NIS2 FAQ

NIS2指令 よくある質問

  • NIS2指令とは、EU全体のサイバーセキュリティ水準を高めるために制定された、ネットワークおよび情報システムに関するサイバーセキュリティ指令です。

    従来のNIS指令を改正・強化したもので、エネルギー、運輸、医療、デジタルインフラ、製造業など幅広い重要セクターの企業・組織に対し、リスク管理、インシデント報告、サプライチェーン管理、経営層による監督などを求めています。

  • NIS2の対象となるかは、まず自社の事業が、NIS2指令の附属書Iまたは附属書IIに定められた対象セクター・サービスに該当するかを確認します。

    そのうえで、従業員数、年間売上高、貸借対照表総額などが一定の規模基準を満たすかを確認します。

    原則として、対象セクター・サービスに該当し、かつ中規模企業以上に該当する事業者がNIS2の対象となります。ただし、DNSサービスプロバイダー、トップレベルドメイン名登録機関、信頼サービスプロバイダーなど、一部の事業者は企業規模にかかわらず対象となる場合があります。  
      
    自社がNIS2の適用対象になるかを見極める簡易診断も用意しておりますので、ぜひご活用ください。

    今すぐNIS2指令 適用対象簡易診断を受ける

     

  • NIS2対応では、まず自社が適用対象に該当するかを確認し、監督当局への登録、経営層向けサイバーセキュリティ研修、自社の状況とNIS2要件とのギャップ分析による課題の洗い出しを進めることが重要です。

    ドイツ連邦情報セキュリティ庁(BSI)が公開したNIS2チェックリストでは、対応すべき項目が6つのステップに整理されています。当社では、同チェックリストの内容を日本語で解説した記事も公開しています。

    関連ニュース:BSIのNIS2チェックリストを日本語で解説 〜対応すべき6項目〜

     

  • 登録すべきです。

    対象事業者に該当する場合、期限を過ぎていても、できるだけ早く所轄監督当局への登録を行うことが望まれます。

    登録により、監督当局からNIS2対策に関する情報提供を受けられます。

    登録を行わない場合、監督当局からの指摘、制裁の対象となるリスクがあります。

  • 自社が対象に該当するか判断が難しい場合には、適用対象性診断を行い、必要に応じて専門家や所轄当局の情報を確認することを推奨します。

    対象外であっても、NIS2が求めるリスク管理、インシデント対応、サプライチェーン管理、経営層の関与といった考え方を取り入れることは、セキュリティ水準の向上に有効です。

  • NIS2指令では、提供するサービスや企業規模に応じて対象事業者を「主要エンティティ(Essential Entities)」と「重要エンティティ(Important Entities)」の2つのカテゴリーに分類しています。

    主要エンティティと重要エンティティのいずれに分類される場合でも、NIS2指令上の基本的な要求事項を遵守する必要がありますが、監督当局による監督の方法やタイミング、違反時の制裁金額の上限には違いがあります。

    たとえば、主要エンティティにはより積極的な事前監督が行われる一方、重要エンティティに対しては、違反の疑いがある場合などに事後的な監督が行われる仕組みが中心です。

  • NIS2指令では、対象事業者に対してサイバーセキュリティ対策の強化が求められており、違反があった場合には罰金を含む厳しい措置が科される可能性があります。

    指令第34条では、罰金の上限について次のように規定されています:

    • 主要エンティティ:最大1,000万ユーロ、または全世界の年間売上高の2%のいずれか高い方
    • 重要エンティティ:最大700万ユーロ、または全世界の年間売上高の1.4%のいずれか高い方

    また、NIS2では経営層の関与と責任が重視されており、加盟国の国内法では、経営層によるリスク管理措置の承認・監督義務や、義務違反時の責任が定められる場合があります。

    これにより、企業に対する罰則に加えて、役員や代表者に対しても一定の責任が及ぶ可能性があります。

    このように、NIS2への対応は単なるITセキュリティの問題にとどまらず、ガバナンスやリスクマネジメント全体に関わる経営課題と捉えることが重要です。

  • NIS2指令では、重大なインシデントが発生した場合、所轄監督当局またはCSIRTに対して、段階的に報告を行う必要があります。

    • インシデント認識から24時間以内:早期警告
    • インシデント認識から72時間以内:初期評価を含む通知
    • インシデント通知から1か月以内:最終報告

    また、所轄監督当局またはCSIRTからの要求により、最終報告の前に中間報告が必要となる場合もあります。

    インシデント対応が1か月以内に完了していない場合には、最終報告の代わりに進捗報告を行い、対応完了から1か月以内に最終報告を提出する必要があります。

     

  • 同じではありません。

    GDPRは個人データ保護に関する法令であり、各国・各州のデータ保護監督当局が管轄します。

    一方でNIS2はサイバーセキュリティに関する法令であり、たとえばドイツでは主にドイツ連邦情報セキュリティ庁(BSI)が中心的な監督当局となります。

    ただし、実務上は両方が関係する場面もあります。

    たとえば、サイバーインシデントによって個人データの漏えいが発生した場合、NIS2上の報告義務に加えて、GDPR上の個人データ漏えい報告も必要になる可能性があります。

     

  • NIS2指令第 21 条では、対象事業者に対し、リスクに応じた技術的・運用的・組織的措置を講じることが求められています。

    具体的に必要となる対策は、業種、提供するサービス、事業規模、サイバーリスクの内容によって異なりますが、一般的には次のような領域が重要になります。

    • リスク分析と情報システムのセキュリティに関する方針
    • インシデント対応体制の整備
    • 事業継続、バックアップ、復旧計画、危機管理
    • サプライチェーンセキュリティ
    • ICTの取得、開発、保守におけるセキュリティ
    • リスク管理措置の有効性評価に関する方針・手続き
    • サイバー衛生の実践とサイバーセキュリティ研修
    • 暗号化および暗号技術の利用に関する方針・手続き
    • 人的セキュリティ、アクセス制御、資産管理
    • 多要素認証、安全な緊急時の通信手段の確保

    これらの対策の承認、監督、必要なリソースの確保には、経営層が関与することが求められています。  
    つまり、サイバーセキュリティはIT部門の問題にとどまらず、経営課題として取り組む必要があるという立場が強く打ち出されています。

  • NIS2の対象事業者では、経営層に対してサイバーリスクの評価・管理に関する研修を受けることが求められます。

    これは単なる任意研修ではなく、経営層のリスク管理責任と結び付いた義務として位置付けられています。

    研修は一度受ければ終わりではなく、継続的に受講し、受講記録や研修内容を文書化しておくことが望まれます。