欧州 ENISA 2024年統合活動報告書 (2025.06.30)
こんにちは、丸山満彦です。
ENISAの2024年の活動報告が公表されています。ある意味、ENISAの統合報告書ですね...
民主主義国家では、政府がおこなっている活動については、議会による承認が重要となるわけですが、その承認をとるためにも、議会が承認をした計画通りに執行され(予算もふくめて)いることを説明することが重要となりますね...
政府と国民の代表である議会との間に適切な緊張関係がないと良くないというわけですよね...
ENISAはEUの機関なので、EU議会による承認ということが重要となりますね...
ENISAの報告書では、内部統制についても報告されていますね...内部統制については、COSOをベースにしているようですね...(5つの構成要素について17の原則...)。上場企業の経理、金融庁の開示関係の関係者には馴染みがある概念だと思います...
もちろん、決算書は、いわゆる貸借対照表も公表されています...
同じ民主主義国家の日本がこのレベルをめざしているのかどうかはわかりませんが、参考になると思います...
ちなみに、強調されている主な成果...
- 最初の欧州連合のサイバーセキュリティ状況報告書
- CVE 番号付与機関
- NIS2 指令のサポート
- 認証(EUCC)
- サイバーヨーロッパ演習
- ENISA サイバーセキュリティ支援活動
- 状況認識
● ENISA
・2025.06.30 ENISA Consolidated Annual Activity Report 2024
・[PDF]
目次...
ABOUT ENISA | ENISA について |
FOREWORD | まえがき |
ENISA MANAGEMENT BOARD ASSESSMENT | ENISA 経営委員会 アセスメント |
EXECUTIVE SUMMARY | エグゼクティブサマリー |
PART I ACHIEVEMENTS OF THE YEAR | 第 I 部 2024年の成果 |
PART II (a) MANAGEMENT | 第 II 部 (a) 経営 |
2.1 Management Board | 2.1 経営委員会 |
2.2 Major developments | 2.2 主な進展 |
2.3 Budgetary and financial management | 2.3 予算および財務管理 |
2.4 Delegation and sub delegation ... | 2.4 権限の委譲および再委譲 ... |
2.5 Human resources management | 2.5 人事管理 |
2.6 Strategy for efficiency gains | 2.6 効率向上のための戦略 |
2.7 Assessment of audit and ex post evaluation results during the reporting year | 2.7 報告年度における監査および事後評価の結果の評価 |
2.8 a Follow up of recommendations and action plans for audits and evaluations | 2.8 a 監査および評価に関する勧告および行動計画のフォローアップ |
2.8 b Follow-up of recommendations issued following investigations by the European Anti-Fraud Office | 2.8 b 欧州不正対策局による調査の結果として出された勧告のフォローアップ |
2.9 Follow-up of observations from the discharge authority | 2.9 予算承認機関からの意見のフォローアップ |
2.10 Environmental management | 2.10 環境管理 |
2.11 Assessment by management | 2.11 経営陣による評価 |
PART II (B) EXTERNAL EVALUATIONS | 第 II 部 (B) 外部評価 |
PART III ASSESSMENT OF THE EFFECTIVENESS OF THE INTERNAL SYSTEMS | 第 III 部 内部システムの有効性のアセスメント |
3.1 Effectiveness of internal control systems | 3.1 内部統制システムの有効性 |
3.1.1 Assessment of the control environment component | 3.1.1 統制環境要素のアセスメント |
3.1.2 Assessment of the risk assessment component | 3.1.2 リスクアセスメント要素のアセスメント |
3.1.3 Assessment of the control activities component | 3.1.3 統制活動要素のアセスメント |
3.1.4 Assessment of the information and communication component | 3.1.4 情報と伝達要素の評価 |
3.1.5 Assessment of the monitoring activities component | 3.1.5 モニタリング活動要素の評価 |
3.2 Conclusions of assessment of internal control systems | 3.2 内部統制システムの評価結果 |
3.3 Statement of the internal control coordinator in charge of risk management and internal control | 3.3 リスクマネジメントおよび内部統制を担当する内部統制コーディネーターの声明 |
PART IV MANAGEMENT ASSURANCE | 第 IV 部 経営陣の保証 |
4.1 Review of the elements supporting assurance | 4.1 保証を裏付ける要素のレビュー |
4.2 Reservations .. | 4.2 留保事項 |
PART V DECLARATION OF ASSURANCE | 第 5 部 保証の表明 |
ANNEX I CORE BUSINESS STATISTICS | 附属書 I 主要事業統計 |
ANNEX II STATISTICS ON FINANCIAL MANAGEMENT | 附属書 II 財務管理に関する統計 |
ANNEX III ORGANISATION CHART | 附属書 III 組織図 |
ANNEX IV 2023 ESTABLISHMENT PLAN AND ADDITIONAL INFORMATION ON HUMAN RESOURCES MANAGEMENT | 附属書 IV 2023 年の設立計画および人事管理に関する追加情報 |
ANNEX V HUMAN AND FINANCIAL RESOURCES BY ACTIVITY | 附属書 V 活動別の人材および財源 |
ANNEX VI GRANT, CONTRIBUTION AND SERVICE-LEVEL AGREEMENT | 附属書 VI 助成金、拠出金およびサービスレベル契約 |
ANNEX VII ENVIRONMENTAL MANAGEMENT | 附属書 VII 環境管理 |
ANNEX VIII ANNUAL ACCOUNTS ... | 附属書 VIII 年次決算 |
ANNEX IX LIST OF ABBREVIATIONS | 附属書 IX 略語一覧 |
まえがき...
