何が起きたか
オーストラリアのサイバーおよびインフラストラクチャセキュリティセンター (CISC) は、2026年6月18日に発表された「重要インフラストラクチャ法制の強化 (強化された重要インフラリスク管理プログラム) ルール 2026」(連邦官報機器 F2026L00701) を公開しました。強化された CIRMP ルールは SOCI Act 2018 に基づく法的拘束力のある改正であり、エネルギー、電力、ガス、液体燃料、水道、放送、DNS、および貨物資産クラスにわたる重要インフラストラクチャエンティティは以下を実施する義務があります: (1) AI を含む新規/新興技術からのリスクを評価および軽減する、(2) 重要システムに対してフィッシング耐性のある MFA を実装する、(3) 重要なシステムと非重要なシステムを分離する、(4) レガシーシステムのリスク、サプライチェーン、オフショアリング、およびインサイダー脅威に対処する。コンプライアンスのタイムラインは 2027 年から開始され、延長猶予期間があります。
なぜ重要か
これは重要インフラストラクチャ事業者向けの必須リスク評価カテゴリーとして AI を明示的に命名する最初の法的に強制可能なオーストラリア規制です。これは SOCI Act の下で重要インフラストラクチャ資産を保有するすべてのエンティティに対して、単なるガイダンスではなくコンプライアンス義務を作成します。伝統的な OT/IT コントロールと並行してセクター全体の AI リスク ガバナンスの先例を設定し、同じ週にリリースされたオーストラリアの Horizon 2 Cyber Security Strategy と並行して実行されます。
必要な対応
オーストラリアの CI 事業者: AI デプロイメントとレガシーシステムを直ちにインベントリに含める、AI ユースケースに対して CIRMP リスク評価を開始する、重要システムに対してフィッシング耐性のある MFA を実装する、およびシステム分離を計画する。2027 年のコンプライアンス期限前に強化された CIRMP ルールにコントロールをマッピングする。法務/コンプライアンスチームは連邦官報機器 F2026L00701 を確認する必要があります。