ネットワークおよび情報システムのセキュリティに関する指令（NIS2）は、EU内の重要なセクター全体でサイバーセキュリティを向上させるために、元のNIS 1を更新し、その対象をさらに多くの産業に拡大し、厳格な要件を導入しています。

それについて述べます。

• 重要インフラ事業者（OES）例：エネルギー、銀行、交通、デジタルインフラ、ICTサービス管理（B2B）セクター；及び
• 重要なサービスの運営者、例えば郵便サービス、廃棄物管理、研究、デジタルプロバイダー。

それは、次のような企業に適用されます：

• 閾値に達してください。
• EU内に拠点を持っています
• EU外に拠点を置いていますが、EU内でサービスを提供しています。

デジタルサービスプロバイダーとは、デジタルサービスを提供する法人のことです。

• オンラインマーケットプレイス：オンラインマーケットプレイスは、販売や契約を促進するプラットフォームです（例：アプリストア）。この用語には、最終的に契約が締結される第三者サービスを仲介するだけのオンラインサービスは含まれません。
• オンライン検索エンジン：オンライン検索エンジンはウェブサイトの検索を可能にします。特定のウェブサイトのコンテンツに限定された検索機能は、外部の検索エンジンによって提供されていても、NIS指令には含まれていません。特定の製品やサービスの価格を異なる取引業者から比較し、その後ユーザーを希望の取引業者にリダイレクトして製品を購入させるオンラインサービスも含まれていません。
• ソーシャルネットワークプラットフォームの提供者：ユーザー間でのコミュニケーションやコンテンツ共有を複数のデバイスで可能にするソーシャルネットワークプラットフォーム。

• インターネットエクスチェンジポイントプロバイダー：自律システムの相互接続のためのネットワーク。
• ルート名サーバーの運営者を除くDNSサービスプロバイダー：ドメイン名解決を提供するサービスプロバイダー。
• TLD名登録所：特定のTLDが委任され、そのTLDの管理、TLDの下でのドメイン名の登録、およびTLDの技術的運用に責任を持つエンティティです。
• クラウドコンピューティングサービスプロバイダー：クラウドコンピューティングサービスは、ネットワーク、サーバー、その他のインフラストラクチャ、ストレージ、アプリケーション、およびサービスなど、共有可能な計算リソースのスケーラブルで弾力性のあるプールへのアクセスを可能にします。クラウドコンピューティングサービスをクラウドサービスとして資格付ける3つの特性があります：
  • スケーラブルなリソース
  • リソースのエラスティックプール
  • 共有可能
• NIS2には、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）などの異なるビジネスモデルが含まれています。
• データセンターサービスプロバイダー：データセンターは、データの保管、処理、輸送のためのITおよびネットワーク機器を収容する施設であり、電力配布および環境制御のためのインフラも備えています。
• コンテンツデリバリーネットワークプロバイダーは、地理的に分散したサーバーのネットワークであり、コンテンツおよびサービスプロバイダーの代理として、デジタルコンテンツやサービスをインターネットユーザーに高い可用性、アクセシビリティ、または高速配信を確保するためのものです。
• 信頼サービスプロバイダー：報酬を含む電子サービスを提供し、電子署名、封印、タイムスタンプ、登録配信サービス、関連する証明書の作成、検証、および検証を行うか、ウェブサイト認証のための証明書の作成、検証、および検証を行うか、電子署名、封印、または関連する証明書の保存を行います。
• 公共電気通信ネットワークの提供業者：インフラストラクチャ、スイッチング、ルーティング、およびリソースを含む、有線、無線、光学、または他の電磁手段（衛星、インターネット、モバイル、ケーブルネットワークなど）を介して信号を伝送するためのシステムを提供します。これには、ラジオ、テレビ、放送に使用されるシステムも含まれます。
• 一般に利用可能な電気通信サービスの提供者：通常、電気通信ネットワークを介して報酬を受け取るサービスであり、電気通信ネットワークおよびサービスを使用して送信されるコンテンツを提供したり、編集管理を行ったりするサービスを除く、以下の種類のサービスを含む。
  • インターネット接続サービス
  • 対人コミュニケーションサービス；そして
  • 信号の伝達を主とするサービス、機械間通信サービスの提供に使用される伝送サービス、放送などを主とするサービス。

• マネージドサービスプロバイダー：顧客の施設内またはリモートで行われる、ICT製品、ネットワーク、インフラストラクチャ、アプリケーション、その他のネットワークおよび情報システムのインストール、管理、運用、保守に関連するサービスを提供します。
• 管理されたセキュリティプロバイダー：サイバーセキュリティリスク管理に関連する活動を実施または支援するプロバイダー。

