EUサイバーセキュリティ規制の「NIS2」と「CRA」が日本企業に与える影響と対応策

質疑応答：常に最新情報を把握しておくことが極めて重要に

　講演後、本コンファレンスの実行委員でロボット革命・産業IoTイニシアティブ協議会 産業トラストワーシネス・セキュリティAG 委員の古川 文路 氏との質疑応答が交わされた（写真2）。

写真2：実行委員の古川 文路 氏とシュテファン・ツィメルマン氏

――NIS2は企業経営に、どのような影響を与えているか。

ツィメルマン氏 ：多くの産業分野ではこれまで、サイバーセキュリティを自主的な取り組みと捉えられてきた。しかしNIS2の施行により、議論の主眼は「いかに安全にするか」から「コンプライアンスのために何をすべきか」という法的義務へと変化している。経営層の関心が高まり、サイバーセキュリティ投資が促進される側面がある。だが本来の目的である“真にセキュアな状態”の実現を忘れてはならない。

――CRA対応において、既存のIEC 62443を再利用する場合、どのセキュリティレベルを選択すべきか。

ツィメルマン氏 ：CRAはリスクベースのアプローチである。そのためIEC 62443の既存レベルを機械的に当てはめることはできない。ただ、CRAの要件とIEC 62443の要件を対応づけるマッピング作業が進行中で、62443-4-2の最終版とともに詳細が提供される予定だ。これを将来的な整合規格として活用し、「適合性の推定」を得ることが目標になっている。

――なぜ国際規格そのものではなく、わざわざ「欧州版の規格」が必要になるのか。

ツィメルマン氏 ：EU官報に掲載される整合規格にするためには、欧州規格として成立していることが法的な前提条件になるからだ。国際規格の内容が優れていても、それだけでは引用対象にならない。

　ただし、メーカーが自己評価（モジュールA）で対応を進める場合は、欧州版を待たずに国際版のIEC 62443を活用して要件を満たすこともできる。その場合は「適合性の推定」という法的利点は得られないが、実務上の指針としては有効だ。

――欧州標準化機関による整合規格の策定は、スケジュールどおりに進展する見込みか。

ツィメルマン氏 ：現在のスケジュールは非常にタイトだ。43件もの規格を同時に策定する中、専門人材も不足しているため、期限内の完成には困難が予想される。適用開始日の延期を求める声もあるが、現時点で欧州委員会が、それを検討する状況にはない。CENやCENELECの進捗を継続的に監視し、常に最新情報を把握しておくことが極めて重要だ。