欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

こんにちは、丸山満彦です。

すこし古い話です(^^;;  サイバーセキュリティ法（CSA）改正に関するはなし...

EUのサイバーセキュリティ関係法はデータ関連の法令も併せて混乱気味ですよね...

サイバー領域でも、CSAに続いてNIS2、サイバーレジリエンス法（CRA）、DORAが後から制定されました。規制簡素化はEUの重要なアジェンダですよね...

また、2019年から比較すると、地政学的な状況も変わってきています。2004年に時限的につくられたENISAが2019年のCSAにより恒久組織化されたわけですが、その後新たにいろいろと役割も追加されてきていることもあり、CSAで再定義する必要があるようです。

EUでは安全保障は各国ですることになっていますが、サイバーセキュリティは安全保障とのつながりが強いため、EUで機関をおかない（おいても時限的）と言う流れだったようです...2004年ENISA設置当時の話では...

さらに、欧州サイバーセキュリティ認証枠組み（ECCF）もうまくいっていない面もあり、再度調整が必要そうです。

クラウド認証（EUCS）の導入をめぐっては、主権要件をいれるかどうかで意見が分かれているようです...

この文書は、EUのサイバーセキュリティ法制度の今後の方向性を大まかに理解する上でも読んでおいた方が良いと思いました...

 

● European Parliament - Think Tank

・2025.12.09 Cybersecurity Act review: What to expect

Cybersecurity Act review: What to expect

サイバーセキュリティ法の見直し：今後の見通し

The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.

サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は依然として残っている。

 

・[PDF]

 

