EU、セキュリティー基準を「NIS2指令」で厳格化。違反社に罰金。

ヨーロッパ経済ニュースEUROPE NNAは2022年05月16日に、EU(European Union/欧州連合)加盟各国と欧州議会(European Parliament)は2022年05月13日に、域内企業のサイバーセキュリティー基準を厳格化する法案で暫定的に合意した。エネルギーや運輸、金融、デジタル、医療機器など幅広い分野の大手企業を対象に、自社のサイバーセキュリティー・リスクの評価や報告、対策を義務付け、違反企業には世界売上高の最大2%の罰金を科す内容となっていると報告した。

https://time-az.com/main/detail/76871

EU加盟各国と欧州議会が合意したのは、「NIS2指令(NIS2 Directive/EU域内共通の高度サイバーセキュリティー措置に関する指令/a high common level of cybersecurity across the Union)」案で、EC(European Commission/欧州委員会)が2020年12月に提案し、両者間の交渉が行われてきた。

同指令案は、2016年に導入された「NIS指令(NIS Directive/ネットワークと情報システムのセキュリティーに関する指令/Network and Information Security directive)」を、デジタル化の進展やサイバー攻撃の増加を受けて見直されたもので、通称「NIS2指令」と呼ばれている。

「NIS2指令」では対象分野を大幅に拡大。公共電子通信サービスやデジタル・サービス、排水・廃棄物管理、郵便・宅配サービス、行政のほか、化学品や食品、医療機器、電子機器、機械、輸送機器といった重要製品の製造企業が追加された。

対象企業にはより厳格なサイバーセキュリティー要件を義務付け、違反企業には罰金を科すだけでなく上級管理職の責任を追及する。

また、「EU規則 第460/2004」に基づき2004年に設立され、2005年09月01日に完全稼働したENISA(European Network and Information Security Agency/欧州ネットワーク・情報セキュリティー機関/European Union Agency for Cybersecurity)が重要な供給網のリスク評価を実施する。

「NIS2指令」案は、加盟各国と欧州議会での正式な承認を経て官報に公示され、その20日後に施行される。加盟各国はその後、21カ月以内にこれを国内法化する必要がある。