NIS2とは？EUサイバーセキュリティ指令の解説

NIS2とは何か

NIS2とは何か。NIS2（指令（EU）2022/2555）は、EU全域におけるサイバーセキュリティ要件を義務化し、加盟国に対して重要分野における能力強化とリスク管理措置の実施を求めています。NIS2指令は、従来のNIS指令から対象範囲を拡大し、エネルギー、運輸、銀行、医療、デジタルインフラ、製造業、行政など18の重要分野をカバーします。

取締役会からNIS2への対応状況を問われました。カレンダーを確認すると、2024年10月17日の移行期限はすでに過ぎています。同じ状況の組織は多く、23のEU加盟国がこの期限を守れず違反手続きの対象となりました。

最近の攻撃事例は、なぜEUのNIS2が重要かを示しています。2021年5月、アイルランドの保健サービス執行機関はContiランサムウェア攻撃を受け、外来予約の80%がキャンセルされ、復旧費用は1億ユーロを超えました。2017年のNotPetya攻撃では、Maerskのグローバルな海運業務が混乱し、45,000台のPCと4,000台のサーバーが破壊され、被害額は3億ドルに上りました。2021年のColonial Pipelineランサムウェア事件では、米国東海岸の燃料供給が混乱し、440万ドルの身代金が支払われました。EUはこのような事例を受け、重要インフラ全体でNIS2によるサイバーセキュリティガバナンスの強化を義務付けています。

ドイツのBSIは約29,500の組織がNIS2の対象であると確認しており、フランスでは1万以上が該当します。対象となるのは、カバーされる分野で事業を行い、従業員50人以上または年間売上高1,000万ユーロ超のいずれかを満たす組織です。従業員50人未満かつ年間売上高1,000万ユーロ以下の小規模・零細組織は、Critical Entities Resilience（CER）指令で重要と指定されない限り、原則として除外されます。

NIS2は、規制負担を決定する二重の分類制度を導入しています。エッセンシャルエンティティは、エネルギー、運輸、銀行、金融市場インフラ、医療、飲料水、廃水、デジタルインフラ、ICTサービス管理（B2B）、行政、宇宙の11の高度に重要な分野で事業を行います。インポータントエンティティは、郵便・宅配、廃棄物管理、化学、食品生産、製造業、デジタルプロバイダー、研究機関の7分野で事業を行います。

第20条は、サイバーセキュリティ対策の承認、実施監督、研修受講について経営陣の個人責任を定めています。責任を上位に委譲したり、技術的知識の欠如を弁明とすることはできません。これらの責任要件は、従来の指令から大きく変更された点です。

NIS2とNIS1の違い：何が変わったか

2016年のNIS指令（NIS1）は約7分野を対象とし、加盟国に大きな裁量を認めていました。この柔軟性により、同じ組織でも国によって異なる要件が課される断片的な規制状況が生まれました。NIS2は、根本的な構造改革によりこれらの課題に対応しています。

対象範囲の拡大が最も顕著な変更点です。NIS2は18分野をカバーし、製造業、食品生産、廃棄物管理、郵便サービス、行政も義務対象となりました。また、従業員50人以上または売上高1,000万ユーロ超という明確な規模基準が導入され、適用範囲の曖昧さが解消されました。

執行体制も全面的に見直されました。NIS1には統一された罰則がなく、加盟国ごとに対応が異なっていました。NIS2は、エッセンシャルエンティティに対し最大1,000万ユーロまたは全世界売上高の2%のいずれか高い方という最低罰則基準を設け、監督当局にコンプライアンス違反時の経営陣の職務停止権限も付与しています。また、経営陣の個人責任も新たに導入されました。

インシデント報告の期限も大幅に厳格化されました。NIS1は「不当な遅延なく」とのみ規定し、具体的な期限はありませんでしたが、NIS2は24時間以内の早期警告、72時間以内の詳細通知、1か月以内の最終報告を義務付け、報告内容も明確に定めています。このNIS2指令の概要は、より厳格な責任追及と迅速な対応への転換を示しています。

NIS2の遵守義務者

NIS2の遵守は、対象分野で事業を行い、特定の規模基準を満たす組織に義務付けられています。指令は、従業員50人以上または年間売上高1,000万ユーロ超の中規模・大規模組織に適用されます。いずれかの基準を満たす組織は、NIS2の要件を遵守しなければなりません。

従業員50人未満かつ年間売上高1,000万ユーロ以下の小規模・零細組織は、原則として免除されます。ただし、特定の組織は規模に関係なく義務対象となります。これには、公衆電子通信ネットワーク提供者、トラストサービス提供者、トップレベルドメイン名レジストリ、DNSサービス提供者、CER指令で重要と指定された組織が含まれます。

