NIS2指令

NIS2指令（Directive on measures for a high common level of cybersecurity across the Union）は、EU全域におけるサイバーセキュリティの水準を統一的に引き上げることを目的とした、2022年12月に採択されたEU指令です。2016年に施行された初代NIS指令（NIS1）を大幅に強化・拡大したもので、加盟国は2024年10月17日までに国内法への置き換え（トランスポジション）を完了する義務がありました。

NIS2指令は、対象となる事業体を必須事業体（Essential Entities）と重要事業体（Important Entities）の2つに分類し、それぞれに異なるレベルのセキュリティ要件と監督体制を適用します。NIS1が約7つの分野を対象としていたのに対し、NIS2は18分野以上に拡大し、デジタルインフラ、ICTサービス管理、宇宙、公共行政、郵便サービスなど、より広範な分野をカバーしています。

NIS2指令の重要な特徴として、経営層の責任が明確化されている点が挙げられます。経営層はサイバーセキュリティリスク管理措置を承認し、その実施を監督する義務を負い、義務の不履行に対しては個人としての責任も問われる可能性があります。また、インシデント報告義務の厳格化、サプライチェーンセキュリティの強化、高額な制裁金制度の導入など、包括的なサイバーセキュリティガバナンスの枠組みが構築されています。

必須事業体と重要事業体の分類

必須事業体（Essential Entities）には、エネルギー（電力、石油、ガス、水素）、運輸（航空、鉄道、水運、道路）、銀行、金融市場インフラ、医療、飲料水、排水、デジタルインフラ（IXP、DNSサービス、TLDレジストリ、クラウドサービス、データセンター、CDN、信頼サービス）、ICTサービス管理（B2B）、公共行政、宇宙が含まれます。

重要事業体（Important Entities）には、郵便・宅配サービス、廃棄物管理、化学品、食品、製造業（医療機器、コンピュータ・電子機器、機械・設備、自動車、その他輸送機器）、デジタルサービスプロバイダー（オンラインマーケットプレイス、検索エンジン、SNSプラットフォーム）、研究機関が含まれます。適用基準として、原則として従業員50人以上または年間売上・資産1,000万ユーロ以上の中規模以上の組織が対象となります。

インシデント報告義務

NIS2指令では、重大なインシデントが発生した場合の段階的な報告義務が規定されています。まず、インシデント認知後24時間以内に所轄のCSIRT（Computer Security Incident Response Team）または監督当局に早期警告（Early Warning）を送信する必要があります。次に、72時間以内にインシデントの初期評価（深刻度、影響範囲、侵害の指標など）を含むインシデント通知を提出します。

最終的に、インシデント対応完了後1か月以内に、根本原因分析、講じた緩和措置、国境を越えた影響の有無などを含む最終報告書を提出する義務があります。これらの報告義務は、NIS1と比較して大幅に厳格化されており、報告の遅延や不備に対しても制裁金が課される可能性があります。

サプライチェーンセキュリティ

NIS2指令は、サプライチェーンセキュリティを重要な要素として位置付けています。対象事業体は、自組織のセキュリティだけでなく、直接的なサプライヤーやサービスプロバイダーのセキュリティリスクも考慮したリスク管理措置を講じる義務があります。

具体的には、サプライヤーとの契約にセキュリティ要件を含めること、サプライヤーのセキュリティ慣行の評価、サプライチェーン全体の脆弱性への対応が求められます。欧州委員会は、特定の重要なICT製品・サービスについて、EU全体での調整されたセキュリティリスク評価を実施する権限も有しています。

ENISAの役割

ENISA（European Union Agency for Cybersecurity：欧州連合サイバーセキュリティ機関）は、NIS2指令の実施を支援する中心的な機関です。ENISAは、EU全体のサイバーセキュリティ状況報告書の作成、ピアレビュー（加盟国間の相互評価）の促進、技術ガイダンスの策定、EU全域の脆弱性データベース（EU Vulnerability Database）の構築・運営を担当します。

また、ENISAはEU-CyCLONe（European Cyber Crises Liaison Organisation Network）の運営を支援し、大規模なサイバーインシデントが発生した場合のEU加盟国間の調整を行います。NIS2指令により、ENISAの役割と権限は大幅に拡充されました。

制裁金と執行

NIS2指令は、違反に対する高額な制裁金を規定しています。必須事業体に対しては、全世界年間売上高の2%または1,000万ユーロのいずれか高い方を上限とする制裁金が課される可能性があります。重要事業体に対しては、全世界年間売上高の1.4%または700万ユーロのいずれか高い方が上限です。

制裁金に加えて、各加盟国の監督当局は、コンプライアンス命令の発出、セキュリティ監査の実施命令、経営層の資格停止（必須事業体のみ）などの執行措置を講じる権限を有しています。特に経営層の個人責任が問われる点は、GDPRにも見られない厳格な規定です。

NIS1からの主要な変更点

NIS2指令はNIS1から以下の点で大幅に強化されています。対象分野の拡大（7分野から18分野以上へ）、組織規模基準の明確化（中規模以上を一律に適用）、インシデント報告の厳格化（24時間/72時間/1か月の段階的報告）、サプライチェーンセキュリティの義務化、経営層の責任明確化、制裁金の引き上げ（GDPRに近い水準）、加盟国間の協力体制の強化などが主要な変更点です。

また、NIS1では各加盟国の実施にばらつきが見られたことへの反省から、NIS2ではより詳細な要件が指令レベルで規定され、加盟国間のハーモナイゼーション（調和）が図られています。

• 01
  リスクベースのセキュリティガバナンス体制の構築：NIS2指令が求めるサイバーセキュリティリスク管理措置を実装するため、経営層の承認のもとでリスクアセスメントを定期的に実施し、リスクに応じた技術的・組織的対策を講じてください。経営層はリスク管理措置の承認と監督に直接関与し、適切なサイバーセキュリティ研修を受ける必要があります。
• 02
  段階的インシデント報告体制の整備：重大インシデント発生時に24時間以内の早期警告、72時間以内のインシデント通知、1か月以内の最終報告を確実に行えるよう、インシデント検知・分類・報告のプロセスを整備してください。所轄のCSIRTや監督当局への報告ルートを事前に確認し、担当者と代理者を明確に定めましょう。
• 03
  サプライチェーンリスクの体系的管理：直接的なサプライヤーおよびサービスプロバイダーのセキュリティリスクを評価し、契約にセキュリティ要件を含めてください。サプライヤーのセキュリティ慣行を定期的に評価し、サプライチェーン全体の脆弱性管理プロセスを確立しましょう。
• 04
  事業継続とディザスタリカバリの確保：サイバーインシデントが発生した場合の事業継続計画（BCP）とディザスタリカバリ計画（DRP）を策定し、定期的にテストしてください。バックアップ管理、危機管理手順、重要業務の代替手段の確保を含む包括的な復旧体制を構築しましょう。
• 05
  暗号化とアクセス制御の強化：NIS2指令が求める技術的セキュリティ措置として、保存データと通信データの暗号化、多要素認証、特権アクセス管理、ネットワークセグメンテーションを実装してください。ゼロトラストアーキテクチャの原則に基づき、最小権限の原則を徹底しましょう。
• 06
  脆弱性管理と情報開示の体制整備：組織が利用するICT製品・サービスの脆弱性を継続的に監視し、パッチ適用を迅速に行うプロセスを確立してください。NIS2指令はCoordinated Vulnerability Disclosure（CVD：協調的脆弱性開示）政策の策定も求めており、自組織の製品に脆弱性が発見された場合の対応手順も整備しましょう。