EUの新サイバーセキュリティ指令(NIS2)は、「2024年10月18日」に施行です。
・この指令は、「EU域内でサービスを提供する事業体」、または「活動を行う中規模(従業員50名)以上の事業体」を対象にした規制で、「化学、医療機器、電気電子機器、光学機器、機械、自動車、輸送機器、宇宙、研究などの幅広い分野の事業体」を対象にして、義務を課すEU法です。
・この指令は、2022年12月に公布されており、各EU加盟国は「2024年10月17日」までに国内法に取り入れる必要がある。
*NISからNIS2へ
・サイバーセキュリティ指令 2016/1148 (NIS)
⬇ 置換(2024年10月18日)
・新サイバーセキュリティ指令2022/2555(NIS2)
*NIS2の概要
1. NIS2 では、スコープ内の事業体分野が大幅に拡張
化学品や医療機器の製造業者、食品加工業者、ソーシャルネットワークプロバイダーなど、NISでは該当しなかった幅広い事業体がNIS2の範囲になる。
2. 「必須サービスの運営者」と「デジタルサービスプロバイダー」は区別されなくなりました。代わりに、事業者のセクターと規模に基づいて「重要な事業体」と「重要な事業体」を区別します。本質的な事業体と重要な事業体の両方に同じ実質的な義務が適用されますが、重要な事業体はより厳格な執行および監督義務の対象となる。
3. NIS2は、リスク管理(サプライチェーンリスク管理を含む)、サイバーインシデントの報告、および情報共有に関連して、「不可欠」および「重要な」事業体に新しいサイバーセキュリティ義務を課しています。対象となる事業体は、これらの新しい義務を遵守するために、新しいプロセスとポリシーを実装する必要があります。
4.対象となる事業体は、コンプライアンス違反に対してさまざまな執行命令や多額の罰金の対象となる可能性がある。
更に、NIS2は、会社の取締役会や役員などの「管理機関」に義務と個人責任を課す。
*指令のURL
・新サイバーセキュリティ指令2022/2555(NIS2)