NIS2 FAQ

NIS2指令 よくある質問

  • NIS2指令(改正ネットワーク及び情報システム指令)は、EUがサイバーセキュリティ強化を目的として施行した法律であり、NIS指令の改訂版です。重要インフラやデジタルサービス事業者のセキュリティ対策を強化することを求めており、対象範囲も拡大されています。これにより、より多くの企業や組織がリスク管理やインシデント報告の義務を負うことになります。違反した場合の罰則も強化されました。

    加盟国は2024年10月までに国内法へ反映することが求められていましたが、一部の国では対応が遅れており、法制化が進んでいないケースもあります。そのため、企業は自社が適用対象となるかを確認し、各国の進捗を注視しながら早めに対応を進めることが重要です。

  • NIS2では、18の産業部門を重要セクターとして定義しており、その中で以下の基準を満たす企業が原則として対象となります。

    • 従業員が50人以上または年間売上高1,000万ユーロ以上
    • 特定インフラ事業者(DNSサービス、TLDレジストラおよび認定トラストサービスのプロバイダー、ならびに基幹インフラ等)は、企業規模に関わらず適用対象

    NIS2の附属文書ⅠとⅡには、重要セクターとして挙げられている18の産業部門が書かれています。附属Ⅰが「高重要分野」、附属Ⅱが「その他重要分野」となっていますが、それぞれの分野が事業内容ごとに細かく細分化されているため、附属文書に自社の分野が載っていたとしても、必ずしもNIS2に該当するとは限りません。

    自社がNIS2の適用対象になるかを見極める簡易診断も用意しておりますので、ぜひご活用ください。

    今すぐNIS2指令 適用対象簡易診断を受ける

     

  • NIS2指令では、対象となる組織に対してサイバーセキュリティ対策の強化が求められており、違反があった場合には罰金を含む厳しい措置が科される可能性があります。

    指令第34条では、罰金の上限について次のように規定されています:

    • 主要エンティティ:最大1,000万ユーロ、または全世界の年間売上高の2%のいずれか高い方
    • 重要エンティティ:最大700万ユーロ、または全世界の年間売上高の1.4%のいずれか高い方

    また、NIS2では経営層の関与と責任が重視されており、加盟国は必要に応じて、経営陣に対する個人責任を問うための法的枠組みを整備することになっています。
    これにより、企業に対する罰則に加えて、役員や代表者に対しても一定の責任が及ぶ可能性があります。

    このように、NIS2への対応は単なるITセキュリティの問題にとどまらず、ガバナンスやリスクマネジメント全体に関わる経営課題と捉えることが重要です。

     

  • NIS2指令第23条では、重大なサイバーインシデントが発生した場合、影響を受ける事業者は不当な遅延なく、段階的に当局またはCSIRTに報告することが求められます。
    報告は以下のステップで行う必要があります:

    • 早期警告(24時間以内)
    • 初期報告(72時間以内)
    • 最終報告(1か月以内)

    この義務は、個人データの漏えいが確認されていない場合でも適用されます。必要に応じて、追加の報告も求められます。
    また、各国の法制度によっては、顧客への通知や公表が義務化される場合もあり、特に金融、保険、IT・通信分野では、ドイツのBSI法改正案などを通じて通知義務が強化される動きも見られます。

  • NIS2は、2016年に施行されたNIS指令を強化・拡張したもので、欧州全体のサイバーセキュリティ水準を一層高めることを目的としています。
    以下の4つが主な強化ポイントです:

    • 適用範囲の拡大

     対象となる組織や業種が大幅に広がり、中規模・大規模企業は原則すべて対象に。重要なインフラやデジタルサービス提供者に加え、医療、食品、廃棄物、研究、公共通信なども対象分野に含まれます。

    • 経営責任者の義務と責任の厳格化

     経営層がサイバーセキュリティ対策に直接責任を持つことが明確にされました。役員トレーニングや、違反時の個人責任追及の可能性も盛り込まれています。

    • インシデント報告義務の厳格化

     重大なセキュリティインシデントについては、24時間以内の早期警告、72時間以内の中間報告、1か月以内の最終報告が義務付けられています。個人データ漏えいの有無にかかわらず適用されます。

    • リスクマネジメント対策の強化

     技術的・組織的な対策を含む、包括的なリスクベースのセキュリティ対策の導入が求められます。

  • NIS2 指令第 21 条では、対象組織は「適切な技術的および組織的な対策」によってサイバーリスクを管理する必要があることが強調されています。これらの対策には以下が含まれます。

    • リスク分析
    • インシデントハンドリング
    • 事業継続、バックアップ
    • サプライチェーンセキュリティ
    • ICTの購入、開発、保守のセキュリティ、脆弱性管理
    • 対策の効果性評価
    • サイバー衛生、トレーニング
    • 暗号学、暗号化
    • 人的措置、アクセス管理
    • 多要素認証、緊急用の安全なコミュニケーションツール の確保

    経営層の責任が明確に

    これらの対策の決定とリソースの確保は、経営責任者の責務であることがNIS2で明確にされています。
    つまり、サイバーセキュリティはIT部門の問題にとどまらず、経営課題として取り組む必要があるという立場が強く打ち出されています。

  • 加盟国は2024年10月までに国内法へ反映することが求められていましたが、国内法移管の進捗は国によって異なります。2024年10月17日時点で公表されている各国の進捗状況は以下のとおりです。

     

    • 法令を採択した国(7カ国):

    ベルギー、イタリア、クロアチア、ラトビア、リトアニア、ルーマニア、ハンガリー

    • 法案を提出または審議中の国(12カ国):

    ドイツ、オーストリア、フィンランド、オランダ、ポーランド、スウェーデン、キプロス、チェコ、ルクセンブルク、ブルガリア、ギリシャ、スロバキア

    • 法案未発表の国:

    フランス、スペイン、アイルランド、マルタ、スロベニア、デンマーク、エストニア