イギリスにおいて、ネットワークおよび情報システム（NIS）規則は引き続き完全に適用されます。

元々はEUのNIS指令を基にしていましたが、イギリスではこれを「UK NIS規則2018」として国内法に移行しました。ブレグジット後もこの規則は維持されており、国内のネットワークと情報システムのセキュリティを強化するために有効に機能しています。そのため、UK NIS規則は現在も効力を持ち、法的拘束力があります。

UK NIS規則2018は以下の対象に適用されます：

• 重要サービスの運営事業者（OES）：エネルギー、銀行、交通、医療、水道、デジタルインフラなどの分野に属する組織
• デジタルサービスプロバイダ（DSP）：オンライン検索エンジン、オンラインマーケットプレイス、クラウドコンピューティングサービスなど

この規則は以下の条件を満たすDSPに適用されます：

• オンライン検索エンジン、オンラインマーケットプレイス、またはクラウドコンピューティングサービスのいずれかを提供している
• 従業員が50人以上、かつ年間売上高またはバランスシート合計が1,000万ユーロを超えている（中小企業の定義を超える場合）

なお、本社がイギリス国外にある場合には、UK拠点の代表者（代理人）を任命する必要があります。

UK NIS規則により、これらの組織は強固なセキュリティ対策の実施と重大インシデントの報告が求められ、イギリス国内の重要サービスのレジリエンスとセキュリティ確保に貢献します。

デジタルサービス提供者（DSP）とは、イギリスのネットワークおよび情報システム（UK NIS）規則の対象となるデジタルサービスを提供する法人を指します。ただし、すべてのデジタルサービスが該当するわけではなく、対象となるサービスは以下に限られます。

• オンラインマーケットプレイス：
  　消費者と事業者がオンラインで売買やサービス契約を成立させるプラットフォーム。契約の締結が最終的に行われる場所を意味します（例：サードパーティ製アプリを配信するアプリストアなど）。ただし単に第三者サービスへの仲介を行うオンラインサービスは含まれません。
• オンライン検索エンジン：
  　ユーザーがキーワード検索でウェブサイトを検索できるサービス。多言語対応の検索エンジンも含まれますが、特定ウェブサイト内のコンテンツのみを検索対象とするものや、複数の販売者の価格比較後にリンクを提供するだけのサービスは対象外です。
• クラウドコンピューティングサービス：
  　ネットワーク、サーバー、ストレージ、アプリ、サービスなどのスケーラブル・エラスティック・共有可能なコンピューティング資源へのアクセスを提供するサービス。要件は以下の3点です：
  • リソースの拡張性（Scalable Resources）
  • 弾力的なリソースプール（Elastic Pool）
  • 複数ユーザー間での共有（Shareable）

IaaS（インフラ）、PaaS（プラットフォーム）、SaaS（ソフトウェア）などのビジネスモデルも、NIS2の対象に含まれます。

免除規定：小規模・零細事業者
以下の条件を満たす事業者は、対象外とみなされ、NIS規則の適用を受けません：

• 従業員数が50人未満、かつ
• 年間売上または貸借対照表合計が1,000万ユーロ未満

ただし、グループ全体の合算した数値がこれらを超える場合は適用外となります。

イギリスでサービスを提供しているかどうかを判断するには、自社がどの市場を対象としているかを判断する必要があります。
単に英語でウェブサイトが閲覧可能であることは、イギリス市場を対象にしている意図を示すものとは言えません。
以下のような要因が重要です：

• 英語やイギリス通貨の使用：料金をポンド（GBP）で表示したり、英語でコンテンツを提供したりしている場合は、イギリスの顧客を対象としている意図があると見なされます。
• 注文機能の有無：イギリス市場向けに設計された商品やサービスを注文できるようにしている場合は、イギリスでサービスを提供しているとみなされます。
• マーケティングおよびターゲティング活動：イギリスに向けた広告キャンペーンや、イギリスに拠点を置くカスタマーサポートを提供している場合は、その地域でサービス提供していると見なされる可能性が高くなります。

一定の条件下では免除されます。

イギリスに拠点がなくても、イギリス国内でデジタルサービスを提供している企業は、原則として「イギリスのネットワークおよび情報システム規則（UK NIS Regulations 2018）」に基づき、イギリスNIS代表者を任命する義務があります。

ただし、以下の企業はこの義務の対象外です：

• 小規模企業：従業員数が50人未満、かつ年間売上高または年間貸借対照表総額が1,000万ユーロ以下の企業
• マイクロ企業：従業員数が10人未満、かつ年間売上高または年間貸借対照表総額が200万ユーロ以下の企業

UK NIS規則に基づき、イギリス国内でサービスを提供するデジタルサービス提供者（DSP）は、ネットワークおよび情報システムのセキュリティとレジリエンスを確保するため、以下の主要な義務があります。

技術的および組織的対策
DSPは、使用するネットワークおよび情報システムに対するリスクを特定し、適切かつ比例的な技術的・組織的対策を実施する必要があります。これらには次の要件が含まれます：

• リスク管理：データやサービスの可用性、真正性、完全性、機密性を脅かすリスクに対応すること
• 比例性：リスクの潜在的影響と、最新技術および導入コストを考慮した対策を行うこと
• 予防措置：可能な限りサイバーセキュリティインシデントを未然に防ぐこと

インシデント管理および影響の最小化
DSPには次の対応が義務づけられます：

• インシデント予防：ネットワークやシステムへの影響を防ぐ措置
• 影響最小化：発生したインシデントによる影響を縮小し、サービスの継続性を確保
• 復旧計画：迅速なサービス回復を目的とした対応・復旧計画の策定と維持

