欧州委員会は2013年2月7日、欧州連合外務・安全保障政策上級代表と共同で、ネットワーク・情報セキュリティ関連の指令提案を盛り込んだサイバーセキュリティ戦略を公表した。
「開かれた安全が保証されたサイバー空間」をスローガンとするEUのサイバーセキュリティ戦略は、サイバー攻撃への対応に関する包括的なビジョンを提示するものであり、自由とデモクラシーの深化、ならびにデジタル経済の安定した成長を促す狙いもある。同戦略には特定アクションとして、情報システムのサイバーレジリエンス(復旧)向上、サイバー犯罪の減少、域内統一のサイバーセキュリティ政策の強化などが盛り込まれている。
欧州委員会は以下の五つをサイバーセキュリティの優先課題として挙げている。
- サイバーレジリエンスの達成
- サイバー犯罪の劇的な減少
- サイバー防衛政策の推進、および共通のセキュリティ防衛政策の実現
- サイバーセキュリティ関連の産業資源・技術資源の発展
- EUの中心的な価値を推進する包括的なサイバー空間政策の確立
一方、戦略の公表と同時に提示されたネットワーク・情報セキュリティ指令案について、欧州委員会は戦略遂行の要と位置づけ、全加盟国、情報関連サービス提供者、基幹インフラ事業者(電力、運輸、金融等)による順守を求めていく。指令案の方針は以下のとおりである。
(a)加盟各国にはネットワーク・情報セキュリティ戦略の採択を義務づけ、ネットワーク・情報セキュリティ関連のリスクやインシデントに対応する機関を設立し、適切な資金や人材を割り当てる。
(b)加盟各国と欧州委員会の間でネットワーク・情報セキュリティ関連のリスクとインシデントの早期警告を共有するシステムを構築する。
(c)基幹インフラ事業者(金融、運輸、電力、保険・衛生)、情報社会サービス提供事業者(アプリストア、電子商取引プラットフォーム、オンライン決済、クラウド・コンピューティング、検索エンジン、ソーシャル・ネットワーク)、ならびに行政機関は、リスク管理実践を取り入れ、中核サービスのセキュリティ・インシデントに関する報告を義務づける。