FOREWORD | まえがき |
by the Executive Director | 事務局長 |
Jun-25 | 2024年6月25日 |
I2024 marked a significant milestone for the Agency on its 20-year anniversary. Since 2004, ENISA has been dedicated to pursuing and to a great extent, achieving a high common level of cybersecurity across the European Union. I would like to thank the ENISA Management Board, all ENISA stakeholders and particularly its staff, past and present, for their important contributions to 20 years of making Europe more cybersecure. | 2024年は、ENISA が 20 周年を迎える重要な節目となった。2004年以来、ENISA は、欧州連合(EU)全域におけるサイバーセキュリティの共通レベルの高さを追求し、その大部分を達成するために尽力してきた。ENISA 経営委員会、ENISAのすべての関係者、そして特に、過去および現在の ENISA スタッフのメンバーが、20 年間にわたり、ヨーロッパのサイバーセキュリティの向上に多大な貢献をしてきたことに感謝する。 |
In 2024, the Agency marked several significant achievements over the year, with the following milestones standing out: | 2024年、ENISAは年間を通じていくつかの重要な成果を上げた。特に以下のマイルストーンが際立っている。 |
• First State of the Union Cybersecurity Report: This report provides an evidence-based overview of the state of play of cybersecurity and an assessment of cybersecurity capabilities across Europe. Since its establishment, ENISA has been steadfast in its commitment to providing expertise and strategic support to EU Member States. This report has been made possible by means of input sourced from the ENISA Cybersecurity Index, that provides a baseline for the State of the Union Cybersecurity Report, the NIS Investment Report and both the ENISA Threat Landscape 2024 and the updated Foresight 2030 Threats Report, all of which provide long term strategic guidance on cybersecurity challenges. The State of the Union Cybersecurity Report provides policy recommendations to address shortcomings identified and bolster cybersecurity, cooperation and resilience. |
• 最初の欧州連合のサイバーセキュリティ状況報告書:この報告書は、サイバーセキュリティの現状に関する証拠に基づく概要と、欧州全体のサイバーセキュリティ能力のアセスメントを記載している。ENISA は設立以来、EU 加盟国に対して専門知識と戦略的支援を提供することに堅固な姿勢で取り組んでいる。この報告書は、サイバーセキュリティに関する EU 連合の現状報告書、NIS 投資報告書、ENISA 脅威の展望 2024、および更新された Foresight 2030 脅威報告書に基礎となる ENISA サイバーセキュリティ指数から得られた情報に基づいて作成された。これらの報告書はすべて、サイバーセキュリティの課題に関する長期的な戦略的指針を示している。EU サイバーセキュリティ報告書は、特定された課題に対処し、サイバーセキュリティ、協力、レジリエンスを強化するための政策提言を提示している。 |
• CVE Numbering Authority: ENISA has been authorised as a Common Vulnerabilities and Exposures (CVE) Numbering Authority, which has enhanced the support that ENISA renders to EU CSIRTs in terms of Coordinated Vulnerability Disclosure. Under this light, the EU has been equipped with an essential tool designed to substantially improve the management of vulnerabilities and the risks associated with it. ENISA progressed with the implementation of the vulnerability database requirement from the NIS 2 Directive. The database will provide aggregated, reliable, and actionable information on cybersecurity vulnerabilities affecting ICT products and services. The database ensures transparency to all users and will stand as an efficient source of information to find mitigation measures. | • CVE 番号付与機関:ENISA は、共通脆弱性およびエクスポージャー (CVE) 番号付与機関として認可され、脆弱性の調整開示に関して ENISA が EU CSIRT に提供する支援を強化している。この観点から、EU は、脆弱性およびそれに関連するリスクの管理を大幅に改善するために設計された重要なツールを装備している。ENISA は、NIS 2 指令の脆弱性データベース要件の実施を進めた。このデータベースは、ICT 製品およびサービスに影響を与えるサイバーセキュリティの脆弱性に関する、集約された信頼性の高い実用的な情報を提供する。このデータベースは、すべてのユーザーに透明性を確保し、緩和措置を見つけるための効率的な情報源となる。 |
• NIS2 Directive Support: ENISA continued to work closely with EU Member States to support them with implementing the NIS2 Directive. ENISA provided expertise and guidance to build up cybersecurity resilience and deploy comprehensive, purpose-made, awareness material. | • NIS2 指令のサポート:ENISA は、NIS2 指令の実施を支援するため、EU 加盟国と緊密な連携を継続した。ENISA は、サイバーセキュリティのレジリエンスを構築し、包括的で目的別意識向上資料を展開するための専門知識とガイダンスを提供した。 |
• Certification: In early 2024, the Implementing Regulation on the EU cybersecurity certification scheme on Common Criteria (EUCC), was published on the Official Journal marking a significant achievement. Furthermore, a new Commission request for a cybersecurity certification scheme on the certification of the EU Digital Identity Wallets has been received and met with the acceptance of the Agency and the establishing of a dedicated Ad Hoc Working Group, to complement ongoing work on EUCS and EU5G. | • 認証:2024 年初頭、共通基準に関する EU サイバーセキュリティ認証スキームの実施規則(EUCC)が官報に掲載され、大きな成果となった。さらに、EU デジタル ID ウォレットの認証に関するサイバーセキュリティ認証スキームに関する新たな委員会要請が受理され、EUCS および EU5G に関する継続的な作業を補完するため、当機関がこれを受け入れ、専用のアドホック作業部会が設立された。 |