加盟国は、重要性評価に基づき追加でエッセンシャルまたはインポータントエンティティを指定する権限を保持しています。各国の主管当局が公式リストを公開し、自国での適用範囲を明確にしています。ドイツのBSI、フランスのANSSI、その他加盟国の同等当局が登録ポータルを運営しており、そこで自組織の分類状況を確認できます。

複数国で事業を展開する組織は、追加の複雑性に直面します。複数のEU加盟国で対象分野のサービスを提供する場合、それぞれの管轄でNIS2を遵守する必要があります。指令は、各国当局間の協力メカニズムを設け、越境組織の監督を調整します。

NIS2の対象範囲とカバー分野

NIS2は、対象分野を監督強度と罰則リスクを決定する2つのカテゴリに分類しています。エッセンシャルエンティティは11の高度に重要な分野、インポータントエンティティは7つのその他重要分野で事業を行います。

エッセンシャルエンティティ分野：

• エネルギー（電力、石油、ガス、水素、地域暖房・冷房）
• 運輸（航空、鉄道、水運、道路）
• 銀行
• 金融市場インフラ
• 医療（医療提供者、EU基準検査機関、医療機器メーカー、製薬）
• 飲料水供給・配水
• 廃水収集・処理・処分
• デジタルインフラ（インターネットエクスチェンジ、DNS提供者、TLDレジストリ、クラウド、データセンター、CDN、トラストサービス、公衆電子通信）
• ICTサービス管理（B2Bマネージドサービスプロバイダー、マネージドセキュリティサービスプロバイダー）
• 行政（中央政府機関）
• 宇宙（宇宙サービスを支える地上インフラ運用者）

インポータントエンティティ分野：

• 郵便・宅配サービス
• 廃棄物管理
• 化学（製造、生産、流通）
• 食品の生産・加工・流通
• 製造業（医療機器、コンピュータ、電子機器、機械、自動車、輸送機器）
• デジタルプロバイダー（オンラインマーケットプレイス、検索エンジン、SNSプラットフォーム）
• 研究機関

この分野別アプローチにより、NIS2のサイバーセキュリティ要件は社会的影響の大きさに応じて拡張され、適用範囲の明確化が図られています。

NIS2の罰則と執行

NIS2指令は、サイバーセキュリティを技術的機能から取締役会レベルのガバナンス義務へと転換し、実効性のある罰則を設けています。エッセンシャルエンティティは、最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方の行政罰金が科されます。インポータントエンティティは、最大700万ユーロまたは売上高の1.4%のいずれか高い方が上限です。

各国の主管当局は、金銭的罰則を超える広範な執行権限を有します。 第29条によれば、監督当局は以下を行うことができます：

• 不遵守に関する警告の発出
• 特定のサイバーセキュリティ対策を義務付ける拘束力のある命令の発出
• リスク管理措置の実施に関する拘束力のある指示の発出
• 組織負担による セキュリティ監査の実施命令
• 是正措置の実施期限の設定

これらの執行メカニズムにより、組織はNIS2義務を真剣に受け止め、必要な管理策を実施することが求められます。

NIS2におけるインシデント報告義務

NIS2は、組織にとって大きな運用上の課題となる厳格な インシデント通知期限を定めています。指令は、対象組織に影響を及ぼす重大インシデントについて、3段階の報告プロセスを義務付けています。

第1段階では、重大インシデントを認知してから24時間以内に早期警告を行う必要があります。この通知には、違法または悪意ある行為による疑いの有無や、越境影響の可能性を含める必要があります。24時間のカウントは、調査完了時ではなく、インシデントを認知した時点から開始されます。

第2段階では、72時間以内に詳細通知が必要です。この報告には、初期影響評価、侵害の指標、実施済みまたは計画中の対応策を含める必要があります。調査の進展に応じて、この通知は随時更新しなければなりません。

第3段階では、インシデント通知から1か月以内に最終報告が必要です。この包括的な文書には、インシデントの詳細な説明（深刻度・影響）、脅威の種類または根本原因、実施済みおよび継続中の緩和策、越境影響評価を含める必要があります。

インシデントが重大とみなされるのは、組織のサービスに深刻な運用障害や財務損失をもたらした、またはもたらす可能性がある場合、あるいは他の自然人または法人に相当な物的・非物的損害を与えた、または与える可能性がある場合です。この二重基準により、内部影響が限定的でも外部に被害が及ぶ場合は通知義務が生じます。

