NIS2指令 にすつーしれい
簡単に言うとこんな感じ!
EUが「重要なサービスを運営する企業はサイバーセキュリティをちゃんとやってね!」と義務づけた法律だよ。違反すると最大1,000万ユーロの罰金もあるから、EU圏でビジネスする日本企業も他人事じゃないんだ!
NIS2指令とは
NIS2指令(Network and Information Security Directive 2)は、EUが2022年12月に採択し、2024年10月に各EU加盟国で国内法化が義務づけられたサイバーセキュリティに関する法的枠組みです。正式名称は「Directive (EU) 2022/2555」といいます。2016年に施行された旧NIS指令の大幅な改定版であり、対象となる業種・企業の範囲を大幅に拡大し、義務の内容もより厳格になっています。
旧NIS指令は「重要インフラ」と呼ばれる電力・水道・医療などの事業者を主な対象としていましたが、NIS2指令では製造業・郵便・廃棄物管理・デジタルプロバイダーなど18のセクターに対象が広がりました。日本企業であってもEU域内で一定規模以上のサービスを提供していれば適用される可能性があり、グローバルにビジネスを展開する企業にとっては見逃せない規制です。
なぜ重要かというと、違反した場合の制裁金は最大1,000万ユーロ(または全世界売上高の2%のいずれか高い方)と非常に高額で、さらに経営幹部個人の責任も問われる仕組みになっています。セキュリティ対策を「コスト」ではなく「経営リスク」として捉える必要がある時代になったことを、この指令は象徴しています。
NIS2指令の構造と主な義務
対象となる2つのカテゴリ
NIS2指令では対象事業者を重要度に応じて2つに分類しています。
| カテゴリ | 英語名 | 対象セクター例 | 規模要件 |
|---|---|---|---|
| 重要事業者 | Essential Entities (EE) | エネルギー、交通、医療、金融、上下水道、宇宙 | 大企業(従業員250名超 or 売上5,000万ユーロ超) |
| 重要インフラ事業者 | Important Entities (IE) | 郵便、廃棄物管理、製造業、食品、デジタルプロバイダー | 中規模企業(従業員50名超 or 売上1,000万ユーロ超) |
主な義務内容
| 義務 | 内容 | ポイント |
|---|---|---|
| リスク管理措置 | 技術的・組織的なセキュリティ対策の実施 | 暗号化、アクセス制御、BCP策定など |
| インシデント報告 | 重大インシデントを24時間以内に当局へ初期報告 | 72時間以内に詳細報告、1か月以内に最終報告 |
| サプライチェーン管理 | 委託先・取引先のセキュリティリスクも管理 | 下請けや調達先まで対象になりうる |
| 経営幹部の関与 | セキュリティ施策の承認と監督責任 | CEOや取締役個人の責任も問われる |
| 登録・届出 | 所管当局への事業者登録 | 加盟国ごとに窓口が異なる |
覚え方:「NIS2の24-72-1」
インシデント報告の期限は「24時間・72時間・1か月」の3段階。「ニイシ(NIS)ツー(2)→ 二十四(24)・七十二(72)・一(1)」と覚えると便利です!
歴史と背景
- 2013年頃〜 EUでサイバー攻撃が急増。重要インフラへの攻撃が社会問題化し始める
- 2016年 旧NIS指令(Directive 2016/1148)施行。EU初のサイバーセキュリティ統一規制だが、加盟国ごとに実装のばらつきが大きかった
- 2020年 欧州委員会がNIS指令の見直し評価を実施。対象範囲の狭さ・制裁の弱さ・加盟国間の格差が課題として浮上
- 2020年12月 NIS2指令の草案を欧州委員会が提案。サイバーセキュリティ戦略の中核として位置づける
- 2022年12月 NIS2指令がEU官報に掲載され、正式採択
- 2024年10月17日 加盟国への国内法化の期限。ただし期限までに法制化が完了しなかった国も複数存在
- 2025年〜 各国の執行機関による監査・制裁が本格化。日本企業への影響も顕在化しつつある
旧NIS指令との比較とGDPRとの関係
NIS2指令をほかの規制と並べて整理すると、その立ち位置がよくわかります。
| 項目 | 旧NIS指令 (2016) | NIS2指令 (2022) | GDPR (2018) |
|---|---|---|---|
| 対象 | 重要インフラ・DSP | 18セクター(大幅拡大) | 個人データを扱う全事業者 |
| 主なテーマ | サイバーセキュリティ | サイバーセキュリティ | 個人情報保護 |
| 最大制裁金 | 国により異なる | 1,000万€ or 売上2% | 2,000万€ or 売上4% |
| 経営責任 | なし | あり(幹部個人責任) | なし(法人責任中心) |
| サプライチェーン義務 | なし | あり | 処理委託契約で間接的に |
NIS2指令の対象セクター構造
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| Directive (EU) 2022/2555 | NIS2指令の原文(EU官報掲載) |
| ISO/IEC 27001 | 情報セキュリティ管理システム(ISMS)の国際規格。NIS2準拠の基盤として活用される |
| ISO/IEC 27005 | 情報セキュリティリスク管理の国際規格。NIS2のリスク管理義務と対応 |
関連用語
- GDPR — EUの個人データ保護規制。NIS2と並ぶEUの主要サイバー規制
- CSIRT — コンピュータセキュリティインシデント対応チーム。NIS2のインシデント報告義務の実務を担う
- サプライチェーンリスク — 委託先・調達先経由のセキュリティリスク。NIS2で管理義務が課された
- ISMS — 情報セキュリティ管理システム。NIS2準拠の基盤として活用されるフレームワーク
- インシデントレスポンス — セキュリティ事故発生時の対応手順。NIS2の24時間報告義務と直結
- リスクアセスメント — 情報セキュリティリスクの特定・評価プロセス。NIS2の主要義務のひとつ
- BCP(事業継続計画) — 災害・攻撃時でも事業を継続するための計画。NIS2の技術的対策に含まれる