• Cyber Europe Exercise: The 7th edition has been one of the largest cybersecurity exercises in Europe ever and it focused on the resilience of the EU energy sector. This exercise is evidence of the commitment of ENISA to advancing preparedness and response capacities to protect critical infrastructure, a building block of the digital single market. This pan-European exercise brought together 30 national cybersecurity agencies, several EU agencies, bodies and networks and over 1000 experts supporting a broad range of areas including incident response, decision-making etc. In addition, the exercises performed by ENISA currently map to the roles identified in the European Cybersecurity Skills Framework (ECSF), thus allowing actors across sectors and Members States to foster a resilient and skilled workforce capable of addressing evolving threats. | • サイバーヨーロッパ演習:第7回目は、これまでで最大規模のサイバーセキュリティ演習のひとつであり、EU エネルギーセクターのレジリエンスに焦点を当てた。この演習は、デジタル単一市場の基盤である重要インフラを保護するための準備と対応能力の向上に ENISA が取り組んでいることを示す証拠だ。この汎欧州演習には、30 の国のサイバーセキュリティ機関、複数の EU 機関、団体、ネットワーク、およびインシデント対応、意思決定など幅広い分野を支援する 1000 人以上の専門家が参加した。さらに、ENISA が実施する演習は、欧州サイバーセキュリティスキルフレームワーク(ECSF)で識別された役割に対応しており、これにより、セクターや加盟国間の関係者が、進化する脅威に対処できる、レジリエンスとスキルを備えた人材の育成を促進することができる。 |
• ENISA Cybersecurity Support Action: By implementing and delivering ex-ante and ex-port services via the Agency’s Cybersecurity Support Action, ENISA contributed to further developing cyber preparedness and response capabilities at the EU and MS level. All 27 Member States participated in the programme, which consolidated a total of 482 requests for services. | • ENISA サイバーセキュリティ支援活動: ENISA は、サイバーセキュリティ支援活動を通じて事前および事後対応サービスを実施・提供することにより、EU および加盟国レベルでのサイバー準備および対応能力のさらなる向上に貢献した。27 加盟国すべてがプログラムに参加し、合計 482 件のサービス要請が統合された。 |
• Situational Awareness: The Agency established a Threat Information Management system, thus contributing to the cooperative response by further strengthening its situational awareness capabilities. It also consolidated and leveraged the ENISA Cyber Partnership Programme, which onboarded 10 companies to embed the private sector contribution primarily within the EU Joint Cyber Assessment Report (EU-JCAR). The number of contributing MS also increased and the CSIRTs Network and EU-CyCLONe contributed to the cooperative response through effective situational awareness. ENISA provided 8 briefings to HWPCI which contributed to increased situational awareness at Council level. | • 状況認識:ENISA は脅威情報管理システムを構築し、状況認識能力をさらに強化することで、協調的な対応に貢献した。また、ENISA サイバーパートナーシッププログラムを統合・活用し、10 社の企業を参加させて、主に EU 共同サイバーアセスメント報告書(EU-JCAR)に民間部門の貢献を反映させた。貢献する加盟国の数も増え、CSIRT ネットワークと EU-CyCLONe は、効果的な状況認識を通じて協力的な対応に貢献した。ENISA は HWPCI に 8 回のブリーフィングを実施し、理事会レベルでの状況認識の向上に貢献した。 |
In 2024, the revised strategic objectives adopted by the ENISA Management Board and restructuring of ENISA’s operational services will likely empower the Agency to remain agile and ahead of cybersecurity challenges. In early 2025, a comprehensive survey of operational activities highlighted the strong added value of ENISA’s deliverables in the past two years, with 88% of stakeholders reporting significant benefits from our outputs. Significantly 89% of stakeholders confirmed that ENISA’s work does not duplicate, or it only partially duplicates, albeit at very small proportions, Member States efforts—underscoring the Agency’s alignment with the needs of Member States. Finally, 96% of respondents had trust in ENISA’s ability to achieve its mandate. The survey results will shape our future processes, ensuring that we continue meeting stakeholder needs and delivering high-value results in a timely fashion. | 2024 年には、ENISA 理事会が採択した戦略目標の改訂と ENISA の業務サービスの再編により、ENISA は引き続き機敏性を発揮し、サイバーセキュリティの課題に先んじて対応することができるようになるだろう。2025 年初めに実施された業務活動に関する包括的な調査では、過去 2 年間の ENISA の成果の付加価値の高さが強調され、88% の利害関係者が ENISA の成果から大きな恩恵を受けたと報告している。重要なことに、89% の利害関係者が、ENISA の業務は加盟国の取り組みと重複していない、あるいはごくわずかに重複しているだけであると回答しており、ENISA が加盟国のニーズに合致していることを強調している。最後に、回答者の 96% が、ENISA の任務達成能力に信頼を寄せている。この調査結果は、私たちの今後のプロセスに活かされ、ステークホルダーのニーズに応え、価値の高い成果をタイムリーに提供し続けることを保証するものである。 |
I would like to thank all contributors to the survey for their invaluable feedback provided. I am immensely grateful to the broader cybersecurity community, including experts, advisors, partners, and staff, alike, for all their contributions throughout 2024. Together, we continue keeping Europe cyber secure. | この調査に協力いただいた皆様、貴重なご意見をお寄せくださった皆様に、心より感謝申し上げる。2024 年を通じて、専門家、アドバイザー、パートナー、スタッフなど、サイバーセキュリティコミュニティの皆様からいただいたご支援に、心より感謝する。今後も、皆様と協力し、ヨーロッパのサイバーセキュリティの確保に努めていく。 |
内部統制...
