欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書（2024）(2024.12.03): まるちゃんの情報セキュリティ気まぐれ日記

2024 Report on the State of the Cybersecurity in the Union	2024 欧州連合におけるサイバーセキュリティの状況に関する報告書
This document marks the first report on the state of cybersecurity in the Union, adopted by ENISA in cooperation with the NIS Cooperation Group and the European Commission, in accordance with Article 18 of the Directive (EU) 2022/2555 (hereinafter NIS2).	本書は、指令（EU）2022/2555（以下、NIS2）の第18条に基づき、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、EUにおけるサイバーセキュリティの状況に関する初の報告書である。
The report aims at providing policy makers at EU level with an evidence-based overview of the state of play of the cybersecurity landscape and capabilities at the EU, national and societal levels, as well as with policy recommendations to address identified shortcomings and increase the level of cybersecurity across the Union.	この報告書の目的は、EUレベルの政策立案者に対し、EU、国、社会レベルでのサイバーセキュリティの現状と能力に関する証拠に基づく概観を提供するとともに、明らかになった欠点に対処し、EU全体のサイバーセキュリティのレベルを向上させるための政策提言を提供することである。

・[PDF]

目次...

TABLE OF CONTENTS	目次
INTRODUCTION	序文
1. CYBERSECURITY LANDSCAPE IN THE UNION	1. 連合におけるサイバーセキュリティの状況
1.1 LEGISLATIVE CONTEXT	1.1 法的背景
1.2 UNION-LEVEL RISK ASSESSMENT	1.2 EUレベルのリスクアセスメント
1.3 EU CYBERTHREAT LANDSCAPE	1.3 EUのサイバー脅威の状況
2. CYBERSECURITY CAPABILITIES AT THE UNION LEVEL	2. 連合レベルのサイバーセキュリティ能力
2.1 HIGH-LEVEL FINDINGS	2.1 ハイレベルの調査結果
2.2 NATIONAL CAPABILITIES: ALIGNMENT OF NATIONAL CYBERSECURITY STRATEGIES	2.2 各国の能力国家サイバーセキュリティ戦略の整合性
2.3 PRIVATE SECTOR CAPABILITIES: CYBERSECURITY CAPABILITIES OF CRITICAL SECTORS	2.3 民間部門の能力重要セクターのサイバーセキュリティ能力
2.4 SOCIETAL CAPABILITIES: CYBERSECURITY AWARENESS AND CYBER-HYGIENE OF EU CITIZENS	2.4 社会の能力欧州市民のサイバーセキュリティ意識とサイバー衛生
3. INCREASING THE LEVEL OF CYBERSECURITY	3. サイバーセキュリティ水準の向上
3.1 POLICY IMPLEMENTATION	3.1 政策の実施
3.1.1 Implementing a comprehensive and complementary cybersecurity policy framework	3.1.1 包括的かつ補完的なサイバーセキュリティ政策の枠組みの導入
3.1.2 Identification and Supervision	3.1.2 識別と監督
3.1.3 Cybersecurity risk management measures	3.1.3 サイバーセキュリティリスクマネジメント対策
3.1.4 Information sharing and reporting obligations: institutional framework and practice	3.1.4 情報共有と報告義務：制度的枠組みと実践
3.2 CYBER CRISIS MANAGEMENT	3.2 サイバー危機管理
3.2.1 Situational awareness	3.2.1 状況認識
3.2.2 National CSIRTs	3.2.2 国家CSIRT
3.2.3 National capabilities: Cyber-exercises	3.2.3 国家能力サイバー演習
3.3 CYBERSECURITY SKILLS	3.3 サイバーセキュリティスキル
3.4 SUPPLY CHAIN SECURITY	3.4 サプライチェーンのセキュリティ
3.4.1 Vulnerability handling and disclosure	3.4.1 脆弱性の取り扱いと開示
4. LOOKING AHEAD	4. 先を見通す
5. ANNEX	5. 附属書

