見出し画像

【データ法】NIS2指令 ーEUの新たなサイバーセキュリティ法ー

弁護士 古田 俊文 (toshful)

こんにちは。
お読みいただきありがとうございます。

本日は、EUのサイバーセキュリティ法制に関する最近の主要な改正法であるNIS2指令(*1)について書きたいと思います。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。


NIS1指令

NIS2指令は、その名前から察せるように、前身となるNIS1指令(*2)があります。NIS1指令は、2018年に採択された指令で、特定のセクターの事業者に対して、所定のサイバーセキュリティに関する義務を課すことを目的とするものです。

具体的には、エネルギー、金融、インフラ、医療など、サイバーインシデントにより事業に支障が出た場合に市民生活への影響が大きいと思われるセクターと、オンラインマーケットプレイス、クラウドコンピューティング、検索エンジンのように、サイバーインシデントのリスクが高いセクターを対象にしています。

NIS1指令はBrexit前に定立されたEU法であり、現在も、これに係る法令はRetained EU Law(Assimilated Law)として現在も英国法を構成しています。以前、英国法におけるインシデント発生時の当局等への報告義務をまとめたことがあり、NIS1指令が対象とするセクターや対象事業者に課される報告義務についてまとめていますので、ご覧ください。

NIS1指令の問題点

NIS1指令は、EU法における指令(directive)です。そのため、実際には、各加盟国が指令に従って制定した国内法によって、事業者はサイバーセキュリティに関する規制を受けています。

指令のもう少し詳しい解説は、こちらにも書いています。個人的には、EU法における二次法の理解は、EU法の実務に必須だと思っています。

EUの行政府である欧州委員会(EC)による、NIS1指令の実施にかかる調査が行われたところ、各加盟国が、NIS1指令に基づく国内法の実施に関して異なるアプローチを取っていたことが明らかになりました。

特定の加盟国における執行が不十分な場合、事業者によるフォーラムショッピングが生じるとともに、単一市場であるEU圏の断片化が起こります。このような事態を懸念して、2020年12月以降、新たなNIS指令を定立する作業が始まったのです。

NIS2指令の概要

NIS2指令のタイムスケジュールについては後述しますが、NIS1指令は、2024年10月18日に廃止されることになります。そのため、今後は、NIS2指令に全く置き換わることになりますので、一度、全46条の構成を見ておいた方が良いと思います。

NIS2指令の構成
第1章(第1条~第6条) 一般規定
第2章(第7条~第13条) 協調的なサイバーセキュリティの枠組み
第3章(第14条~第19条) EU及び国際レベルでの協力
第4章(第20条~第25条) サイバーセキュリティのリスク管理と報告義務
第5章(第26条~第28条) 管轄と登録
第6章(第29条~第30条) 情報共有
第7章(第31条~第37条) 監督と執行
第8章(第38条~第39条) 経過措置
第9章(第40条~第46条) 最終規定

対象となる事業体

Art 2は、次の4つの事業体について、NIS2指令が適用されるとしています。

① 付属書I又はIIに定める事業をEU圏内で行う中規模以上の事業体(1項事業体)
② 付属書I又はIIに定める事業を行う特定の活動を行う事業体(2項事業体)
③ 重要事業体としてCER指令に定められた事業体
④ レジストラサービスを提供する事業体(domain name registrar)

1項事業体

NIS2指令にはこのような定義付けはなく、かつ、このように定義している人も見かけないのですが、いちいち書くと長いので、ここでは、Art 2(1)で付属書I又はIIに定める事業をEU圏内で行う中規模以上の事業体と定義される事業体を1項事業体と呼びたいと思います。

1項事業体に該当する要素として、(i)付属書I又はIIに定める事業を、(ii)EU圏内で行う、(iii)中規模以上の事業体でなければなりません。

(i) 付属書I又はIIに定める事業
次のセクターが付属書Iに定められています。

エネルギー(電力、地域熱供給、石油、ガス、水素)、運輸(空運、鉄道、水運、陸運)、銀行、金融市場インフラ、ヘルスケア、飲料水、廃水、デジタルインフラ、ICTサービス、公共事務、宇宙

次のセクターが付属書IIに定められています。

郵便・宅配サービス、ごみ処理、化学品、食料品、製造業(医療機器、電子・電気・光学製品、電気装置(electrical equipment)、機械・部品、自動車、輸送機器)、デジタルサービス、研究所

これらのうち、NIS1指令の下ではカバーされておらず、NIS2指令で新たに対象となったものとして、郵便・宅配、データセンター、廃水・ごみ処理、医薬品、医療機器、化学などが挙げられます。

付属書I及びIIは、より詳細に該当要件を規定していますので、もし自社のビジネスがNIS2指令になって初めて該当するかもしれないと感じられた場合は、要件を確認されるのが良いかもしれません。

(ii) EU圏で行う
加盟国内に事業拠点がある場合に加えて、EU加盟国の市民にサービスや商品を提供している場合には、該当する可能性があるように思います。域外適用はGDPRなどでも散々言われてきた話ですね。

(iii) 中規模以上の事業体
中規模(Medium-sized)については、きちんとした定義があります。欧州委員会のこちらのサイトにも載っています。

詳しくは割愛しますが、中規模の事業体とは、従業員が50人を超えるか、又は、売上高若しく貸借が€10m以上の事業体をいうため、この基準を満たす場合には中規模以上の事業体と言えそうですね。

2項事業体

組織の規模、EU圏での活動の有無を問わず、付属書I又はIIに定める事業を行い、かつ、次のいずれかの活動を行う事業体(便宜的に「2項事業体」と呼びます。)についても、NIS2指令の適用対象となります。

