EUは、12月7日、域内で活動する重要分野の大手企業にサイバーセキュリティ対策を強化し、サイバー攻撃を受けた際には、その情報を当局に報告することを義務付ける新しい規則で合意した。今後、欧州議会と各国代表の正式な承認を受ける必要がある。
「Network and Information Security Directive」は、エネルギー、運輸、医療、金融、医療・保険、デジタルインフラの各分野の大手企業に加え、検索エンジンやクラウドコンピューティング、電子商取引などのテクノロジー企業に対し、適切なサイバーセキュリティ対策を講じ、深刻なサイバー攻撃を受けた場合、その情報を当局に報告し、情報を共有することを義務付けている。ただし、小規模な企業はこの対象に含まれず、またフェイスブックなどのSNSも含まれない。
今後、加盟各国間の連携強化を図る調整チームやコンピュータ・セキュリティ・インシデントに対応するための専門チーム(CSIRT)を設立する予定だという。
EUでは、これまでプライバシー保護が重視されていたが、パリ同時多発テロで風向きが変わりつつある。テロ対策強化の名目で、暗号化された通信を傍受・解読できる手段を確保しようという動きが強まっており、プライバシー保護団体等が警戒を強めている。
情報筋によると、EU及び加盟各国の政府・司法当局とフェイスブックやツイッター、マイクロソフト、アップル、グーグル等のテクノロジー企業は、テロ対策での連携強化について協議が行われた模様。この中には、SNSの監視や暗号化データへのバックドア提供義務付けについての話合いも含まれていた。
プライバシー保護団体等は、暗号化されたデータにアクセスするためのバックドアを設けることは、ハッカーがこれらのデータにアクセスする窓口を用意することでもあり、セキュリティを弱体化させ、プライバシー侵害を招くだけでテロ対策としての効果は乏しいと指摘している。