NIS2のガバナンスと監督

NIS2規則は、EUレベルの調整（ENISA）、各国の主管当局（ドイツのBSI、フランスのANSSIなど）、組織レベルの実施によって運用されます。エッセンシャルエンティティは、 第32条に基づき、定期的な現地検査、オフサイト監査、義務的セキュリティ監査、ペネトレーションテストなど、継続的な監督を受けます。インポータントエンティティは、 第33条に基づき、当局が不遵守の証拠を得た場合に事後監督を受けます。

インシデントが重大とみなされるのは、組織のサービスに深刻な運用障害や財務損失をもたらした、またはもたらす可能性がある場合、あるいは他の自然人または法人に相当な物的・非物的損害を与えた、または与える可能性がある場合です。

NIS2と関連するEU規則

このEU NIS2規則は単独で運用されるものではありません。NIS2は他のEU規則と交差しており、これらの関係を理解することでコンプライアンスの抜け漏れや重複を防ぐことができます。

• デジタル運用レジリエンス法（DORA）は、銀行、保険会社、投資会社など金融分野の組織に適用されます。DORAは、NIS2と重複するICTリスク管理要件を定めていますが、サードパーティリスク管理や運用レジリエンステストなど分野固有の規定も含みます。DORA対象の金融機関は、lex specialis原則によりDORA準拠でNIS2のリスク管理要件も満たすことになります。
• 重要組織レジリエンス（CER）指令は、重要インフラの物理的セキュリティを扱い、NIS2のサイバーセキュリティ要件を補完します。CERで重要と指定された組織は、物理的レジリエンス要件とNIS2のサイバーセキュリティ義務の両方を同時に負います。
• サイバーレジリエンス法（CRA）は、デジタル要素を持つ製品を対象とし、製造者に製品ライフサイクル全体でのセキュリティ実装を義務付けます。NIS2が組織のサイバーセキュリティ実務を規定するのに対し、CRAは組織が購入する製品のセキュリティ基準を担保します。

GDPRは、NIS2のサイバーセキュリティ要件とは別に個人データ保護を規定し続けます。単一のインシデントでも、両規則で異なる期限・通知先・内容要件の通知義務が発生する場合があります。

NIS2導入の主なメリット

規制の複雑さはあるものの、NIS2に準拠することで組織は具体的な利点を得られます。

1. 27加盟国での要件統一。指令はNIS2サイバーセキュリティ分野で公平な競争環境を確立します。複数国で事業を行う組織は、27の異なる サイバーセキュリティフレームワークを個別に対応する必要がなくなります。
2. 取締役会レベルの責任が投資を促進。指令は、 サイバーセキュリティコンプライアンスにおける経営陣の個人責任を明確に定めています。CEOや取締役が研修や正式承認を通じてサイバーセキュリティ判断の直接責任を負うことで、予算議論がより積極的な投資へと転換します。
3. サプライチェーン全体のレジリエンス向上。サプライチェーンセキュリティ要件は、重要分野全体に波及的なレジリエンスをもたらします。各直接取引先ごとに脆弱性評価が必要となるため、ベンダー側も自社のサイバーセキュリティ態勢強化を迫られ、エコシステム全体の改善につながります。
4. 迅速な情報共有による集団防御。24時間以内のインシデント通知義務は、脅威発生時の迅速な情報共有を実現します。この3段階報告プロセスにより、主管当局やCSIRTが新たな脅威を即座に把握し、迅速な分析や越境連携が可能となります。

NIS2導入における課題

これらのメリットの一方で、実装には大きな課題も伴います。

1. 経営層の関与確保が困難。欧州サイバーセキュリティ機構の調査では、義務化された経営陣責任要件にもかかわらず、 66%の組織しか経営層が関与していないと報告されています。移行期限後も53%が十分な経営層の関与確保に課題を抱えています。
2. サプライチェーンの複雑性による波及リスク。サプライチェーンの脆弱性は、NIS2導入組織が直面する最も重大なシステミック障壁です。 MDPI掲載の査読論文によると、DEMATEL手法で因果関係を分析した結果、多くの組織がサードパーティリスクを制御できず、他のコンプライアンス領域にも波及的な障害を生じていることが判明しました。
3. 24時間報告が常時対応能力を要求。24時間以内の早期警告は、24/7 SOC運用やリアルタイム脅威検知能力のない組織にとって運用上の課題となります。この要件を満たすには、事前に確立されたワークフローや自律的な対応能力が必要です。
4. ドキュメント負担が少人数チームを圧迫。ドキュメント要件は、すでにリソースが限られているチームに監査準備の負担をもたらします。サイバーセキュリティ方針、リスク評価文書、管理策実施証拠、NIS2チェックリストの各項目（第21条の10項目）について証拠を維持する必要があります。
5. リソース制約による難しい選択。財務リソースの制約が実装課題をさらに複雑化させます。新たなセキュリティ管理策、コンプライアンス文書化システム、スタッフ研修、サプライヤー評価、第三者監査など、同時に複数の投資が必要となります。

