NIS2指令（改正ネットワーク及び情報システム指令）

欧州議会と欧州理事会は、EUのサイバーセキュリティを強化する目的で、NIS2指令（改正ネットワーク及び情報システム指令）を2023年に発表しました。この指令は2024年10月までに各EU加盟国で国内法に移管される予定であり、現在、多くの国で具体的な準備が進められています。従来のNIS指令と比べ、NIS2指令では以下の点が大幅に強化されています。

• ITセキュリティ最低要件の引き上げ
• 規制対象範囲の拡大
• インシデント報告義務の厳格化

EUで事業を展開する企業は、まず自社がNIS2の対象かどうかを確認し、該当する場合は必要な対策を講じる体制を整える必要があります。NIS2に関する情報を正確に把握し、自社に適した対策を検討してください。

NIS2では、18の産業部門を重要セクターとして定義しており、以下の基準を満たす企業が対象です。

• 従業員が50人以上または年間売上高1,000万ユーロ以上
• 特定インフラ事業者（DNSサービス、TLDレジストラおよび認定トラストサービスのプロバイダー、ならびに基幹インフラ等）は、企業規模に関わらず適用対象

NIS2の附属文書ⅠとⅡには、基本的な適用範囲が書かれています。附属Ⅰが「高重要分野」、附属Ⅱが「その他重要分野」となっていますが、それぞれの分野が事業内容ごとに細かく細分化されているため、附属文書に自社の分野が載っていたとしても、必ずしもNIS2に該当するとは限りません。

NIS2に該当する企業は、所轄の当局（ドイツでは連邦情報セキュリティ局（BSI））に以下の情報を知らせる必要があります：

• 企業名、連絡先、IPアドレス範囲
• 附属ⅠまたはⅡのうち該当する部門
• ビジネスを展開するEU加盟国

加えて、NIS2は各経営責任者に定期的なトレーニングの受講を義務付けています。これは、サイバーセキュリティ分野におけるリスクの認識力と管理能力の確保を目的とした、経営責任者の知識と技能を強化するトレーニングを指します。
 

最低要件

NIS2は、サービスの提供に利用されるシステムのセキュリティに、最低でも以下10項目の技術的、運用的および組織的対策を実装するよう要求しています。

• リスク分析およびセキュリティ指針の作成
• セキュリティ事故のハンドリング
• 緊急時の事業継続、バックアップ管理および復旧計画
• サプライチェーンセキュリティ、企業と一次サプライヤー間のセキュリティ管理
• 情報通信技術（ICT）の取得、開発、維持のためのセキュリティ対策
• リスクマネジメント対策の効果性評価指針の確率
• サイバー衛生の徹底とトレーニングの実施
• 暗号学（暗号化等）導入と運用指針
• 人的措置、アクセスコントロール、設備管理
• 多要素認証の導入、認証の継続的なアップデート、緊急用の安全なコミュニケーション手段の確保

上記の対策の実施方法についての詳細は、今後欧州委員会により発表される可能性があります。

ただし、各企業は独自のリスク分析に基づき、適切な対策を実装する必要があります。要求されている対策を実装できない場合には、制裁金が課される場合があります。
 

報告義務

サービスの提供に重大な影響を及ぼすセキュリティ事故が発生した場合、当該企業は所轄の当局またはCSIRT（セキュリティ・インシデント・レスポンス・チーム）へ、段階的に最低３回報告しなければなりません。

それぞれの時間制限は以下のとおりです：

• 早期警告（24時間以内）
• 重大性、影響および侵害の評価についての中間報告（72時間以内）
• 最終報告（インシデントが継続している場合は進捗についての中間報告）（1ヶ月以内）

当局またはCSIRTから要求がある場合は、上記に加え、さらなる中間報告書の作成と提出が必要となることがあります。

また、当局およびCSIRTへの報告に加え、インシデントについて顧客への連絡や公表が必要です。

特に、金融、保険、情報技術および通信、ICTサービスならびにデジタルサービスに属する企業に対しては、重大なセキュリティ事故があった事実ならびに救済措置について顧客への通知を求めるBSI法改正案も検討されています。

Enobyteでは、NIS2に関するご質問や対策のご相談を受け付けています。

必要な対策の実装やリスク分析のお手伝いを通じ、企業のサイバーセキュリティ体制強化をサポートいたします。

お気軽にお問い合わせください。