欧州議会 マネージド・セキュリティ・サービスを認証の枠組みに加える方向でNIS2を改正? (2024.10.25)
こんにちは、丸山満彦です。
マネージド・セキュリティ・サービスは今後ますます重要となっていくことが想定されていますが、セキュリティ認証制度の枠組みに組み込まれていないので、セキュリティ認証の枠組みに組み込もうと考えているようですね...
● European Parliament - Think Tank
・2024.10.25 Managed security services
| Managed security services | マネージド・セキュリティ・サービス |
| Managed security services are services carrying out or providing assistance for activities relating to customers' cybersecurity risk management. They are gaining increasing importance in the prevention and mitigation of cybersecurity incidents. Yet they were not included in the scope of the EU cybersecurity certification framework in the 2019 Cybersecurity Act. As some Member States have begun adopting certification schemes for managed security services that are divergent or inconsistent, there is a need to avoid fragmentation in the internal market. The present proposal therefore includes targeted amendments to the scope of the Cybersecurity Act, seeking to enable managed security services schemes by means of Commission implementing acts. In the European Parliament, the file has been assigned to the Committee on Industry, Research and Energy (ITRE). ITRE adopted its report on 25 October 2023. On 9 November 2023, the committee decision to enter into interinstitutional negotiations was confirmed by plenary. Trilogue negotiations started on 4 December 2023. On 6 March 2024, the EU co-legislators reached a provisional agreement on the file, which was adopted by Parliament in first reading on 24 April 2024. The text still needs to be formally adopted by the Council before it can enter into force. Second edition. The 'EU Legislation in Progress' briefings are updated at key stages throughout the legislative procedure. | マネージド・セキュリティ・サービス・プロバイダーは、顧客のサイバーセキュリティ・リスクマネジメントに関する活動を実施または支援するサービスである。サイバーセキュリティインシデントの予防と低減において、その重要性はますます高まっている。しかし、2019年のサイバーセキュリティ法では、EUのサイバーセキュリティ認証枠組みの範囲には含まれていない。加盟国の中には、マネージド・セキュリティ・サービスの認証制度が乖離していたり、一貫していなかったりするところも出てきており、域内市場の分断を避ける必要がある。そのため、本提案には、サイバーセキュリティ法の適用範囲に的を絞った改正が盛り込まれており、欧州委員会の実施法によって、マネージドセキュリティサービスのスキームを可能にしようとしている。欧州議会では、この案件は産業・研究・エネルギー委員会(ITRE)に付託されている。ITREは2023年10月25日に報告書を採択した。2023年11月9日、機関間交渉に入るという委員会の決定が本会議で承認された。2023年12月4日、トリローグ交渉が開始された。2024年3月6日、EUの共同立法担当者はこの案件に関する暫定合意に達し、2024年4月24日に議会で第一読が採択された。発効にはまだ理事会での正式採択が必要である。第2版 EU Legislation in Progress」ブリーフィングは、立法手続きの主要な段階で更新される。 |
・[PDF] Managed security services
| Managed security services | マネージド・セキュリティ・サービス |
| OVERVIEW | 概要 |
| Managed security services are services carrying out or providing assistance for activities relating to customers' cybersecurity risk management. They are gaining increasing importance in the prevention and mitigation of cybersecurity incidents. Yet they were not included in the scope of the EU cybersecurity certification framework in the 2019 Cybersecurity Act. As some Member States have begun adopting certification schemes for managed security services that are divergent or inconsistent, there is a need to avoid fragmentation in the internal market. The present proposal therefore includes targeted amendments to the scope of the Cybersecurity Act, seeking to enable managed security services schemes by means of Commission implementing acts. | マネージド・セキュリティ・サービス・プロバイダーは、顧客のサイバーセキュリティ・リスクマネジメントに関する活動を実施または支援するサービスである。サイバーセキュリティインシデントの予防と低減において、重要性が増している。しかし、2019年のサイバーセキュリティ法では、EUのサイバーセキュリティ認証枠組みの範囲には含まれていない。加盟国の中には、マネージド・セキュリティ・サービスの認証制度が乖離していたり、一貫していなかったりするところも出てきているため、域内市場の分断を避ける必要がある。そのため、本提案には、サイバーセキュリティ法の適用範囲に的を絞った改正が盛り込まれており、欧州委員会の実施法によって、マネージドセキュリティサービスのスキームを可能にしようとしている。 |