エグゼクティブサマリー

EXECUTIVE SUMMARY	エグゼクティブサマリー
This document marks the first report on the state of cybersecurity in the Union, adopted by ENISA in cooperation with the NIS Cooperation Group and the European Commission, in accordance with Article 18 of the Directive (EU) 2022/2555 (hereinafter NIS2). The report aims at providing policy makers at EU level with an evidence-based overview of the state of play of the cybersecurity landscape and capabilities at the EU, national and societal levels, as well as with policy recommendations to address identified shortcomings and increase the level of cybersecurity across the Union.	本書は、指令（EU）2022/2555（以下、NIS2）の第18条に基づき、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、EUにおけるサイバーセキュリティの状況に関する初の報告書である。本報告書の目的は、EUレベルの政策立案者に対し、EU、国、社会レベルでのサイバーセキュリティの現状と能力に関するエビデンスに基づく概観を提供するとともに、明らかになった欠点に対処し、EU全体のサイバーセキュリティのレベルを向上させるための政策提言を提供することである。
The drafting of this report precedes the transposition date of NIS2. As a result, some of the data presented here may not fully reflect cybersecurity capabilities following the transposition deadline of 17 October 2024. Still, this report includes several data points unlikely to change in the short- and mid-term and serves as a snapshot of the state of cybersecurity in the Union just before NIS2 is fully implemented by EU Member States (MSs).	本報告書のドラフトは、NIS2の移管日に先立って行われた。そのため、ここに示したデータの一部は、2024年10月17日の移管期限後のサイバーセキュリティ能力を完全に反映していない可能性がある。それでも、本報告書には、短期的・中期的に変化する可能性の低いデータがいくつか含まれており、NIS2がEU加盟国（MS）によって完全に実施される直前の、EUにおけるサイバーセキュリティの状況を示すスナップショットとして役立つ。
The recent past has been characterised by horizontal policy initiatives including but not limited to NIS2, CRA, CSOA and EUDIF that improve the EU cybersecurity policy framework and establish all necessary structures and processes to allow for targeted improvements at the Union level of cybersecurity moving forward. Sectorial policy initiatives (e.g. DORA, NCCS, Aviation) were adopted in parallel to address specific sectorial challenges. At the same time the volatile geopolitical landscape has influenced the goals and tactics employed by state and non-state threat actors, while an assessment of the threat landscape reveals an increase in cybersecurity incidents in the EU with ransomware and DDoS attacks getting the lion’s share among the various types of attack observed.	最近では、NIS2、CRA、CSOA、EUDIFなどの水平的な政策イニシアチブがEUのサイバーセキュリティ政策の枠組みを改善し、サイバーセキュリティのEUレベルでの改善を可能にするために必要なすべての構造とプロセスを確立した。分野別の政策イニシアチブ（DORA、NCCS、航空など）は、特定の分野の課題に対処するために並行して採用された。同時に、不安定な地政学的情勢は、国家や非国家の脅威行為者が採用する目標や戦術に影響を及ぼしている。一方、脅威の状況をアセスメントした結果、EUにおけるサイバーセキュリティインシデントの増加が明らかになり、観測されたさまざまなタイプの攻撃の中で、ランサムウェアとDDoS攻撃が大きなシェアを占めている。
This report concludes that the maturity of the EU cybersecurity policy framework has reached a considerable level and that the following period could place emphasis on supporting private and public sector entities with the implementation of the legislation by EU MSs, with the support of the European Commission and ENISA. The plethora of mechanisms, processes and platforms for collaboration established within this framework, such as the NIS Cooperation Group, EU-CyCLONe and the CSIRTs Network to name but a few, provide a solid basis and a comprehensive toolbox to address the shortcomings identified in key policy areas, namely Policy Implementation, Cyber Crisis Management Skills and Supply Chains.	本報告書では、EUのサイバーセキュリティ政策の枠組みの成熟度はかなりのレベルに達しており、次の期間は、欧州委員会とENISAの支援を受けながら、EU加盟国による法律の実施と、民間および公共部門の事業体を支援することに重点を置くことができると結論づけている。NIS協力グループ、EU-CyCLONe、CSIRTsネットワークなど、この枠組みの中で確立された多くのメカニズム、プロセス、協力のためのプラットフォームは、主要な政策分野、すなわち、政策の実施、サイバー危機管理スキル、サプライチェーンにおいて特定された欠点に対処するための強固な基礎と包括的なツールボックスを提供している。
