NIS2指令

NIS2指令(改正ネットワーク及び情報システム指令)

知っておくべき重要ポイント

NIS2とは?

欧州議会と欧州理事会により、EUのサイバーセキュリティ強化を目的としたNIS2指令(改正ネットワーク及び情報システム指令)が2023年に発表されました。2024年10月までに、このNIS2を基盤とし、各EU加盟国で国内法に移管される見通しが立っています。従来のNIS指令に比べると、NIS2指令では各事業体が対応すべきITセキュリティの最低要件が大幅に引き上げられていることが分かります。特に、規制の対象範囲の拡大と、インシデント報告義務の厳格化が大きな変更点です。

EUへビジネスを展開している企業は、まず自社がNIS2に該当するかを診断し、該当する場合には求められている対策を実装するための体制作りをしなければなりません。確実な対策実装のために、まずはNIS2についての知識を深めてもらいたいという願いから、EnobyteではNIS2セミナーを開催します。言語は日本語で、参加にあたりNIS2についての予備知識の有無は問いません。セミナー以外にも、個別相談の受け付けも行っていますので、ぜひお気軽にお声がけください。

適用範囲

NIS2では、18の産業部門を重要セクターとして定義づけています。重要セクターに該当し、なおかつ従業員が50人以上または年間売上高1,000万ユーロ以上の企業は、NIS2の要件を遵守し、サイバーセキュリティを強化する対策を講じなければなりません。DNSサービス、TLDレジストラおよび認定トラストサービスのプロバイダー、ならびに基幹インフラ等には、例外として企業規模に関わらずNIS2が適用されるため注意が必要です。

NIS2の附属文書ⅠとⅡには、基本的な適用範囲が書かれています。附属Ⅰが「高重要分野」、附属Ⅱが「その他重要分野」となっていますが、それぞれの分野が事業内容ごとに細かく細分化されているため、附属文書に自社の分野が載っていたとしても、必ずしもNIS2に該当するとは限りません。

  • 高重要分野

     

    • エネルギー
    • 交通・運輸
    • 銀行 
    • 金融市場インフラ 
    • 保健衛生
    • 飲料水
    • 廃水
    • デジタルインフラ
    • ICTサービスマネジメント(B2B)
    • 行政
    • 宇宙

  • その他重要分野

     

    • 郵便・宅配サービス
    • 廃棄物管理
    • 化学物質の生産・製造・加工
    • 食品の製造・加工・流通
    • 製造
    • デジタルプロバイダー
    • 研究

上記に加え、同じ部門であっても中企業(従業員50〜249人または年間売上高5,000万ユーロ未満)と大企業(従業員250人以上または年間売上高5,000万ユーロ以上)では、求められる義務や課される制裁金額が異なります。それぞれ部門と企業規模に応じて「主要エンティティ」「重要エンティティ」に分けらるため、自社がどのエンティティに区分されるかを見極める個別診断が必要です。

NIS2対策の第一歩は、自社がNIS2に該当するか、該当する場合はどの区分になるのかを明らかにすることです。EnobyteのNIS2アセスメントで診断し確認してみましょう。

今すぐ無料でNIS2アセスメントを受ける

求められる対策

NIS2に該当する企業は、所轄の当局(ドイツでは連邦情報セキュリティ局(BSI))に以下の情報を知らせる必要があります:

  • 企業名、連絡先、IPアドレス範囲
  • 附属ⅠまたはⅡのうち該当する部門
  • ビジネスを展開するEU加盟国

さらに、NIS2は各経営責任者に定期的なトレーニングの受講を義務付けています。これは、サイバーセキュリティ分野におけるリスクの認識力と管理能力の確保を目的とした、経営責任者の知識と技能を鍛えるトレーニングを指します。
 

最低要件

NIS2は、サービスの提供に利用されるシステムのセキュリティに、最低でも以下10項目の技術的、運用的および組織的対策を実装するよう要求しています。

  • 情報システムにおけるリスク分析およびセキュリティ指針の作成
  • セキュリティ事故のハンドリング
  • 緊急時の事業継続、バックアップ管理および復旧、危機管理
  • サプライチェーンセキュリティ、企業と一次サプライヤー間のセキュリティ面
  • 情報通信技術(ICT)の取得、開発、維持のためのセキュリティ
  • リスクマネジメント対策の効果性評価指針
  • サイバーセキュリティのためのサイバー衛生とトレーニングの実施
  • 暗号学(暗号化等)導入のための指針
  • 人的措置、アクセスコントロール、設備管理
  • 多要素認証の利用、認証の継続的なアップデート、緊急用の安全なコミュニケーション

上記の対策の実施方法についての詳細は、今後欧州委員会により発表される可能性があります。

ただし、各企業が各々リスク分析を行い適切な対策を実装することが大前提です。要求されている対策を実装できない場合には、制裁金が課される場合があります。
 

報告義務

サービスの提供に重大な影響を及ぼすセキュリティ事故が発生した場合、当該企業は所轄の当局またはCSIRT(セキュリティ・インシデント・レスポンス・チーム)へ、段階的に最低3回報告しなければなりません。

それぞれの時間制限は以下のとおりです:

  • 早期警告(24時間以内
  • 重大性、影響および侵害の評価についての中間報告(72時間以内
  • 最終報告(インシデントが継続している場合は進捗についての中間報告)(1ヶ月以内

当局またはCSIRTから要求がある場合は、上記に加え、さらなる中間報告書の作成と提出が必要となることがあります。

また、当局およびCSIRTへの報告に加え、インシデントについて顧客への連絡や公表が必要です。

BSI法の改正案では、金融および保険、情報技術および通信、ICTサービスならびにデジタルサービスに属する企業に対し、重大なセキュリティ事故があった事実ならびに救済措置について顧客へ通知するよう求めています。

お気軽にご相談ください

Enobyteでは、NIS2についてのご質問や個別相談のお問い合わせを受け付けています。対策実装のお手伝いができれば光栄です。

無料NIS2入門セミナーの次回開催日については、ご遠慮なくお問い合わせください!

ご相談・お問い合わせ

 

GDPR対策に関することなど、お気軽にご相談ください。

業界トップクラスのデータ保護企業として、

100社以上の日本企業のGDPR対策をサポートしています。

support@enobyte.com