[商法‐サイバーセキュリティ] EUのサイバーセキュリティ指令義務化へのカウントダウン - NIS2

NIS2の背景とは？ （改正ネットワーク及び情報システム指令）

サイバーセキュリティ事件の増加に伴い、欧州連合（以下「EU」）は、標的とされ侵害を受けた場合、社会の重要なインフラに悪影響を及ぼす可能性のある産業やサプライヤーについて検討するようになりました。2016年にネットワーク及び情報システム指令(NIS)が導入された際、エネルギー、運輸、金融といった産業への影響が懸念事項でした。

NIS指令は、現代的で関連性の高いサイバーセキュリティ慣行に沿って、NISをアップデートするものです。組織は、2024年10月17日までにNIS2の要件を導入しなければなりません。この指令は、以下の改正により、民間および公的な重要セクターの回復力とインシデント対応能力をさらに強化することを目的としています。

1. 指令の対象分野の拡大
2. 特定のサイバーセキュリティリスクおよびインシデントマネジメント要件の導入
3. 要件に従わない組織への罰則
4. サイバーセキュリティ義務の不履行に対する経営幹部(C-Suite management)の説明責任の導入
5. より厳格かつ規定的なサイバーセキュリティ・インシデントの報告要件の導入
6. EU加盟国間のサイバーセキュリティ要件と制裁制度のさらなる調和の試み

NIS2の不遵守に対する罰則はあるか？

NIS2は、NISに基づくものです。全てのエンティティは、250人以上の従業員を雇用し、年間売上高が5,000万ユーロ以上、および/または年間貸借対照表が4,300万ユーロ以上の場合、自動的に「主要(essential)」または「重要(important)」エンティティとみなされます。主要(essential)および重要(important)エンティティは同じ義務を負いますが、重要(important)エンティティに対する執行体制はより軽いものになります。規制を遵守しなかった場合の罰金は以下の通りです。

1. 主要(essential)エンティティの場合、1,000万ユーロまたは全世界の年間総収入の2%まで
2. 重要(important)エンティティの場合、700万ユーロまたは全世界の年間総収入の1.4％（いずれか高い方）まで

組織の経営陣や幹部は、サイバーセキュリティインシデントにより個人的責任を問われる可能性があります。

どのような組織がNIS2について認識しなければならないか？

エネルギー・インフラ、空港、鉄道、ヘルスケア、水道、銀行など、伝統的なセクターは対象となります。また、データセンター、マネージド・サービス・プロバイダ、郵便サービス、クラウド・プロバイダー、公衆電子通信網、食品製造、廃水、廃棄物管理、化学製造、宇宙部門など、より広範なリストも存在します。NIS2はさらに、中央および地域レベルの行政機関をカバーしていますが、議会と中央銀行は除外されています。

NIS2における組織の責任とは？

NIS2による主な責任は以下の通りです。

1. サイバーセキュリティインシデント対応と管理
2. サイバーセキュリティコントロールのテスト
3. サイバーセキュリティ対策を通じたデータ保護
4. インシデント報告の実務
5. 脆弱性管理および開示パラメーター

全てのセクターにわたるビジネスが、この法律の影響を受けることになります。ベンダーに関連するサプライチェーンのセキュリティは、直接のサプライヤー各々またはサービス・プロバイダーに特有の脆弱性を含めて検討されなければなりません。具体的には、使用される製品の品質や、サプライヤーやサービス・プロバイダーのサイバーセキュリティ慣行が精査されることになります。

新たなサイバーセキュリティインシデントの報告ルールも導入されます。重大な影響を与えたとみなされるインシデントは、「当該エンティティに対して、深刻なサービスのオペレーション上の中断や財務上の損失を引き起こした、または引き起こす可能性のあるインシデント...または、相当な数の重大もしくは重大でない損害を引き起こすことにより、他の自然人または法人に影響を与える可能性のあるインシデント 」と定義されます。このようなインシデントは、EU加盟国により設置されるナショナル・コンピューター・セキュリティ・インシデント対応チームまたはNIS規制当局に通知されなければなりません。

インシデント通知の段階的なアプローチは、以下のように定められています。

1. クロスボーダーの影響が疑われる、または違法もしくは悪意ある行為によって引き起こされた事件であることを示す早期警告は、不当な遅滞なく、遅くとも事件を認識してから24時間以内に通知されなければならない。
2. 早期警報に関するアップデートを含み、インシデントの初期評価を詳述する2回目の報告は、不当な遅滞なく、いかなる場合でも72時間以内に提出されなければならない。 

NIS2は英国を拠点とする組織にどのように関係するか？

EUと英国は共に、より広範なセクターにおけるサイバーリスクに対するセキュリティを強化するため、ネットワークと情報セキュリティに関する法律を改正しています。英国政府は2022年11月30日、以下により、英国のサイバー回復力を向上させるため、以下の通りNIS規制をアップデートする意向を確認しました。