| In the European Parliament, the file has been assigned to the Committee on Industry, Research and Energy (ITRE). ITRE adopted its report on 25 October 2023. On 9 November 2023, the committee decision to enter into interinstitutional negotiations was confirmed by plenary. Trilogue negotiations started on 4 December 2023. On 6 March 2024, the EU co-legislators reached a provisional agreement on the file, which was adopted by Parliament in first reading on 24 April 2024. The text still needs to be formally adopted by the Council before it can enter into force. | 欧州議会では、この案件は産業・研究・エネルギー委員会(ITRE)に割り当てられた。ITREは2023年10月25日に報告書を採択した。2023年11月9日、機関間交渉に入るという委員会の決定が本会議で承認された。2023年12月4日、トリローグ交渉が開始された。2024年3月6日、EUの共同立法担当者はこの案件に関する暫定合意に達し、2024年4月24日に議会で第一読が採択された。この文書が発効するには、理事会で正式に採択される必要がある。 |
| Introduction | 序文 |
| Cybersecurity attacks continue on the rise. According to the EU Cybersecurity Agency ENISA's 2024 report, cybersecurity threats such as distributed denial of service (DDoS) and ransomware attacks ranked at the top, accounting for over half all observed incidents. Statista predicts that the overall global cost of cybercrime (e.g. ransomware, malware and cryptocrime) will reach US $15.63 trillion by 2029. These attacks are getting larger and more complex, with mobile networks and the internet of things (IoT) now being used in cyberwarfare. ENISA's report further reveals that all sectors are under threat, including the health sector, with public administration, online service providers and the general public being most exposed to cyberthreats. According to a Eurobarometer survey, the majority of citizens believe that there is a growing risk of falling victim to cybercrime, through personal data abuse or theft, malicious software or phishing. | サイバーセキュリティ攻撃は増加の一途をたどっている。EUサイバーセキュリティ機関ENISAの2024年版報告書によると、分散型サービス妨害(DDoS)やランサムウェア攻撃といったサイバーセキュリティの脅威が上位を占め、観測されたインシデントの半数以上を占めている。スタティスタは、サイバー犯罪(ランサムウェア、マルウェア、暗号犯罪など)の世界全体のコストは、2029年までに15兆6300億米ドルに達すると予測している。これらの攻撃は、モバイルネットワークやモノのインターネット(IoT)がサイバー戦に利用されるようになるなど、大規模化・複雑化している。ENISAの報告書はさらに、医療分野を含むあらゆる分野が脅威にさらされており、中でも行政、オンライン・サービス・プロバイダ、一般市民が最もサイバー脅威にさらされていることを明らかにしている。ユーロバロメーターの調査によると、国民の大多数が、個人データの悪用や窃盗、悪意のあるソフトウェアやフィッシングなど、サイバー犯罪の被害に遭うリスクが高まっていると考えている。 |
| Cyber-attacks, besides being among the fastest-growing form of crime worldwide, are also growing in scale, cost and sophistication. According to Cybersecurity Ventures, ransomware alone will cost its victims around US$265 billion annually by 2031, with a new attack (on a consumer or business) every 2 seconds. As a result, businesses have to invest more money to make cyberspace safer for themselves and their customers. Not only businesses but also citizens and entire countries have been affected by cyber-attacks. The first known cyber-attack on a country was mounted on Estonia in April 2007, affecting the online services of banks, media outlets and government bodies for weeks. Since then, many other countries have suffered cyberattacks, including on critical infrastructure, which according to some is becoming a new weapon. | サイバー攻撃は、世界で最も急成長している犯罪のひとつであるばかりでなく、その規模、コスト、巧妙さも増している。サイバーセキュリティ・ベンチャーズによると、ランサムウェアだけでも2031年までに年間約2,650億米ドルの被害が発生し、2秒に1回の割合で新たな攻撃が(消費者や企業に対して)行われるという。その結果、企業は自社と顧客のためにサイバー空間をより安全にするため、より多くの資金を投資しなければならなくなる。企業だけでなく、市民や国全体がサイバー攻撃の影響を受けている。2007年4月、エストニアが初めてサイバー攻撃を受け、銀行、メディア、政府団体のオンラインサービスが数週間にわたって影響を受けた。それ以来、他の多くの国々が重要インフラを含むサイバー攻撃を受けており、これは新たな武器になりつつあるとも言われている。 |
