ネットワーク及び情報システム指令(NIS)は、加盟国間で共通レベルのサイバーセキュリティを実現することを目的としたEU主導の指令です。この指令は、サイバーセキュリティの能力を高める一方で、その実施は困難であることが判明し、市場全体の細分化につながりました。デジタル化とサイバー攻撃による脅威の増大に対処するため、欧州委員会は、NIS指令をNIS2に置き換えることを提案しました。この指令は、セキュリティ要件を強化し、サプライチェーンのセキュリティに対応し、報告を合理化し、EU全域での制裁の調和を含む、より厳格な監督・執行措置を導入するものです。NIS2はその適用範囲を拡大し、当初のNIS指令に準拠する必要がなかった多くの組織を網羅しています。
新法は2023年1月16日に発効し、加盟国は2024年10月17日までにその措置を国内法に移管しなければならず、違反した場合は多額の罰金が科される可能性があります。英国では、企業は最高1,700万ポンドの罰金を科される可能性があります。EUでは、「必要不可欠な」企業は、最高1,000万ユーロ、または世界全体の総売上高の2%の罰金に直面します。
影響を受けるセクター
EUでは既存のNISの範囲が大幅に拡大され、新たにいくつかの分野の組織が「必須」とみなされます。これらの分野には、宇宙、生活排水、行政(例外が適用される場合があります)、データセンターサービスプロバイダー、信託サービスプロバイダー、コンテンツ配信ネットワーク、公衆電子通信ネットワークおよびサービスが含まれます。郵便サービス、化学製品、主要製品の製造など、その他のセクターも「重要な」事業体として要件を満たす必要があります。ただし、「重要」とされる事業者よりも規制の対象は少なくなります。
これからどうなるのか?
加盟国は2024年10月17日までに、NIS2要件への準拠を確保するための適切な措置を講じなければなりません。企業はこの期間を利用して、新指令が自社にどのような影響を及ぼすか、また遵守を実証するためにどのような措置を講じる必要があるかを理解する必要があります。
NIS2指令の第24条によると、加盟国は、欧州のサイバーセキュリティ制度に基づき、必須または重要な事業体のICT製品、サービス、およびプロセスの認証を要求するオプションも有していることに留意することが重要です。事業カテゴリーによっては、ISO 27001やCSA STARなどの特定の規格に対する認証が必須になる可能性があります。したがって、地域によって異なる可能性があるため、各加盟国が指令をどのように適用するかを理解することが極めて重要です。
LRQAとのパートナーシップ
先進的なサイバーセキュリティ・ソリューションのコネクテッド・ポートフォリオで、NIS2の要求に対応する支援をいたします。
LRQA Nettitudeのスペシャリストが提供する高度なサイバーセキュリティソリューションのポートフォリオによって補完され、ISO 27001を含む世界有数の規格に準拠した包括的な審査サービスを提供します。お客様のシステムを認証し、脆弱性に対処し、攻撃やインシデントの防止を支援します。深い技術的洞察と専門知識により、NIS2準拠への道のりをサポートします。