2026年1月20日、欧州委員会はCybersecurity Act 2.0(CSA 2.0、COM(2026) 11)を正式に提案した。2019年の初代Cybersecurity Act(Regulation 2019/881)を全面改定するこの規則案は、NIS2指令の対象となる全セクターに対し、初の水平的ICTサプライチェーン・セキュリティ枠組みを導入する。テレコム、クラウド、半導体を中心に、「重要ICT資産」の特定、高リスク国・サプライヤーの指定と排除、EU認証制度の拡充という三本柱で構成される同規則案は、欧州市場で事業を展開するテック企業に調達戦略の根本的な見直しを迫る内容となっている。

CSA 2.0の背景 ── 5Gツールボックスの限界と地政学リスクの顕在化

EUのICTサプライチェーン・セキュリティ政策は、2019年の「5Gツールボックス」に端を発する。同ツールボックスは加盟国に対し、高リスクサプライヤーの制限を「推奨」するものであったが、法的拘束力がなく、実施状況は加盟国間で大きくばらついた。ドイツやフランスが独自のベンダー審査制度を導入する一方、複数の東欧諸国は対応を先送りにした。

この間、地政学的なリスクは一段と深刻化した。中国のHuaweiおよびZTEは既に5Gツールボックスの下で「高リスクベンダー」と認定されていたが、EU域内の通信インフラへの組み込みは継続していた。加えて、半導体サプライチェーンの台湾集中リスク、クラウドサービスにおけるデータ主権の問題、サイバー攻撃の国家的関与の増大が、EUに包括的な法規制の必要性を突きつけた。

CSA 2.0は、この自主的アプローチから法的拘束力のあるEU統一規制への転換を体現する。従来の技術的脆弱性への対処に加え、「非技術的リスク」すなわち地政学的な支配関係やサプライヤーの国家的影響力を、サイバーセキュリティ法の射程に明示的に取り込んだ点が画期的である。

三本柱の構造 ── 重要ICT資産・高リスクサプライヤー・認証制度

CSA 2.0の規制枠組みは、相互に連動する三つの柱で構成される。

第一の柱:重要ICT資産(Key ICT Assets)の特定

欧州委員会は、実施法(implementing acts)を通じて、NIS2対象事業者が使用する「重要ICT資産」を指定する。資産が「重要」と判定される基準は以下の4点である。

  • 機能的重要性:必須または機微な機能を担うICT資産であること
  • 混乱リスク:当該資産を悪用するインシデントが、重大なサプライチェーン途絶またはデータ流出を引き起こし得ること
  • サプライヤー集中リスク:限られたサプライヤーへの依存を生じさせるICT資産であること
  • EU統合リスク評価の結果:EU レベルの協調的リスク評価に基づく判定

注目すべきは、通信ネットワーク(モバイル・固定・衛星)については、Annex IIで重要ICT資産が予め定義されている点である。これにより、テレコム事業者は規制発効と同時に対応を求められる。

第二の柱:高リスクサプライヤーの指定と排除

CSA 2.0の最も論争的な条項が、Article 104に基づく高リスクサプライヤーの指定制度である。欧州委員会は、以下の基準に該当する国および同国の支配下にある事業体を「高リスクサプライヤー」に指定できる。

  • 脆弱性情報の早期開示を国家当局に義務付ける法制度を有する国
  • 効果的な司法審査または民主的監督が欠如している国
  • 当該国から活動するサイバー攻撃者による悪意ある活動の信頼できる兆候がある場合
  • 第三国の影響を受けやすい事業体(地政学的基準)

指定された高リスクサプライヤーには、以下の包括的な制限が適用される。

  • EU標準化作業への参加禁止
  • EU認証スキームからの排除
  • ICTコンポーネントに関する公共調達からの締め出し
  • EU資金プログラムへの参加制限

モバイルネットワーク事業者に対しては、高リスクサプライヤーリストの公表から最大36か月でICTコンポーネントを段階的に排除することが義務付けられる。固定回線および衛星ネットワークについては、実施法で個別にタイムラインが設定される。

第三の柱:EU認証制度の拡充

CSA 2.0は、欧州サイバーセキュリティ認証フレームワーク(ECCF)を大幅に拡充する。最大の変更点は、従来の製品・サービス単位の認証に加え、組織レベルのサイバーセキュリティ態勢を評価する「サイバー態勢認証」を新設する点である。これにより、NIS2対象事業者のコンプライアンス状況をEU統一基準で可視化できるようになる。

保証レベルは「基本」「実質的」「高」の3段階で構成され、リスクレベルに応じて適用される。また、認証スキームの4年ごとの定期評価が義務化され、ENISA(EU サイバーセキュリティ機関)の認証スキーム策定プロセスも簡素化・迅速化される。

産業セクターへのインパクト ── テレコム・クラウド・半導体

CSA 2.0の影響は、NIS2対象の18以上のセクター全体に及ぶが、特に以下の3セクターへのインパクトが大きい。

テレコム:最も厳格な規制対象

通信セクターは、Annex IIで重要ICT資産が予め定義されるなど、CSA 2.0において最も厳格な規制対象となる。モバイルネットワーク事業者の36か月フェーズアウト義務は、既にHuaweiやZTEの機器を大量に導入している欧州の通信事業者にとって、推定15億ユーロ以上のコンプライアンス費用が見込まれる。ベンダー切り替えに伴うネットワーク停止リスクの最小化も、事業者にとっての重大な課題である。