| Given the growing number and cost of cyber-attacks, spending on information security is also increasing worldwide. Critical sectors, such as transport, energy, health and finance, have become increasingly dependent on digital technologies to run their core business. While growing digital connectivity brings enormous opportunities, it also exposes economies and societies to cyberthreats. As the number, complexity and scale of cybersecurity incidents grows, so does their economic and social impact. | サイバー攻撃の件数とコストが増加していることから、情報セキュリティへの支出も世界的に増加している。運輸、エネルギー、医療、金融などの重要部門は、中核事業を運営する上でデジタル技術への依存度を高めている。デジタル・コネクティビティの向上は大きな機会をもたらす一方で、経済や社会をサイバー脅威にさらすことにもなる。サイバーセキュリティインシデントの数、複雑さ、規模が拡大するにつれ、その経済的・社会的影響も大きくなっている。 |
| The growing challenges in the cybersecurity landscape have led the EU to reflect on how to enhance the protection of its citizens and companies against cyberthreats and attacks. | サイバーセキュリティをめぐる課題の増大を受けて、EUは、サイバー脅威や攻撃から市民や企業を守るための対策を強化する方法を検討する必要に迫られている。 |
| Existing situation | 現状 |
| Cybersecurity is one of the EU's top priorities for a digital and connected Europe, as stated in the European Commission's EU cybersecurity strategy for the digital decade. It is also in line with the EU's priorities to create a Europe fit for the digital age in which digital transformation will benefit both people and businesses. The cybersecurity strategy acknowledges that improving cybersecurity is essential in order both to benefit from innovation, connectivity and automation and safeguard fundamental rights and freedoms (e.g. protection of personal data and freedom of expression). The existing EU cybersecurity framework comprises several pieces of legislation that cover specific aspects of cybersecurity from different angles. | サイバーセキュリティは、欧州委員会の「デジタルの10年に向けたEUサイバーセキュリティ戦略」にもあるように、デジタルとコネクテッド・ヨーロッパを目指すEUの最優先課題のひとつである。また、デジタルトランスフォーメーションが人々と企業の双方に恩恵をもたらすような、デジタル時代にふさわしい欧州を創造するというEUの優先事項とも一致している。サイバーセキュリティ戦略は、技術革新、接続性、自動化の恩恵を受け、基本的権利と自由(個人データの保護や表現の自由など)を守るためには、サイバーセキュリティの改善が不可欠であることを認めている。既存のEUサイバーセキュリティの枠組みは、さまざまな角度からサイバーセキュリティの特定の側面をカバーするいくつかの法律で構成されている。 |
| The Directive on Security of Network and Information Systems across the EU (NIS Directive) entered into force in 2016, bringing in horizontal legal measures to boost the overall level of cybersecurity in the EU, with a focus on protecting critical infrastructure. The threat landscape has changed considerably since the NIS Directive came into force in 2016, and the scope of the directive needed updating and expanding to meet current risks and future challenges such as ensuring that 5G technology is secure. In addition, its transposition and implementation brought to light inherent flaws in certain provisions and approaches. Thus, the NIS Directive has been replaced by the recently adopted Directive on the Security of Network and Information Systems (NIS2), which tackles its predecessor's limitations and broadens its scope. In addition, sectoral legislation, such as the Directive on the Resilience of Critical Entities (CER) and the Regulation on Operational Resilience of the Financial Sector (DORA) set specific security and reporting requirements in their fields. | EU全域のネットワークと情報システムのセキュリティに関する指令(NIS指令)が2016年に発効し、重要インフラの保護に重点を置いたEU全体のサイバーセキュリティのレベルを高めるための水平的な法的措置が導入された。2016年にNIS指令が発効して以来、脅威の状況は大きく変化しており、現在のリスクや5G技術の安全性確保など将来の課題に対応するため、指令の範囲を更新・拡大する必要があった。さらに、その移管と実施により、特定の条項やアプローチに内在する欠陥が明るみに出た。そのため、NIS指令は、最近採択されたネットワークと情報システムのセキュリティに関する指令(NIS2)に置き換えられ、前任者の限界に取り組み、その範囲を拡大した。さらに、「重要事業体のレジリエンスに関する指令」(CER)や「金融セクターのオペレーショナル・レジリエンスに関する規則」(DORA)などのセクター別法制は、それぞれの分野で特定のセキュリティ要件や報告要件を定めている。 |
