{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
2023年に施行された欧州NIS2指令は、EU(European Union:欧州連合)域内の重要インフラやデジタル事業者に対し、サイバーセキュリティ対策の強化を義務付ける包括的な法制度です。同制度はEU域内企業のみならず、域外から事業展開する日本企業にも適用される可能性があります。特にEU子会社を持つ企業ではグループ全体の売上高に基づく高額な制裁金リスクがあるため、適切な対応が不可欠です。本稿ではNIS2指令の概要から適用条件、求められる対応、違反時のリスクまでを体系的に解説し、日本企業が段階的に取り組むべき具体的な対応戦略をわかりやすく整理します。
登壇者
PwCコンサルティング合同会社
シニアマネージャー
小林 啓将
NIS2指令の概要と適用範囲
最初に「NIS2指令とは何か」を説明します。
NIS2指令は「Network and Information Systems Directive 2」の略で、欧州委員会が施行するサイバーセキュリティに関する法的枠組みです。EU域内の経済活動や社会機能の安定的維持を目的とし、企業に対して一定水準のセキュリティ対策を義務付けています。
「指令(Directive)」という形式は、各加盟国が内容を国内法として整備することが前提であり、GDPR(General Data Protection Regulation:欧州データ保護規則)のような企業に直接適用される「規則(Regulation)」とは異なります。初代のNIS指令は2016年に施行され、NIS2指令はこれを大幅に改訂したものです。NIS2での主な変更点は以下の3点です。
- 適用対象となる業種や企業規模の拡大
- 違反時の罰則強化
- 当局への報告義務の厳格化
収録時点の2025年2月現在、NIS2指令を国内法化している国は、ベルギー、ハンガリー、イタリア、クロアチア、ラトビア、リトアニア、ギリシャ、ルーマニアの8カ国です。その他の国々でも順次、国内法整備が進められています。
NIS2指令の適用対象であるか判断する場合、「事業規模」または「業種」の観点から確認が必要です(図表1)。
図表1:NIS2指令の適用範囲
NIS2指令では、事業規模、および業種によって適用条件が定められ、これに合致した場合に適用対象となります。加えて、「主要事業体」と「重要事業体」という2つの区分が存在します。
事業規模
EU域内で事業を行う中規模以上の企業が対象となる。
中規模企業とは、欧州委員会の定義において、下記のいずれかを満たす事業体を指す。
- 従業員数が50人以上
- 年間売上高/年間総収入が1,000万ユーロ以上
業種の区分
以下に定められた業種に該当する企業が対象。主要事業体/重要事業体に区分される。
事業規模は従業員50人以上、または年間売上高・総収入が1,000万ユーロ以上のいずれかを満たしていることが条件です。
業種は「主要事業体」と「重要事業体」に分類されます。主要事業体には、エネルギー、運輸、銀行、金融市場インフラ、ヘルスケア、飲料水、下水道、デジタルインフラ、ICTサービスマネジメント、公的サービス、宇宙産業などが含まれます。一方、重要事業体には、郵便、宅配、廃棄物管理、化学品、食品、デジタルプロバイダー、研究、製造業などが含まれます。この区分は、適用される罰則の上限額にも影響を及ぼす重要な基準です。
なお日本企業であっても、EU域内にグループ会社を持ち、該当する事業を現地で行っている場合、日本本社が対応を求められるケースがあります。つまり、一定条件下では日本企業にもNIS2指令の域外適用が及ぶ可能性があるため、注意が必要です。
違反時の制裁は罰則の金額が明確に定められており、主要事業体と重要事業体で基準が異なります。主要事業体の場合、事業者の全世界売上高の2%、または1,000万ユーロのいずれか高いほうが上限とされます。一方、重要事業体は売上高の1.4%、または700万ユーロのいずれか高いほうが適用されます。
特にグローバル展開している大企業では、制裁金が連結売上を基に算出されるため、その金額が非常に高額になるおそれがあります。このようなリスクを踏まえ、金銭的影響を十分に踏まえた対策が不可欠です。
