EUのサイバーセキュリティに関する法律: NIS2指令について

はじめに

EUでは、2016年にサイバーセキュリティに関する欧州初の法律として NIS指令(ネットワークおよび情報システム指令) が成立しました。

NISの主な目的は、EU域内の重要なサービス事業者を特定し、インシデント報告を中心的な要件としてサイバーセキュリティ対策を実施することで、EU 加盟国のサイバーレジリエンス(サイバーインシデントからの回復力)を向上させることにありました。

NIS指令は、EU全体に対してのものであるにもかかわらず、ある加盟国が課す要件が、別の加盟国が課す要件と異なる、または矛盾するなど、事業体に課せられるサイバーセキュリティ要件は、要件の種類、詳細レベル、監督方法の面で各加盟国ごとに異なる点が問題として明らかになるとともに、それにより一部の加盟国のサイバー脅威に対する脆弱性が高まることで、EU全体に影響が波及することが懸念されました。

欧州委員会は、こうした問題を是正するために、対象となる組織と要件を明確に定義するために NIS指令の廃止、NIS2指令(2022年12月に官報に掲載、2023年1月発効、適用開始日:2024年10月18日)への置き換えを決定しました。

新しい指令では、協調的な規制フレームワークの機能に関する最低限のルール、各加盟国の当局間の効果的な協力のためのメカニズムが定められるとともに、対象となるセクター分野のリストの更新により、加盟国間の相違を解消することを目的としています。

NIS2指令について

NIS2指令では、規制対象のスコープが拡大され「リスク管理」や「インシデント報告義務」に関する規定が厳格化されています。。経済産業省がまとめた「EU NIS2指令概要」に分かりやすくまとめられていますので、以下、転載させていただきます。

出典:経済産業省 EU NIS2指令概要

上記以外にも、加盟国に対し、サイバー危機管理を担当する国家当局を指定または設立することを義務付け、EU加盟国の国家レベルの「CSIRT ネットワーク」の運用協力を強化し、大規模なサイバーセキュリティインシデントや危機の協調的な管理をサポートするためにEU-CyCLONe(欧州サイバー危機連絡組織ネットワーク )の設立についても規定されています。(NIS2指令 9条, 10条

「CSIRT」とは?

ちなみにCSIRTとは、Computer Security Incident Response Team の略です。あらゆる組織におけるサイバー インシデントを検出して対応することを主な目的とするチームを指しますが、今回のNIS2指令10条の「CSIRT」については、加盟国間の差異をなくすことを目的とした各加盟国レベルのCSIRT(National CSIRT)を指しています。

「CSIRT ネットワーク」とは?

EU全体で高い共通レベルのサイバーセキュリティを達成することに専念するEUの機関である「ENISA( European Union Agency for Cybersecurity)」のサイトによると、CSIRTネットワークは、会員同士が協力し、情報交換し、信頼関係を築くネットワークを指します。CSIRT ネットワークは、EU 加盟国および CERT-EU によって任命された CSIRT (「CSIRT ネットワーク メンバー」) で構成され、欧州委員会はオブザーバーとしてネットワークに参加しています。

CSIRT ネットワークの目的は?

  • 情報交換
  • 信頼を築く
  • インシデントに対する協調的な対応について話し合い、可能であれば実施する
  • 加盟国に国境を越えた事件に対処するための支援を提供する
  • 複数の加盟国の企業に重大な影響を与える可能性のある脆弱性を協調的に開示するために指定された CSIRT に協力し、ベスト プラクティスを交換し、支援を提供する

EU-CyCLONeとは?

EU-CyCLONe(サイクロンと読む)は、「ENISA( European Union Agency for Cybersecurity)」のサイトによると、サイバー危機管理を担当する加盟国の各国当局の協力ネットワークです。このネットワークは 2020 年に開始され、NIS2 16条の発効により 2023 年 1 月16日に正式に設立されました。CyCLONe事務局として機能するENISA( European Union Agency for Cybersecurity)が提供するツールとサポートに基づいて、タイムリーな情報共有と状況認識を協力し開発することを目的としています。

EU CyCLONe の主なタスクは?