| As far as information and communication technology (ICT) products, services and processes are concerned, back in 2019 the EU Cybersecurity Act strengthened the powers of ENISA and introduced the cybersecurity certification framework for the creation of voluntary certification schemes to apply to the cybersecurity features of an ICT product, service or process.1 Although the schemes remain voluntary for businesses, they could be used for compliance with the mandatory safety requirements of other legal acts, for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the EU. More recently, the EU Cyber Resilience Act has put forward new rules to ensure safer hardware and software. | 情報通信技術(ICT)製品、サービス、プロセスに関しては、2019年にEUサイバーセキュリティ法がENISAの権限を強化し、ICT製品、サービス、プロセスのサイバーセキュリティ機能に適用される自主的な認証スキームを構築するためのサイバーセキュリティ認証フレームワークを導入した1。この制度は、企業にとっては任意であることに変わりはないが、EUにおけるサイバーセキュリティ認証制度に関する域内市場の分断化を回避する目的で、他の法律による強制的な安全要件の遵守のために利用される可能性がある。より最近では、EUサイバーレジリエンス法が、より安全なハードウェアとソフトウェアを確保するための新たな規則を打ち出した。 |
| The joint communication 'EU Policy on Cyber Defence', adopted by the Commission and the High Representative on 10 November 2022, announced that the Commission would explore the development of EU-level cybersecurity certification schemes for the cybersecurity industry and private companies. It would also explore other actions, such as an EU cyber solidarity initiative to support the gradual setting-up of an EU-level cyber-reserve with services from trusted private providers, to strengthen preparedness and response actions across the EU. The recently agreed cyber solidarity act will improve preparedness, detection and response to cybersecurity incidents across the EU. | 2022年11月10日に欧州委員会と上級代表者が採択した共同コミュニケーション「サイバー防衛に関するEU政策」は、欧州委員会がサイバーセキュリティ業界および民間企業を対象としたEUレベルのサイバーセキュリティ認証制度の開発を検討すると発表した。また、EU全域での備えと対応行動を強化するため、トラストサービス・プロバイダのサービスを利用したEUレベルのサイバーリザーブの段階的な立ち上げを支援するEUサイバー連帯イニシアチブなど、その他の行動も検討するとしている。最近合意されたサイバー連帯法は、EU全域のサイバーセキュリティインシデントに対する準備、検知、対応を改善するものである。 |
| Parliament's starting position | 欧州議会の出発点 |
| In a June 2021 resolution, Parliament called for security by design and cyber-resilience for all internet-connected products along the entire supply chain. More specifically, Parliament welcomed the 'Commission's plans to propose horizontal legislation on cybersecurity requirements, with a view to harmonising national laws and preventing fragmentation of the single market. | 欧州議会は2021年6月の決議で、インターネットに接続されたすべての製品について、サプライチェーン全体を通じて、デザインによるセキュリティとサイバーレジリエンスを求めた。より具体的には、欧州議会は、各国の法律を調和させ、単一市場の分断を防ぐという観点から、サイバーセキュリティ要件に関する水平法を提案するという欧州委員会の計画を歓迎した。 |
| Council starting position | EU理事会の開始見解 |
| In its conclusions of 2 December 2020, the Council acknowledged the increased cybersecurity risks for connected devices. Furthermore, it expressed the need to minimise cybersecurity risks to protect consumers as well as to increase the EU's cyber-resilience to foster competitiveness and innovation. | 理事会は、2020年12月2日の結論において、コネクテッドデバイスのサイバーセキュリティリスクの増大を認めた。さらに、消費者を保護するためにサイバーセキュリティのリスクを最小化するとともに、競争力とイノベーションを促進するためにEUのレジリエンスを高める必要性を表明した。 |
