これはお客様からよくいただく質問です。NIS2指令の文言は必ずしも明確ではありません。NIS2は各国が実施する必要のある枠組みです。これは指令であって規則ではないため、EU各国は独自の解釈のもとでこれを展開する自治権を持っています。
NIS2の文言は幅広く、特に各国が具体的な内容を公表するまでは、その内容を理解するのは難しい。しかし、NIS2が現在どの企業に影響を及ぼしているのか、できる限り明確にお答えします。
AikidoのクイックNIS2セルフチェックで、スコープ内かどうかを確認する。
私たちは、現実的でわかりやすいことが好きです。そこで、NIS2の適用範囲内かどうかを確認するための簡単な5ステップのセルフチェックをご紹介します:
- 御社は「不可欠な」あるいは「重要な」産業に従事していますか?
- サブ・インダストリーに属しているかどうかをチェックする。
- サイズ要件に該当しますか?
- 1、2、3に「ノー」の場合は、自分が例外でないことを再確認する(プロからのアドバイス:念のため弁護士に相談する必要があるかもしれない)。
- そして、上記のすべてに「いいえ」の場合は、あなたの顧客が範囲内か、範囲外かを確認する。
NIS2は誰に適用されるのか?
NIS2が自社に影響を与えるかどうかを確認するために、2つの重要なパラメータがある:
- 業界必須」または「重要」な業界に属している場合。
- 規模:あなたの会社の規模が、従業員数がX人以上、売上高がXユーロ以上、貸借対照表がXユーロ以上など、特定の「必須」または「重要」の閾値を満たしている場合。
両者をさらに詳しく見てみよう。
NIS2はどのセクターに適用されるのか?
すべてはここから始まるNIS2は、必要不可欠で重要な産業の安全を確保するためのものである。NIS2は、最初のNIS指令の焦点であった産業の数を拡大している。NIS2は、必須と重要を区別しているが、どちらのカテゴリーもその範囲に含まれている。
基幹産業: エネルギー、飲料水、下水、輸送、銀行、金融市場、ICTサービス管理、行政、医療、宇宙。
重要産業:郵便・宅配便、廃棄物管理、化学、食品、製造業(医療機器、コンピューター・電子機器、機械・設備、自動車、トレーラー・セミトレーラー・その他輸送機器など)、デジタルプロバイダー(オンラインマーケットプレイスなど)、研究機関。
何があろうと即座にスコープに入るセクターもある。例えば、ドメイン名レジストラ、信託サービスプロバイダー、DNSサービスプロバイダー、TLD名レジストリ、電気通信プロバイダーなどです。
それ以上に、各国当局は、必要不可欠な部門や重要な部門に分類されない個々の企業を指定する権限を持つ。これは、その企業が唯一無二のサービスを提供し、大きな影響力を持ち、社会にとって不可欠であると判断された場合に可能となる。
NIS2の企業規模基準
NIS2にはサイズキャップ規定がある。つまり、一定の閾値を超えると指令に準拠する必要がある。
規模基準にとって不可欠で重要な企業とは?
- 必須企業: 従業員250名以上 OR 年間売上高5,000万ユーロ以上 OR 貸借対照表4,300万ユーロ以上
注:必須企業規模基準(上記)を満たさないが、重要企業規模基準(下記)を満たす企業は、重要企業とみなされる。従って、まだ適用範囲内である。 - 重要な企業 従業員50人以上 OR 年間売上高1000万ユーロ以上 OR 貸借対照表1000万ユーロ以上
つまり、表面的には、NIS2は中企業と大企業に適用され、中小企業や零細企業は除外されている。そして、中小企業や零細企業は除外されている。しかし、例外もある。例えば、ある企業が規模基準を満たさない場合、国家機関はセクター基準と同様に指定特権を行使することができる。
どの国が私のビジネスを管轄しているのか、どうすれば分かりますか?
欧州委員会は、『原則として、不可欠かつ重要な事業体は、その事業体が設立された加盟国の管轄下にあるとみなされる。事業体が複数の加盟国に設立されている場合は、各加盟国の管轄下に入るべきである』としている。
例外もある。場合によっては、その企業がどこでサービスを提供しているかを考慮する必要がある(例:DNSサービスプロバイダー)。他のケースでは、主要な事業所がどこにあるかが鍵となる(クラウド・コンピューティング・サービス・プロバイダーなど)。
ルールに他の例外はありますか?
もちろん、業種や規模の規定に関連するものもある。その上、各国がこの指令を実施し、地域ごとのルールが発効する(すべて2024年10月17日まで)ため、国ごとに注意すべき違いが出てくる。
例えば、規模要件は満たしていないが、加盟国の社会活動や経済活動にとって重要なサービスを提供する唯一のプロバイダーである場合も、NIS2を導入する必要があるかもしれない。
注:金融業界で活躍されている方であれば、デジタル・オペレーショナル・レジリエンス法(DORA)をすでにご存知でしょう。DORAは法律であり、NIS2のような指令ではないため、NIS2よりも優先される。まずはDORAに注力することをお勧めしますが、NIS2がEU加盟国によって国内法に移管された際には必ずご確認ください。
サイバーレジリエンス法(CRA)もお忘れなく。CRAは、EU市場に投入されるさまざまなハードウェアおよびソフトウェア製品に対するサイバーセキュリティ要件を定めている。これには、スマートスピーカー、ゲーム、OSなどが含まれる。
もう少し詳細をお聞きになりたいですか?
サイバーセキュリティ・ベルギーセンターが作成した、対象者の概要を紹介しよう:
NIS2が適用される顧客は、NIS2の影響を受ける可能性が高い。
NIS2にはサードパーティノックオン効果が含まれていることをご存知ですか?つまり、あなたが直接の適用範囲でなくても、あなたの顧客が適用範囲であれば、NIS2に準拠する必要がある可能性が高いということです。
NIS2を導入しなければならない企業は、「第三者プロバイダー」に関連する「リスクを管理・評価」する必要がある。これには、例えば、定期的なセキュリティ評価の実施、適切なサイバーセキュリティ対策の確保、NIS2要件への準拠を求める契約/合意の実施などが含まれる。
ですから、もしあなたがB2B企業で、業種や規模から対象外だと思っていたとしても、あなたの顧客がNIS2の対象になっているのであれば、準備を始めるべきです!
Aikido NIS2レポートを提供
Aikido セキュリティは、アプリで利用可能なNIS2レポート機能を作成しました。このレポートは、指令に準拠する必要がある企業を支援するために設計されています。
NIS2 の影響を受けそうですか?
NIS2 に関するあなたのアプリケーションの立ち位置を確認してください。
私たちのレポートは網羅的ではありませんが(技術的なセットアップのみを対象としています)、これを読めば正しい道を歩み始めることができます。
Aikido 登録すると、NIS2レポートを無料で入手できます!
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