Cybersecurity Act review: What to expect	サイバーセキュリティ法の見直し：今後の見通し
The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.	サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は残っている。
The Cybersecurity Act in short	サイバーセキュリティ法の概要
Regulation (EU) 2019/881 (the CSA) formalised the role of the European Cybersecurity Agency (ENISA), giving it a permanent mandate, resources and tasks, including operational ones. It also established a voluntary EU cybersecurity certification framework (ECCF) for ICT products, services and processes. The ECCF aims to set up and maintain specific certification schemes, allowing companies operating in the EU to use the certificates recognised across all Member States. In January 2025, a targeted amendment to the CSA was adopted, to enable the future adoption of European certification schemes for 'managed security services' covering areas such as incident response, penetration testing, security audits and consultancy. The CSA requires an evaluation and review every five years. Postponed several times, this is now expected on 14 January 2026.	規則（EU）2019/881（CSA）は欧州サイバーセキュリティ庁（ENISA）の役割を正式に定め、恒久的な権限・資源・任務（運用面を含む）を付与した。またICT製品・サービス・プロセス向けの任意参加型EUサイバーセキュリティ認証枠組み（ECCF）を設立した。ECCFは特定の認証スキームを確立・維持し、EU域内で事業を行う企業が全加盟国で認められる認証を利用できるようにすることを目的としている。2025年1月には、インシデント対応、ペネトレーションテスト、セキュリティ監査、コンサルティングなどの分野をカバーする「マネージドセキュリティサービス」向けの欧州認証スキームを将来的に導入可能とするため、CSAの特定改正が採択された。CSAは5年ごとの評価と見直しを義務付けている。数度延期された後、現在は2026年1月14日に実施が予定されている。
Evolving context	変化する状況
Since the CSA entered into force, cyber-attacks have been on the rise. This has prompted new EU cybersecurity laws to address the growing number and complexity of cyber threats. As a result, ENISA's roles and responsibilities have expanded. For example, ENISA supports implementation of the Directive on measures for a high common level of cybersecurity across the Union (NIS2) by providing technical guidelines, facilitating information sharing, and enhancing coordination between Member States. Similarly, ENISA supports implementation and enforcement of the Cyber Resilience Act (CRA) by providing technical expertise, developing a single reporting platform for vulnerability and incident reporting, and supporting cybersecurity certification schemes.	CSA発効以降、サイバー攻撃は増加傾向にある。これにより、増加するサイバー脅威の数と複雑性に対処するため、新たなEUサイバーセキュリティ法が制定された。結果として、ENISAの役割と責任は拡大した。例えば、ENISAは技術ガイドラインの提供、情報共有の促進、加盟国間の連携強化を通じて、EU全域における高度な共通サイバーセキュリティ水準確保のための措置に関する指令（NIS2）の実施を支援している。同様に、ENISAは技術的専門知識の提供、脆弱性・インシデント報告のための単一プラットフォームの開発、サイバーセキュリティ認証スキームの支援を通じて、サイバーレジリエンス法（CRA）の実施と執行を支援している。
As regards certification, implementation of the ECCF has been challenging. So far, only one EU certification scheme has been adopted – the European cybersecurity scheme on common criteria (EUCC), dedicated to certifying ICT products. All other schemes (cloud services – EUCS, 5G, digital identity wallets and managed security services) are still under development. Additionally, there are concerns whether the ECCF effectively addresses non-technical supply-chain cybersecurity risks such as geopolitical dependencies. Questions have also been raised about how voluntary certification frameworks will align with the CRA, which establishes a presumption of conformity (in Article 27) for products certified under a recognised European scheme such as the EUCC.	認証に関しては、ECCFの実施は困難を極めている。現時点で採用されているEU認証スキームは、ICT製品の認証に特化した共通規準に基づく欧州サイバーセキュリティスキーム（EUCC）のみである。その他のスキーム（クラウドサービス向けEUCS、5G、デジタルIDウォレット、およびマネージドセキュリティサービス向け）はいずれも開発段階にある。さらに、ECCFが地政学的依存関係などの非技術的サプライチェーンサイバーセキュリティリスクを効果的に対処できるか懸念されている。また、EUCCのような認定欧州スキームで認証された製品に対して適合性の推定（第27条）を定めるCRAと、任意認証枠組みがどのように整合するかも疑問視されている。
The proposal for a revised CSA therefore aims to address both ENISA's growing responsibilities and ECCF implementation. During the consultation, the Commission also gathered views on ICT supply chain security challenges and the simplification of cybersecurity rules, such as how to streamline reporting obligations.	したがって、改正CSA提案は、ENISAの拡大する責任とECCF実施の両方に対処することを目的としている。協議期間中、欧州委員会はICTサプライチェーンのセキュリティ課題やサイバーセキュリティ規則の簡素化（報告義務の効率化方法など）に関する意見も収集した。
CSA review: Points of convergence among stakeholders	CSA見直し：ステークホルダー間の合意点
The replies to the call for evidence for the CSA review have shown broad agreement that the CSA should be revised on the following issues: (i) streamline cybersecurity measures; (ii) enhance cyber resilience; and (iii) simplify the EU regulatory landscape. The review is seen as an opportunity to reduce administrative burden and compliance costs. A significant convergence point is the need to harmonise definitions and reporting requirements across major EU acts – such as NIS2, CRA and the General Data Protection Regulation (GDPR) – and establish a single EU incident notification platform. Such a platform has now been put forward in the proposal for a 'digital omnibus' regulation.	CSA見直しに向けた証拠提出要請への回答からは、以下の点でCSAを改正すべきとの広範な合意が示された：(i) サイバーセキュリティ対策の効率化、(ii) サイバーレジリエンスの強化、(iii) EU規制環境の簡素化。この見直しは行政負担とコンプライアンスコストを削減する機会と見なされている。主要なEU法令（NIS2、CRA、一般データ保護規則（GDPR）など）における定義と報告要件の調和、および単一のEUインシデント通知プラットフォームの確立が必要であるという点で、大きな合意が得られた。このようなプラットフォームは、「デジタルオムニバス」規制の提案において現在提唱されている。
