EU,新サイバーセキュリティ指令(NIS2) 2024 年 10 月に施行!

EUの新サイバーセキュリティ指令(NIS2)は、「2024年10月18日」に施行です。


・この指令は、「EU域内でサービスを提供する事業体」、または「活動を行う中規模(従業員50名)以上の事業体」を対象にした規制で、「化学、医療機器、電気電子機器、光学機器、機械、自動車、輸送機器、宇宙、研究などの幅広い分野の事業体」を対象にして、義務を課すEU法です。
・この指令は、2022年12月に公布されており、各EU加盟国は「2024年10月17日」までに国内法に取り入れる必要がある。


*NISからNIS2へ
・サイバーセキュリティ指令 2016/1148 (NIS
  ⬇ 置換(2024年10月18日)
・新サイバーセキュリティ指令2022/2555(NIS2)


*NIS2の概要
1. NIS2 では、スコープ内の事業体分野が大幅に拡張
化学品や医療機器の製造業者、食品加工業者、ソーシャルネットワークプロバイダーなど、NISでは該当しなかった幅広い事業体がNIS2の範囲になる。
2. 「必須サービスの運営者」と「デジタルサービスプロバイダー」は区別されなくなりました。代わりに、事業者のセクターと規模に基づいて「重要な事業体」と「重要な事業体」を区別します。本質的な事業体と重要な事業体の両方に同じ実質的な義務が適用されますが、重要な事業体はより厳格な執行および監督義務の対象となる。
3. NIS2は、リスク管理(サプライチェーンリスク管理を含む)、サイバーインシデントの報告、および情報共有に関連して、「不可欠」および「重要な」事業体に新しいサイバーセキュリティ義務を課しています。対象となる事業体は、これらの新しい義務を遵守するために、新しいプロセスとポリシーを実装する必要があります。
4.対象となる事業体は、コンプライアンス違反に対してさまざまな執行命令や多額の罰金の対象となる可能性がある。

更に、NIS2は、会社の取締役会や役員などの「管理機関」に義務と個人責任を課す。


*指令のURL
・新サイバーセキュリティ指令2022/2555(NIS2)


サイバー レジリエンス法で、NB認証が必須なデジタル製品は何か!

*本EU法では、NB認証が必須な「重要デジタル製品(インターネット通信製品)」がある。
・「重要デジタル製品」に指定されていない場合は自己宣言、またはNB認証の選択が可能である。


*NB認証の可否について


1. 「重要なデジタル製品以外のデジタル製品」
  ・本法の付属書Ⅲに記載のないデジタル製品
  → 自己適合宣言、又はNB認証かを選択できる。

2.「重要なデジタル製品クラスI(低リスク)製品
  a) EUCCやE欧州整合化規格に適合する場合
   → 
自己適合宣言、又はNB認証かを選択可能
     b) EUCC準拠やEN整合規格に適合していない場合
         → NB認証の取得が必須
3. 「重要なデジタル製品クラスII(高リスク)製品
   → NB認証が必須である。


*重要デジタル製品(クラスⅠ、Ⅱ)に指定されている機器


・付属書Ⅲに記載されているデジタル製品である。(クラスⅠ、Ⅱ分類)
・下図の製品が重要なデジタル製品に該当する。

サイバー レジリエンス法の重要デジタル製品


「お問合せ」
・CEマーキングをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい


 

サイバー レジリエンス法(インターネットセキュリティ対応)の条文項目!


*「インターネット接続されるデジタル回路、およびソフトフェア製品」が対象のサイバーセキュリティ対応のEU法です。


・CEマーキングの適用です。
・「2024年当初の発効、3年後の「2027年初頭に適用」の模様
・事前に製品、および製造者への要求事項を確認し、製品にサイバーセキュリティ対応をしよう。


*サイバー レジリエンス法(インターネットセキュリティ対応)の条文項目


EU サイバー レジリエンス法(ドラフト)の表紙
*第1章 総則

第1条 対象事項
第2条 適用範囲
第3条 定義
第4条 自由な移動
第5条 デジタル要素を含む製品の要求事項
第6条 デジタル要素を含む重要な製品
第7条 一般的な製品の安全性
第8条 高リスクのAIシステム
第9条 機械製品
—————————————————————–
*第2章 経済事業者の義務
第10条 製造者の義務
第11条 製造者の報告義務
第12条 任命代理人
第13条 輸入者の義務
第14条 販売業者の義務
第15条 製造者の義務が輸入者及び販売者に適用される場合
第16条 製造者の義務が適用されるその他の場合
第17条 経済事業者の識別
—————————————————————-
*第3章 デジタル要素のある製品の適合性
第18条 適合性の推定
第19条 共通仕様
第20条 EU適合性宣言
第21条 CEマーキングの一般原則
第22条 CEマーキングの貼付に関する規定と条件
第23条 技術文書
第24条 デジタル要素を含む製品の適合性評価手順
—————————————————————–
*第4章 適合性評価機関の届出
第25条 通知
第26条 通知機関
第27条 通知機関に関する要件
第30条 ノーティファイドボディの適合性の推定
第31条 通知機関の子会社及び下請け業務
第32条 通知機関の申請
第33条 届出手続
第34条 ノーティファイドボディの識別番号とリスト
第35条  通知機関の変更
第36条  通知機関の能力調査
第37条 通知機関の運用義務
第38条 通知機関の情報義務
第39条 当局間の経験情報の交換
第40条 通知機関の調整及び協力
—————————————————————-
*第5章 市場監視と執行
第41条 EU市場におけるデジタル技術を用いた製品の市場監視と管理
第42条 データおよび文書へのアクセス
第43条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関する国レベルでの手続き
第44条 EUセーフガード手続
第45条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き
第46条 重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ適合宣言製品
第47条 形式的な不適合
第48条 市場監視当局間の共同活動
第49条 市場監視当局間の協調管理措置
———————————————–
*第6章 委譲された権限と委員会の手続き
第50条 委任の行使
第51条 委員会の手続き
———————————————-
*第7章 守秘義務と罰則
第52条 守秘義務
第53条 罰則
———————————————–
*第8章 経過措置と最終規定
第54条 規則(EU)2019/1020の改正について
第55条 経過措置
第56条 本規則の評価及び見直し
第57条 発効と適用


*本法の「付属書」の項目は以下です。
EU サイバー レジリエンス法(ドラフト)・付属書の表紙


・付属書 I:サイバーセキュリティの必須要件
・付属書 II:ユーザーへの情報及び指示
・付属書III:デジタル技術を用いた重要製品
      クラスI、クラスII
・付属書IV :EU適合宣言
・付属書V:技術文書の内容
・付属書 VI:適合性評価手順


*サイバー レジリエンス法の構成図


EUサイバー レジリエンス法(ドラフト)の構成
 図. EU サイバー レジリエンス法の構成


「お問合せ」
・CEマーキングをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい