デジタルツールやサービスの信頼性、対応能力の向上

2022年11月28日、欧州理事会は、官民及びEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全域で高い共通レベルのサイバーセキュリティを実現するための改正指令NIS2を採択しました。

この改正指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定です。加盟国は、この指令の発効から21カ月以内に、自国の国内法にこの規定を盛り込む必要があります。

背景

運輸、エネルギー、医療、金融などの重要な部門は、その中核的なビジネスを実行するために、デジタル技術への依存度を高めています。デジタル化は多大な機会をもたらし、COVID-19危機をはじめ、欧州が直面している多くの課題に解決策を提供する一方で、経済や社会をサイバー脅威の危険にさらすことにもなります。

欧州全域で、サイバー攻撃とサイバー犯罪が増加し、巧妙化しています。2024年までに全世界で223億の機器がインターネットに接続されると予想されることから、この傾向は今後さらに強まることが予想されます。

オープンで安全なサイバー空間を構築するためにサイバーセキュリティへの対応を強化することは、デジタルツールやサービスに対する市民の信頼をより高めることに繋がります。

ネットワークと情報のセキュリティ（NIS）指令は、サイバーセキュリティに関するEU全体の最初の法令であり、その具体的な目的は、加盟国全体でサイバーセキュリティの高い共通レベルを達成することでした。

この指令は、加盟国のサイバーセキュリティ能力を高める一方で、その実施は困難であることが判明し、その結果、域内市場全体で異なるレベルでの分断が生じました。

欧州委員会は、デジタル化とサイバー攻撃の急増がもたらす脅威の増大に対応するため、NIS指令の代替案を提出し、それによってセキュリティ要件の強化、サプライチェーンのセキュリティへの対応、報告義務の合理化、より厳しい監視措置の導入、EU全域での制裁の調和を含むより厳しい執行要件の導入を図ることにしています。

EU全体の高度の共通レベルのサイバーセキュリティ対策に関する改正指令であるNIS2は、重要な事業体・ネットワークのサイバー及び物理的両方のレジリエンスに対処するため、事業体のレジリエンスに関する新規指令であり、幅広いセクターをカバーし、サイバー攻撃から犯罪や自然災害まで、一貫性のある補完的な方法で現在及び将来のオンライン・オフラインのリスクに対処することを目的としています。

改正指令の概要

「NIS2」と呼ばれる改正指令は、ネットワークと情報システムのセキュリティに関する現行の指令（NIS指令）に取って代わるものです。特にサイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はなく、EUの経済と市民にとってリスクは大きいため、この脅威に対抗する能力を向上させることが目的です。

NIS2では、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスク管理対策と報告義務のベースラインを設定することになります。

改正指令では、異なる加盟国でのサイバーセキュリティの要件と対策の実施を調和させることを目的としています。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関連当局間の効果的な協力のためのメカニズムを定めています。

また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置について規定しています。

この指令では、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）を正式に設立する予定です。

旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていましたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入しています。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅、大企業がその範囲に含まれることを意味します。

改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスク管理、明確な重要性の基準を確保するための追加条項が含まれています。

また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化され、司法、議会、中央銀行も対象から外されています。

NIS2は、中央及び地域レベルの行政機関にも適用され、加盟国は地方レベルの行政機関にも適用することを決定することができます。

その他の変更点

さらに、この新しい指令は、特に金融セクターのデジタル運用の強靭性に関する規制（DORA^※1）や重要な事業体の強靭性に関する指令（CER^※2）といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっています。

自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献します。また、新法は、過剰な報告や対象事業者の過度な負担を避けるために報告義務を合理化しています。

DORA^※1（Digital Operational Resilience for the Financial Sector）は情報通信技術（ICT）の分野で現在施行されているリスク管理要件を統合及び改良することを目指し、EU の金融サービス監督機関がビジネスクリティカルな ICT サービスプロバイダを直接監視するための新しいフレームワークです。

DORA はインシデント報告やオペレーショナル・レジリエンスの検証から外注リスクの管理に至るまで、欧州金融システムのデジタル・レジリエンスを向上させることを目的としています。DORA の監視フレームワークは、ICTサービスプロバイダ、金融機関、金融監督機関の間で相互の理解、透明性、信頼性を高める絶好の機会となり、最終的にはヨーロッパの金融業界における改革に繋がることが期待されています。

CER^※2（Critical Entity Resilience）では、2008年の欧州重要インフラ指令の範囲と深さの両方を拡大させ、エネルギー、運輸、銀行、金融市場インフラ、保健、飲料水、廃水、デジタルインフラ、行政、宇宙の10のセクターがカバーされています。

次のステップ

この改正指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定です。加盟国は、この指令の発効から21カ月以内に、自国の国内法にこの規定を盛り込む必要があります。

今後、採択されたEU指令の下で、加盟国はそれぞれ、重要事業体のレジリエンスを確保するための国家戦略を採択し、定期的なリスク評価を実施します。

欧州理事会は、例えば、国境を越えたリスクやセクターを越えたリスク、ベストプラクティス、方法論、国境を越えたトレーニング活動、重要事業体のレジリエンスをテストする演習のEUレベルの概要を策定することにより、加盟国と重要事業体に補完的な支援を提供します。

参考情報

• EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation
• Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience