欧州委員会が「無邪気な時代の終わり」を宣言——2026年2月、ミュンヘンでの発言が波紋を呼んだ理由

2026年2月13日、ミュンヘン・サイバーセキュリティ会議(MCSC 2026)の壇上に立った欧州委員会執行副大統領エンナ・フィルクネンは、欧州の主要サイバーセキュリティ関係者を前に断言した。「重要インフラを動かすITシステムを停止できる者が誰かについて、もう無邪気でいられない(We can no longer afford to be naive about who has the capacity to switch off the ICT systems running our critical infrastructure)」。この発言は「サイバーセキュリティを地政学戦略の核に置く」というEUの方針転換を象徴する言葉として欧州メディアで広く引用された。

背景にあるのは、2022年以降に加速したロシアと中国によるサイバー攻撃の複合化だ。ロシア軍情報機関の部隊サンドワームは、ウクライナの電力網変電所を狙う産業制御システム破壊マルウェア「Industroyer2」を実戦投入し、物理的な停電を引き起こした。欧州の病院・エネルギー網・公的機関も同様の標的になっており、フィルクネンは「攻撃はサイバーだけでなく、物理的妨害工作・偽情報・経済的圧力と組み合わさっている」と強調した。そのうえで「今日の世界に、サイバーセキュリティなき安全保障は存在しない(In today’s world, there is no security without cybersecurity)」と言い切った。

元記事・原文引用

元ネタEU can’t be ‘naive’ about enemies shutting down critical infrastructure, warns tech official(The Record from Recorded Future News / 2026年2月13日)

“In today’s world, there is no security without cybersecurity.” — Henna Virkkunen, European Commission Executive Vice President

2026年1月始動の「欧州新サイバー法パッケージ」——NIS2改正とCSA2が変える3つのルール

フィルクネンの発言の3週間前、欧州委員会はこの方針転換を具体化した「EUサイバーセキュリティパッケージ」を発表した(2026年1月20日)。核心はNIS2指令改正案とサイバーセキュリティ法改正案(CSA2)の二本立てだ。

第一の柱となるNIS2改正は、適用範囲をさらに拡大する。欧州ビジネス・ウォレット提供者や戦略的デュアルユース基盤インフラ運営者が新たに対象となるほか、EU外の事業者でも「EU域内で必須・重要なサービスを提供する場合はEU代表者の設置が義務付け」られる。日本企業がEUで通信・エネルギー・金融サービスを展開している場合、この代表者要件が直接かかってくる。また、加盟国間で独自規制を上乗せできない統一的な技術リスク管理対策が設定されるため、「国ごとに異なる解釈で対応する」という現在の実務は通用しなくなる。

第二の柱・CSA2が持つ最大のインパクトは、「信頼できるICTサプライチェーン枠組み」の創設だ。欧州委員会または3カ国以上の加盟国が協調してセキュリティリスク評価を実施し、「高リスクと認定されたICTサプライヤーの製品を重要インフラから排除する」義務が生まれる。名指しされているのはファーウェイ(Huawei Technologies)と中興通訊(ZTE)だ。これまで「各国の個別判断」に委ねられていた排除措置が、CSA2によってEU全域で段階的撤去の義務として法制化される。

第三の変化はインシデント報告の標準化だ。ランサムウェア報告フォーマットの統一と、サプライチェーン・セキュリティ質問票の重複排除が図られる。中小企業のコンプライアンス負担を下げながら、EU全体の脅威情報を一元集約する設計だ。

欧州メディアの論調——「遅すぎた決断」か「踏み込みすぎ」か

The Recordをはじめとする欧米サイバーセキュリティメディアは、今回のパッケージを「長年先送りにされてきた決断」として肯定的に評価した。ドイツとフランスはファーウェイの完全撤去に経済的理由から慎重な姿勢を続けていたが、ロシアによる複合攻撃と海底ケーブル切断事件が相次いだことで方針転換を余儀なくされた、と報じられている。エストニアの外国情報機関チーフは「欧州は防衛に集中しすぎており、現代の情報作戦には攻撃的サイバー能力が不可欠だ」とさらに踏み込んだ主張をしており、EUが「守りから攻め」へシフトするかどうかも今後の焦点となっている。

一方、通信業界団体は「既存インフラの入れ替えには10年と数十億ユーロが必要だ」と反発している。移行コストの負担をめぐる議論は、法案の最終形が固まるまで続くとみられている。

日本の経済安全保障推進法との共鳴——「信頼できるサプライチェーン」が世界標準になる日

日本では2022年に施行された経済安全保障推進法により、基幹インフラ事業者は政府指定の「特定重要設備」について安全保障上の事前審査が義務付けられている。対象は電気・ガス・鉄道・通信・金融など14分野で、ファーウェイ製品の排除が実質的に進んでいる。EUのCSA2はこれと同じ方向性を持ちながら、単一市場4億5000万人規模の経済圏を一斉に動かす点で規模が根本的に異なる。

日本企業がEU市場でデジタルサービスを提供している場合、CSA2が求めるサプライチェーン審査と日本国内の経済安保法上の審査が「二重義務」として重なる可能性がある。経産省・総務省が推進する「デジタルインフラの信頼性確保」政策とEUの枠組みをどう整合させるかは、実務レベルでの課題になりつつある。

「サイバーセキュリティなき安全保障はない」——EUの宣言は、日本への問いでもある

フィルクネンの言葉は、単なる欧州内部の話に留まらない。国際社会はいま、ICTサプライチェーンを「経済効率」ではなく「信頼性」で選別する方向へ明確に舵を切った。EUが法律でその原則を制度化した今、日本は「制度の整合性」という次の問いに向き合う段階に入っている。日本版CSA——同盟国間で「信頼できるサプライヤー」を共同認定する枠組みを作れるかどうか——が、今後10年の情報通信インフラの安全保障を左右するかもしれない。EUの「無邪気な時代の終わり」は、日本にとっての「次のステージへの問い」として届いている。

参照・原文リンク