There is consensus that ENISA's mandate should be clarified and strengthened to reflect the agency's growing operational responsibilities under new EU rules such as NIS2 and CRA. Stakeholders note that this expansion should be matched by adequate financial resources and staffing in order to ensure the agency's effectiveness. The view is that ENISA should serve as a central technical coordinator, to promote consistency and harmonise implementation of EU cybersecurity laws across the Member States, thereby reducing regulatory divergence. This echoes the Council conclusions of December 2024 on a stronger EU Agency for Cybersecurity. Poland went as far as calling for a separate law for ENISA, to separate this item from potential controversy around the EUCS discussions.	NIS2やCRAといった新たなEU規則下でENISAの業務責任が増大していることを反映し、ENISAの権限を明確化・強化すべきという点で合意が形成されている。関係者らは、この権限拡大には十分な財政資源と人員配置が伴わなければ、機関の有効性が確保できないと指摘する。ENISAは中核的な技術調整機関として機能し、加盟国間でEUサイバーセキュリティ法の一貫性と調和を促進し、規制の乖離を縮小すべきだという見解だ。これは、2024年12月の理事会結論「強化されたEUサイバーセキュリティ機関」の趣旨と一致する。ポーランドはさらに踏み込み、ENISAのための独立した法律を制定し、EUCS議論に伴う潜在的な論争からこの項目を切り離すよう求めた。
Stakeholders widely acknowledge that the process for developing and adopting certification schemes is too slow and opaque. They highlight that a more agile, transparent and inclusive process with clearer timelines is urgently needed. Furthermore, stakeholders underline that certification schemes should be based on and align with international standards in order to ensure global interoperability, maximise acceptance, and reduce compliance costs for companies operating internationally. The prevailing view is that certification schemes should also be leveraged as a recognised means of demonstrating conformity or compliance with security requirements stemming from other major EU legislative acts, including NIS2, CRA and the AI Act.	関係者らは広く、認証スキームの開発・採択プロセスが遅く不透明すぎることを認めている。彼らは強調する、より機敏で透明性が高く包括的なプロセスと明確なタイムラインが緊急に必要だと。さらに、ステークホルダーは、認証スキームが国際標準に基づき整合性を保つべきだと強調する。これにより、国際的な相互運用性を確保し、受容性を最大化し、国際的に事業を展開する企業のコンプライアンスコストを削減できるからだ。認証スキームは、NIS2、CRA、AI法を含む他の主要なEU立法措置から生じるセキュリティ要件への適合性またはコンプライアンスを証明する公認手段としても活用されるべきだという見解が主流だ。
Potential challenges	潜在的な課題
Disagreements revolve around the specific content and scope of certification schemes, particularly regarding sovereignty and the legal limits of ENISA's influence. The most contentious point is the inclusion of sovereignty requirements in certification schemes such as the EUCS. This issue divides stakeholders into those advocating measures to protect European digital autonomy (e.g. both data localisation and corporate headquarters based in the EU) and those prioritising open markets and technical neutrality. Pro-sovereignty advocates, and stakeholders supporting 'cloud by Europe' models (i.e. entirely EU-based cloud service providers, not controlled by non-EU stakeholders), argue that these measures are crucial to protecting sensitive data and reinforcing EU strategic autonomy. By contrast, major tech companies, such as Microsoft, Amazon and Google, argue that non-technical criteria are subjective and do not improve cybersecurity outcomes, potentially restricting market access and innovation. At Member State level, too, positions are divided, with some countries expressing concern over sovereignty requirements, and others advocating in their favour.	意見の相違は、認証スキームの具体的な内容と範囲、特に主権とENISAの影響力の法的限界に関する点に集中している。最も議論の的となる点は、EUCSなどの認証スキームに主権要件を含めることである。この問題は利害関係者を、欧州のデジタル自律性を防御する措置（例：データローカリゼーションとEU域内に本社を置く企業の両方）を主張する側と、開放的な市場と技術的中立性を優先する側に分断している。主権重視派や「欧州発クラウド」モデル（非EU関係者に支配されない完全EU拠点のクラウドプロバイダ）を支持する関係者は、こうした措置が機密データの保護とEUの戦略的自律性強化に不可欠だと主張する。一方、Microsoft、Amazon、Googleなどの大手テック企業は、非技術的基準は主観的でサイバーセキュリティ効果を高めず、市場参入やイノベーションを阻害する可能性があると反論する。加盟国レベルでも立場は分かれており、一部の国々は主権要件に懸念を表明する一方、他の国々はこれを支持している。
On the nature of certification, the majority view is that it should remain mostly voluntary, to maintain flexibility and innovation. However, mandatory certification in critical sectors where high-security assurance is essential was also proposed. In addition, ENISA's regulatory power has sparked debate. Some stakeholders, including Amazon, oppose granting ENISA the authority to issue binding opinions or regulatory guidance, arguing that its role should remain technical and advisory.	認証の性質については、柔軟性と革新性を維持するため、主に任意のままであるべきという見解が大多数を占める。しかし、高いセキュリティ保証が不可欠な重要分野における義務的認証も提案された。加えて、ENISAの規制権限も議論を呼んでいる。Amazonを含む一部の利害関係者は、ENISAに拘束力のある意見や規制ガイダンスを発行する権限を与えることに反対し、その役割は技術的・助言的なものに留まるべきだと主張している。
It remains to be seen to what extent the Commission will consider stakeholders' views. The CSA review will also need to fit into the simplification of cybersecurity-related incident reporting obligations, which are part of the 'digital omnibus' proposal published on 19 November 2025.	欧州委員会が利害関係者の意見をどの程度考慮するかは、まだ見通せない。CSAの見直しは、2025年11月19日に公表された「デジタルオムニバス」提案の一部である、サイバーセキュリティ関連のインシデント報告義務の簡素化にも適合させる必要がある。

