EU NIS 2

The Network and Information Security Directive (NIS) is an EU cybersecurity Directive which aims to achieve a high level of protection and resilience of critical infrastructure. NIS 2 updates and repeals NIS by expanding the scope to cover more types of organizations, adapting the cybersecurity measures to the current threat scenario and tightening the incident reporting requirements.

To increase cyber resilience, NIS 2 requires essential and important entities to implement robust technical, operational, and organizational cybersecurity measures to prevent or minimize disruptions from a wide range of hazards, from cyberattacks to physical incidents.

Compliance with NIS 2 helps to protect your operations and boost resilience, safeguarding your stakeholders and reinforcing trust in your services. It is also notable that NIS 2 aims for stricter enforcement and harmonizes the regime for fines across the EU Member States. Fines for essential entities are the greater of EUR 10 million, or 2% annual worldwide turnover, and for important entities, the greater of EUR 7 million or 1.4% annual worldwide turnover.

Same as NIS, NIS 2 has an extra-territorial scope and applies also to companies around the world when operating in the EU. Businesses without an establishment in the EU are also required to appoint a representative as their addressee for authorities.

法令全文を読む

NIS 2 Legal Text

法令全文を読む

公式法的文書へのリンク

https://eur-lex.europa.eu/eli/dir/2022/2555

Full name of the law

Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)

Application or Transposition date

18 October 2024

EU NIS 2 Representation

さらに詳しく

よくあるご質問（FAQ）

当社はNIS指令の対象になりますか？

NISに準拠すべき企業とは？

ネットワーク・情報システムのセキュリティ指令 (NIS2) は、初版NIS指令を改訂し、EUの重要セクターや重要サービス領域のサイバーセキュリティを強化するために、より多くの業界へ適用範囲を拡大し、要件を厳格化しています。

対象は以下の組織です：

重要インフラ事業者（OES）：エネルギー、銀行、交通、デジタルインフラ、ICTサービス管理（B2B）など
重要サービス事業者：郵便、廃棄物管理、研究、デジタルサービス提供者など

適用対象となるのは：

規定された閾値を満たす企業
EU内に拠点を持つ企業
EU圏外に本社を持つが、EU内でサービスを提供する企業

Digital Service Providerとは？

デジタルサービス提供者（Digital Service Provider）とは、デジタルサービスを提供する法人または組織のことを指します。

オンラインマーケットプレイス：
　アプリストアなどの、販売や契約を容易にするプラットフォーム。第三者サービスへの仲介にとどまり、最終的に契約が成立する形態は含まれません。
オンライン検索エンジン：
　ウェブサイト検索を可能にするサービス。特定サイト内検索（外部検索エンジンを利用していても含む）はNIS指令の対象外です。また、異なる事業者の商品・サービス価格を比較してユーザーを誘導するサービスも対象外です。
SNSプラットフォーム提供者：
　複数デバイス間で利用者のコミュニケーションやコンテンツ共有を可能にするサービス。

デジタルインフラ分野には何が該当しますか？

インターネットエクスチェンジポイント（IXP）提供者：
　複数の自律システムを相互に接続するネットワークを提供する事業者。
DNSサービス提供者（ルートネームサーバー運営者は除く）：
　ドメイン名の解決（名前→IPアドレス変換）を行うサービス提供者。
TLD（トップレベルドメイン）登録機関：
　特定のTLDの管理を委任された組織で、そのTLDに属するドメイン名の登録およびTLDの技術運用を担います。
クラウドコンピューティングサービス提供者：
　ネットワーク、サーバー、ストレージ、アプリケーションなどをスケーラブルかつ柔軟に共有できるインフラを提供します。クラウドサービスとみなすには、以下の3つを満たす必要があります：
- リソースの拡張性（Scalable Resources）
- 弾力的なリソースプール（Elastic Pool）
- 複数ユーザー間での共有（Shareable）
IaaS、PaaS、SaaSなどの異なるビジネスモデルも、NIS2の対象に含まれます。
データセンターサービス提供者：
　IT・ネットワーク機器を収容し、データの保存・処理・通信を支える施設。電力供給や空調などのインフラを備えます。
コンテンツ配信ネットワーク（CDN）提供者：
　地理的に分散したサーバー群を使い、高可用性・高速配信を実現する仕組み。コンテンツ・サービス提供者に代わってユーザーへデジタルコンテンツを配信します。
信頼サービス提供者：
　電子署名、電子シール、タイムスタンプ、記録型配信サービス、関連証明書の生成・検証・認証を報酬を得て提供。ウェブサイト認証用証明書の生成・検証・認証、電子署名・電子シール・証明書の保全も含まれます。
公衆電子通信ネットワーク提供者：
　有線・無線・光などの媒体を通じて信号を伝えるインフラを提供する事業者。衛星・インターネット・携帯・ケーブル、ラジオ・テレビ放送システムも対象です。
公衆向け電子通信サービス提供者：
　通常報酬を伴うサービスで、以下を含むもの。ただしコンテンツの提供や編集管理を主目的とするサービスは含みません：
- インターネット接続サービス
- 相互通信サービス（インターパーソナル）
- 機械間通信や放送など、信号伝送を目的としたサービス

