【EU】サイバーセキュリティ法「NIS指令」、重要な公共事業・IT事業者の義務的体制整備進む

　EU初となるサイバーセキュリティー法「ネットワークと情報システムのセキュリティに関する指令（NIS指令）」は5月9日、EU加盟国が国内法制化する期限を迎えた。同法は、欧州委員会が2016年7月6日に採択し、同年8月8日に発効している。

　同指令は、主に3つの措置を決めた。まず、加盟国のNIS担当当局や情報セキュリティ・インシデント・チーム（CSIRT）等を通じたサイバーセキュリティ能力の向上。具体的には、各EU加盟国は、ネットワークと情報システムのセキュリティーに関する国家戦略を制定し、同戦略の内容として、優先事項、ガバナンスの枠組み、準備・対応・復旧プロセスの確定、官民連携、認知向上、研修教育、R&D、リスクアセスメント計画、実行責任機関の明確化を盛り込まなければならない。また、CSIRTを創設し、一元的に対応を行う体制を構築しなければならない。

　次に、加盟国間の戦略的協力と情報交換体制の整備。すでに欧州理事会議長（EU大統領）の下に連携チームが設置されており、各国代表、欧州委員会、欧州ネットワーク・情報セキュリティ機関（ENISA）との連携作業が開始されている。また、各国のCSIRTの連携ネットワークも構築されている。

　最後に、重要な社会的インフラを担う事業者にリスクマネジメントとインシデント報告の義務を課すルールの整備。対象は、エネルギー、交通、水、金融、医療施設等の公共インフラや、検索エンジン、クラウドコンピューティング、Eコマース等のデジタルサービス提供者（DSP）。対象事業者は、リスクマネジメントとして、リスク予防措置、ネットワークと情報システムのセキュリティ確保、インシデントへの対応が義務化される。また報告義務として、被害を受けたユーザー数、インシデントの期間、地理的広がり等の報告をすることが想定されている。事業者の対応期限は、2018年11月9日に設定されている。

【参照ページ】Questions and Answers: Directive on Security of Network and Information systems, the first EU-wide legislation on cybersecurity

株式会社ニューラル サステナビリティ研究所