NIS2指令

NIS2指令とは、EU全体のサイバーセキュリティ水準を高めるために制定された、ネットワークおよび情報システムに関するサイバーセキュリティ指令です。

従来のNIS指令を改正・強化したもので、エネルギー、運輸、医療、デジタルインフラ、製造業など幅広い重要セクターの企業・組織に対し、リスク管理、インシデント報告、サプライチェーン管理、経営層による監督などを求めています。

特に、EU域内に現地法人や拠点を持つ日本企業、EU向けに重要なサービスを提供する企業、EU企業のサプライチェーンに関与する企業は、自社への適用可能性を確認する必要があります。

EUでは、重要インフラを対象とするサイバーセキュリティ法制として、2016年にネットワークおよび情報システム指令（Network and Information Systems Directive、NIS指令）が成立しました。NIS指令は、EU加盟国全体でサイバーセキュリティ対策の水準を引き上げることを目的とした、EU初の包括的なサイバーセキュリティ法令です。

しかし、その後、サイバー攻撃の高度化やサプライチェーンリスクの拡大、社会全体のデジタル依存度の高まりにより、従来のNIS指令だけでは十分に対応できない課題が明らかになりました。そこで、適用対象となる業種を大幅に拡大し、より明確な義務と厳格な監督体制を導入するために改正された法令が、NIS2指令（Directive (EU) 2022/2555）です。

NIS2指令は、2022年12月14日に採択され、2023年1月16日に発効しました。これにより、従来のNIS指令は廃止され、EUにおけるサイバーセキュリティ規制の枠組みは、NIS指令からNIS2指令へと移行しました。

NIS2は「指令」であるため、EU加盟国に直接適用される「規則」とは異なり、各加盟国が国内法として具体化する必要があります。そのため、企業はNIS2指令そのものを理解するだけでなく、各加盟国ごとの国内法にも対応しなければなりません。

NIS2指令では、適用対象範囲の大幅拡大に加え、サイバーセキュリティ・リスク管理、インシデント報告、サプライチェーン管理、事業継続、経営層による監督などに関する要件も強化されています。

特に重要なのは、サイバーセキュリティがIT部門だけの課題ではなく、経営層が承認し、継続的に監督すべき経営課題として位置づけられている点です。

NIS指令では、適用対象は主にエネルギー、運輸、銀行、金融市場インフラ、医療、水道、デジタルインフラなど、社会・経済活動に不可欠な分野に限定されていました。

これに対し、NIS2指令では対象分野が大幅に拡大され、附属書Iに定める「高重要分野」と、附属書IIに定める「その他の重要分野」を合わせた18分野が対象とされています。

NIS2は、従来の重要インフラに加え、製造、廃棄物管理、郵便・宅配、化学、食品、デジタルサービスなど、より幅広い事業者を規制対象に含めている点が特徴です。

また、NIS2指令では、対象となる事業者を「主要エンティティ（Essential Entities）」と「重要エンティティ（Important Entities）」の2つのカテゴリーに分類しています。

NIS2指令では、サイバーセキュリティはIT部門だけの課題ではなく、経営層が主体的に関与すべき経営課題として位置づけられています。

NIS2の対象となる企業・組織では、経営陣または管理機関が、サイバーセキュリティ・リスク管理措置を承認し、その実施状況を監督する責任を負います。また、これらの義務に違反した場合、経営層が責任を問われる可能性もあります。第20条では、経営機関がリスク管理措置を承認・監督することが求められています。

さらに、経営陣や管理機関の構成員には、自らの責務を理解し、自社が直面するサイバーリスクやリスク管理措置の有効性を評価できるよう、必要な知識を身につけるための研修を受けることが求められています。

これは、サイバーセキュリティをIT部門に任せきりにするのではなく、経営判断やリスク管理の一部として組み込むことを意味します。実務上、経営層・管理職には特に以下のような観点での理解と関与が求められます。