ICTサービス管理（B2B）分野にはどのような事業が含まれますか？

マネージドサービスプロバイダー（MSP）：
　ICT製品、ネットワーク、インフラ、アプリケーション、その他ネットワーク・情報システムに関し、導入・管理・運用・保守を支援または実施する事業者です。オンサイトまたはリモートでサービスを提供します。
マネージドセキュリティプロバイダー（MSSP）：
　サイバーセキュリティリスク管理に関連する活動を実施または支援する事業者を指します。

うちの会社って、EUの人にサービス提供してることになる？

EU内でサービスを提供しているかを判断する際に重要なのは、どの市場を対象としているかです。意図を見極めるためにはいくつかの要素が考慮されます。

単に企業や仲介業者のウェブサイトが閲覧可能だったり、Eメールアドレスや連絡先が表示されていたり、設立地域で一般的に使われる言語が使用されているだけでは、EU内での展開意図を判断するには不十分です。
代わりに、以下のような要素がEU外からでも提供を意図している証拠となります：

EU加盟国内で一般に使用される言語や通貨を使用している
サービスをその言語で注文可能にしている
EU内にいる顧客やユーザーの存在を言及している

以上のような意図が認められる場合、EU域外でも、該当のデジタルサービスは対象となり得ます。

EU代理人の設置を免れるケースはある？

EUに拠点がない企業で、上記のように意図的にサービスを提供している場合は、一般にNIS代理人の選任が義務付けられます。ただし、NIS2指令および代理人選任義務は、一定の企業規模以下の場合は適用されません。

対象外となるのは以下の企業です：

小規模企業：従業員数が50名未満、年間売上または総資産が1,000万ユーロ以下
マイクロ企業：従業員数が10名未満、年間売上または総資産が200万ユーロ以下

従って、これらの条件を満たす企業であれば、NIS2適用において代理人を選任する必要はありません。

NIS指令が適用される事業者の主な義務は？

NIS2の対象となる企業に課される主な義務は以下の通りです：

サイバーセキュリティのリスク管理措置
デジタルサービス提供者（DSP）は、EU内でサービスを提供する際に利用するネットワークおよび情報システムに対して、適切かつ相応の技術的・組織的対策を講じる必要があります。
報告義務
重大なサイバーセキュリティ事件が発生した場合、定められた報告スケジュールに従って当局およびCSIRTなどに報告する必要があります：
- 24時間以内の早期警告：重大インシデントを認識した時点で、違法行為や域を跨ぐ影響の可能性を含めて報告
- 72時間以内のインシデント通知：最初の評価、深刻度、影響範囲、侵害指標を含む詳細通知
- 中間報告：当局またはCSIRTから要求があった場合に進捗状況を報告
- 1か月以内の最終報告：インシデントの詳細、原因、対応策、域を跨ぐ影響の可能性を含む総括報告
代理人の選任
EUに拠点がないが特定サービスを提供する企業は、EU内に代理人を選任する必要があります。対象サービスには以下が含まれます：
- DNSサービス提供者
- TLD登録機関
- ドメイン名の登録を提供する事業者
- クラウドコンピューティングサービス提供者
- データセンターサービス提供者
- CDN提供者
- MSP
- MSSP
- オンラインマーケットプレイス提供者
- オンライン検索エンジン提供者
- SNSプラットフォーム

どの国でNIS代理人を選任するべき？

どのNISの法律に準拠する？

GDPRと違い、NIS2は統一法ではなく、各加盟国が独自に導入した法律に基づきます。対象企業が要件を満たす場合、準拠すべき対象は以下のとおりです：

EU域内に拠点がある場合：本社または主たる事業拠点の所在国の国内法が適用されます。
EU外に拠点がなくてもサービス提供している場合：サービス提供国のいずれかの加盟国に代理人を選任する必要があります。その際、その国の国内法の管轄下に入ります。

NIS 2指令第26条3項に基づく代理人、当社にも必要？

NIS2指令第26条第3項（および多くのEU加盟国における国内法への移行規定）によると、以下の条件を満たすデジタルサービス提供者（Digital Service Provider）は、EU内で代理人を選任しなければなりません：

EU域内に設立されていない
EU域内で対象となるデジタルサービスを提供している

違反にはどんな罰則がある？

NIS2法はEU指令として各加盟国が個別に実施しているため、罰則規定も国ごとに異なります。
しかし、加盟国は法に基づき、セキュリティ対策およびインシデント対処の義務違反に対して罰金の枠組みを設ける必要があります。法によれば、重要インフラ事業者（essential entities）は最大1,000万ユーロまたは世界年間売上高の2%のどちらか高い金額、重要サービス事業者（important entities）は最大700万ユーロまたは世界年間売上高の1.4%の罰金が科される可能性があります。

Prighterを当社のUK GDPR代理人として任命するには？

代理人を選任する際の一般的要件および代理人の義務は何ですか？

代理人は、デジタルサービス提供者、デジタルインフラ提供者、ICTサービス管理事業者から文書による明確な委任を受け、正式に指名されている必要があります。
関連する監督当局やCSIRT（サイバーセキュリティ・インシデント対応チーム）が、代理人と連絡を取れる体制が整っていることが必要です。代理人は現地での窓口として機能します。
代理人は、NIS法に基づくインシデント報告などの法的義務に関して、当該提供企業を代表して行動します。
また、代理人自身が設立されている国内法に則って義務を果たす必要があります。