III ASSESSMENT OF THE EFFECTIVENESS OF THE INTERNAL CONTROL SYSTEMS | III 内部統制システムの有効性のアセスメント |
3.1. Effectiveness of internal control systems | 3.1. 内部統制システムの有効性 |
Internal control is established in the context of ENISA’s fundamental budgetary principles and associated with sound financial management. Internal control is broadly defined in the agency’s financial regulation as a process designed to provide reasonable assurance of achieving objectives. This definition very much mirrors the standard definition of internal control adopted by the Committee of Sponsoring Organizations of the Treadway Commission (https://www.coso.org). | 内部統制は、ENISA の基本的な予算原則の文脈で確立されており、健全な財務管理と関連している。内部統制は、機関の財務規則において、目標の達成を合理的に保証するためのプロセスとして広く定義されている。この定義は、トレッドウェイ委員会支援組織委員会(https://www.coso.org)が採用している内部統制の標準的な定義と非常によく似ている。 |
In this context, ENISA adopted its internal control framework by Management Board Decision No MB/2019/12 and amending Management Board Decision No MB/2022/11. It is based on the relevant framework of the Commission (which follows the Committee of Sponsoring Organizations of the Treadway Commission framework) and includes five internal control components and 17 internal control principles. The five internal control components are the building blocks that underpin the structure of the framework; they are interrelated and must be present and effective at all levels of ENISA for internal control over operations to be considered effective. Each component comprises one or more internal control principles. Applying these principles helps to provide reasonable assurance that ENISA’s objectives have been met. The principles specify the actions required for the internal control to be effective. | この文脈において、ENISA は、理事会決定 MB/2019/12 および理事会決定 MB/2022/11 の改正により、内部統制の枠組みを採用した。これは、欧州委員会の関連枠組み(トレッドウェイ委員会支援組織委員会(Committee of Sponsoring Organizations of the Treadway Commission)の枠組みに準拠)に基づき、5 つの内部統制構成要素と 17 の内部統制原則で構成されています。5 つの内部統制構成要素は、枠組みの構造を支える構成要素であり、相互に関連しており、業務に対する内部統制が有効であると認められるためには、ENISA のすべてのレベルにおいて存在し、有効に機能している必要があります。各要素は、1 つ以上の内部統制原則で構成されている。これらの原則を適用することで、ENISA の目標が達成されていることを合理的に保証することができる。原則は、内部統制を有効にするために必要な措置を規定している。 |
To assess the components and principles of the internal control framework, a set of 66 indicators was adopted (as amended by Management Board Decision No MB/2022/11). The indicators are assessed individually and supported by the relevant evidence. The assessment of the internal control is an important part of ENISA’s internal control framework, and it is conducted on an annual basis. For 2024, this assessment was based on the indicators of the framework, and also on additional information from specific (risk) assessment reports, audit findings and other relevant sources. The assessment also followed the related guidance and templates developed through the EU agencies’ Performance Development Network. | 内部統制枠組みの要素および原則を評価するために、66 の指標(経営委員会決定 MB/2022/11 により改正)が採用されている。指標は個別に評価され、関連する証拠によって裏付けられている。内部統制の評価は、ENISA の内部統制の枠組みの重要な部分であり、毎年実施されている。2024 年の評価は、枠組みの指標に加え、特定の(リスク)アセスメント報告書、監査結果、その他の関連情報源からの追加情報に基づいて実施された。また、この評価は、EU 機関パフォーマンス開発ネットワークを通じて作成された関連ガイダンスおよびテンプレートにも準拠している。 |
3.1.1. Assessment of the control environment component | 3.1.1. 統制環境の構成要素の評価 |
The control environment component consists of five principles, as described below. | 統制環境の構成要素は、以下の 5 つの原則で構成されている。 |
Principle 1 – ENISA demonstrates commitment to integrity and ethical values | 原則 1 – ENISA は、誠実さと倫理的価値観へのコミットメントを表明する |
The assessment concluded that this principle is present and functioning, but some improvements are needed, mainly in the area of training sessions on ethics and integrity for staff | 評価の結果、この原則は存在し、機能しているものの、主に職員に対する倫理および誠実さに関する研修の分野において、いくつかの改善が必要であると結論付けられました。 |
To increase the rate of participation in such training, the agency should consider a diversity of training plans/programmes to address different levels of staff knowledge/maturity. Nevertheless, various types of information materials are at the disposal of staff, such as training content and the most up-to-date reports by the Commission’s Investigation and Disciplinary Office. | このような研修への参加率を高めるため、機関は、職員の知識・成熟度の違いに対応するための多様な研修計画・プログラムを検討すべきである。とはいえ、研修内容や欧州委員会の調査・懲戒局による最新の報告書など、さまざまな種類の情報資料が職員に提供されている。 |
Principle 2 – ENISA’s management exercises responsibility for overseeing the development and performance of its internal control systems | 原則 2 – ENISA の経営陣は、内部統制システムの開発と運用を監督する責任を果たす |
The ENISA strategy, adopted in 2020, was reviewed during the reporting period and the MB adopted the new version in November 2024. The revised strategy is a cooperative effort of the Executive Director, the MB and the ENISA Task Force on supporting the review of ENISA’s strategy and mandate. For this purpose, input was gathered from the ENISA Advisory Group, the NLO network and ENISA staff. | 2020 年に採択された ENISA の戦略は、報告期間中に見直され、2024 年 11 月に MB が新しいバージョンを採択した。改訂された戦略は、ENISA の戦略と任務の見直しを支援する ENISA タスクフォース、事務局長、MB の協力による成果である。この目的のために、ENISA 諮問グループ、NLO ネットワーク、および ENISA 職員から意見が収集された。 |
