これは、お客様からよくいただく質問です。NIS2指令の文言は、常に非常に明確であるとは限りません。NIS2は、各国が導入する必要があるフレームワークです。指令であり、規則ではないため、各EU加盟国は独自の解釈で展開する自治権を持っています。
NIS2の文言は広範であり、特に各国が具体的な内容を公表するまでは理解を困難にしています。しかし、NIS2が現在どの企業に影響を与えるかについて、可能な限り明確に回答します。
Aikidoのquick NIS2セルフチェックで、対象範囲内かどうかを確認
私たちは実用的で分かりやすいことを好みます。そこで、より簡単に理解できるよう、NIS2の対象範囲に含まれるかを確認するための簡単な5ステップのセルフチェックをご紹介します。
- 貴社は「不可欠な」または「重要な」産業で事業を行っていますか?
- サブ産業に属しているかを確認してください。
- 規模要件に該当しますか?
- 1、2、3のいずれも「いいえ」の場合、例外ではないことを再確認してください(プロのヒント:安全を期すためには、法的な助言を求める必要があるかもしれません)。
- そして、上記のすべてが「いいえ」の場合、顧客が対象範囲に含まれるか否かを確認してください。
NIS2は誰に適用されますか?
NIS2が貴社に影響するかどうかを確認するための主要なパラメータが2つあります。
- 業界:「必須」または「重要」とみなされる業界に属している場合。
- 規模:貴社の規模が特定の「必須」または「重要」な閾値(しきい値)を満たす場合、例えば、従業員数X人以上、収益Xユーロ以上、または貸借対照表Xユーロ以上の場合。
両方について詳しく見ていきましょう。
NIS2はどのセクターに適用されますか?
全てはここから始まります。NIS2は、必須および重要な産業のセキュリティを確保することを目的としています。NIS2は、最初のNIS指令の対象であった産業の数を拡大します。必須と重要を区別していますが、両方のカテゴリがその範囲に含まれます。
必須産業:エネルギー、飲料水、廃水、輸送、銀行、金融市場、ICTサービス管理、行政、医療、宇宙。
重要産業:郵便・宅配サービス、廃棄物管理、化学品、食品、製造業(例:医療機器、コンピューター・電子機器、機械・設備、自動車、トレーラー・セミトレーラー・その他の輸送機器)、デジタルプロバイダー(例:オンラインマーケットプレイス)、研究機関。
一部のセクターは、いかなる場合でも即座に適用範囲となります。例えば、ドメイン名登録事業者、トラストサービスプロバイダー、DNSサービスプロバイダー、TLD名レジストリ、通信プロバイダーなどが含まれます。
それに加えて、各国当局は、必須または重要セクターのカテゴリーに明確に分類されない個々の企業を指定する権限を持ちます。これは、その企業が単一のサービスを提供し、大きな影響を与え、かつ/または社会にとって不可欠であると判断した場合に行うことができます。
NIS2の企業規模基準
NIS2には規模の上限に関するルールがあります。これは、特定のしきい値を超えた場合、指令に準拠する必要があることを意味します。
規模基準における必須企業と重要企業とは何ですか?
- 必須企業: 従業員250人以上、または年間売上高5,000万ユーロ以上、または貸借対照表4,300万ユーロ以上
注: 上記の必須企業の規模基準を満たさないが、以下の重要企業の規模基準を満たす必須企業は、重要企業と見なされます。したがって、依然として対象範囲内です。 - 重要企業:従業員50名以上、または年間売上高1,000万ユーロ以上、または貸借対照表1,000万ユーロ以上
したがって、表面的にはNIS2は中規模企業および大企業に適用され、小規模企業および零細企業は対象外となります。ただし、例外があります。例えば、企業が規模の閾値を満たさない場合でも、国の当局は、セクター基準と同様に、指定の特権を行使できます。
どの国が私のビジネスに対して管轄権を持つかをどのように知ることができますか?
欧州委員会は次のように述べています。「原則として、必須および重要エンティティは、設立された加盟国の管轄下にあると見なされます。エンティティが複数の加盟国で設立されている場合、それらの各加盟国の管轄下に置かれるべきです。」
例外があります。あるケースでは、企業がサービスを提供する場所(例:DNSサービスプロバイダー)を考慮することを意味します。別のケースでは、主要な事業所がある場所(例:クラウドコンピューティングサービスプロバイダー)が重要となります。
規則に他の例外はありますか?
もちろん、業界や規模に関するルールも存在します。さらに、各国がこの指令を施行するにつれて、ローカライズされたルールが発効する際に、国ごとに注意すべき違いが生じるでしょう(すべて2024年10月17日まで)。
例えば、規模要件を満たしていない場合でも、加盟国における社会的または経済的活動にとって不可欠なサービスの唯一の提供者である場合、NIS2を導入する必要があるかもしれません。
注記:金融業界で活動されている場合、おそらくデジタルオペレーショナルレジリエンス法 (DORA)についてはすでにご存知でしょう。DORAはNIS2のような指令ではなく法規であるため、NIS2よりも優先されます。まずはそちらに注力することをお勧めしますが、NIS2がEU加盟国によって国内法に転換される際には、必ず確認するようにしてください。
サイバーレジリエンス法 (CRA)も忘れないでください。CRAは、EU市場に投入されるさまざまなハードウェアおよびソフトウェア製品に対するサイバーセキュリティ要件を定めています。これには、スマートスピーカー、ゲーム、オペレーティングシステムなどが含まれます。
もう少し詳細な情報をお探しですか?
Centre for Cyber Security Belgiumによって開発された、対象となる範囲の優れた概要です:
顧客が適用範囲内である場合、NIS2は影響を与える可能性が高いです。
NIS2にはサードパーティへの波及効果が含まれていることをご存知でしたか?これは、直接適用範囲外であっても、顧客が適用範囲内である場合、NIS2に準拠する必要がある可能性が高いことを意味します。
NIS2を導入する必要がある企業は、「サードパーティプロバイダー」に関連する「リスクを管理および評価する」必要があります。これには、例えば、定期的なセキュリティ評価の実施、適切なサイバーセキュリティ対策の確保、およびNIS2要件への準拠を義務付ける契約/合意の導入が含まれます。
したがって、もしあなたがB2B企業で、業種や規模のために適用範囲外だと思っていたとしても、顧客がNIS2の適用範囲内であるならば、準備を開始すべきです!
AikidoはNIS2レポートを提供します。
Aikido Security は、アプリで利用可能な NIS2 レポート機能を作成しました。このレポートは、指令を遵守する必要がある企業を支援するために設計しました。
NIS2の影響を受ける可能性はありますか?
NIS2に関して、アプリケーションの現状を把握しましょう。
当社のレポートは網羅的ではありませんが(技術的な設定のみを対象としています)、開始するための正しい道筋を示すことができます。