• サイバーセキュリティ・リスク管理措置の承認と監督
• サイバーインシデント発生時のエスカレーション経路と意思決定体制の整備
• 事業継続計画、バックアップ、復旧計画の監督
• 委託先やサプライチェーンに対する管理
• 経営層自身の継続的な研修受講

NIS2対応では、制度上の要求事項を理解するだけでなく、自社の事業リスクと結びつけて判断できる体制づくりが重要です。
Enobyteでは、ドイツ連邦情報セキュリティ庁（BSI）が公表しているNIS2経営層向け研修の内容に基づいて設計した研修を提供しています。

詳しくは、マネージャー研修の詳細をご覧ください。

NIS2指令は、適用対象となる事業者に対して、リスクに応じた技術的・運用的・組織的措置を実施することを求めています。これは、NIS2指令第21条に定められている「サイバーセキュリティ・リスク管理措置」に基づく要求事項です。

具体的に必要となる対策は、業種、提供するサービス、事業規模、サイバーリスクの内容によって異なりますが、一般的には次のような領域が重要になります。

• リスク分析と情報システムのセキュリティに関する方針
• インシデント対応体制の整備
• 事業継続、バックアップ、復旧計画、危機管理
• サプライチェーンセキュリティ
• ICTの取得、開発、保守におけるセキュリティ
• リスク管理措置の有効性評価に関する方針・手続き
• サイバー衛生の実践とサイバーセキュリティ研修
• 暗号化および暗号技術の利用に関する方針・手続き
• 人的セキュリティ、アクセス制御、資産管理
• 多要素認証、安全な緊急時の通信手段の確保

なお、一部のデジタル分野については、EU実施規則により技術的・方法論的要件や重大インシデントに該当する基準の詳細化も進められています。そのため、NIS2指令への対応では、指令本文だけでなく、関連する実施規則、各国の国内法、監督当局の実務もあわせて確認する必要があります。

自社の現在の対応状況を確認し、第21条で求められるリスク管理措置とのギャップを把握するには、アセスメントの実施が有効です。

詳しくは、NIS2アセスメントの詳細をご覧ください。

NIS2指令では、重大なインシデントが発生した場合、所轄監督当局またはCSIRTに対して、段階的に報告を行う必要があります。

まず、重大なインシデントを認識してから24時間以内に、早期警告を行う必要があります。次に、認識から72時間以内にインシデントの重大性や影響に関する初期評価を通知し、インシデント通知から1か月以内にはインシデントの詳細、実施済みまたは継続中の緩和措置を含む最終報告を提出する必要があります。

また、所轄監督当局またはCSIRTからの要求により、最終報告の前に中間報告が必要となる場合もあります。インシデント対応が1か月以内に完了していない場合には、最終報告の代わりに進捗報告を行い、対応完了から1か月以内に最終報告を提出する必要があります。

また、状況に応じて、サービス利用者への通知が必要になる場合があります。ただし、常に一律で顧客通知や公表が必要になるわけではなく、インシデントの性質や影響、各国法の定めに応じた判断が求められます。

そのため、NIS2指令の報告義務に対応するには、単に報告期限を把握するだけでは不十分です。どの事象を重大なインシデントとして扱うのか、誰が判断し、どの当局へ、どの順序で、どの内容を報告するのかを事前に整理しておくことが重要です。

NIS2対応では、自社が適用対象となるかの判断、必要なセキュリティ対策の整理、経営層への説明、インシデント報告体制の整備、各国法に応じた対応方針の整理などを、実務に落とし込む必要があります。

Enobyteでは、適用対象性評価、NIS2アセスメント診断、マネージャー研修、インシデント報告体制の整備、ポリシーや報告フローなどの文書作成、各国法の要求事項整理などを通じて、企業のNIS2対応を支援しています。詳細は以下をご参照ください。

• NIS2アセスメント診断
• マネージャー研修
• CSIRTサービス

自社がNIS2の対象となる可能性がある場合や、ドイツを含むEU拠点での対応方針を整理したい場合など、お気軽にご相談ください。

NIS2対策について問い合わせる