改正ネットワーク及び情報システム指令 (NIS2)
日本企業が押さえるべき適用対象・経営責任・報告義務
NIS2指令とは?
欧州議会と欧州理事会は、EUのサイバーセキュリティを強化する目的で、NIS2指令(Directive (EU) 2022/2555)を2022年12月14日に採択しました。
NIS2は2023年1月16日に発効しており、EU加盟国には2024年10月17日までの国内法化が求められています。
NIS2は「指令」であるため、EU加盟国に直接適用される「規則」とは異なり、各加盟国が国内法として移管・整備することで効力を持ちます。そのため、国内法への移管状況や具体的な要件には国ごとの違いが生じます。
例えばドイツでは、BSIの案内上、2025年12月6日からNIS2実施法に基づく登録・報告要件への対応が求められています。一方で、EU全体では加盟国ごとの国内法化や運用状況に差があるため、対象国ごとの最新状況を確認することが重要です。
施行日以降、該当する企業には、サイバーセキュリティ対策、ガバナンス、ならびに報告・証跡(エビデンス)プロセスに関して、従来より厳格な要件が適用されます。
従来のNIS指令(2016年)と比較すると、NIS2では主に以下の点が大幅に強化されています。
- ITセキュリティ最低要件の引き上げ
- 規制対象範囲の拡大
- インシデント報告義務の厳格化
加えて、NIS2は情報セキュリティが経営課題であることを明確にしており、経営層に対し責任の明確化、意思決定・エスカレーション経路の整備、関連役割に対する適切な教育・トレーニングの受講を求めています。
適用範囲
NIS2では、18の産業部門を重要セクターとして定義しており、以下の基準を満たす企業が対象です。
- 従業員が50人以上または年間売上高1,000万ユーロ以上
- 特定インフラ事業者(DNSサービス、TLDレジストラおよび認定トラストサービスのプロバイダー、ならびに基幹インフラ等)は、企業規模に関わらず適用対象
NIS2の附属文書ⅠとⅡには、基本的な適用範囲が書かれています。附属Ⅰが「高重要分野」、附属Ⅱが「その他重要分野」となっていますが、それぞれの分野が事業内容ごとに細かく細分化されているため、附属文書に自社の分野が載っていたとしても、必ずしもNIS2に該当するとは限りません。
-
高重要分野(附属文書Ⅰ)
- エネルギー
- 交通・運輸
- 銀行
- 金融市場インフラ
- 保健衛生
- 飲料水
- 廃水
- デジタルインフラ
- ICTサービスマネジメント(B2B)
- 行政
- 宇宙
-
その他重要分野(附属文書Ⅱ)
- 郵便・宅配サービス
- 廃棄物管理
- 化学物質の生産・製造・加工
- 食品の製造・加工・流通
- 製造
- デジタルプロバイダー
- 研究
上記に加え、同じ部門であっても中企業(従業員50〜249人または年間売上高5,000万ユーロ未満)と大企業(従業員250人以上または年間売上高5,000万ユーロ以上)では、求められる義務や課される制裁金額が異なります。自社が「主要エンティティ」または「重要エンティティ」のいずれに該当するかは、企業規模だけでなく、該当する部門・サービス類型や各国実装法によって判断されます。
NIS2対策の第一歩は、自社がNIS2に該当するか、該当する場合はどの区分になるのかを明らかにすることです。EnobyteのNIS2アセスメントで診断し確認してみましょう。
求められる対策
NIS2に該当する企業は、各国実装法に基づき、所轄当局への登録や届出が求められる場合があります。例えばドイツでは、対象事業者に対してBSIへの登録・報告に関する実務対応が求められます。
- 企業名、連絡先、IPアドレス範囲
- 附属ⅠまたはⅡのうち該当する部門
- ビジネスを展開するEU加盟国
加えて、経営陣または責任ある立場のメンバーには、自らの義務を理解し、サイバーリスクを適切に評価できるよう、必要なトレーニングの受講が求められます。
これは、サイバーセキュリティ分野におけるリスクの認識力と管理能力の確保を目的とした、経営責任者の知識と技能を強化するトレーニングを指します。
最低要件
NIS2は、サービスの提供に利用されるシステムのセキュリティに、最低でも以下10項目の技術的、運用的および組織的対策を実装するよう要求しています。
- リスク分析およびセキュリティ指針の作成
- セキュリティ事故のハンドリング
- 緊急時の事業継続、バックアップ管理および復旧計画
- サプライチェーンセキュリティ、企業と一次サプライヤー間のセキュリティ管理
- 情報通信技術(ICT)の取得、開発、維持のためのセキュリティ対策
- リスクマネジメント対策の効果性評価指針の確立
- サイバー衛生の徹底とトレーニングの実施
- 暗号学(暗号化等)導入と運用指針
- 人的措置、アクセスコントロール、設備管理
- 多要素認証の導入、認証の継続的なアップデート、緊急用の安全なコミュニケーション手段の確保
一部のデジタル分野については、EU実施規則により、技術的・方法論的要件や重大インシデント該当基準の詳細化がすでに進められています。もっとも、具体的な実装方法は各企業のリスク状況や各国法の運用を踏まえて検討する必要があります。
要求されている対策を実装できない場合には、制裁金が課される場合があります。
報告義務
サービスの提供に重大な影響を及ぼすセキュリティ事故が発生した場合、当該企業は所轄の当局またはCSIRT(セキュリティ・インシデント・レスポンス・チーム)へ、段階的に最低3回報告しなければなりません。
それぞれの時間制限は以下のとおりです:
- 早期警告(24時間以内)
- 重大性、影響および侵害の評価についての中間報告(72時間以内)
- 最終報告(インシデントが継続している場合は進捗についての中間報告)(1ヶ月以内)
当局またはCSIRTから要求がある場合は、上記に加え、さらなる中間報告書の作成と提出が必要となることがあります。
また、状況に応じて、サービス利用者への通知や、当局による公表または事業者への公表要請が行われる場合があります。
特に、金融、保険、情報技術および通信、ICTサービスならびにデジタルサービスに属する企業に対しては、重大なセキュリティ事故があった事実ならびに救済措置について顧客への通知を求めるBSI法改正案も検討されています。
ドイツのNIS2対応で日本企業が注意すべきこと
ドイツで事業を展開する日本企業にとっては、NIS2対応をEU法の一般論だけで進めるのではなく、ドイツ法ベースで確認することが重要です。
特に、対象性判断、BSIへの登録、インシデント報告、委託先やグループ会社との役割分担、経営層向け説明の整備は優先度の高い論点です。
また、複数のEU加盟国で事業を行っている場合は、国ごとに適用範囲や実務運用が異なる可能性があるため、ドイツ単体ではなくマルチカントリーでの整理が必要になるケースもあります。
お気軽にご相談ください
Enobyteでは、NIS2に関するご質問や対策のご相談を受け付けています。
必要な対策の実装やリスク分析のお手伝いを通じ、企業のサイバーセキュリティ体制強化をサポートいたします。
お気軽にお問い合わせください。
ご相談・お問い合わせ
GDPRやNIS2対策に関することなど、お気軽にご相談ください。
業界トップクラスのデータ保護企業として、
100社以上の日本企業のGDPR対策をサポートしています。
また、NIS2への適応に向けた具体的なアドバイスや
実践的なソリューションもご提案しています。
企業のデータ保護体制を強化し、EU規制に適合するための
最適なサポートをご提供します。
ぜひ、お気軽にご相談ください。