1. デジタルサプライチェーンの安全性を確保するため、マネージド・サービス・プロバイダ(MSPs)を規制の対象とする。
2. 規制当局へのサイバーインシデント報告を改善する。
3. 現行のNIS規制を執行するための費用回収システムを確立する。
4. NIS規制の実効性を維持するため、将来的にNIS規制を改正する権限を政府に与える。
5. 英国情報コミッショナーが、デジタルサービスを規制するために、よりリスクベースのアプローチを取ることを可能にする。

NIS2と、それを受けて作成される最終的な英国法との間にはシナジーが期待されます。英国政府関係者は、重要なインフラのサイバーセキュリティに関する規制のあり方に今後違いが出てくることを示唆しています。その一例として、インシデント報告義務を拡大し、サービスの継続性には直接影響を与えないものの、当該エンティティのセキュリティと回復力に重大なリスクをもたらすインシデントを含めることが検討されています。

NIS2の最終的な適用範囲に直接は含まれない英国のエンティティにとって、当該エンティティのサプライチェーンにNIS2が適用されることは、直接適用範囲に含まれるのとほぼ同等の重要性をもって、間接的にNIS2の影響を受けることを意味する可能性があります。これは、EU域内でサービスを提供していないものの、EU域内でサービスを提供している企業のサプライチェーンの一部である英国の組織についても同様です。

組織はどのような措置を取ることができるか？

2024年10月17日の期限まで1年を切った今、組織は以下のステップを検討することから始める必要があります。

1. 規制状況の理解 ‐ 貴社がNIS2の適用範囲内にあるかどうかを検討する。適用範囲内である場合、貴社が主要(essential)エンティティまたは重要(important)エンティティの規制措置の対象となるかを検討する。
2. NIS2遵守能力の評価 ‐ NIS2上の対策に対する貴社の現在の遵守レベルを評価する。コンプライアンス・ベースラインを確立することを目指し、存在するコンプライアンス・ギャップを塞ぐための取組みを指導する。
3. 貴社の人的要素のインシデント対応プロセスと回復力のテスト ‐ 経営幹部から第三者に至るまで、貴社の全てのメンバーは、インシデントからの安全かつ迅速な復旧を可能にするための責任を理解する必要がある。貴社がサイバーインシデントに効率的に対応するためには、社内の協力が不可欠である。NIS2に基づく新しいインシデント報告プロセスの導入と、組織が直面する可能性のある罰則を強調する。
4. サイバー脅威と脆弱性管理プログラムの策定 ‐ 貴社の主要なシステムについて、認定を受けたサイバーセキュリティの専門家によって、定期的な脆弱性スキャンと手動による侵入テストを実施する。組織のサイバーセキュリティに対する意識と説明責任の文化を醸成するため、問題の量と重要性に関する透明性を組織全体で適切に共有する。
5. 包括的な内部リスク管理方針および手順の作成 ‐ 情報システム／情報技術、サイバーセキュリティ、個人情報保護法務、コーポレート法務、コンプライアンス、財務を含むがこれらに限定されない様々な部門からの意見や専門知識を含む。
6. 既存のサイバー保険契約の更新 ‐ 貴社がサイバー保険契約を締結している場合、保険プロバイダーとNIS2の今後の契約への影響について話し合うことを検討する。グローバルなサイバー保険に加入していない場合は、NIS対策に対応した保険に加入することを検討する。

企業グループ内にEU企業を有する多国籍企業の考慮事項

NIS2の第26条では、指令の適用範囲に含まれるエンティティは、そのエンティティが設立された加盟国の管轄下にあるとみなされると規定されています。したがって、多国籍企業のEUエンティティはNIS2の適用を受ける可能性が高く、同規制を遵守していることを示す必要があります。

上記の点（「組織はどのような措置を取ることができるか？」）に加え、EUの子会社が直面した罰金は、非EUの管轄区域に拠点を置く親会社にも及ぶ可能性があります。親会社は、多額の罰金がもたらす財務上のリスクを考慮し、貴社がグローバルにNIS2を遵守するよう、早期に対策を講じることが賢明です。

その他の検討事項には、EUエンティティを含まない地域で事業を行う場合、EUを拠点とする代表者の選任を検討する必要を含みます。最後に、NIS2の遵守を確実にするために発生する可能性のある、追加のITおよびサイバーセキュリティに関するコストの分析を検討してください。

3CSにできること

当事務所のコーポレート及び商法の弁護士は、サイバーセキュリティおよびデータプライバシーの問題に関する国内外での卓越した専門知識を有し、幅広いサイバーセキュリティ法務サービスを提供しています。NIS2に関連する事項や、それらが貴社にどのような影響を及ぼすかについての詳細な情報、またはサイバーセキュリティに関する法律問題についてのご相談は、3CSの担当者までお問合せください。