NIS 2指令

NIS2指令は、欧州連合（EU）全域で共通する高水準のサイバーセキュリティを確保することを目的としたEU指令です。2016年に施行された旧NIS指令に代わるものとして、セキュリティ要件の強化、サプライチェーンのセキュリティに関する規定、整合化された罰則などが新たに盛り込まれています。NIS 2指令は2022年の終わりに欧州議会およびEU理事会で採択され、2024年10月18日からEUで適用を開始されました。加盟国はこの指令を国内法に組み込むこまなくてはなりません。

NIS2の要件は主に企業が対象です:

NIS1指令の主な適用対象は重要インフラであり、関連するデジタルサービスのプロバイダでしたが、NIS 2指令では対象が製造業者にも拡大され、エンジニアリング企業や、データ処理装置、電子製品・工学製品、電気装置、自動車・自動車部品や他のあらゆる車両部材のメーカなども新たに対象となりました。そうした分野で従業員数が50名を超える企業、あるいは年間売上高／年度貸借対照表合計額が1,000万ユーロを上回る企業には、NIS2が適用されるのです。

NIS2の影響を受ける企業は、指令に適合するために、次のようないくつかの対策を実行しなくてはなりません:

• リスクの管理: リスクを特定・評価するプロセスの採用。
• セキュリティ対策: リスクの低減を目的とする技術的・組織的対策の導入。
• インシデント報告: セキュリティインシデントを担当機関へ報告する手順の確立。
• 監視と監査: セキュリティ対策の定期的なレビューと評価。

NIS2指令はEU加盟各国の政府当局によって施行されます。当局は責任を持ってコンプライアンス状況を監視し、指令の順守を保証します。ドイツの担当政府機関は連邦情報セキュリティ局（BSI）です.

強制措置:

1. 報告義務: 企業はセキュリティインシデントを報告する義務があります。NIS2は透明性の向上と対応の迅速化のため、3段階の報告システムを採用しています。
2. 監査の手段: ドイツ連邦情報セキュリティ局（BSI）はセキュリティ要件の適合状況を確認することを目的とし、監査や査察の実施の権限を拡大しました。
3. 罰則: この指令へのコンプライアンスを達成しない場合には、違反の重大度に応じた罰則を課されることがあります。

支援およびアドバイス:
BSIは影響を受ける企業に対し、NIS2への対応を円滑に進められるよう支援とアドバイスを提供します。企業はITセキュリティを向上させ、新要件の遵守を実現するために、積極的に準備をする必要があります。 欧州連合サイバーセキュリティ機関 (ENISA) は、サイバーセキュリティに関する多くの有益な情報を提供しています。

NIS2、サイバーレジリエンス法および機械規則は、サイバーセキュリティとレジリエンスの強化に向けたEUの包括的な規制的枠組みの一部です。NIS2の主眼はネットワークセキュリティ、情報システム、そして企業レベルの要件にあります。一方、サイバーレジリエンス法は、デジタル要素を伴う製品のサイバーセキュリティの向上を目的とした法律です。機械規則は両者を補足するものとして、機械と工業製品のセキュリティ要件を定めています。

• 産業サイバーセキュリティに関するその他の規格（IEC 62443など）
• European Union Agency for Cybersecurity (ENISA)