The assessment concluded that this principle is present and functioning well, and only minor improvements are needed. ENISA’s management is regularly updated on the result of its internal controls, but some recommendations should be more actively and formally followed up, in order to improve the overall effectiveness of ENISA’s internal control systems. | アセスメントの結果、この原則は存在し、適切に機能しており、わずかな改善で十分であると結論付けられた。ENISA の経営陣は、内部統制の結果について定期的に最新情報を受け取っているが、ENISA の内部統制システムの全体的な有効性を向上させるため、一部の勧告については、より積極的かつ正式なフォローアップを行う必要がある。 |
Principle 3 – ENISA’s management establishes structures, reporting lines and appropriate authorities and responsibilities in pursuit of the agency’s objectives | 原則 3 – ENISA の経営陣は、機関の目標を達成するために、組織、報告系統、適切な権限および責任を確立する |
The assessment concluded that this principle is present and functioning well, and only minor improvements are needed. On a regular basis, the agency publishes on its intranet the adopted and updated organisation charts. Delegation of authority is clearly documented and regularly updated via various executive director decisions, notably on specifying the roles and responsibilities of ENISA’s structural entities and on a framework of the financial delegation of the authorising officer. | この原則は存在し、適切に機能していると評価され、わずかな改善で十分であると結論付けられた。ENISA は、採用および更新された組織図をイントラネットに定期的に公開している。権限の委譲は、ENISA の組織体の役割と責任、および財務担当官の財務権限の委譲に関する枠組みについて、執行取締役の決定を通じて明確に文書化され、定期的に更新されている。 |
Principle 4 – ENISA demonstrates commitment to attracting, developing and retaining competent individuals in alignment with its objectives | 原則 4 – ENISA は、その目標に沿って、有能な人材の採用、育成、維持に努める。 |
The assessment concluded that this principle is present and functioning well. One minor improvement is needed, in the area of learning opportunities for ENISA’s staff, which should be more comprehensive. This point was further addressed in 2024 with the introduction of a new competence framework for ENISA. | アセスメントの結果、この原則は存在し、適切に機能していると結論付けられた。ENISA 職員の学習機会の分野において、より包括的な内容とするという軽微な改善が必要だ。この点は、2024 年に ENISA の新しいコンピテンシー枠組みが導入されることでさらに改善される予定だ。 |
Principle 5 – ENISA holds itself accountable for its internal control responsibilities in pursuit of the agency’s objectives | 原則 5 – ENISA は、機関の目標の達成に向けて、内部統制の責任について自ら説明責任を果たす。 |
The assessment concluded that this principle is present and functioning well, and only minor improvements are needed. As part of its internal controls, the agency regularly reviews and monitors its annual objectives to ensure that pre-set objectives will be reached. While midterm reviews are planned, significant effort is expended on the ex ante evaluation and continuous monitoring of projects through the weekly ENISA management team meetings. In particular, each project starts with an inception, meaning that it passes an assessment by the management team, may be further reviewed for guidance and then finally presented to the management team for closure. This ensures that the management team has a clear view of, and is able to follow up on, the agency’s annual objectives throughout the year. | 評価の結果、この原則は存在し、適切に機能しており、わずかな改善点のみが必要であると結論付けられた。内部統制の一環として、ENISA は、あらかじめ設定した目標が確実に達成されるように、年間目標を定期的に見直し、監視している。中間レビューも予定されているが、毎週開催される ENISA 経営陣会議を通じて、事前の評価とプロジェクトの継続的なモニタリングに多大な努力が払われている。特に、各プロジェクトは、経営陣によるアセスメントに合格し、指導のためにさらにレビューされる場合があり、最終的に経営陣に提出されて終了となる。これにより、経営陣は、年間を通じて、機関の年間目標を明確に把握し、その達成状況をフォローアップすることができる。 |
3.1.2. Assessment of the risk assessment component | 3.1.2. リスクアセスメント要素の評価 |
The risk assessment component consists of four principles, as presented below. | リスクアセスメント要素は、以下の 4 つの原則で構成されている。 |
Principle 6 – ENISA specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives | 原則 6 – ENISA は、目標に関連するリスクの特定と評価を可能にするよう、目標を十分に明確に規定する。 |
The assessment concluded that this principle is present and functioning well. Pre-defined targets for annual objectives are set in the SPD. ENISA’s SPD is drafted based on input from all units and teams across the agency, and in consultation with stakeholders, before it is formally adopted by the agency’s MB. Throughout the year, the agency’s outputs are planned, reviewed and finalised in close consultation with stakeholders, including ENISA’s MB, the advisory group and the NLO network. ENISA uses its objectives as a basis for allocating resources to achieve policy, operational and financial performance goals. [Indicator 26 on 73% of SPD KPIs met or outperformed target set] | 評価の結果、この原則は存在し、適切に機能していると結論付けられました。年間目標の事前目標は、SPD に設定されています。ENISA の SPD は、機関全体のすべての部門およびチームからの意見、および利害関係者の協議に基づいてドラフトが作成され、その後、機関の MB によって正式に採択される。年間を通じて、ENISA の MB、諮問グループ、NLO ネットワークなどの利害関係者と緊密な協議を行い、機関の成果を計画、見直し、確定する。ENISA は、政策、業務、財務のパフォーマンス目標を達成するための資源の配分基準として、その目標を用いる。[指標 26:SPD KPI の 73% が目標を達成または上回った] |
Principle 7 – ENISA identifies risks to the achievement of its objectives across the organisation and analyses risks as a basis for determining how the risks should be managed | 原則 7 – ENISA は、組織全体の目標達成に対するリスクを識別し、そのリスクを分析して、リスクの管理方法を決定する。 |
