背景

サイバー攻撃は年々手口を変えながら増加する傾向にあります。NIS2は、2016年に発令されたEU指令「ネットワークおよび情報セキュリティ指令」（通称NISD）の改正法です。昨年10月に施行され、加盟各国は2024年10月18日までに、自国内法令を本指令に準拠させる必要があります。

この新指令により、EU圏内で事業を行う中規模以上の企業（組織）は、組織自身のサイバーセキュリティ（レジリエンス/回復力）を強化する必要があります。

主な改正点

• 対象組織範囲の拡大
• 対象組織を2つのカテゴリに大別
• 加盟国及び対象組織のサイバーインシデント管理体制の強化
• インシデント管理と報告義務などの一元化と透明化（報告時間の短縮を含む）
• 厳しい罰則の導入

詳細

• 対象組織の2つのカテゴリ: 影響力と重要性の観点から、以下の2つのカテゴリに大別されます。
• 重要組織: エネルギー、金融、運輸など、国家経済や社会に重大な影響を与える組織
• 中規模組織: 上記以外の組織

• 対象組織範囲の拡大: 従来のNIS指令よりも対象組織範囲が拡大され、以下の組織が含まれます。

カテゴリー１（エッセンシャル企業）

エネルギー、水道、交通、金融市場にインフラプロバイダー、ヘルスケア、デジタルサービスプロバイダー

カテゴリー２（インポータント企業）

郵便及び配送、下水・廃棄処理、化学品製造及び流通、食品の生産・加工及び流通、研究、製造（医療機器・電気機器・電子機器・コンピューター・光学機器・機械、自動車等動力機器・その他輸送機器）

サイバーインシデント管理体制の強化

加盟国と対象組織は、以下の事項を含むサイバーインシデント管理体制を強化する必要があります。

• リスク分析
• インシデント対応計画
• 訓練・演習
• 監視・情報収集
• サプライチェーンセキュリティ

報告義務

• 対象組織はインシデント発生（感知）から２４時間以内に、インシデントが発生した可能性がある旨を当局に通報することが義務化された。
• 対象組織はインシデント発生（感知）から７２時間以内にインシデントに係る初期報告を当局に提出することが義務化された

EUCC証明

NIS２ではさらに新しい証明制度（EUCC）の施行を計画しており、ICTサービス、製品等のみを利用することで、セキュリティーの環を構築する事を検討してる。これは重大な取り組みで、もし

この案が施行された場合、NIS２対象企業は自身のサプライチェーンをすべてEUCC取得業社に移行する必用があり、莫大な労力と費用がかかる可能性がある上、ベンダー側も当該証明を取得がほぼ義務付けられる事となり、EU外企業の体系的な排除行為となる。当該案は現在検討段階。

ペナルティー

エッセンシャル：1000万ユーロ、もしくは世界グループ売上の2%（どちらか高い方）インポータント：700万ユーロ、もしくは世界グループ売上の1.4%（どちらか高い方）

となっている。更なる詳細は続編へ