企業がEU内でサービスを提供しているかどうかを判断する際に重要な情報は、企業がサービスを提供する予定の市場です。意図を判断するためには、さまざまな要因が考慮されます。企業または仲介業者のウェブサイトや電子メールアドレス、その他の連絡先情報への単なるアクセス可能性、またはその企業が設立されている地域で一般的に使用されている言語の使用だけでは、そのような意図を確認するには不十分です。代わりに、1つ以上の加盟国で一般的に使用されている言語や通貨の使用、その他の言語でサービスを注文できる可能性、または連合にいる顧客やユーザーの言及などの要因が、その企業が本拠地を持たない地域でサービスを提供する意図があることを示す指標となる可能性があります。

EUに拠点を持たないが、これらの地域で述べられたデジタルサービスを提供している場合、通常、NIS代表を任命する義務があります。ただし、NIS2に準拠し、代表を任命する義務は、一定の企業規模を超えない企業には適用されません。除外されるのは次のとおりです：

• 従業員が50人未満で、年間売上高および/または年間貸借対照表の合計が1,000万を超えない企業を中小企業と定義しています。
• マイクロ企業とは、従業員が10人未満で、年間売上高および/または年間貸借対照表の合計が200万を超えない企業と定義されています。

全体的に言えば、もし会社の従業員が50人未満であり、年間売上高および/または年次貸借対照表の合計が1,000万未満である場合、代表者を任命する必要はありません。

NIS2の対象となる実体に関しては、主な義務は以下の通りです：

• サイバーセキュリティリスク管理対策：DSPは、EU内でサービスを提供する際に使用するネットワークおよび情報システムのセキュリティに対するリスクを適切かつ適切な技術的および組織的対策を特定し、取る必要があります。
  報告義務：重大なサイバーセキュリティインシデントが発生した場合、企業は特定の報告期限に従う必要があります。主な義務には次のものが含まれます：
• 重要事案が発生した場合、24時間以内に報告し、それが違法行為に関与している可能性があるか、国境を越える影響を持つ可能性があるかを示してください。
• インシデント通知：72時間以内に詳細なインシデント通知を提出し、初期評価、深刻度、影響、および利用可能な妥協の指標を提供してください。
• 中間報告書：関係当局またはCSIRTからの要求に応じて状況の更新を提供します。
• 最終報告書：1か月以内に、出来事の説明、原因、緩和策、および潜在的な国境を越えた影響について詳細な最終報告書を提出してください。
• EUに設立されていないがEU内で一定のサービスを提供するエンティティは、そのエンティティを代表して行動する代表者を任命する必要があります。これらのエンティティには以下が含まれます：
  • DNSサービスプロバイダー
  • トップレベルドメイン（TLD）レジストリ
  • ドメイン名登録サービスを提供するエンティティ
  • クラウドコンピューティングサービスプロバイダー
  • データセンターサービスプロバイダー
  • コンテンツデリバリーネットワーク（CDN）プロバイダー
  • 管理サービスプロバイダー
  • 管理されたセキュリティサービスプロバイダ
  • オンラインマーケットプレイスの提供者
  • オンライン検索エンジン
  • ソーシャルネットワーキングサービスプラットフォーム

GDPRと異なり、NIS2はEU加盟国全体で統一された法律ではなく、各加盟国が国内法に個別に実施しています。貴社に適用される国内法は、重要企業または重要企業として認定され、関連する閾値を超えている場合です。

• 会社にEU内に1つ以上の施設がある場合、その会社は、主たる施設がある加盟国の管轄権に従うことになります（つまり、本社がある場所）。
• EUに本社がない場合でも、EU内でICTサービス、デジタルインフラ、またはデジタルサービスを提供する場合は、サービスを提供する加盟国に代表者を任命する必要があります。その代表者の管轄権下にあることになります。

NIS2指令の第26条（3）によると（および国内法のほとんどの移行による）、次のデジタルサービスプロバイダーが該当します。

• EUには設立されていません。
• EU内で特定のデジタルサービスを提供する企業は、そのサービスが提供されている加盟国の1つに拠点を置くEU内の代表者を指定する必要があります。

NIS2法は、EU指令であり、各加盟国で異なる方法で実施されているため、罰金は異なります。ただし、法律は、セキュリティ対策やインシデント対応の要件を実施しない場合の加盟国に対する罰金の枠組みを定めています。法に従えば、重要な機関には、その総世界年間売上高の2％または1,000万ユーロまでの罰金が科せられる可能性があります。重要な機関は、その総世界年間売上高の1.4％または700万ユーロまでの罰金を科される可能性があります。

代表者は、デジタルサービスプロバイダー、デジタルインフラストラクチャ、ICTサービス管理者による書面による委任状を通じて明示的に指定されるべきです。関連当局やコンピュータセキュリティインシデント対応チーム（CSIRT）が代表者に連絡を取ることができるようにする必要があります。代表者は、NIS法に基づく法的義務、インシデント報告を含むDSPプロバイダーに代わって行動します。代表者は、自らが設立されている地域の国内法を遵守する必要があります。

Prighterには、最初から最後までのデジタルオンボーディングプロセスがあり、委任状が生成され、オンラインまたは紙で署名できます。Prighterは、関連するデータ保護当局との専用コミュニケーションチャネルを提供しています。