The assessment concluded that this principle is present and functioning well, but improvement is needed in the follow-up of implementation of mitigating measures. Since 2022, a centralised risk management approach has been implemented at the agency level. An enterprise risk management (ERM) framework was adopted based on the Commission’s risk assessment guidance. An IT security risk management framework was also formalised and interlinked with the ERM framework. Based on the frameworks adopted, a risk assessment exercise is conducted on an annual basis (entailing an ERM and an IT security risk assessment). The cross-cutting risks were presented in a corporate risk register, and specific risks in each unit/team were also identified. As regards these assessments, no critical risks were identified in 2024. | 評価の結果、この原則は存在し、適切に機能しているが、緩和措置の実施のフォローアップには改善が必要であると結論付けられた。2022 年以降、機関レベルで一元化されたリスクマネジメントアプローチが実施されている。欧州委員会のリスクアセスメントガイダンスに基づき、エンタープライズリスクマネジメント(ERM)の枠組みが採用された。また、IT セキュリティリスクマネジメントの枠組みも正式に策定され、ERM 枠組みと相互に関連付けられた。採用された枠組みに基づき、リスクアセスメントが毎年実施されている(ERM および IT セキュリティリスクアセスメントを含む)。部門横断的なリスクは企業リスク登録簿に記載され、各部門/チームにおける具体的なリスクも識別された。これらのアセスメントに関しては、2024 年には重大なリスクは識別されなかった。 |
Principle 8 – ENISA considers the potential for fraud in assessing risks to the achievement of objectives | 原則 8 – ENISA は、目標の達成に対するリスクを評価する際に、不正の可能性を考慮する |
The assessment concluded that this principle is present and functioning well. | 評価の結果、この原則は実施されており、適切に機能していると結論付けられた。 |
The agency’s anti-fraud strategy was updated in 2021 and formally adopted by Management Board Decision No B/2021/5. Within 2024, the revision of the antifraud strategy took place and a new action plan was put forward for adoption by the MB within 2025. A dedicated anti-fraud web page is available on ENISA’s intranet, where all staff can access relevant regulations, documents and training material. Training in fraud prevention, which forms part of training in ethics and integrity, is delivered regularly (however, the participation rate should be improved). | 機関の不正防止戦略は2021年に更新され、管理委員会決定第B/2021/5号により正式に採択された。2024年中に不正防止戦略の見直しが行われ、2025年中に管理委員会で採択される新たな行動計画が提示された。ENISA のイントラネットには、全職員が関連規則、文書、研修資料にアクセスできる不正防止専用のウェブページが用意されている。倫理および誠実性に関する研修の一部として、不正防止に関する研修が定期的に実施されている(ただし、参加率の向上が必要)。 |
Principle 9 – ENISA identifies and analyses significant change | 原則 9 – ENISA は、重要な変化を識別し、分析する |
The assessment concluded that this principle is present and functioning well and that only minor improvements are needed. Change is managed through different processes within the agency. At the operational level, continuous monitoring of the work programme activities in the weekly management team meetings enables the identification and analysis of any significant change (thus enabling further reflection of this change in internal activities). The establishment of dedicated committees (the IT Management Committee, the Budget Management Committee and the Intellectual Property Rights Management Committee) further supports change management at the corporate level. In 2024, whereas the Cybersecurity Act, which outlines the mandate and tasks of ENISA, has been complemented with the adoption of the NIS2 and conclusion of legislative negotiations on CRA and CSOA, ENISA Management has revised the establishment of ENISA’s internal structures via its decision 2024/10. This revision was further complemented by Executive Director Decision No 63/2024, which further specifies the roles and responsibilities of ENISA’ s structural entities. In the context of this structural adjustment, three Task Forces were established by the Executive Director, with a view to engage staff members, managers and that agency’s HR in the change management process. Several relevant trainings sessions were also organised to that end. This shows ENISA’s capacity to identify new challenges and to quickly react by adapting itself to best meet the underlying objectives and to best deliver additional tasks entrusted to ENISA. | 評価の結果、この原則は存在し、適切に機能しており、わずかな改善で十分であると結論付けられた。変化は、機関内のさまざまなプロセスを通じて管理されている。業務レベルでは、毎週開催される経営陣会議で作業プログラムの活動を継続的に監視することで、重要な変化を特定・分析することができ(その結果、この変化を内部活動にもさらに反映させることができる)、変化の管理がさらに強化されている。また、専門委員会(IT 管理委員会、予算管理委員会、知的財産権管理委員会)の設置により、企業レベルでの変化の管理がさらに強化されている。2024 年、ENISA の使命と任務を規定するサイバーセキュリティ法が、NIS2 の採択および CRA および CSOA に関する立法交渉の妥結により補完されたことを受け、ENISA 経営陣は、決定 2024/10 により ENISA の内部構造の再編を見直した。この見直しは、ENISA の組織体の役割と責任をさらに明確にした執行取締役決定第 63/2024 号によってさらに補完された。この組織調整に関連して、執行取締役は、スタッフ、管理職、および同機関の HR を変更管理プロセスに関与させることを目的として、3 つのタスクフォースを設立した。この目的のために、いくつかの関連トレーニングセッションも開催された。これは、ENISA が新たな課題を識別し、その根本的な目標を最もよく達成し、ENISA に委託された追加の業務を最善の方法で遂行するために、自らを適応させて迅速に対応できる能力を有していることを示している。 |
3.1.3. Assessment of the control activities component | 3.1.3. 統制活動要素の評価 |
The control activities component consists of three principles, as presented below. | 統制活動要素は、以下に示す 3 つの原則で構成されている。 |
Principle 10 – ENISA selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to an acceptable level | 原則 10 – ENISA は、目標の達成に対するリスクを許容可能なレベルまで緩和するのに貢献する統制活動を選択し、開発する。 |
The assessment concluded that this principle is present and functioning, but some improvements are needed, in particular the agency’s business continuity plan, which needs to be finalised and tested. | アセスメントの結果、この原則は存在し、機能しているが、特に、最終決定と試験が必要な機関の事業継続計画について、いくつかの改善が必要であると結論付けられた。 |
Principle 11 – ENISA selects and develops general controls on technology to support the achievement of objectives | 原則 11 – ENISA は、目標の達成を支援するための技術に関する全般統制を選択し、開発する。 |