 

 

 

参考まで...

分類	法令名	種別	概要	発効日	適用開始日
個人データ保護	GDPR（Regulation (EU) 2016/679）	規則	EU全域の個人データ保護の基盤となる包括規則	2016.05.24	2018.05.25
データ共有・流通	Data Governance Act（Regulation (EU) 2022/868）	規則	データ共有の信頼性確保・データ仲介サービスの規律	2022.06.23	2023.09.24
	Data Act（Regulation (EU) 2023/2854）	規則	IoT等のデータアクセス権・データ共有義務を定める横断規則	2024.01.11	2025.09.12 段階的
デジタル市場・プラットフォーム	Digital Services Act（Regulation (EU) 2022/2065）	規則	プラットフォームの透明性・違法コンテンツ対策を統一規制	2022.11.16	2024/2/17  VLOPs/VLOSEsは2023.08.25
	Digital Markets Act（Regulation (EU) 2022/1925）	規則	GAFA等ゲートキーパー企業の市場支配力を規制	2022.11.01	2023.05.02
AI	AI Act（Regulation (EU) 2024/1689）	規則	リスクベースでAIを規制し、高リスクAIに義務を課す	2024.08.01	2025〜2027年に段階的適用
サイバーセキュリティ	Cybersecurity Act（Regulation (EU) 2019/881）	規則	ENISA恒久化とEUサイバーセキュリティ認証制度（ECCF）創設	2019.06.27	2019.06.27〜認証は段階的
	NIS2 Directive（Directive (EU) 2022/2555）	指令	重要事業体のサイバー義務・インシデント報告を強化	2023.01.16	2024.10.17までに国内法化
製品セキュリティ	CRA（Cyber Resilience Act）Regulation (EU) 2024/2847	規則	ソフトウェア・IoT等の製品に「セキュリティ・バイ・デザイン」を義務化し、脆弱性管理・報告を規定	2024.12.10	2027.12.11から適用開始。製造者の脆弱性報告義務は2026.09.11から
金融ICTレジリエンス	DORA（Regulation (EU) 2022/2554）	規則	金融セクターのICTリスク管理・インシデント報告を統一	2023.01.16	2025.01.17

 

 

---

参考...

ENISA

EUサイバーセキュリティ認証の声

・2025.12.15 Voices of EU Cybersecurity Certification

Voices of EU Cybersecurity Certification	EUサイバーセキュリティ認証の声
A special publication by ENISA that incorporates feedback from stakeholders involved in building, maintaining, operating, and applying the first EU cybersecurity certification schemes.	ENISAによる特別刊行物。EU初のサイバーセキュリティ認証スキームの構築、維持、運用、適用に関わる関係者からのフィードバックをまとめたものである。

 

・[PDF]