NIS2指令とは
NIS2指令(Network and Information Security Directive 2)は、EUが2023年1月に発効したサイバーセキュリティに関する指令です。2024年10月までにEU加盟国は国内法への置き換えが求められ、EU域内で事業を行う幅広い組織にサイバーセキュリティ対策を義務付けます。
前身のNIS指令(2016年)から対象範囲が大幅に拡大され、中規模企業(従業員50名以上 or 年間売上1,000万ユーロ以上)も対象に含まれるようになりました。
対象範囲
必須エンティティ(Essential Entities)
エネルギー、運輸、銀行、医療、水道、デジタルインフラ、行政、宇宙の8分野。大企業が中心。
重要エンティティ(Important Entities)
郵便、廃棄物管理、化学、食品、製造業、デジタルサービス(クラウド、SNS、マーケットプレイス)など。中規模企業も対象。
⚠️ サプライチェーンへの波及
NIS2は対象企業に対し、サプライチェーン全体のセキュリティリスク管理を義務付けています。つまり、EU域内の取引先がNIS2対象企業であれば、日本の下請け・委託先にもセキュリティ要件が及ぶ可能性があります。
主な義務
| 義務 | 内容 |
|---|---|
| リスク管理措置 | サイバーセキュリティリスクの特定、評価、管理措置の実施 |
| インシデント報告 | 重大なインシデントを24時間以内に初回報告、72時間以内に詳細報告 |
| サプライチェーン管理 | 委託先・取引先のセキュリティリスク評価と管理 |
| 経営層の責任 | 経営層がサイバーセキュリティ対策を承認・監督する義務 |
| 暗号化 | 適切な暗号化技術の使用 |
| 脆弱性管理 | 脆弱性の検知と迅速な対応 |
| BCP | 事業継続計画と災害復旧計画の整備 |
罰則
| カテゴリ | 最大罰金 |
|---|---|
| 必須エンティティ | 1,000万ユーロ or 全世界年間売上高の2%のいずれか高い方 |
| 重要エンティティ | 700万ユーロ or 全世界年間売上高の1.4%のいずれか高い方 |
さらに、経営層個人の責任も問われる可能性があり、GDPRと同様に厳しい罰則が設定されています。
日本企業への影響
影響を受ける可能性がある日本企業
- EU域内に子会社・拠点がある企業:直接的にNIS2の対象
- EU企業のサプライヤー・委託先:サプライチェーンセキュリティ要件の対象
- EU向けにデジタルサービスを提供する企業:クラウド、SaaS、マーケットプレイス
- EU企業と取引のある製造業:製品のサプライチェーンセキュリティ要件
必要な対策
| 対策 | 内容 |
|---|---|
| 1. 対象範囲の確認 | 自社がNIS2の直接対象か、サプライチェーン経由で影響を受けるか確認 |
| 2. ギャップ分析 | NIS2の要件と現在のセキュリティ対策の差異を分析 |
| 3. リスク管理体制の整備 | ISMS(ISO 27001)をベースにした管理体制の構築 |
| 4. インシデント対応体制 | 24時間以内の報告体制、72時間以内の詳細報告プロセスの確立 |
| 5. サプライチェーン管理 | 取引先のセキュリティ評価、契約へのセキュリティ要件の明記 |
| 6. 経営層の関与 | 取締役会でのセキュリティ報告、経営層のセキュリティ研修 |
BTNコンサルティングの支援
NIS2対応のギャップ分析、リスク管理体制の構築、インシデント対応計画の策定、サプライチェーンセキュリティ評価を支援します。
まとめ
NIS2指令はEU域内で事業を行う中規模以上の企業に広範なサイバーセキュリティ義務を課す規制です。日本企業もEU取引先のサプライチェーン要件を通じて影響を受ける可能性があります。まず自社の対象範囲を確認し、ISMS/NIST CSFをベースにしたギャップ分析から対応を始めましょう。