The assessment concluded that this principle is present and functioning, but some improvements are needed. Efforts to mitigate IT risks yielded results in 2024, leading to the downgrading of certain identified risks. However, some IT risks are of a continuous nature, such as the risks stemming from cybersecurity threats, which are constantly evolving. | この原則は存在し、機能していると評価されたが、いくつかの改善が必要だ。IT リスクの緩和に向けた取り組みは 2024 年に成果を上げ、特定されたリスクの一部は格下げされた。しかし、サイバーセキュリティの脅威に起因するリスクなど、絶えず進化する継続的な IT リスクも存在する。 |
Principle 12 – ENISA deploys control activities through policies that establish what is expected and through procedures that put policies into action | 原則 12 – ENISA は、期待される事項を定めた方針および方針を実施するための手順を通じて、管理活動を展開する。 |
The assessment concluded that this principle is present and functioning, but some improvements are needed. Recurrent weaknesses identified by internal control tools (such as the registry of exceptions) in recent years have not yet been effectively addressed. In addition, ENISA’s internal policies and procedures are not always adequately documented or communicated to staff. For example, from the analysis of the 2024 register of exception, out of 15 noncompliant events (i.e. exceptions), the vast majority (11) concerned a posteriori transactions (i.e. the budgetary or legal commitments were not compliant to proceed forward with the transaction). This weakness was identified by previous control activities, but no specific procedure was introduced to further mitigate this usually minor risk. | 評価の結果、この原則は存在し、機能しているが、いくつかの改善が必要であると結論付けられた。近年、内部統制ツール(例外登録簿など)によって特定された繰り返しの弱点は、まだ効果的に対処されていない。さらに、ENISA の内部方針および手順は、必ずしも適切に文書化または職員に伝達されているわけではない。例えば、2024 年の例外登録簿の分析によると、15 件の違反事例(すなわち例外)のうち、その大部分(11 件)は事後的な取引(すなわち、予算上または法律上の約束が取引の遂行に準拠していなかった)に関するものであった。この弱点は、以前の統制活動によって特定されていたが、この通常軽微なリスクをさらに緩和するための具体的な手続きは導入されていなかった。 |
Nevertheless, none of the 15 identified exceptions was assessed as being of high risk (13 were assessed as low risk and two as medium risk) and only four exceptions were deemed to be of material relevance. Out of these four exceptions, two were related to non-compliance with the contractual terms for the supply of services (i.e. 1) price indexation required by national laws was not foreseen in the original contract and 2) contract extension was not formally signed), one was related to a late budgetary commitment (a posteriori transaction) and the last one was related to non-compliance with procurement rules. | それにもかかわらず、特定された 15 件の例外のうち、リスクが高いと評価されたものは 1 件もなかった(13 件はリスクが低い、2 件はリスクが中程度と評価された)。これらの4件の例外のうち、2件はサービス供給に関する契約条項の不遵守(1)国内法で要求される価格指数連動が元の契約に明記されていなかった、2)契約延長が正式に署名されていなかった)に関連し、1件は事後的な予算コミットメント(事後的な取引)に関連し、最後の1件は調達規則の不遵守に関連していました。 |
3.1.4. Assessment of the information and communication component | 3.1.4. 情報と伝達の構成要素の評価 |
The information and communication component consists of three principles, as presented below. | 情報と伝達の構成要素は、以下の 3 つの原則で構成されている。 |
Principle 13 – ENISA obtains or generates and uses relevant quality information to support the functioning of its internal control systems | 原則 13 – ENISA は、内部統制システムの機能を支援するために、関連する質の高い情報を取得または生成し、活用する。 |
The assessment concluded that this principle is present and functioning, and only minor improvements are needed. For example, internal information-sharing and the mapping of information could be improved and the compliance with need-toknow principle (to access internal information) needs further monitoring. | 評価の結果、この原則は存在し、機能しており、わずかな改善のみが必要であると結論付けられました。例えば、内部情報共有や情報マッピングの改善、および(内部情報へのアクセスに関する)必要に応じた情報開示の原則の遵守について、さらなるモニタリングが必要だ。 |
Principle 14 – ENISA communicates information internally, including objectives and responsibilities for internal control, that is necessary to support the functioning of its internal control systems | 原則 14 – ENISA は、内部統制システムの機能を支援するために必要な、内部統制に関する目標や責任などの情報を内部で伝達する |
The assessment concluded that this principle is present and functioning well. There is transparency in the agency regarding objectives, challenges, actions taken or to be taken and results achieved. Minutes of the weekly management team meeting are made available by email to all staff. In addition, frequent question-and-answer sessions for all staff on various relevant topics were held during 2024. Midterm reviews are used to communicate objectives achieved and ongoing, and substantial effort is put into ex ante evaluation of the projects, starting with a detailed inception presentation during management team meetings. The same projects may then be reviewed for guidance during management team meetings and are then presented to the management team for finalisation. This ensures that the management team has a clear view of and is able to follow up on the annual objectives throughout the year. Moreover, there is a separate communication line for whistleblowing arrangements. The basic principles, relevant definitions and the reporting mechanism are described in ENISA’s Management Board Decision No MB/2018/10 on whistleblowing. | 評価の結果、この原則は存在し、適切に機能していると結論付けられた。目標、課題、実施済みまたは実施予定の措置、および達成結果については、機関内に透明性が確保されている。毎週開催される経営陣会議の議事録は、全職員に電子メールで配布されている。さらに、2024 年には、さまざまな関連トピックに関する全職員向けの質疑応答セッションが頻繁に開催された。中間レビューは、達成目標および進行中の目標の伝達に利用されており、経営陣会議での詳細な開始プレゼンテーションから始まる、プロジェクトの事前評価に多大な努力が払われている。その後、同じプロジェクトは、経営陣会議で指導のために見直され、経営陣に提出されて最終決定される。これにより、経営陣は年間目標を明確に把握し、年間を通じてその達成状況をフォローアップすることができる。さらに、内部通報制度に関する別のコミュニケーションルートも設けられている。基本原則、関連定義、報告メカニズムについては、内部通報に関する ENISA の経営委員会決定 MB/2018/10 に記載されている。 |
