| 法令の情報時期:2022年12月統合版 | ページ作成時期:2026年6月 |
目的
本指令は、EU域内における高い共通水準のサイバーセキュリティを達成し、域内市場の機能を向上させることを目的としている。
■ 加盟国に対し、国家サイバーセキュリティ戦略の採択、および管轄当局やCSIRT(コンピュータセキュリティインシデント対応チーム)等の指定・設置を義務付ける。
■ 対象となるエンティティ(事業者等)に対し、サイバーセキュリティリスク管理措置の実施および報告義務を課す。
■ サイバーセキュリティ情報の共有に関する規則および義務を定める。
■ 加盟国における監督および執行に関する義務を定める。
概要
本指令は、旧NIS指令(2016/1148)を廃止・継承し、サイバー脅威の変化に対応するためにその適用範囲と要件を大幅に強化したものである。
■ 背景・問題意識: デジタル化の進展に伴い、特定の重要セクターへのサイバー攻撃が社会経済に及ぼす影響が深刻化している。旧指令下での加盟国間の実施状況のばらつきや、適用範囲の狭さを解消する必要があった(第3条、第44条)。
■ 適用範囲: 附属書I(高い重要性を持つセクター)または附属書II(その他の重要セクター)に該当し、中規模企業以上の規模を持つ公的または私的エンティティが対象となる。ただし、電子通信、トラストサービス、DNS等の特定のサービス提供者は、規模に関わらず適用対象となる(第2条第1項、第2項)。
■ 主な事業者要件: 経営陣によるリスク管理措置の承認と監督、包括的なリスク管理対策の実施、および重大なインシデント発生時の多段階の報告が求められる。
■ 施行時期: 加盟国は2024年10月17日までに本指令を国内法化し、同年10月18日から適用を開始しなければならない(第41条第1項)。
適用除外(対象外・猶予・免除等)
法令全体の適用から除外される対象は以下の通りである。
■ 国家安全保障、公共の安全、国防、または法執行(犯罪の予防、捜査、検知、訴追を含む)の分野で活動を行う公的機関(第2条第7項)。
■ DORA規則((EU) 2022/2554)の適用範囲から加盟国によって除外されたエンティティ(第2条第10項)。
■ 情報の開示が加盟国の国家安全保障、公共の安全、または国防の不可欠な利益に反することとなる場合(第2条第11項)。
■ 原則として、中規模企業に満たない小規模・零細企業。ただし、特定の重要な役割を担う場合はこの限りではない(第2条第1項)。
事業者が注意すべき内容
| 本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。 ご関心がございましたら、お気軽にお問い合わせください。 |
事業者は、国内法化された規則に従い、以下の要件を遵守しなければならない。
■ ガバナンスと経営陣の責任(第20条) 不可欠エンティティ(essential entities)および重要エンティティ(important entities)の経営陣は、自組織が講じるサイバーセキュリティリスク管理措置を承認し、その実施を監督しなければならない。要件違反があった場合、経営陣は責任を問われる可能性がある。また、経営陣はサイバーリスクを識別・評価するためのトレーニングを受ける義務を負う(第20条第1項、第2項)。
■ サイバーセキュリティリスク管理措置(第21条) 事業者は、自らの業務やサービス提供に使用するネットワークおよび情報システムの安全を確保するため、適切かつ規模やリスクに見合った技術的・組織的措置を講じなければならない。これには少なくとも以下の内容が含まれる(第21条第1項、第2項):
- リスク分析および情報システムセキュリティに関するポリシー。
- インシデント対応。
- 事業継続(バックアップ管理、災害復旧)および危機管理。
- サプライチェーンのセキュリティ(直接のサプライヤーとの関係を含む)。
- ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ(脆弱性の取扱いと開示を含む)。
- サイバーセキュリティ措置の有効性を評価するためのポリシーと手順。
- 基本的なサイバーハイジーンの実践およびトレーニング。
- 暗号技術および暗号化の使用に関するポリシー。
- 人的資源のセキュリティ、アクセス制御、資産管理。
- 多要素認証または継続的認証ソリューションの使用。
■ インシデント報告義務(第23条) サービスの提供に重大な影響を及ぼす「重大なインシデント」が発生した場合、事業者は以下のスケジュールで管轄当局またはCSIRTに通知しなければならない(第23条第1項、第4項):
- 24時間以内: 重大なインシデントを認識した後、初期報告を行う。
- 72時間以内: インシデント通知を行い、初期評価(深刻度、影響等)を報告する。
- 1ヶ月以内: 詳細な記述、原因、講じた対策などを含む最終報告書を提出する。
■ エンティティの登録(第27条) DNSサービス、クラウド、データセンター、マネージドサービス等の特定のデジタルインフラ提供者は、2025年1月17日までに、名称、セクター、連絡先、IPレンジ等の情報を管轄当局に提出し、ENISAが維持する登録簿に登録しなければならない(第27条第1項、第2項)。
■ ドメイン名登録データのデータベース(第28条) TLD名レジストリおよびドメイン名登録サービス提供者は、正確かつ完全なドメイン名登録データを収集・維持しなければならない。また、正当なアクセス要求に対しては、72時間以内に回答する必要がある(第28条第1項、第5項)。
■ 政府への要件を通じた将来的影響