| In its conclusions of 23 May 2022 the Council called on the Commission to propose common EU cybersecurity proposal for EU cybersecurity emergency response mechanisms and processes and called for an increase in the overall level of cybersecurity in the EU by facilitating the emergence and development of trusted cybersecurity service providers. | 2022年5月23日の結論において、理事会は欧州委員会に対し、EUのサイバーセキュリティ緊急対応メカニズムおよびプロセスに関するEU共通のサイバーセキュリティ提案を行うよう要請し、トラストサービス・プロバイダの出現と発展を促進することにより、EUにおけるサイバーセキュリティの全体的なレベルを向上させるよう求めた。 |
| Preparation of the proposal | 提案の準備 |
| Given its limited scope, the Commission did not conduct any preparatory studies, impact assessments or public consultations in advance of the proposal. It did however carry out targeted consultations with Member States and ENISA. As stated in the proposal, Member States described their current activities and views regarding certification of managed security services. While ENISA explained its views and its findings from discussions with Member States and stakeholders. The comments and information received from Member States and ENISA have fed into the proposal. | 提案の範囲が限られていることから、欧州委員会は、提案に先立つ準備調査、影響アセスメント、公開協議は行わなかった。しかし、加盟国およびENISAとは的を絞った協議を行った。提案に記載されているように、加盟国は、マネージド・セキュリティ・サービスの認証に関する現在の活動と見解について説明した。一方、ENISAは、加盟国や利害関係者との協議から得た見解や所見を説明した。加盟国とENISAから寄せられたコメントと情報は、提案に反映された。 |
| The changes the proposal would bring | 本提案がもたらす変更点 |
| The proposal encompasses two articles: Article 1 contains the amendments to the Cybersecurity Act regulation while Article 2 concerns the entry into force. | 本提案は2つの条文を含んでいる: 第1条はサイバーセキュリティ法規制の改正を含み、第2条は発効に関するものである。 |
| Article 1 contains targeted amendments to amend the scope of the European cybersecurity certification framework in the Cybersecurity Act to include 'managed security services'. It introduces a definition of those services, which is very closely aligned to the definition of 'managed security services providers' under the NIS2 Directive. It also adds a new Article 51(a) on the security objectives of EU cybersecurity certification adapted to 'managed security services'. Lastly, the proposal contains a number of technical amendments to ensure that the relevant articles apply also to 'managed security services'. | 第1条には、サイバーセキュリティ法における欧州のサイバーセキュリティ認証の枠組みを改正し、「マネージドセキュリティサービス」を含めるという的を絞った改正が含まれている。これは、NIS2指令の「マネージド・セキュリティ・サービス・プロバイダ」の定義に非常に近いものである。また、「マネージド・セキュリティ・サービス」に適合したEUサイバーセキュリティ認証のセキュリティ目的に関する新しい第51条(a)を追加する。最後に、本提案には、関連条文が「マネージドセキュリティサービス」にも適用されるようにするための技術的な修正が多数含まれている。 |
| The proposed targeted amendments to the scope of the European cybersecurity certification framework in the Cybersecurity Act seek to enable the adoption of European cybersecurity certification schemes for 'managed security services' by means of Commission implementing acts. Therefore, 'managed security services' will be covered by the EU certification framework along with information and communications technology (ICT) products, ICT services and ICT processes, that were already covered under the Cybersecurity Act adopted in 2019. | サイバーセキュリティ法における欧州のサイバーセキュリティ認証の枠組みの範囲に関する的を絞った改正案は、欧州委員会の施行法によって、「管理されたセキュリティサービス」に欧州のサイバーセキュリティ認証制度を採用できるようにすることを目的としている。したがって、「管理されたセキュリティサービス」は、2019年に採択されたサイバーセキュリティ法の下ですでに対象となっていた情報通信技術(ICT)製品、ICTサービス、ICTプロセスとともに、EUの認証枠組みの対象となる。 |
| This proposal aims to prevent fragmentation in the single market, as some Member States have already begun adopting certification schemes for managed security services that are divergent or inconsistent. | この提案は、単一市場における断片化を防止することを目的としている。すでにいくつかの加盟国は、マネージド・セキュリティ・サービスの認証制度について、乖離や一貫性のないものを採用し始めているからだ。 |