クラウド:データ主権とベンダーロックイン

クラウドサービスは、NIS2において「デジタルインフラ」および「デジタルサービス」の両カテゴリに該当し、CSA 2.0のサプライチェーン規制の中核的な対象となる。高リスクサプライヤー指定が非EU系クラウドプロバイダーに適用された場合、欧州の公的機関および重要インフラ事業者は、クラウド移行戦略の根本的な再考を迫られる可能性がある。

半導体:地政学リスクの最前線

半導体サプライチェーンは、台湾海峡リスクに象徴される地政学的緊張の焦点となっている。CSA 2.0は、半導体を「重要ICT資産」の対象に含めることで、半導体調達における多元化(diversification)を事実上義務付ける方向に作用する。EU Chips Actと相まって、欧州域内での半導体製造能力の強化を政策的に後押しする枠組みとなっている。

既存規制との関係 ── NIS2・CRA・DORAとの連携

CSA 2.0は、EUのサイバーセキュリティ規制体系において、既存の規制群と補完的な関係を形成する。

NIS2指令(Directive 2022/2555)との関係では、CSA 2.0は同指令を改正する附属指令案(COM(2026) 13)を伴っており、定義の整合、コンプライアンスの簡素化、サプライチェーン規制のNIS2セクターへの適用を実現する。NIS2が事業者のリスク管理義務を定めるのに対し、CSA 2.0はサプライチェーン全体のリスクをEUレベルで統一管理する上位構造を提供する。

サイバーレジリエンス法(CRA)は、デジタル製品のセキュア・バイ・デザインを市場投入前に義務付ける規制であり、製品レベルのセキュリティに焦点を当てる。一方、CSA 2.0は組織の態勢およびサプライチェーン全体を対象とする。両者は「製品」と「サプライチェーン」という異なるレイヤーをカバーする補完関係にある。CRAのコンプライアンス期限は2027年12月11日である。

DORA(Digital Operational Resilience Act)は金融セクターのデジタル・オペレーショナル・レジリエンスに特化した規制である。CSA 2.0との重複領域ではDORAが優先適用されるが、CSA 2.0のサプライチェーン規制は金融サービスにも拡大適用される。

日本企業・アジア太平洋地域への示唆

CSA 2.0は、欧州市場で事業を展開するグローバルテック企業にとって、地域を問わず影響を及ぼす。日本企業にとっての含意は以下の通りである。

第一に、日本のテレコム機器メーカー、クラウドプロバイダー、半導体企業は、高リスクサプライヤー指定の対象外となる「信頼できるサプライヤー」としてのポジショニングが可能である。欧州事業者がベンダー切り替えを進める中で、日本企業にはビジネス機会が生まれ得る。

第二に、欧州の重要インフラに深く組み込まれている日本企業は、新たなコンプライアンス費用への対応が求められる。特に、サプライチェーン上流の部品調達先が高リスクサプライヤーに指定された場合、調達戦略の再構築が必要となる。

第三に、CSA 2.0の「非技術的サプライチェーンリスク」という概念は、サイバーセキュリティ法制に地政学的考慮を組み込む国際的な先例となる。アジア太平洋地域においても同様の枠組みが検討される可能性があり、日本の経済安全保障推進法との連動も注視が必要である。

FAQ

EU Cybersecurity Act 2.0とは何か?

2026年1月20日に欧州委員会が提案した規則案(COM(2026) 11)で、2019年の初代Cybersecurity Actを全面改定する。NIS2対象の全セクターに水平的ICTサプライチェーン・セキュリティ枠組みを導入し、高リスクサプライヤーの指定・排除やEU認証制度の拡充を含む。

CSA 2.0は具体的にどのような企業に影響するのか?

NIS2指令の対象となる「重要事業者」(従業員250人超またはEU域内売上5000万ユーロ超)および「重要事業者」(同50〜250人または1000万〜5000万ユーロ)に適用される。テレコム、クラウド、半導体、エネルギー、金融など18以上のセクターが対象である。

高リスクサプライヤーに指定されるとどうなるのか?

EU標準化作業、認証スキーム、公共調達、EU資金プログラムから排除される。モバイルネットワーク事業者は指定後36か月以内に当該サプライヤーのICTコンポーネントを段階的に排除する義務を負う。

CSA 2.0の施行時期はいつか?

欧州議会および理事会での通常立法手続き中であり、採択は2026年末から2027年にかけて見込まれる。採択後、高リスクサプライヤーリスト公表から36か月がモバイル事業者のフェーズアウト期限となる。

日本企業への影響はあるのか?

欧州市場で事業を展開する日本企業は、コンプライアンス対応が必要となる。一方で、高リスクサプライヤー指定の対象外として、欧州事業者のベンダー切り替え需要を取り込む機会もある。サプライチェーン上流の調達先が指定対象となるリスクにも注意が必要である。

参考文献