NIS2チェックリストとベストプラクティス

これらの落とし穴を回避するには、体系的なアプローチが必要です。以下のNIS2チェックリストを実装の指針としてください：

1. ENISAガイダンスから着手。 ENISA技術実装ガイダンスを権威ある技術的基盤として活用してください。この170ページの非拘束文書は、実践的な実装措置、証拠例、ISO 27001・NIST・IEC 62443とのマッピングを提供します。
2. 早期に経営層の後援を確保。技術的実装開始前に経営層の後援を確保してください。 第29条6項は、経営陣メンバーにNIS2遵守の個人責任を課しています。管理承認、研修修了、監督活動を文書化し、コンプライアンス証拠としてください。
3. 既存フレームワークを活用。ISO 27001認証を維持している場合は、10項目の必須措置とのギャップ分析を実施してください。ENISA技術実装ガイダンスには、既存管理策がNIS2要件を満たす箇所と追加措置が必要な箇所の明示的なマッピングがあります。
4. 自律的な対応能力を実装。24時間以内のインシデント通知を可能にする集中可視化と自律対応能力を導入してください。 ログ管理（保持要件準拠）、新たな脅威を検知する行動AI、平均復旧時間短縮の自動対応、24/7監視体制が必要です。
5. サプライヤー評価を個別化。サプライチェーンセキュリティを優先し、各直接サプライヤー・サービス提供者ごとに脆弱性評価を実施してください。全サプライヤー契約に、義務、監査権、インシデント通知要件、コンプライアンス検証手順を明記してください。
6. 文書化とワークフローを集中管理。リアルタイム証拠収集、バージョン管理、承認チェーン、管理策有効性のKPIを備えたデジタル文書化システムを構築してください。インシデント分類基準とエスカレーション手順を組み込んだ事前設定済みのインシデント通知ワークフローを作成してください。

この体系的アプローチを採用する組織は、NIS2準拠だけでなく、全体的なセキュリティ態勢の向上も実現できます。コンプライアンスのための投資は、規制要件を超えた運用上のメリットをもたらします。

NIS2コンプライアンスのタイムラインと期限

NIS2規則は、指令の採択と加盟国の移行要件によって定められた明確なタイムラインで運用されます。これらの期限を理解することで、組織は実装活動の優先順位付けやリソース配分を適切に行えます。

指令は2023年1月16日に発効し、加盟国には21か月以内に国内法へ移行することが求められました。移行期限は2024年10月17日でした。この日以降、すべての対象組織は各国の実装法に基づきNIS2要件の対象となりました。

しかし、加盟国ごとに移行の進捗は大きく異なりました。2024年10月の期限時点で、 23のEU加盟国が移行未完了により違反手続きの対象となりました。これにより、越境事業を行う組織は、管轄ごとに異なる実装状況に直面しています。

加盟国は2025年4月17日までにエッセンシャルおよびインポータントエンティティのリストを作成しなければなりません。この登録期限までに、対象組織は主管当局に必要情報を提出し、分類を受ける必要があります。まだ登録していない場合は、適切な分類と監督割当のために早急に対応してください。

欧州委員会は、2027年10月17日までにNIS2の運用状況をレビューし、その後36か月ごとに見直しを行います。これらのレビューにより、コンプライアンス要件に影響する指令改正が行われる可能性があります。組織は規制動向を注視し、将来の変更に柔軟に対応できるコンプライアンス体制を維持してください。

コンプライアンス体制を構築中の組織にとって、移行期限の経過は即時対応を意味します。リスクアセスメント、インシデント対応ワークフローの整備、サプライチェーンセキュリティ評価を優先してください。すべてのコンプライアンス活動を文書化し、監督当局への誠実な実施努力の証拠としてください。

NIS2指令のまとめと重要ポイント

EU NIS2は、18の重要分野に対して義務要件を定め、経営陣の責任やエッセンシャルエンティティに対する最大1,000万ユーロまたは全世界売上高2%の罰則を導入しています。指令は、10項目のリスク管理措置、24時間以内の早期警告から始まる3段階のインシデント報告、各直接サプライヤー・サービス提供者を対象としたサプライチェーンセキュリティ評価を義務付けています。

導入成功には、プロジェクト開始時からの取締役会レベルの後援、ENISAの13テーマ領域フレームワークを用いた体系的ギャップ分析、リソース制約下でも厳格な報告期限を満たせる自律的セキュリティ能力が必要です。従来のNIS指令から移行する組織は、サプライチェーン評価とインシデント対応ワークフローを最優先課題としてください。