さらに、違反による企業評価の低下(reputational risk)も重大な問題です。場合によっては、欧州委員会が経営陣に刑事責任を問う可能性も明記されており、企業経営への影響は極めて深刻と言えます。こうした背景から、NIS2指令への対応は単なる法令順守にとどまらず、事業継続性や企業価値を守るための重要な経営課題と捉える必要があります。
NIS2指令が企業に求める4つの主要要件
次に、企業に求められるポイントを解説しましょう。
NIS2指令に基づく対応では、企業には「事業体登録」「監査人契約」「セキュリティ管理措置」「インシデント通報体制」という4つの主要要件があります(図表2)。
図表2:企業に求められること
NIS2指令および各国法への対応として、企業が行うことは下記4点となります。
各国法の中で詳細化される内容、求められる期限までに、それぞれの対応を行う必要があります。
| 対応事項 | 概要 | 備考 |
| 事業体登録 | 各国当局が定めるプラットフォームに対して、事業体情報を登録する | いずれの加盟国においても対応が必要 |
| 監査人契約 | 当局が指定する監査人と契約を結び、外部監査を受ける | 一部加盟国のみ要求 |
| セキュリティ管理措置に関する対応 | 各国が定める期限までに、要求されるセキュリティ管理措置に対応/準拠する | 次章参照 |
| インシデント通報に関する対応 (セキュリティ事故対応) |
インシデント発生時、「当局の示す所定の通報要件に沿った監督官庁への報告」が講じられるよう、体制/プロセスを整備する |
「事業体登録」では、監督当局の指定するプラットフォームに、事業体情報を登録する必要があります。これはNIS2指令を国内法化した全ての国で共通して求められており、今後法整備が進む他の加盟国でも、同様の対応が求められると想定されます。対象事業体の判断でも、初期段階で不可欠な手続きです。
「監査人契約」とは、当局が指定する監査法人と契約を結び、NIS2指令、またはそれに準拠した国内法への適合状況を第三者が検証・証明する仕組みです。ただし、これは現時点で一部の国に限って義務付けられているため、自社が進出している各国の要件を個別に確認する必要があります。
「セキュリティ管理措置」とは、NIS2指令で求められる各種セキュリティ対策を期限内に実施し、継続的に準拠状態を保つことを意味します。具体的には、リスクマネジメントやアクセス制御の方針策定、サプライチェーン全体を含む対策などが含まれます。これは形式的な制度対応にとどまらず、実務に根ざした運用の実施が求められます。
「インシデント通報体制」とは、セキュリティ事故が発生した際に、当局へ迅速に報告できる体制の整備を意味します。サイバー攻撃や情報漏えいなどのインシデントが発生した場合、所定の報告要件に従って速やかに対応する必要があります。そのためには「誰が」「いつ」「どのような手順で」通報を行うのかを事前に明確にしておくことが不可欠です。通報プロセスの標準化と組織内の体制構築は、NIS2指令への実効的な対応を支える重要な要素となります。
セキュリティ管理措置とインシデント対応の実践
次にセキュリティ管理措置とインシデント対応について説明します。NIS2指令が企業に求めるセキュリティ管理措置は、以下の3つに大別できます。
- セキュリティポリシーとリスクマネジメント計画の整備
- インシデント発生時の対応体制と訓練
- リスク評価と防御体制の強化
「セキュリティポリシーとリスクマネジメント計画の整備」では、NIS2指令の要求事項に準拠した社内規定を策定する必要があります。これは自社内だけでなく、取引先やサプライチェーン全体を包含したセキュリティフレームワークを確立することを意味します。また、将来の脅威に対応するため、リスクマネジメント計画の策定と定期的な見直しの仕組みも求められます。
「インシデント発生時の対応体制と訓練」では、セキュリティインシデント発生時の初動対応手順を具体的に整備することを意味します。「社会機能・経済機能の維持」というNIS2指令の基本方針に沿って、BCP(Business Continuity Plan:事業継続計画)や迅速な復旧策も構築する必要があります。こうした対応計画は、定期的な訓練によって実効性を検証し、継続的に改善するサイクルを確立することが重要です。
