NIS2指令とは【用語集詳細】
NIS2指令(NIS2 Directive)は、EU加盟国のサイバーセキュリティ対策のギャップを取り除き、全体のサイバーセキュリティのレベルを高めるための、法的措置に関する指令です。
参考記事:【ブログ】NIS2指令と脅威インテリジェンス:準拠していますか?(7/2)
2022年12月に欧州委員会において採択され、2024年10月より施行されます。
市場におけるセキュリティレベルのばらつきを改善するよう法的枠組みを最新化し、急速なデジタル化に合わせて進化するサイバー攻撃の脅威に対応することを目的としています。
この指令は、2016年に導入されたNIS指令(Network and Information Security Directive)(ネットワークと情報セキュリティに係る指示)を更新したものです。
更新にあたって、経済社会における重要度に応じて、サイバーセキュリティ義務の対象となる分野が以下の分野(および行政機関)に拡大されました。
- 主要エンティティ
- エネルギー
- 運輸
- 銀行、金融市場
- ヘルスケア
- 飲料水、廃水
- デジタル・インフラストラクチャ
- 公的機関
- 宇宙
- 重要エンティティ
- デジタル・サービス
- 郵便および宅配
- 廃棄物管理
- 化学品
- 食品
- 製造
- 研究
本指令において、対象となる組織に課される対策および義務の一例として以下のようなものがあります。
- 加盟国は、対象となる組織に対し、リスクマネジメントを確立するための対策と報告を履行させる。
- 報告義務の例として、重大インシデント発生時24時間以内の早期警告およびおインシデント通知等。
- 対象組織は、ネットワークおよび情報システムのセキュリティ上のリスクを管理し、インシデントによる損害の局限を図る。
- 対象組織は、以下のリスク管理対策を適切なレベルに保持する。