| Managed security services are services carrying out or providing assistance for activities relating to customers' cybersecurity risk management. They are gaining increasing importance in the prevention and mitigation of cybersecurity incidents. Managed security service providers in areas such as incident response, penetration testing, security audits and consultancy play a particularly important role in helping entities prevent, detect, respond to or recover from incidents. They have, however, also themselves been the target of cyberattacks. In addition, they pose a particular risk because of their close integration in the operations of their customers to ensure cybersecurity. | マネージド・セキュリティ・サービス・プロバイダーとは、顧客のサイバーセキュリティ・リスクマネジメントに関する活動を実施または支援するサービスである。マネージド・セキュリティ・サービスは、サイバーセキュリティ・インシデントの予防と低減において、ますます重要性を増している。インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなどの分野におけるマネージド・セキュリティ・サービス・プロバイダーは、事業体がインシデントを予防、検知、対応、回復するのを支援する上で、特に重要な役割を果たしている。しかし、彼ら自身もサイバー攻撃の標的となっている。さらに、サイバーセキュリティを確保するために顧客の業務に密接に統合されているため、特にリスクが高い。 |
| Accordingly, the providers of managed security services are considered as 'essential or important entities' belonging to a sector of high criticality pursuant to the NIS2 Directive. | したがって、マネージド・セキュリティ・サービス・プロバイダーは、NIS2指令に従い、重要性の高いセクターに属する「必須事業体または重要事業体」とみなされる。 |
| Managed security services providers will also play an important role in the EU-level cybersecurity reserve, the gradual setting-up of which is supported by the cyber solidarity act proposal, tabled in parallel to the present proposed regulation. An EU-level cybersecurity reserve2 is envisaged, to be used to support response and immediate recovery actions in the event of significant and large-scale cybersecurity incidents. The relevant cybersecurity services provided by 'trusted providers' referred to in the cyber solidarity act, correspond to the 'managed security services' in the proposal for a regulation amending Regulation (EU) 2019/881 as regards managed security services. | マネージド・セキュリティ・サービス・プロバイダーは、EUレベルのサイバーセキュリティ準備金においても重要な役割を果たす。この準備金は、本規制案と並行して提出されたサイバー連帯法の提案により、段階的な設立が支持されている。EUレベルのサイバーセキュリティ準備金2は、大規模かつ重大なサイバーセキュリティインシデントが発生した場合に、対応措置と即時復旧措置を支援するために使用されることが想定されている。サイバー連帯法で言及されている「トラストドサービス・プロバイダ」が提供する関連サイバーセキュリティ・サービスは、マネージド・セキュリティ・サービスに関する規則(EU)2019/881の改正規則案における「マネージド・セキュリティ・サービス」に相当する。 |
| The provisions to be amended by the proposal will be evaluated as part of the periodic evaluation of the Cybersecurity Act to be carried out by the Commission.3 | この提案によって改正される規定は、欧州委員会が実施するサイバーセキュリティ法の定期評価の一環として評価される3。 |
| Advisory committees | 諮問委員会 |
| The European Economic and Social Committee (EESC) opinion of 14 July 2023 emphasises the concerns that, 4 years after the adoption of the EU Cybersecurity Act, no cybersecurity scheme has yet been adopted by the European Commission through implementing acts and no product has yet been cyber-certified. The EESC argues that the EU's sectoral agencies should be involved in the process of developing EU cybersecurity schemes and a minimum EU standard should be adopted, in cooperation with the European Committee for Standardization (CEN), the European Committee for Electrotechnical Standardization (CENELEC) and the European Telecommunications Standards Institute (ETSI), including for internet of people (IoP) devices and the IoT. | 2023年7月14日付の欧州経済社会委員会(EESC)の意見は、EUサイバーセキュリティ法の採択から4年が経過したが、欧州委員会が実施法を通じて採択したサイバーセキュリティ制度はまだなく、サイバー認証を受けた製品もまだないという懸念を強調している。EESCは、EUのサイバーセキュリティスキームの策定プロセスにEUの各機関が関与し、欧州標準化委員会(CEN)、欧州電気標準化委員会(CENELEC)、欧州電気通信標準化機構(ETSI)と協力して、人々のインターネット(IoP)機器やIoTを含むEUの最低標準を採択すべきだと主張している。 |