2項事業体にカテゴライズされることになる事由
① 次のいずれかのサービスを提供している
(a) 公衆電子通信ネットワーク又は公に利用可能な電子通信サービス
(b) 信託サービス(*3)
(c) トップレベルレジストリ(*4)又はDNSサービス(*5)
② 当該加盟国のリスク評価基準を満たしている
③ 所定の行政機関である

つまり、付属書I又はIIに定める事業を行い、上記の①~③のいずれかに該当すれば2項事業体となります。

当該加盟国のリスク評価基準については、Art 2(2)の(b)から(e)に説明があります。具体的には、重要な社会的・経済的活動の維持に不可欠なサービスの唯一の提供者であったり、サービスの中断が公共の安全・治安・公衆衛生に重大な影響を及ぼす可能性があったりすることが基準となっています。

重要事業体(critical entity)としてCER指令で特定された事業体

重要事業体のレジリエンスに関する指令(EU指令2022/2557)(CER指令)とは、その名のとおり、特定の事業体のレジリエンスを強化するために定立された指令です。

EU加盟国は、2026年7月17日までに、重要事業体を特定することが求められており、現時点では、どの加盟国も特定が済んでいないという理解です。現時点では、この要件にヒットするとしてNIS2指令の適用対象となることは考えておかなくとも大丈夫です。

なお、重要事業体は、11のセクターから選択されるのですが、NIS2指令の付属書I及びIIのセクターと重なっています。

レジストラサービスを提供する事業体

Art 2(5)に規定のとおりです。

主要な義務

ここからは、NIS2指令が定める主要な義務について書いていきます。もっとも、これらの具体的内容は、各加盟国の国内法に依存します。もちろんNIS2指令は、第4章である程度詳細に規定をしていますが、最終的には各国内法を確認することが必要です。

サイバーセキュリティリスク管理措置

各加盟国は、NIS2が適用される事業体(以下、便宜的に「適用事業体」と呼びます。)が、技術的、運用的、組織的な対策を適切かつ比例的に講じるようにしなければなりません。

NIS2では、各加盟国がどのような管理措置を適用対に義務付けるのか、ある程度具体的な規定が置かれています。もっとも、今回は割愛いたします。

インシデントの報告

各加盟国は、適用事業体の事業に重大な影響を及ぼすインシデントが発生した場合、遅滞なく、当局に通知するようにしなければなりません。また、適当な場合には、サービスの受領者に対しても遅滞なく通知ができるようにしなければいけません。

NIS1指令においては、報告の時間軸を特に定めていませんでした。他方で、NIS2指令では、多段階での報告期限を設けることを予定しています。具体的には、まずインシデントの認識後、24時間以内に初段の報告を行い、認識から72時間以内に中間報告、その後、初段の報告から1か月以内に最終報告を行う必要があります。

当局の監督と執行

当局の監督と執行に関して、適用事業体は、不可欠事業体(essential entity)と重要事業体(important entity)に分けられます。これらの間で、当局の関与の度合いが異なります。

不可欠事業体とは、付属書Iに定める事業を営む中規模を超える事業体(250人以上の従業員、かつ、売上€50m超又は貸借€43m超の事業体)、公衆電子通信ネットワーク又は公に利用可能な電子通信サービスを営む中規模以上の事業体などが含まれます。詳細な定義は、Art 3(1)にありますので、もし自社の該当性について気になる場合にはご覧ください。

当局は、不可欠事業体に対しては、抜き打ち検査等の監査や書面調査の権限が与えられていますが、重要事業体に対しては、これらの権限を行使することができず、事後的な措置のみが認められます。

また、各加盟国の法令で課され得る制裁金の額も異なり得ます。不可欠事業体については少なくとも€10m又は売上の2%を上限としなければならない一方で、重要事業体については少なくとも€7m又は売上の1.4%を上限とする国内法が定立されれば足ります。

いつから対応が必要なのか?

各加盟国は、2024年10月17日までに、NIS2指令を遵守するための国内法を制定・公表しなければならず、翌日2024年10月18日から、かかる国内法が適用されます(*6)。

まとめ

いかがだったでしょうか。
本日は、EUのサイバーセキュリティに関する重要法令であるNIS2指令について見てきました。

以下のとおり、まとめます。

・ 各国でのNIS1指令の執行状況にばらつきがあったため、域内の統一的な執行のためにNIS2指令が制定された
・ 適用事業者は、NIS1指令の適用対象となっていた事業体から更に拡張されて、郵便・宅配、データセンター、廃水・ごみ処理、医薬品、医療機器、化学セクターの事業体も含まれる
・ 主要な義務は、サイバーセキュリティ管理措置の実施、及び、当局への報告である
・ 適用事業者は、不可欠事業体と重要事業体に分かれ、両者は当局による監督の度合いや制裁金の上限が異なる。
・ 適用事業者は、2024年10月18日以降、各加盟国の国内法に対応する必要がある

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

【注釈】
*1 正式名称は長いですが、「Directive (EU) 2022/2555」で検索すれば、確認頂けると思います。
*2 同じく、「Directive (EU) 2016/1148」で検索してみてください。
*3 EU規則910/2014のArt 3(19)の定義が参照されています。
*4 Art 6(21), NIS2
*5 Art 6(20), NIS2
*6 Art 41(1), NIS2

免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

X(Twitter)もやっています。
こちらから、フォローお願いします!

このほかにも、データ法に関する解説を書いています。
よければご覧ください。


この記事が気に入ったらサポートをしてみませんか?