多くの分野の中・大規模企業を対象へ

2022年05月13日、欧州委員会は、2020年12月に欧州委員会が提案した、EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令（NIS 2指令）について、欧州議会とEU加盟国の間で政治合意が成立したことを明らかにしました。

ネットワークおよび情報システムのセキュリティに関する既存の規制（NIS指令）は、サイバーセキュリティに関するEU全体の最初の法律であり、多くの加盟国におけるサイバーセキュリティに対する考え方、制度、規制のアプローチに大きな変化をもたらす道筋をつけるもとのとして位置づけられていました。

他方、しかし、社会のデジタル化と相互接続が進み、世界レベルでサイバー犯罪が増加しているため、この法律は更新される必要があるとされています。

背景

サイバーセキュリティは欧州委員会の最優先事項の一つであり、デジタル（Digital Europe）とコネクテッド・ヨーロッパ（Connected Europe）の基礎となるものとしてい位置づけられています。2016年に施行されたサイバーセキュリティに関する初のEU全体の法律であるNIS指令は、EU全域に共通するネットワークおよび情報システムの高いセキュリティレベルの達成に貢献したとされています。

欧州をデジタル時代に適合させるという重要な政策目標の一環として、欧州委員会は2020年12月にNIS指令の改訂を提案しました。2019年から施行されているEUサイバーセキュリティ法は、製品、サービス、プロセスのサイバーセキュリティ認証の枠組みを欧州に備え、EUサイバーセキュリティ機関（ENISA）の職務権限を強化しました。

概要

欧州がサイバー脅威にさらされる機会が増えたことに対応するため、NIS 2指令は、公共電子通信サービス、デジタルサービス、廃棄物処理、重要製品の製造、郵便・宅配サービス、中央・地方行政など、経済・社会にとって重要なより多くの分野の中・大規模企業を対象とするようになりました。

また、COVID-19の大流行で生じたセキュリティ上の脅威の高まりを受け、医療機器メーカーを含めるなど、ヘルスケア部門をより広くカバーすることにもなっています。

新規制の対象範囲の拡大は、より多くの事業体や部門にサイバーセキュリティのリスク管理対策を効果的に義務付けることで、中長期的には欧州のサイバーセキュリティのレベルアップにつながると見込まれています。

NIS 2指令はまた、企業に課されるサイバーセキュリティの要件を強化し、サプライチェーンとサプライヤー関係のセキュリティに対応し、サイバーセキュリティ義務の不履行に対する経営トップの説明責任を導入しています。

報告義務を合理化し、国家当局に対するより厳しい監督措置と、より厳格な執行要件を導入し、加盟国間の制裁制度の調和を図るものとされています。

欧州議会と欧州理事会による政治的合意は、今後、両共同立法者による正式な承認が必要となります。官報に掲載された後、指令は20日後に発効し、加盟国は指令の新要素を国内法に反映させる必要があります。加盟国は、この指令を国内法に反映させるために21ヶ月の猶予が与えられる見込みです。

参考

■　EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令の提案／欧州委員会