| The EESC emphasises the vital need to procure only Europe-based technology for equipping EU cyber shield members. It is 'in the EU's strategic interest to ensure that the Union retains and develops the essential capacities to secure its digital economy, society and democracy, to achieve full digital sovereignty as the only way to protect critical technologies, and to provide effective key cybersecurity services'. | EESCは、EUのサイバーシールド加盟国に装備させる技術については、欧州ベースの技術のみを調達することが極めて重要であることを強調している。それは、「EUがデジタル経済、社会、民主主義の安全を確保し、重要技術を保護する唯一の方法である完全なデジタル主権を達成し、効果的な主要サイバーセキュリティサービスを提供するために不可欠な能力を保持し、発展させることを確実にすることが、EUの戦略的利益になる」というものである。 |
| The European Committee of the Regions has not submitted an opinion on this initiative. | 欧州地域委員会は、このイニシアチブに関する意見を提出していない。 |
| National parliaments | 各国議会 |
| The subsidiarity deadline for national parliament was 21 July 2023. Eleven Member States started or concluded contributions, with the Czech Chamber of Deputies and the Portuguese Assembleia da República issuing opinions on the proposal. | 各国議会の補完性の期限は2023年7月21日であった。11の加盟国が拠出を開始または終了し、チェコ下院議会とポルトガル下院議会がこの提案に関する意見を発表した。 |
| The Czech Chamber of Deputies questions mainly the cyber solidarity act proposal, with its provision to exchange sensitive information concerning national security at EU level, as well as subsidiarity compliance. | チェコ代議員会は、補完性の遵守だけでなく、EUレベルでの国家安全保障に関する機密情報の交換を規定したサイバー連帯法の提案に主に疑問を呈している。 |
| Stakeholder views4 | 利害関係者の見解4 |
| Given its limited scope, the Commission did not hold a public consultation of stakeholders in advance of the proposal and there are no major reactions or position papers about it. | 提案の範囲が限定されていることから、欧州委員会は提案に先立って利害関係者を対象とした公開協議を行わず、提案に関する主な反応やポジションペーパーもない。 |
| Legislative process | 立法プロセス |
| In Parliament, the file has been assigned to the Committee on Industry, Research and Energy (ITRE), and Josiane Cutajar (S&D, Malta) has been appointed as rapporteur. The Committees on Internal Market and Consumer Protection (IMCO) and on Civil Liberties, Justice and Home Affairs (LIBE) have been asked for their opinions. IMCO published its specific opinion on 21 September 2023, stressing that the certification of managed security services is essential for building trust in the quality of those services and achieving a high level of consumer protection. It recommends requiring managed security service providers to adhere to relevant cybersecurity standards. It also calls for the introduction of a voluntary EU trust label for certified ICT products and a specific funding instrument for a cybersecurity research and development programme. The LIBE committee decided not to provide an opinion. | 議会では、この案件は産業・研究・エネルギー委員会(ITRE)に割り当てられ、ヨシアーヌ・キュタジャール(S&D、マルタ)が報告者に任命された。域内市場・消費者保護委員会(IMCO)と自由権・司法・内務委員会(LIBE)にも意見が求められている。IMCOは2023年9月21日に具体的な意見を発表し、マネージド・セキュリティ・サービスの認証は、サービスの品質に対するトラスト・サービスを構築し、高水準の消費者保護を実現するために不可欠であると強調した。マネージド・セキュリティ・サービス・プロバイダに、関連するサイバーセキュリティ標準の遵守を義務付けることを提言している。また、認証されたICT製品に対するEUの自主的な信頼ラベルの序文や、サイバーセキュリティ研究開発プログラムに対する特定の資金提供制度の導入も求めている。LIBE委員会は意見を提出しないことを決定した。 |