インシデント報告
重大な影響をもたらすインシデントが発生した場合、DSPは以下の対応が必要です：

• 通知義務：遅滞なくイギリス情報コミッショナー事務局（ICO）に報告
• 報告内容：インシデントの性質、影響範囲、対応策などを含め、ICOが重大性を判断できる情報を提供
• 協力義務：ICOやナショナル・サイバー・セキュリティ・センター（NCSC）と協力し、調査や対処を支援

代理人の任命
本規則において、イギリスで活動していながら英国拠点がない場合、イギリスNIS代理人を任命することを義務付けられています。
代理人の役割は以下の通りです：

• 連絡窓口：ICOやその他関連当局の窓口として機能
• コンプライアンス保証：DSPが規則のすべての義務を遵守するよう支援
• 対応可能性：監督当局からの照会や執行行為に対応できるよう常時アクセス可能であること

If your company is a Digital Service Provider (DSP) and exceeds the relevant thresholds, the applicable law under the UK Network and Information Systems (NIS) Regulations 2018 depends on where your company is established and where you offer your services:

• If your company has its head office in the UK: You are governed by the UK NIS Regulations 2018.
• If your company does not have its head office in the UK but offers services there: You are governed by the UK NIS Regulations 2018 and you must appoint a representative in the UK who will act on your behalf under UK jurisdiction.

In both cases, your company must comply with the UK NIS Regulations, implementing appropriate security measures and fulfilling all reporting obligations.

If your company is a Digital Service Provider (DSP) without its head office in the United Kingdom but offers certain digital services within the UK, you are required to appoint a UK representative under the UK Network and Information Systems (NIS) Regulations 2018.

According to the regulations:

• Designation of a Representative: Companies without a head office in the UK but offering certain digital services in the UK must designate a representative based in the UK. This representative will act on your company’s behalf to ensure compliance with the UK NIS Regulations.
• Impact of Brexit: Since Brexit, the European Union (EU) is now considered a "third country" from a UK perspective. As a result, if you are an EU-based company offering services in the UK but without a head office in the UK, you will need to appoint a UK representative.

Role of the Representative:

• Acts on behalf of your company regarding compliance with the UK NIS Regulations.
• Serves as the point of contact for relevant UK authorities.

By appointing a UK representative, your company ensures compliance with the UK NIS Regulations, contributing to the security and resilience of network and information systems within the United Kingdom.

If your company is a Digital Service Provider (DSP) without its head office in the United Kingdom but offers digital services within the UK, you are required under the UK Network and Information Systems (NIS) Regulations 2018 to appoint a representative in the UK. The requirements for appointing a UK NIS representative include:

• Confirmation in Writing: You must confirm the appointment of your UK representative in writing after completing the registration process with the Information Commissioner's Office (ICO).
• Representative's Compliance: Your representative must comply with UK law and act on your behalf in fulfilling your legal obligations under the UK NIS Regulations, including incident reporting.
• Accessibility: The representative should be readily contactable by the ICO and the National Cyber Security Centre (NCSC).

When nominating your UK representative, you should provide the ICO with information about:

• Your Company's Head Office: Whether you have a head office located outside the UK.
• Other Representatives: Whether you have nominated a representative in another country.
• Compliance with Other Legislation: Whether you are complying with equivalent network and information systems legislation in another country.
• Location of Systems: Whether you are operating network and information systems located outside the UK.

By providing this information, you help the ICO understand your company's structure and ensure effective communication. Appointing a UK representative ensures that your company adheres to the UK NIS Regulations, contributing to the security and resilience of essential digital services within the United Kingdom.

If your company does not have an establishment within either the EU or the UK but is offering their services to individuals in both regions, you will have to appoint both an EU and a UK representative in order to comply with all relevant legislation, which consists of EU law and its implementation in the Member States on one hand, and UK law on the other hand. Please note that your EU representative must be established in one of the Member States your services are being offered to. Your UK representative must be established in the UK.

Under the UK Network and Information Systems (NIS) Regulations 2018, organizations that fail to comply with their obligations can face substantial penalties. Non-compliant companies may be fined up to £17 million. The exact amount depends on factors such as the severity of the breach, the extent of the negligence, and the potential impact on network and information system security. Failure to appoint a UK NIS representative when required is also a serious offense. Organisations that operate in the UK but do not have their head office located within the UK are required to appoint a UK NIS representative to ensure compliance with the regulations.

When appointing a representative under the UK Network and Information Systems (NIS) Regulations 2018, a Digital Service Provider (DSP) must explicitly designate the representative through a written mandate. This representative should be established in the United Kingdom and act as a local contact point, being readily accessible to relevant UK authorities like the Information Commissioner's Office (ICO) and the National Cyber Security Centre (NCSC). The representative acts on behalf of the DSP regarding all legal obligations under the UK NIS Regulations, including incident reporting and liaising with authorities. They must comply with UK law and assist with any investigations or requests related to NIS compliance. By appointing a UK NIS representative, Digital Service Providers (DSPs) that do not have their head office in the UK ensure that they fulfil their legal obligations and contribute to the security and resilience of network and information systems within the United Kingdom.

Prighter ensures compliance by offering an end-to-end digital onboarding process where a Power of Attorney is generated and can be signed either online or on paper. We provide dedicated communication channels with the relevant UK authorities, such as the Information Commissioner's Office (ICO) and the National Cyber Security Centre (NCSC), acting on your behalf to fulfill all legal obligations under the UK Network and Information Systems (NIS) Regulations 2018, including incident reporting and liaising with authorities.