- 認証の義務化の可能性: 加盟国は、特定のICT製品やサービスについて、欧州サイバーセキュリティ認証スキームに基づく認証取得を事業者に義務付けることができる(第24条第1項)。
- サプライチェーンのリスク評価: 加盟国レベルで実施される特定のクリティカルなサプライチェーンのリスク評価結果を、事業者は自らのリスク管理対策を決定する際に考慮することが求められる(第21条第3項)。
注目定義
■ 「ネットワークおよび情報システム」(network and information system)
| 電子通信ネットワーク、デジタルデータの自動処理を行う相互接続されたデバイス群、またはそれらの運用、使用、保護、維持のために保存、処理、検索、伝送されるデジタルデータを指す。 |
■ 「サイバーセキュリティ」(cybersecurity)
| 規則(EU) 2019/881(サイバーセキュリティ法)第2条第1項の定義を指し、ネットワークおよび情報システム、それらのユーザー、およびサイバー脅威の影響を受けるその他の人々を保護するために必要な活動を意味する。 |
■ 「インシデント」(incident)
| ネットワークおよび情報システム、あるいはそれらによって提供・アクセス可能なサービスにおいて、保存、伝送、または処理されたデータの可用性、真正性、完全性、または機密性を損なう事象を指す。 |
■ 「脆弱性」(vulnerability)
| サイバー脅威によって悪用される可能性のある、ICT製品またはICTサービスの弱点、耐性の低さ、または欠陥を指す。事業者はリスク管理措置の一環として、脆弱性の取扱いと開示に関する対応を求められる。 |
■ 「重大なサイバー脅威」(significant cyber threat)
| その技術的特性に基づき、組織のネットワークおよび情報システム、あるいはサービスの利用者に深刻な影響を及ぼし、相当な物的・非物的損害を与える可能性があると推定されるサイバー脅威を指す。 |
■ 「エンティティ」(entity)
| 設立地の国内法に基づいて作成・認識された自然人または法人であり、自身の名前で権利を行使し、義務を負うことができるものを指す。 |
■ 「マネージドサービスプロバイダー」(managed service provider)
| ICT製品、ネットワーク、インフラ、アプリケーション等の設置、管理、運用、または保守に関するサービスを、支援または能動的な管理を通じて顧客先またはリモートで提供する組織を指す。 |
■ 「マネージドセキュリティサービスプロバイダー」(managed security service provider)
| マネージドサービスプロバイダーのうち、サイバーセキュリティリスク管理に関連する活動の遂行または支援を行う者を指す。 |
目次
第1章:一般規定
第1条:主題
第2条:範囲
第3条:不可欠エンティティおよび重要エンティティ
第4条:セクター特定の連合法的行為
第5条:最小限の調和
第6条:定義
第2章:調整されたサイバーセキュリティ枠組み
第7条:国家サイバーセキュリティ戦略
第8条:管轄当局および単一窓口
第9条:国家サイバー危機管理枠組み
第10条:コンピュータセキュリティインシデント対応チーム(CSIRTs)
第11条:CSIRTsの要件、技術的能力および任務
第12条:調整された脆弱性開示および欧州脆弱性データベース
第13条:国内レベルでの協力
第3章:連合および国際レベルでの協力
第14条:協力グループ
第15条:CSIRTsネットワーク
第16条:欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)
第17条:国際協力
第18条:連合におけるサイバーセキュリティの状態に関する報告
第19条:ピアレビュー
第4章:サイバーセキュリティリスク管理措置および報告義務
第20条:ガバナンス
第21条:サイバーセキュリティリスク管理措置
第22条:クリティカル・サプライチェーンの連合レベルの調整されたセキュリティリスク評価
第23条:報告義務
第24条:欧州サイバーセキュリティ認証スキームの使用
第25条:標準化
第5章:管轄および登録
第26条:管轄および領土性
第27条:エンティティの登録簿
第28条:ドメイン名登録データのデータベース
第6章:情報共有
第29条:サイバーセキュリティ情報共有取り決め
第30条:関連情報の任意通知
第7章:監督および執行
第31条:監督および執行に関する一般的側面
第32条:不可欠エンティティに関する監督および執行措置
第33条:重要エンティティに関する監督および執行措置
第34条:不可欠エンティティおよび重要エンティティに対する制裁金の賦課に関する一般的条件
第35条:個人データ侵害を伴う違反
第36条:罰則
第37条:相互援助
第8章:委任権限および実施行為
第38条:委任の行使
第39条:委員会手続
第9章:最終規定
第40条:見直し
第41条:国内法化
第42条:規則(EU) No 910/2014の改正
第43条:指令(EU) 2018/1972の改正
第44条:廃止
第45条:発効
第46条:宛先
附属書
附属書I:高い重要性を持つセクター
附属書II:その他の重要セクター
附属書 III:相関表
基礎情報
| 法令(現地語) | |
| 法令(日本語) | 欧州連合全域におけるサイバーセキュリティの高度な共通水準を確保するための措置に関する2022年12月14日付欧州議会および理事会指令(EU)2022/2555(NIS 2指令)(規則910/2014および指令2018/1972を改正、指令2016/1148を廃止) |
| 公布日 | 2022年12月27日 |
作成者
この続きは先読会員になるとお読みいただけます。
ログインして続きを読む