「リスク評価と防御体制の強化」は、自社のセキュリティ対策や運用の成熟度を定期的に評価し、新たな脅威や事業環境の変化に適応した対策の実施を求めるものです。評価でギャップが特定された場合には、資産管理、データ保護、アクセス制御などの基本的セキュリティ措置を継続的に強化する必要があります。
上記3つの要件は、原則としてEU域内の企業が対象です。ただし、日本本社がEUグループ企業に対してセキュリティルールや基盤システムを提供している場合には、本社側にも対応が求められる点に注意が必要です。たとえば、グローバル共通のセキュリティ規定やIT基盤がEU域内で運用されている場合、日本本社にはそれらがNIS2指令に準拠しているかを確認・整備する責任が生じます。
図表3:企業に求められること
インシデント発覚から「24時間以内」および「72時間以内」、インシデント通知から「1カ月以内」とそれぞれ時限を設けた形で、当局報告が必要です。
NIS2指令では、インシデント発生時に以下の3段階の報告プロセスが義務付けられています(図表3)。
1. 早期報告(24時間以内)
インシデント発覚から24時間以内に提出する初動報告です。悪意ある攻撃や技術的障害の兆候が確認され、かつ影響が他国に及ぶ可能性がある場合に、所管当局へ速報として提出します。詳細な分析より迅速な情報共有を優先し、事態の早期把握を目的としています。
2. インシデント通知(72時間以内)
発覚から72時間以内に提出する中間報告です。初動調査を経て、被害内容や影響範囲がある程度特定された段階での報告となります。確認された技術的事実、被害の影響範囲、対応の初期方針などを文書化して当局に提出します。
3. 最終報告(1カ月以内)
インシデント通知から1カ月以内に提出する包括的な報告書です。インシデントの根本原因分析、実施済みの緩和措置、最終的な影響評価、再発防止策などを詳細に記載します。
これら3段階の報告はいずれも法的義務であり、報告の遅延や内容不備はNIS2指令違反と見なされる可能性があります。さらに、当局から中間報告や補足説明を求められることもあるため、柔軟かつ即応可能な体制の構築が欠かせません。
そのためには、発覚から報告までの判断基準や連絡経路、文書化の手順をあらかじめ明確にし、社内で共有・訓練しておく必要があります。NIS2指令の本質は「報告義務」ではなく、「平時から整備された実効性のある体制を構築・維持する」ことです。
NIS2への実践的アプローチ―日本企業の段階的対応戦略
NIS2指令への対応を検討する上で、日本企業は自社のグループ体制やEU域内の事業展開状況に応じた段階的なアプローチが求められます。日本企業が取るべき対応は、以下の3ステップに整理されます。
1. 適用判定
まず、EU域内のグループ企業や現地法人がNIS2指令の対象となるかを確認します。対象法人の所在国や拠点を整理し、それぞれのセキュリティ統制状況を可視化して、対応すべき範囲を明確にします。
2. 影響分析
次に、各拠点が所在する国ごとの追加要件や規制の厳格度を把握し、自社の体制とのギャップを分析します。必要に応じて、本社からの支援内容や共通基盤(シェアードサービス)の見直しも検討し、対応計画を策定します。
3. 準拠対応
分析結果に基づき、本社と現地法人の間で役割を明確にしながら、実行計画を進めていきます。「誰が、いつまでに、何を行うのか」を具体化し、関係部門との連携を通じて、準拠状態を継続的に維持できる体制を構築することが求められます。
なお、準拠対応は一時的な取り組みではなく、継続的な運用と改善が不可欠です。対策が日常業務として定着しているか、内部監査等を通じて定期的に検証する仕組みを整える必要があります。本社には、こうした体制の有効性を継続的にモニタリングし、必要に応じて調整する役割が期待されます。
本稿では、NIS2指令の全体像と日本企業が講じるべき実務対応について解説しました。対応の難易度や優先度は各企業のガバナンス体制や業種特性により異なりますが、自社のリスクに即して「適用範囲」と「影響度」を的確に見極め、段階的かつ継続的に対応を進めていくことが鍵となります。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
