に基づき、NATO を含む他の公的機関や民間のカウンターパートと協 力する必要がある。
(20)       In supporting operational cybersecurity, CERT-EU should make use of the available expertise of the European Union Agency for Cybersecurity through structured cooperation as provided for in Regulation (EU) 2019/881 of the European Parliament and of the Council[3]. Where appropriate, dedicated arrangements between the two entities should be established to define the practical implementation of such cooperation and to avoid the duplication of activities. CERT-EU should cooperate with the European Union Agency for Cybersecurity on threat analysis and share its threat landscape report with the Agency on a regular basis.  (20)運用上のサイバーセキュリティを支援する上で、CERT-EUは欧州議会と理事会の規則(EU)2019/881[3]に規定されているように、構造的な協力を通じて欧州連合サイバーセキュリティ庁の利用できる専門性を利用すべきである。適切な場合には、そのような協力の実質的な実施を定義し、活動の重複を避けるために、両主体間の専門的な取り決めが確立されるべきである。CERT-EU は、脅威分析に関して欧州連合サイバーセキュリティ機関と協力し、定期的に脅威状況報告書を同機関と共有するべきである。
(21)       In support of the Joint Cyber Unit built in accordance with the Commission Recommendation of 23 June 2021[4], CERT-EU should cooperate and exchange information with stakeholders to foster operational cooperation and to enable the existing networks in realising their full potential in protecting the Union.  (21) 2021年6月23日の欧州委員会勧告[4]に従って構築された合同サイバーユニットを支援するため、CERT-EUは、運用協力を促進し、既存のネットワークがEUの保護においてその潜在能力を十分に発揮できるよう、関係者と協力し情報交換を行う必要がある。
(22)       All personal data processed under this Regulation should be processed in accordance with data protection legislation including Regulation (EU) 2018/1725 of the European Parliament and of the Council.[5]  (22)本規則に基づいて処理されるすべての個人データは、欧州議会及び理事会の規則(EU)2018/1725を含むデータ保護法に従って処理されるべきである[5]。
(23)       The handling of information by CERT-EU and the Union institutions, bodies and agencies should be in line with the rules laid down in Regulation [proposed Regulation on information security]. To ensure coordination on security matters, any contacts with CERT-EU initiated or sought by national security and intelligence services should be communicated to the Commission’s Security Directorate and the chair of the IICB without undue delay.  (23) CERT-EUとEUの機関、団体、機関による情報の取り扱いは、規則【情報セキュリティに関する規則案】に定められた規則に沿ったものであるべきです。セキュリティ問題に関する調整を確実にするために、国家安全保障および情報機関が開始した、あるいは求めたCERT-EUとの接触は、欧州委員会のセキュリティ総局およびIICB議長に過度の遅滞なく伝達されるべきである。
(24)       As the services and tasks of CERT-EU are in the interest of all Union institutions, bodies and agencies, each Union institution, body and agency with IT expenditure should contribute a fair share to those services and tasks. Those contributions are without prejudice to the budgetary autonomy of the Union institutions, bodies and agencies.  (CERT-EU のサービスおよび業務は、すべての連邦機関、団体、機関の利益となるため、 IT 支出を伴う各連邦機関、団体、機関は、これらのサービスおよび業務に公正な分担をする べきである。これらの貢献は、EU 機関、団体、機関の予算上の自律性を損なうものではない。
(25)       The IICB, with the assistance of CERT-EU, should review and evaluate the implementation of this Regulation and should report its findings to the Commission. Building on this input, the Commission should report to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions.  (25) IICBは、CERT-EUの支援を得て、本規則の実施を見直し、評価し、その結果を欧州委員会に報告すべきである。この意見を踏まえて、欧州委員会は欧州議会、理事会、欧州経済社会委員会、地域委員会に報告するものとする。
   
[1] OJ C 12, 13.1.2018, p. 1–11.  [1] OJ C 12, 13.1.2018, p. 1-11. 
[2] Commission Recommendation (EU) 2017/1584 of 13 September 2017 on coordinated response to large-scale cybersecurity incidents and crises (OJ L 239, 19.9.2017, p. 36).  [2] 大規模なサイバーセキュリティの事件及び危機への協調的対応に関する2017年9月13日の欧州委員会勧告(EU)2017/1584(OJ L 239, 19.9.2017, p.36)。
[3] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15).  [3] ENISA(欧州連合サイバーセキュリティ機関)及び情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会及び理事会の規則(EU)2019/881及び規則(EU)No 526/2013(サイバーセキュリティ法)の廃止(OJ L 151, 7.6.2019, p.15). 
[4] Commission Recommendation C(2021) 4520 of 23.6.2021 on building a Joint Cyber Unit.  [4] 統合サイバーユニットの構築に関する2021.6.23の欧州委員会勧告C(2021)4520。
[5] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).  [5] 欧州連合機関、団体、事務所及び機関による個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2018年10月23日の欧州議会及び理事会の規則(EU)2018/1725、並びに規則(EC)No 45/2001及び決定No 1247/2002/ECを廃止する(OJ L 295, 21.11.2018, p.39). 

 

 

|

« 米国 FBI 2021年インターネット犯罪レポート | Main | ハーバード ベルファーセンター 大いなる経済的ライバル:中国vs.米国 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 FBI 2021年インターネット犯罪レポート | Main | ハーバード ベルファーセンター 大いなる経済的ライバル:中国vs.米国 »