2026年は制度変更の集中年
2026年は日本企業にとってサイバーセキュリティの転換点となる年です。SCS評価制度の運用開始、サイバー対処能力強化法の施行、EUサイバーレジリエンス法の報告義務開始など、複数の制度変更が同時に進行します。
制度変更カレンダー
| 時期 | 制度 | 内容 | 影響範囲 |
|---|---|---|---|
| 2026年4月 | サイバー通信情報監理委員会 | 能動的サイバー防御法に基づく独立監視機関の設置 | 政府機関 |
| 2026年中 | サイバー対処能力強化法 | 基幹インフラ事業者のインシデント報告義務等の施行 | 重要インフラ事業者、サプライチェーン企業 |
| 2026年春 | お助け隊サービス(新類型) | SCS評価制度連動の中小企業向けセキュリティ支援の実証事業開始 | 中小企業 |
| 2026年10月〜 | SCS評価制度(★3・★4) | サプライチェーンセキュリティ対策の可視化制度の運用開始 | 全企業(特にサプライチェーン上の企業) |
| 2026年9月 | EUサイバーレジリエンス法(CRA) | 重大脆弱性のENISAへの報告義務開始 | EU向け製品を販売する企業 |
| 2026年度中 | 重要インフラ セキュリティ新基準 | 重要インフラに係る新たなセキュリティ基準の策定 | 重要インフラ事業者 |
SCS評価制度
SCS評価制度は経産省が主導する、企業のセキュリティ対策を★3〜★5で可視化する制度です。★3(自己評価・25項目)と★4(第三者評価・44項目)が2026年10月頃に運用開始予定です。取引先から★3以上の取得を求められるケースが増えると見込まれています。
サイバー対処能力強化法
サイバー対処能力強化法は基幹インフラ事業者にインシデント報告義務を課す法律です。基幹インフラ事業者だけでなく、そのサプライチェーン上の企業にも間接的な影響があります。
EUサイバーレジリエンス法
EUサイバーレジリエンス法(CRA)は、2026年9月から脆弱性の報告義務が先行適用され、2027年12月に完全適用されます。EU市場にデジタル製品を販売する日本企業は早期の準備が必要です。
その他の注目制度
- JC-STAR制度:IoT製品のセキュリティラベリング制度。★2以降の運用拡大が予定
- CMMC 2.0:米国防衛産業のサイバーセキュリティ認証。段階的適用が進行中
- 改正電気通信事業法:特定利用者情報の適正な取扱いに関する規律の運用強化
企業のアクションプラン
| 時期 | アクション |
|---|---|
| 今すぐ(2026年Q1) | 自社に関係する制度を特定し、影響範囲を把握 |
| 2026年Q2 | SCS★3の25要求事項とのギャップ分析を実施 |
| 2026年Q3 | 未対応項目への対策実装(MFA、資産台帳、インシデント対応計画等) |
| 2026年Q4 | SCS★3の自己評価を実施。サイバー対処能力強化法の対応状況を確認 |
まとめ
2026年はSCS評価制度、サイバー対処能力強化法、EUサイバーレジリエンス法など、企業のセキュリティ対応が大きく変わる年です。本記事のカレンダーを参考に、自社に関係する制度を特定し、Q1中にギャップ分析を開始しましょう。