インシデント報告義務の厳格化など、EUのサイバーセキュリティ法「NIS2」最終版では何が変わった？

EUの更新版NIS指令、その最終的な内容

　欧州理事会は、EUにおける情報セキュリティに関する法律として2016年に施行されたNIS指令（Network and Information Systems Directive）を更新した「NIS2」を2022年11月末に正式に承認しました。これにより、公示（官報掲載）から20日後に「NIS2」は施行され、その後21カ月以内にEU加盟各国は自国の国内法に組み込むこと（規定の採択と公表）が求められることになりました。なお、「NIS2」の内容については、2020年12月に提案され、2022年5月には加盟国と欧州議会の間で既に合意されています。

• 承認：2022年11月28日
• 公示：2022年12月27日
• 発効：2023年1月16日
• 加盟国対応期限：2024年10月17日

　「NIS2」で新規導入または更新された内容のうち、特に注目すべき点については既にさまざまな解説文書や記事が国内外で公開されていますが、それらの中には正式承認前の「案」に基づいているものも多く、公示された「最終版」とは細かいところで違いがある可能性があります。そこで今回は、その最終版をもとに注目すべき点を改めて簡単に紹介します。

　まず最も注目すべきはインシデント報告義務を厳格化している点です。これまでもCSIRTや所轄官庁に速やかに報告する義務自体は規定されていましたが、報告の具体的な期限は明確に定められていませんでした。「NIS2」ではそれを明確にした上で、報告義務を守るためにインシデント対応に本来かけるべきリソースが奪われるといった本末転倒した事態にならないように配慮することを加盟各国に求めています。

　規定された報告期限は以下の通り。

• インシデントに気付いてから24時間以内に早期警告
• インシデントに気付いてから72時間以内にインシデント通知
• インシデント通知から1カ月以内に最終報告書

　具体的には以下のように説明されています（参考訳）。

必要不可欠（essential）または重要（important）な組織が重大なインシデントに気付いた場合、不当な遅延なく、いかなる場合でも24時間以内に早期警告（early warning）を提出することが要求されるべきである。その早期警告に続いてインシデント通知（incident notification）を行うべきである。当該組織は重大なインシデントに気付いてから不当な遅延なく、いかなる場合でも72時間以内にインシデント通知を提出すべきである。その目的は、特に、早期警告を通じて提出された情報を更新し、重大なインシデントの初期評価を示すことにある。なお、その初期評価には深刻度と影響だけでなく、可能であれば侵害指標（IoC:indicators of compromise）も含まれる。最終報告書はインシデント通知から1カ月以内に提出されるべきである。早期警告は、CSIRTに、または該当する場合は所轄官庁に、重要なインシデントを認識させ、かつ、必要であれば、当該組織が支援を求めるのを認めさせるために必要な情報のみを含むべきである。そのような早期警告は、該当する場合、重要なインシデントが違法または悪意のある行為によって引き起こされた疑いがあるかどうか、および、それが国境を越えた影響を及ぼす可能性があるかどうかを示すべきである。加盟国は、その早期警告またはそれに続くインシデント通知の提出義務によって、通知する組織のリソースが優先されるべきインシデント処理に関する活動から流用されることが決してないようにすべきである。それはインシデント報告義務が重要なインシデント対応処理からリソースを流用したり、または流用せずともその点における組織の努力を損なったりすることを防ぐためである。最終報告書提出時にインシデントが継続している場合、加盟国は、当該組織がその時点で進捗報告書を提出し、かつその重要なインシデントの処理から1カ月以内に最終報告書を提出することができるようにすべきである。

　また「NIS2」では対象となる分野が大幅に増えています。これまでは下記の分野に限定されていました。

　これに対して「NIS2」では以下のようにかなり広い分野に渡っています。

　さらに、上記対象分野の組織を、「Article 3 - Essential and important entities」の規定に従い、事業内容や規模などに応じて、「必要不可欠な組織（essential entities）」と「重要な組織（important entities）」に分け、それぞれに対して、「NIS2」に違反した際の罰金の上限を「Article 34 - General conditions for imposing administrative fines on essential and important entities」において以下のように規定しています。いずれの場合も罰金はかなりの高額となる可能性があります。

必要不可欠な組織（essential entities）
少なくとも1000万ユーロ、または当該組織が属する事業の前会計年度における全世界年間総売上の少なくとも2％のうち、いずれか高い方

重要な組織（important entities）
少なくとも700万ユーロ、または当該組織が属する事業の前会計年度における全世界年間総売上の少なくとも1.4％のうち、いずれか高い方

　なお、適格トラストサービスプロバイダー（qualified trust service providers）、トップレベルドメイン名レジストリやDNSサービスプロバイダーは規模に関係なく「必要不可欠な組織」に分類されます。

　他にも、各国当局間の協力をより円滑にするための新しい仕組みとして、大規模なサイバー攻撃への協調的対応を監督する新しいセンター「European Cyber Crises Liaison Organisation Network（EU-CyCLONe、欧州サイバー危機連絡組織ネットワーク）」を設立することが謳われています。

　EUに限らず、世界的に情報セキュリティに関する義務や規制は厳しくなる一方ではありますが、今回施行された「NIS2」は対象となる企業や組織が大幅に増えており、与える影響は極めて大きいものとなっています。EU域内で活動されているなど、対象となる可能性がある企業や組織は速やかに対応を進める必要があるでしょう。

　また、「NIS2」に関しては正式承認前からその改訂内容を紹介する文書や記事が数多く公開されており、その内容は大筋では最終版と変わるところはありませんが、それでも細かいところでは違いがあり、その違いを見落としてしまうと該当する企業や組織にとっては致命的な失敗につながる可能性もないとは言えません。対象となる可能性のある企業や組織の担当者は、正式承認された最終版の内容を（可能であれば原文で）確認するようお願いします。なお、条文は英語以外にも欧州のさまざまな言語で提供されています。