Article

BSIのNIS2チェックリストを日本語で解説　〜対応すべき6項目〜

ドイツのNIS2監督当局であるBSI（Bundesamt für Sicherheit in der Informationstechnik、連邦情報セキュリティ庁）が、NIS2対応のためのチェックリストを公開しました。

NIS2対応について、「何から始めればよいのか分からない」「当局の資料を読んでも、自社で何をすべきか判断しづらい」と感じている企業も多いのではないでしょうか。

BSIのチェックリストでは、NIS2対応で取り組むべき基本的な項目を6つのステップに整理しています。

本記事では、BSIチェックリストに記載されている6つのステップの日本語訳と、各ステップの解説を紹介するとともに、対応に役立つEnobyteのサービスをご案内します。

NIS2対策は、自社が適用対象に該当するかを明らかにするところから始まります。

NIS2指令の適用対象は、単に従業員数や売上高という基準だけで機械的に決まるものではなく、業種、企業規模、提供サービス、企業グループ構造、対象国の国内法などを踏まえて個別に評価する必要があります。

NIS2指令では、サイバーセキュリティを経営陣が主体的に取り組む経営課題として位置づけています。経営陣または管理機関には、サイバーセキュリティ・リスク管理措置を承認し、その実施状況を監督する責任が求められています。

BSIチェックリストでは、社内で少なくとも2名を責任者として選定・任命し、情報セキュリティを統括する役割を担えるよう、必要な権限と能力を持たせる必要があると示されています。

NIS2指令の対象となる組織は、各国の所轄監督当局へ登録を行う必要があります。

たとえば、ドイツでNIS2指令の対象となる組織は、BSIポータルで登録を行う必要があります。登録には、「Mein Unternehmenskonto」とELSTERの組織証明書が必要です。

Enobyteでは、2026年2月6日にBSIポータル登録に関するセミナーを実施しました。

また、Enobyteでは登録対応および関連手続きのサポートを提供しております。

重大なセキュリティインシデントが発生した場合に迅速に対応できるよう、あらかじめ報告プロセスと役割分担を明確に定めておくことが重要です。

たとえばドイツでは、主要エンティティ、重要エンティティ、および重要インフラ事業者（KRITIS事業者）は、重大なセキュリティインシデントをBSIに段階的に報告する義務があります。

Enobyteの関連サービス：CSIRTサービス

経営陣は、リスクマネジメント措置の実施と監督について責任を負います。

また、NIS2指令では経営陣に対して、情報セキュリティ分野のリスクマネジメント措置に関する定期的な研修受講義務が定められています。

経営陣がNIS2の要求事項や自社のリスクを理解し、適切な意思決定を行えるようにするため、継続的な教育体制を整備することが重要です。

Enobyteの関連サービス：マネージャー研修

NIS2指令の対象となる組織は、情報セキュリティを確保するために、適切で、比例的かつ有効な技術的及び組織的措置を講じなければなりません。

NIS2指令が要求するリスクマネジメント対策には、少なくとも次の10項目が含まれます（NIS2第21条）。

Enobyteでは、NIS2に関するご質問や、当局登録、インシデント対応体制の整備、マネージャー研修、リスクマネジメント対策の実装支援などに関するご相談を受け付けています。

NIS2対応にお悩みの企業様は、お気軽にお問い合わせください。

2026年2月6日開催　緊急セミナー「NIS2実施法〜BSIポータル登録〜」のご案内

ドイツNIS2実施法の施行により、対象企業にはBSIポータルでの登録義務が生じます。

「何を・いつまでに・どの順番で進めるか」を日本語で短時間に整理いただけるオンラインセミナーを開催いたします。

News | Jan. 28, 2026
ドイツNIS2実施法監督当局への登録開始　罰則50万€

ドイツでNIS2実施法が施行され、対象企業は 2026年3月6日までにBSIポータルで登録が必要です。準備に数週間かかるため早めの着手を—期限遅れは高額な罰金リスクがあります。

News | Jan. 12, 2026
ドイツにおけるNIS2指令の施行について

EUのNIS2指令をドイツ法に移す「NIS-2-Umsetzungsgesetz（NIS-2実施法）」が、2025年12月6日に施行されました。

News | Dec. 12, 2025