Specifically, this report recommends:	具体的には、本報告書は以下を提言する：
Strengthening the technical and financial support given to EUIBAs and national competent authorities and to entities falling within the scope of the NIS2 Directive to ensure a harmonised, comprehensive, timely and coherent implementation of the evolving EU cybersecurity policy framework using already existing structures at EU level such as the NIS Cooperation Group, CSIRTs Network and EU Agencies.	NIS協力グループ、CSIRTsネットワーク、EU機関など、EUレベルですでに存在する組織を活用し、EUIBAs、各国所轄官庁、NIS2指令の適用範囲に含まれる事業体に対し、調和のとれた、包括的でタイムリーかつ首尾一貫した、発展途上のEUサイバーセキュリティ政策枠組みの実施を確保するための技術的・財政的支援を強化する。
As called upon by the Council, revising the EU Blueprint for coordinated response to large-scale cyber incidents, while taking into account all the latest EU cybersecurity policy developments. The revised EU Blueprint should further promote EU cybersecurity harmonisation and optimisation, as well as strengthen both national and EU cybersecurity capabilities for levelled up cybersecurity resilience at national and European level.	EU理事会が要請したように、大規模サイバーセキュリティインシデントへの協調的対応のためのEUブループリントを、最新のEUサイバーセキュリティ政策の進展をすべて考慮しながら改訂する。改訂されたEUブループリントは、EUのサイバーセキュリティの調和と最適化をさらに推進するとともに、国内および欧州レベルでのサイバーセキュリティのレジリエンスをレベルアップするために、国内およびEUのサイバーセキュリティ能力を強化すべきである。
Strengthening the EU cyber workforce by implementing the Cybersecurity Skills Academy and in particular by establishing a common EU approach to cybersecurity training, identifying future skills needs, developing a coordinated EU approach to stakeholders’ involvement to address the skills gap and setting up a European attestation scheme for cybersecurity skills.	サイバーセキュリティ技能アカデミーを実施し、特に、サイバーセキュリティ訓練に対するEU共通のアプローチを確立し、将来の技能ニーズを特定し、技能格差に対処するための利害関係者の関与に対するEUの協調的アプローチを開発し、サイバーセキュリティ技能に関する欧州の認証制度を設けることにより、EUのサイバー労働力を強化する。
Addressing supply chain security in the EU by stepping up EU wide coordinated risk assessments and the development of an EU horizontal policy framework for supply chain security aimed at addressing the cybersecurity challenges faced both by the public and the private sectors.	EU全体で協調したリスクアセスメントを強化し、公共部門と民間部門の両方が直面するサイバーセキュリティの課題に対処することを目的とした、サプライチェーンセキュリティに関するEUの水平的政策枠組みを構築することにより、EUにおけるサプライチェーンセキュリティに対処する。
Enhancing the understanding of sectorial specificities and needs, improving the level of cybersecurity maturity of sectors covered by the NIS2 Directive and using the future Cybersecurity Emergency Mechanism to be established under the CSOA for sectorial preparedness and resilience with a focus on weak or sensitive sectors and risks identified through EU-wide risk assessments.	セクターの特殊性とニーズの理解を改善し、NIS2指令の対象となるセクターのサイバーセキュリティ成熟度を向上させ、CSOAの下で設立される予定のサイバーセキュリティ緊急メカニズムを、EU全体のリスク評価を通じて特定された脆弱なセクターやセンシティブなセクター、リスクに焦点を当てて、セクターごとの準備とレジリエンスのために活用する。
Promote a unified approach by building on existing policy initiatives and by harmonising national efforts to achieve a common high-level of cybersecurity awareness and cyber hygiene among professionals and citizens, irrespective of demographic characteristics.	既存の政策イニシアチブを基礎とし、人口統計学的特徴に関係なく、専門家や市民の間で共通の高いレベルのサイバーセキュリティ意識とサイバー衛生を達成するための各国の取り組みを調和させることにより、統一的なアプローチを推進する。