経済産業省 — 半導体・デジタル産業戦略の今後の方向性（第14回） p.19

キーファクト

• 72時間以内: 米国重要インフラに係るサイバーインシデント報告の期限 (インフラ)
• 2026年9月: EUサイバーレジリエンス法における報告義務の運用開始時期 (DX・デジタル)
• 4段階: サイバー・エッセンシャルズにおける基準の段階数 (DX・デジタル)
• 24時間以内: NIS2指令における重大インシデントの早期警告期限 (経済安全保障)
• 24時間以内: 米国重要インフラにおけるランサム支払後の報告期限 (経済安全保障)
• 72時間以内: NIS2指令における管轄省庁への報告期限 (経済安全保障)
• 72時間以内: 豪州におけるランサム支払後の報告義務期限 (経済安全保障)

抽出テキスト

サイバーセキュリティ政策に関する国際的な動向 半導体・デジタル産業を取り巻く情勢 ●欧米を中心に、①セキュア・バイ・デザイン*の概念に基づく製品のサイバーセキュリティ対策に対する要請や、②重要インフラ事業者に対するインシデント報告等の義務化、③企業のサイバーセキュリティ対策水準を整備・可視化する動きが加速。 * IT製品（特にソフトウェア）が、設計段階から安全性を確保されていることを指す。 ①IoT・ソフトウェア製品に対するセキュリティ要件 ②重要インフラ事業者等に対するインシデント報告等の義務 EU サイバーレジリエンス法 (EU Cyber Resilience Act) 重要インフラに係るサイバーインシデント報告法 ・デジタル要素を備えた製品（ソフトウェア含む）の製造者 (Cyber Incident Reporting for Critical Infrastructure Act of 2022) に対し、①セキュリティ特性要件に従った上市前の設計製造、 ②上市後に積極的 に悪用された脆弱性・インシデントの報告 等を義務付け。 ・2024年12月に発効。報告義務の運用開始は2026年9月、そ の他は2027年12月開始。 ・「重要インフラ」に対し、①重大なサイバーインシデントの認知後72時間以内、 ②ランサム支払後24時間以内に米CISAへの報告等を義務付け。 ・2022年3月成立、2024年4月規則案公表。 サイバー・トラスト・マーク (U.S. Cyber Trust Mark) NIS 2指令 (Directive (EU) 2022/2555) ・消費者向け無線IoT製品が対象の任意ラベリング制度。 ・2016年NIS指令から対象セクターを拡大。対象の主要/重要エンティティに対し、 ルータ、スマートメーター等一部製品については、個別の ①サイバーセキュリティ・リスクマネジメントの強化、 ②重大なサイバーインシデントの認知後24時間以内に早期警告、72時間以内にCSIRT又は管轄省庁に報告等 セキュリティ要件が定義される見込み。2024年7月に最 を義務付け。2023年1月発効、2024年10月18日より執行。 終規則公表。 ※豪州においても、特定の事業者に対しランサム支払い後72時間以内の報告を義務付けるサイバー セキュリティ法（下位法の制定を経て2025年5月30日より適用予定）が存在。 PSTI法 ③企業のサイバーセキュリティ対策水準の整備・可視化 (Product Security and Telecommunication Infrastructure Act) ・2022年12月に、消費者向けIoT機器の製造者等に対する サイバー・エッセンシャルズ (UK Cyber Essentials) セキュリティ基準への自己適合宣言を義務付けるPSTI法が ・英NCSCが全ての企業に対し、一般的なサイバー攻撃への防御策を提供することを目 的として設計した、自己適合、第三者診断の二段階で構成される認証制度。 成立。 ・一部政府及び公的機関の調達において必須要件として課される場合がある。 ・2024年4月に、適用が開始され、英国内で製造や流通、販売を ※豪州においても、すべての組織を対象とする4段階の基準（エッセンシャル・エイト）が存在。 行う場合には、3つのセキュリティ要件を含む同法で規定された ※米国においても、米国防省がその請負業者等と共有する機密性の高い情報の保護を目的とした セキュリティ対策の遵守が義務づけられた。 サイバーセキュリティ成熟度モデル認証 (CMMC. 2023年12月に2.0版が発効。) が存在する。 ※PSTI法で規定されている3つのセキュリティ要件とは、共通パスワード設定の 禁止、脆弱性情報の提供、セキュリティサポート期間の明示。