Principle 15 – ENISA communicates with external parties about matters affecting the functioning of its internal control systems | 原則 15 – ENISA は、内部統制システムの機能に影響を与える事項について、外部関係者とコミュニケーションを図る |
The assessment concluded that this principle is present and functioning well. ENISA communicates its activities in a transparent way and in line with internal control principles. Moreover, ENISA has an up-to-date communication strategy and stakeholder strategy in place. | アセスメントの結果、この原則は満たされており、適切に機能していると結論付けられた。ENISA は、内部統制の原則に従って、その活動を透明性をもって伝達している。さらに、ENISA は、最新のコミュニケーション戦略およびステークホルダー戦略を策定している。 |
3.1.5. Assessment of the monitoring activities component | 3.1.5. モニタリング活動要素の評価 |
The monitoring activities component consists of two principles, as presented below. | モニタリング活動要素は、以下の 2 つの原則で構成されている。 |
Principle 16 – ENISA selects, develops and conducts ongoing and/or separate assessments to ascertain whether the components of internal control are present and functioning | 原則 16 – ENISA は、内部統制の構成要素が整備され、機能しているかどうかを検証するために、継続的および/または個別の評価を選択、開発、実施する。 |
The assessment concluded that this principle is present and functioning, but some improvement is needed, mainly in the area of timely follow-up of recommendations issued by internal controls. | 評価の結果、この原則は存在し、機能しているものの、主に内部統制による勧告のタイムリーなフォローアップの分野において、いくつかの改善が必要であると結論付けられました。 |
Principle 17 – ENISA assesses and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management as appropriate | 原則 17 – ENISA は、内部統制の欠陥をタイムリーに評価し、必要に応じて上級管理職を含む是正措置を担当する関係者に伝達する。 |
The assessment concluded that this principle is present and functioning, but the effectiveness of the monitoring of mitigation measures remains to be demonstrated. | この原則は存在し、機能していると評価されたが、緩和措置のモニタリングの有効性については、まだ実証されていない。 |
3.2. Conclusions of the assessment of internal control systems | 3.2. 内部統制システムの評価結果 |
Weaknesses identified by ENISA’s internal and external auditors, respectively IAS and ECA (75), are duly taken into account when assessing ENISA’s internal controls. In its 2024’s assessment, ENISA concluded that appropriate corrective actions have been internally | ENISA の内部監査人および外部監査人である IAS および ECA (75) がそれぞれ指摘した弱点は、ENISA の内部統制の評価において適切に考慮されている。2024 年の評価において、ENISA は、IAS および ECA が指摘した監査所見に対処するための適切な是正措置が内部的に実施されていると結論付けた。 |
implemented to address the audit observations raised by IAS and ECA. In particular, the implementation of the enhanced cybersecurity support action which originally triggered the 2023 ECA’s qualified opinion on the legality and regularity of payments (76) is, since late 2023, governed by a contribution agreement signed between DG CNECT and ENISA. This formal agreement adequately removed any legal barrier impeding a smooth and efficient operational deployment of the cybersecurity support action in order to best meet the requests and needs of the Member States. | 特に、2023 年の ECA の支払いの合法性および適正性に関する限定的意見(76) のきっかけとなった、サイバーセキュリティ支援措置の強化の実施は、2023 年後半以降、DG CNECT と ENISA との間で締結された貢献協定によって規定されている。この正式な協定により、加盟国の要請やニーズに最善で対応するための、サイバーセキュリティ支援措置の円滑かつ効率的な運用展開を妨げる法的障害が適切に排除された。 |
3.3. Statement of the Manager in charge of risk management and internal control | 3.3. リスクマネジメントおよび内部統制担当マネージャーの声明 |
The overall assessment shows that the internal controls at ENISA provide reasonable assurance that policies, processes, tasks and behaviours of the agency, taken together, facilitate its effective and efficient operation, help to ensure the quality of internal and external reporting, and help to ensure compliance with its regulations. That being said, some improvements are needed in certain areas, in order to increase effectiveness and ensure proper implementation of the internal controls in the future. | 総合的な評価によると、ENISA の内部統制は、その政策、プロセス、業務、および行動が総合的に、機関の効率的かつ効果的な運営を促進し、内部および外部報告の品質の確保、ならびにその規制の遵守の確保に貢献していることを合理的に保証している。とはいえ、将来的に内部統制の有効性を高め、その適切な実施を確保するためには、特定の分野においていくつかの改善が必要だ。 |
I, the undersigned, | 私、 |
Andreas MITRAKAS, | アンドレアス・ミトラカス |
in charge of risk management and internal control within ENISA, | は、ENISA 内のリスクマネジメントおよび内部統制を担当する |
In my capacity as Head of Unit for Executive Directors Office in charge of risk management and internal control, I declare that in accordance with ENISA’s Internal Control Framework, I have reported my advice and recommendations on the overall state of internal control in the Agency to the Executive Director. | 私は、リスクマネジメントおよび内部統制を担当する事務局長室長として、ENISA の内部統制の枠組みに従い、機関の内部統制の全体的な状況に関する助言および勧告を事務局長に報告したことをここに宣言する。 |
I hereby certify that the information provided in the present Consolidated Annual Activity Report and in its annexes is, to the best of my knowledge, accurate, reliable and complete. | 私は、本統合年次活動報告書およびその附属書に記載された情報は、私の知る限り、正確、信頼性が高く、完全であることをここに証明する。 |
Andreas Mitrakas | アンドレアス・ミトラカス |
Head of Unit for Executive Directors Office | 事務局長室ユニット長 |
(75) For more details, please see also section “2.7. Assessment of audit and ex post evaluation results during the reporting year” | (75) 詳細については、「2.7. 報告年度における監査および事後評価の結果のアセスメント」も参照のこと。 |
(76) For more details, please see also section “2.7.2. European Court of Auditors” | (76) 詳細については、「2.7.2. 欧州会計監査院」も参照のこと。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.04.08 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について
Recent Comments