デジタルトランスフォーメーション、リモートワーク、地政学的な問題などを背景として、サイバー空間における脅威やサイバー攻撃は増加の一途を辿り、サイバー犯罪は社会全体にとってますます緊急性の高い問題になっている。この問題に対応するため、2016年、欧州議会はサイバーセキュリティに関する初のEU全体の法律である、「ネットワーク・情報システムのセキュリティに関する指令(NIS指令)」を採択したが、この度、その改正法である通称「NIS指令2」が公布された。

NIS指令は、基幹エネルギー網や医療、交通網といったインフラストラクチャーを運営する事業者、そしてオンラインマーケットプレイス、オンライン検索エンジンやクラウドコンピューティングサービスを提供する特定の事業者であるデジタルサービスプロバイダー(DSP)といった重要な役務を提供する事業者(OES)に、一定のリスク管理と報告の義務を課していた。しかし、その運用はEU加盟国間でもまちまちであり、実際に報告されたインシデントは多くはなかった。そこで2020年、欧州委員会はNIS指令の改正となる新指令の導入を提案し、当該新指令が2022年12月27日に公布され、2023年1月16日に発効した(「NIS指令2」)。NIS指令2は、NIS指令の欠陥に対処し、必要不可欠で重要な事業者やインフラストラクチャーをサイバー上の脅威やサイバー攻撃から保護し、EU全体で共通する高いレベルのセキュリティを実現することを目的としているものである。NIS指令2のEU加盟国による国内法化は、2024年10月17日までに行われなければならないとされている。

欧州委員会は、NIS指令2が「安全で堅牢かつ適切な情報共有を促進」し、ひいては事業者がフィッシング、マルウェア、不正アクセスなどの脅威から情報システムを守るのに役立つと説明している。更に、NIS指令2では、セキュリティ要件の強化、サプライチェーンのセキュリティへの対応、報告義務の合理化、EU全域での制裁の調和など、より厳しい監督措置及び執行要件の導入が期待されている(ただし、NIS指令2はあくまで「指令」であり、直接加盟国に効力が発生する「規則」ではない)。

関連情報

取扱業務