EU、サイバーセキュリティの高い共通レベルを提供するための強化された法的枠組みを採択

2022年11月10日の欧州議会の承認を受け、欧州連合理事会は、11月28日、指令（EU）2016/1148を廃止し、EU全域におけるサイバーセキュリティの高い共通レベルのための措置に関する新しい指令（EU）2022/0383（以下、「NIS 2」といいます。）を採択したと発表しました。

目的と範囲

指令（EU）2016/1148のこれまでの経験に基づき、NIS 2は、EU全域のサイバーセキュリティ要件とその実施のさらなる調和を目指しています。旧指令の対象となっていたセクターと事業体の範囲をそれぞれ拡大し、(i)公共の電子通信ネットワークやサービス、ソーシャルネットワークサービスのプラットフォームやデータセンター、宇宙、行政、および医薬品、医療機器、化学物質などの重要製品の製造など、新しいセクターで活動する中規模および大規模の「必須かつ重要」な事業体、並びに(ii)その規模に関係なく、特定の極めて重大な「必須かつ重要」な事業体を新たに含みます。

3段階のインシデント報告・リスク管理

NIS 2は、報告義務をより厳しくすることを想定しており、その最も重要なものは、3段階のインシデント報告です。NIS 2はさらに、責任ある事業者にサイバーセキュリティのリスク管理策を実施する義務を課し、社内およびサプライチェーンで採用すべき最低限の措置を定めています。

セキュリティガバナンスの遵守を強化する手段として、NIS 2は、責任ある事業体の経営陣にサイバーセキュリティリスク管理に関する承認・監督責任を課し、NIS 2の違反に対する経営責任を確立しています。

さらに、コンプライアンスとインシデント管理に対処するため、NIS 2はより厳格な執行要件を導入しています。特定の違反行為に適用される行政罰は、必須事業者については最大1,000万ユーロまたは全世界の年間総売上高の2％のいずれか高い方の額、重要事業者については最大700万ユーロまたは1.4％の額が課される可能性があります。

欧州サイバー危機連絡組織ネットワーク

NIS 2は、また、欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）を設立し、大規模なサイバーセキュリティ事故の協調管理を支援し、各加盟国の関係当局が効果的に協力するためのメカニズムを構築します。

次の段階

NIS 2は、EU官報に掲載された後、20日目に効力が生じます。この日から21カ月以内に、加盟国はNIS 2の規定を国内法で制定する必要があります。

本アラートは、EUにおいて活動拠点を有する日本企業にとって重要なトピックと考えられることから紹介する次第です。詳細は、Jones Day Alert “EU Adopts Enhanced Legal Framework to Provide for High Common Level of Cybersecurity”（オリジナル英語版）をご参照ください。