サイバーセキュリティ規制は、重要な産業がサイバー攻撃の非常に現実的な脅威を真剣に受け止めるようにするためのものである。欧州連合(EU)は、NIS2指令の導入により、既存のサイバーセキュリティの枠組みを強化するための重要な一歩を踏み出した。2022年12月14日に採択されたこの指令は、その前身である指令(EU)2016/1148(NIS)の欠点に対処し、EU全体でサイバーセキュリティの高い共通レベルを確立することを目的としている。加盟国は、2024年10月17日までに必要な対策を実施することが義務付けられており、翌日から施行が開始される。
背景
NIS2指令は、加盟国全体のサイバーセキュリティ態勢を強化するための欧州連合(EU)による画期的な取り組みとして機能した前回のNIS指令で確認された欠陥への対応として登場した。もともと2016年7月に採択され、2016年8月に施行されたこの指令は、ネットワークと情報セキュリティの共通レベルを確立することを目的としていた。この指令は、デジタル時代における重要インフラの相互接続性を認識し、重要なサービスを提供する事業者とデジタルサービスプロバイダーの全体的な回復力を強化することに主眼を置いている。
その実施において、最初のNIS指令は、サイバーインシデントがもたらす脅威の増大を認識し、EU加盟国間でこれらの課題に対する協調的かつ調和的な対応を確保しようとする極めて重要な一歩となった。必須サービス事業者の特定を義務付け、リスク管理の実践を促進し、インシデント報告を義務付けることで、NIS指令はEU内のサイバーセキュリティに対する協調的アプローチの基礎を築いた。しかし、サイバー脅威の進化する性質から、包括的で適応力のあるサイバーセキュリティの枠組みが必要となり、欧州議会と理事会はNIS2に見られるような、より包括的な対策を制定することになった。
7 主要な変更と拡張
スコープ拡大
NIS2指令は、経済・社会にとって極めて重要な新たなセクターを含めることで、その範囲を拡大している。中堅・大企業を包含する明確な規模上限が導入され、加盟国はセキュリティ・リスクの高い中小企業を特定する柔軟性を持つ。
事業体の分類
従来のアプローチとは異なり、同指令は必須サービス事業者とデジタルサービス事業者の区別を撤廃した。事業者は現在、不可欠なカテゴリーと重要なカテゴリーに分類され、それぞれ異なる監督制度の対象となっている。
セキュリティと報告要件
サイバーセキュリティ対策を強化するため、同指令は企業にリスク管理アプローチを課している。基本的なセキュリティ要素の最小限のリストが導入され、インシデント報告、報告内容、期限に関する正確な規定が付随している。
Supply Chain セキュリティ
サプライチェーンの重要な役割を認識し、同指令は個々の企業に対し、サプライチェーンやサプライヤーとの関係におけるサイバーセキュリティリスクへの対応を義務付けている。欧州レベルでは、主要な情報通信技術を保護するためのアプローチが強化されている。
監督措置と執行
各国当局に対する監督措置の厳格化、執行要件の強化、加盟国間の制裁制度の調和は、より統一的で効果的なサイバーセキュリティ執行の枠組みを構築することを目的としている。
協力と情報共有
この指令は、戦略的な政策決定の形成における協力グループの役割を強化し、加盟国当局間の情報共有と協力の強化を促進するものである。特にサイバー危機管理における業務協力が重要な焦点となっている。
協調的脆弱性開示
NIS2 指令は、EU 全体の責任ある主要な関係者が関与する、協調的な脆弱性開示のための基本的な枠組みを導入している。これは、開示プロセスを促進するために、EUサイバーセキュリティ機関(ENISA)が運営するEUレジストリを確立するものである。
よりSecure ユニオン
NIS2指令は、EUのサイバーセキュリティへの取り組みにおいて重要なマイルストーンとなる。この指令は、前身の指令の欠陥に対処し、現在のニーズに適応することで、企業や組織がサイバー脅威の複雑で変化し続ける状況を乗り切るための包括的な枠組みを確立している。
サイバーセキュリティ・コンプライアンスの詳細をお探しですか?当社のブログで世界の主要な規制について学んでください。