  • 運用レベルでの大規模なサイバーセキュリティインシデントおよび危機の協調的な管理を支援し、加盟国と連合の機関、団体、事務所および機関の間で関連情報の定期的な交換を確保する
  • 大規模なサイバーセキュリティインシデントや危機への対応の準備レベルを高める
  • 大規模なサイバーセキュリティインシデントや危機に対する共通の状況認識(レベル)を構築する
  • 関連する大規模なサイバーセキュリティ事件や危機の結果と影響を評価し、考えられる軽減策を提案する
  • 大規模なサイバーセキュリティ事件や危機の管理を調整し、そのような事件や危機に関連した政治レベルでの意思決定を支援する
  • 関係加盟国の要請に応じて、国内の大規模サイバーセキュリティ事件および危機対応計画について議論する

NIS2指令 : 民間の企業や組織への影響は?

今回のNIS2指令の対象ととなる事業体は、サイバーセキュリティ対策のほか、今回拡大されたリスク管理やインシデント報告義務といった新たな対策および措置を講じる必要があります。

指令の対象となる事業体の基準

同指令によると、欧州委員会勧告 2003/361/EC (5) のAnnex 第2条に基づき中堅企業に分類される事業体 ( qualify as medium-sized enterprises ) 、もしくはAnnex 第2条1 項に規定されている中堅企業の上限を超えるすべての事業体かつ本指令の対象となるセクターでEU域内にてサービスを提供、または活動を実施する事業体が本指令の適用範囲に含まれるとされています。

Company categoryStaff headcountTurnover  OR  Balance sheet total
TurnoverBalance sheet total
Medium-sized< 250≤ € 50 m≤ € 43 m
Small< 50≤ € 10 m≤ € 10 m
Micro< 10≤ € 2 m≤ € 2 m
Medium-sized enterprises(中堅企業)の定義(引用:European Commission 「SME definition」

中堅企業(従業員が50人以上かつ年間売上高および/またはその年の貸借対照表の合計が 1,000 万ユーロ以上の企業)以上の事業体で、かつEU域内で同指令のAnnex1とAnnex2であげられているセクター内でサービス提供または活動を実施する事業体が対象となります。

また、同指令 第2条2-4項では、企業規模に関係なく、社会、経済、または特定の部門や種類のサービスにおいて重要な役割を担う(サービスの停止により重大な影響のある)特定の基準を満たす事業体や行政機関についても、本指令の適用範囲に含まれるとされています。

さいごに

NIS2指令の対象となる企業にとって、リスク管理やインシデント発生時の通知報告義務など新たな規制に対応する際、それらをどう業務に組み込んでいくかを検討していく中で、部門やチーム間でリスク管理やインシデント対応に関わる業務を法規制に準拠した形で効率化してくれるシステムは必要不可欠です。

一般的に部門やチームで一貫性のある対応をとるためには、組織として関係する従業員に教育やトレーニングを通して周知し、適切なアクションがとられるように働きかけていくことが重要です。

しかし、それだけでは十分ではありません。

あらかじめ決められたポリシーや手順に沿ってプロセスを実行するためには、法規制や組織で決められたポリシーや手順に即して業務を進める必要があります。

OneTrustソリューションを使用すれば、プライバシー法規制を考慮し、組織で決められたポリシーや手順を素早く実装し、業務プロセスに組み込むことが可能です。

OneTrustソリューションのご紹介

組織は、OneTrustのソリューションを活用することで、NIS2指令で明確化されたサイバーセキュリティのリスク管理や報告義務に対応し、効率的で一貫性のある対応をとることが可能です。

例えば、報告義務について、OneTrustの「インシデント管理」機能を使用することで、発生したインシデントの状況に基づき、関連する法管轄区域、管轄する監督当局、報告要件を特定することが可能です。また、インシデントの対応状況や必要なアセスメントなど法規制に沿って必要なタスクを含めることも可能です。

OneTrustのソリューションに興味のある方は、弊社までお問い合わせください。

この記事をシェアする