| The rapporteur published her draft report on 7 September 2023 and presented it during the ITRE committee meeting on 18 September 2023. The rapporteur supports the Commission proposal to prevent individual Member States from continuing to adopt different certification schemes for managed security services so as to avoid fragmentation and further divergences. She seeks complementarity between the proposal for a regulation amending Regulation (EU) 2019/881 as regards managed security services and the cyber solidarity act proposal, to allow for managed security services (i.e. 'trusted providers' in the cyber solidarity act) to play an important role in the future EU cybersecurity reserve. | 報告者は2023年9月7日に報告書のドラフトを発表し、9月18日のITRE委員会で報告した。報告者は、断片化とさらなる乖離を避けるため、個々の加盟国が管理されたセキュリティサービスに関して異なる認証制度を採用し続けることを防ぐという欧州委員会の提案を支持する。報告者は、マネージド・セキュリティ・サービスに関して規則(EU)2019/881を改正する規則の提案とサイバー連帯法の提案との間の補完性を求め、マネージド・セキュリティ・サービス(すなわちサイバー連帯法における「トラストド・プロバイダ」)が将来のEUサイバーセキュリティ予備軍において重要な役割を果たすことを可能にする。 |
| The draft report's amendments tabled in the ITRE committee were published on 21 September 2023. The ITRE committee adopted its report on 25 October 2023. On 9 November 2023, the committee decision to enter into interinstitutional negotiations was confirmed by plenary (Rule 71). | ITRE委員会に提出された報告書の修正案は、2023年9月21日に公表された。ITRE委員会は2023年10月25日に報告書を採択した。2023年11月9日、機関間交渉に入るという委員会の決定が本会議で承認された(規則71)。 |
| The report seeks to clarify the definition of managed security services and their scope. In addition, it places a stronger emphasis on addressing the skills gap and helping small and medium-sized enterprises to get the financial support they need to address such challenges. | 報告書は、マネージド・セキュリティ・サービスの定義とその範囲を明確にすることを求めている。さらに、技能格差への対応と、中小エンタープライズがこうした課題に取り組むために必要な財政支援を得られるよう支援することに重点を置いている。 |
| On 15 November 2023, the Council adopted its position, which includes several amendments to the Commission proposal. For instance, it clarifies the definition of 'managed security services' and the alignment with the NIS2 Directive. It also includes modifications in the annex to the Cybersecurity Act, which contains a list of requirements to be met by conformity assessment bodies. Other technical and drafting modifications have been introduced, as well, to ensure that all the relevant provisions of the current Cybersecurity Act also apply to managed security services. | 2023年11月15日、欧州理事会は、欧州委員会の提案にいくつかの修正を加えた見解を採択した。例えば、「マネージド・セキュリティ・サービス」の定義や、NIS2指令との整合性を明確にしている。また、適合性評価団体が満たすべき要件のリストを含むサイバーセキュリティ法の附属書の修正も含まれている。現行のサイバーセキュリティ法の関連条項がすべてマネージドセキュリティサービスにも適用されるよう、その他の技術的修正とドラフト修正も導入された。 |
| Trilogue negotiations started on 4 December 2023. On 6 March 2024, the EU co-legislators - Parliament and the Council – reached a provisional agreement on the file. They agreed to clarify the definition of managed security services, to align this regulation with the Cybersecurity Act (e.g. as regards security objectives) and to include a modification in the annex to the Cybersecurity Act. | トリローグ交渉は2023年12月4日に開始された。2024年3月6日、EUの共同立法者である議会と理事会は、この法案に関する暫定合意に達した。両者は、マネージド・セキュリティ・サービスの定義を明確化し、この規制をサイバーセキュリティ法と整合させ(セキュリティ目的など)、サイバーセキュリティ法の付属書に修正を加えることで合意した。 |
| The text was approved by Parliament as a whole in first reading on 24 April 2024 with 530 votes in favour, 5 votes against, and 53 abstentions. The text still needs to be formally adopted by the Council before it can enter into force. | この条文は、2024年4月24日の第一読会で、賛成530票、反対5票、棄権53票で、議会全体として承認された。この条文は発効する前に、理事会で正式に採択される必要がある。 |
Comments