以前、EUサイバーレジリエンス法 EUにおいてデジタル製品に要求される手続という記事において、サイバーレジリエンス法について紹介したことがあった(この方は、記事の後、2024年12月10日から発効している)。
このサイバーレジリエンス法と並んで、EUにおけるサイバーセキュリティに関する法規制として重要となるのが、ネットワーク及び情報システムに関する指令(NIS指令)である。NIS指令は、セキュリティインシデントの増加を背景に、国境を越え性質を有するインターネットについて、そのセキュリティを加盟国間で確保するという要請のもと、2016年7月6日に成立、同年8月8日に施行されていた。
広範囲、より明確、より強力な監督ツールを通じて、加盟国のサイバーセキュリティ能力の向上を計るため、NIS指令が廃止され、EU指令2022/2055 (NIS2指令)が2023年1月16日に発効した。指令であるため、NIS2は各加盟国の国内法化を要し、その期限は2024年10月17日とされていた(NIS2指令第41条)。
本記事においては、NIS2指令における主な改正点とスペインの国内法化の状況について、お伝えする。
I.- NIS2指令における改正点
1) 適用対象
NIS指令においては、ヘルスケア、交通、金融、デジタルインフラ、水道、エネルギー、デジタルサービスプロバイダーの事業者に限られていた。
NIS2指令においては、次のセクターが適用対象となる。
重要度の高いセクター(別紙I)
エネルギー、運輸、銀行、金融市場インフラ、衛生、飲料水、デジタルインフラ、公的サービス、宇宙
その他重要なセクター(別紙II)
郵便・宅配、廃棄物管理、化学品、食品、化学物質及び混合物の製造・生産・流通、食料品の製造、加工、流通、デジタルプロバイダー、研究
そして、NIS2の適用範囲に含まれる事業体は、その規模、セクター、活動の重要性などの要因に応じて、「必須な」又は「重要な」として特定又は指定される。
2) 罰則
NIS指令においては、違反時の罰則について、各加盟国の裁量とされていた。
NIS2指令においては、主要事業体は最高で1,000万ユーロ、または事業者の全世界年間総売上高の2%のいずれか高い方の額の罰金、重要事業体は最高で700万ユーロ、または事業者の全世界の年間総売上高の1.4%のいずれかの高い方の額の罰金とされることになった。
3) 義務の内容
NIS2指令で導入された義務について、主な点を2点紹介する。
(a)インシデントの報告
NIS指令では、インシデントの報告について明確な期限は求められていなかったものの、NIS2指令では、CSIRT(computer security incident response teams)等に対し、インシデントの発覚から24時間以内の早期通知が必要となる(NIS2指令第23条第4項a))。また、インシデントの発覚から72時間以内にインシデントの重大性や影響に関する評価を通知し(同条同項b)、インシデントの通知から1カ月以内にインシデントの原因や緩和措置策、影響範囲など、インシデントの詳細に関する最終報告が必要となる。
(b)サイバーセキュリティリスク管理
NIS2指令第21条第2項は、以下の観点を含むサイバーセキュリティリスク管理対策を義務付けるようになった。
a) 情報システムセキュリティポリシー及びリスク分析
b) インシデント管理
c) バックアップ管理、災害復旧、危機管理などの事業継続性
d) サプライチェーンセキュリティ(各企業とその直接の供給者又はサービス提供者との関係に関連するセキュリティ面を含む);
e) ネットワーク及び情報システムの取得、開発及び保守におけるセキュリティ(脆弱性管理及び情報開示を含む);
f) サイバーセキュリティリスク管理策の有効性を評価するための方針と手順;
g) 基本的なサイバー衛生の実践とサイバーセキュリティ研修;
h) 暗号及び適切な場合には暗号化の使用に関する方針及び手順;
i) 人材セキュリティ、アクセス制御ポリシー、資産管理;
j) 機関内での多要素認証又は継続的な認証ソリューション、安全な音声、ビデオ、テキスト通信、 および安全な緊急通信システムの使用(適切な場合)。
II.- スペインの国内法の状況
上述の通り、加盟国は、2024年10月17日までにNIS2指令に従い国内法化を進めるものとされていたが、この時点ではスペインは国内法化を完了していなかった。
2025年1月14日、閣僚理事会は、サイバーセキュリティ調整及びガバナンス法の草案を承認した。
この規制の影響を受ける公共又は民間の事業体とは、スペインに税務上の居住地を持つもの、又は、他のEU諸国に居住地を持ち、スペインでサービスを提供したり、活動を行ったりするものであると明記された。
法案では、情報セキュリティオフィサーを、窓口機能および技術的調整機能を担当する事業体によって指定された人物又は組織としている。必要不可欠な機関(規模が最も大きい機関)においては、情報セキュリティ責任者は認定者の資格を取得しなければならない。
ガバナンス体制に関して、法案は国家サイバーセキュリティ戦略を策定し、国家サイバーセキュリティセンターを設立する。このセンターは、政府議長府の事務総局に所属する欧州連合との単一の連絡機関であり、この分野の指揮、推進、調整に責任を負い、他の管轄当局との分野間および国境を越えた協力を保証し、サイバーセキュリティ危機管理当局となる。
この法案では、国家レベルで検知されたサイバー脅威、脆弱性、インシデントの監視・分析、影響を受ける事業体への支援提供(要請があれば)、サイバーセキュリティに影響を与えるエピソードへの対応などを任務とする一連の事業体サイバーセキュリティ・インシデント対応チームを設立している。
今後、スペイン国内では、国会審議にかけられることになる。NIS指令・本法案の対象となる事業者は、スペイン国内の立法状況を注視するとともに、スペイン国内の立方を待たずに準備を進めていくことが求められる。
南智士 (Satoshi Minami)
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2025年1月24日
