重要事業体レジリエンス指令

CER（重要事業体レジリエンス指令、(EU) 2022/2557）は、必要不可欠なサービスを提供するEU域内の事業体の物理的レジリエンスを強化するための欧州連合の法律です。自然災害、テロ攻撃、公衆衛生危機などの非サイバー脅威への対応を目的とします。これは2008年の欧州重要インフラ指令（ECI）に代わるもので、適用範囲と要件が拡大されています。企業リスク管理において、CERはオペレーショナルリスクとコンプライアンスリスクに対応し、サイバーセキュリティに焦点を当てるNIS2指令を補完します。組織自体の事業継続を目的とするISO 22301とは異なり、CERは社会に不可欠なサービスの保護を優先します。

CERの適用には体系的なアプローチが必要です。まず、事業体は第13条に基づき「リスク評価」を実施し、必要不可欠なサービスを中断させる可能性のある全ての非サイバーリスクを特定します。次に、評価結果に基づき、第14条に従って物理的セキュリティ、バックアップシステム、サプライチェーンリスク管理などの「レジリエンス措置」を講じます。最後に、インシデント発生後24時間以内に管轄当局へ初期報告を行う「インシデント通知」体制を確立する必要があります。CERの導入は、高額な罰金を回避するだけでなく、オペレーショナルな中断リスクを体系的に低減させます。調査によれば、このようなプログラムを持つ組織は、重大な物理的セキュリティインシデントを15～20%削減できます。

台湾企業はCER導入において主に3つの課題に直面します。第一に「間接的なコンプライアンス圧力」です。EUの重要事業体へのサプライヤーとして、直接の規制対象ではないものの、サプライチェーン監査の要求に直面し、適用範囲が不明確です。第二に「組織の縦割り」です。物理セキュリティ、事業継続、サプライヤー管理が別々の部署で管理され、統合的な戦略が欠如しています。第三に「リスク評価のギャップ」です。ISO 27001のようなITリスク評価には慣れていますが、CERが要求する気候変動などを含む「オールハザード」型評価には不慣れです。対策として、部門横断チームを設置し、ギャップ分析を行い、NIST SP 800-53などを参考に統合的なリスク管理体制を構築することが推奨されます。

積穗科研は台湾企業のCERに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact