法制度対応/CSR 法制度対応/CSR記事一覧へ

[麻生川静男の欧州ビジネスITトレンド]

厳格なEUサイバーセキュリティ指令「NIS 2」に慄くドイツ企業:第44回

2023年7月31日(月)麻生川 静男

サイバーセキュリティでは以前、機密情報や顧客の個人情報の漏洩・流出など一企業の被害が主に問題視されてきたが、企業間のネットワーク化が密になった現在、被害は1社にとどまらず、波状的に他社あるいは社会全体に深刻なダメージを及ぼすことが間々ある。EUは加盟各国の企業に対して厳格なサイバーセキュリティ対策を求める「NIS 2」指令を出している。1年半後に期限の迫ったこのNIS 2指令だが、ドイツの企業は依然対応に苦慮している。現地の報道から状況をお伝えする。

 デジタルインフラは、今や国境を超えて物流や日常生活の根幹を担っている。それゆえ、サイバーセキュリティはEU域内の円滑な業務遂行のうえで以前にも増して重要となっている。どこかのシステムが1つでもダウンすると、EU全体が経済的にも社会的にも大きな損害を被ることになる。

 ドイツのメディア、Handelsblattによると、ここ数年でドイツ企業のインターネットにまつわるサイバー被害が急上昇している。ドイツIT・通信・ニューメディア産業連合会(Bitkom)の調査では、2022年度に、従業員10人以上で売上高が100万ユーロ超のドイツ企業のうち、84%がサイバー被害に遭っている。被害に遭っている可能性があるとした企業(9%)を加えると、実に9割超が何らかの形でサイバー被害を被っていることになる。別のメディア、Industry of Thingsによれば、ドイツのサイバー被害総額は2030億ユーロ(約28兆円)にも上るという。

EUのサイバーセキュリティ指令「NIS 2」とは

 このような事態に対処するため、EUは2016年に「ネットワーク・情報システムの安全に関する指令」(The NIS Directive:NIS指令)を発令。さらに、NIS 2指令が2022年末に公表され、その対応期限が2024年10月17日と待ったなしの状況だ(画面1)。

画面1:EUのNIS 2指令(The NIS 2 Directive)のWebサイト
拡大画像表示

 NIS 2指令はどんな内容か。経済産業省が「EU NIS2指令概要」として日本語で公表しており、これも参照しながら、現地報道を中心に以下で同指令の要点を解説していく。NIS 2指令に対するドイツ国内の反応、ドイツで活動する日本企業に対する影響についても触れてみたい。

 図1はNIS 2の概要だ。NIS 2では、対象企業の区分がNISから変更され、社会生活や経済活動の重要度において「主要エンティティ」と「重要エンティティ」に分けられている。Industry of Thingsによると、主要エンティティは社会的に不可欠なエネルギー、運輸、銀行、金融市場インフラ、医療、上水道、下水道、デジタルインフラ、ICTサービス、公共サービス、宇宙の各業界で、従業員が250人以上、年間売上高が5000万ユーロ(あるいは年度内決算が4300万ユーロ)以上の大企業のカテゴリーとなっている。

 一方、重要エンティティは、郵便・宅配サービス、廃棄物管理、化学、食品、特定の製造業(医療機器、コンピュータ、電機・電子、光学、機械、自動車・トレーラー、輸送機器)、情報サービス、研究の各業界が対象。こちらは従業員50人以上、250人未満で、年間売上高が1000万ユーロ以上、5000万ユーロ未満(あるいは年度内決算が1000万ユーロ以上4300万ユーロ未満)の中堅企業となっている。

図1:EUネットワーク通信システム指令改正「NIS 2」の概要(出典:経済産業省「EU NIS 2指令概要」)
拡大画像表示

 なお、EU加盟国は独自の判断で、特定の事業体や企業をいずれかのエンティティに分類することができ、NIS 2指令の適用義務を課すことができるという。また、日本企業にも関連するが、 EU域内に事業所を持たないがEU域内で事業を行っている企業もNIS 2指令対象に該当し、EU域内に代理人を任命しなければならない。

ドイツでは4万社がNIS 2指令の対象に

 Handelsblattによると、ドイツでは4万社がNIS 2指令の対象になると予測されている。顧客企業のセキュリティを支援するITコンサルティング会社Hisolutionsの創業者、ティモ・コブ(Timo Kob)氏(写真1)は、「これらの会社の80%はこの事態に気づいていないだろう」と指摘する。

写真1:独Hisolutionsの創業者、ティモ・コブ氏(出典:Hisolutions)

 NIS 2指令により課される企業義務とは、日頃のサイバーセキュリティ対策はもちろん、セキュリティインシデントの発生やサイバー攻撃の検知時には速やかに政府のCSIRT(Computer Security Incident Response Team)、あるいは指定機関に報告することが求められている。重大インシデントの場合は24時間以内、通常インシデントなら72時間以内に詳細な報告をすることが定められている。このように、インシデント情報を早期に共有することで、他の企業が同じような被害に遭うことを避け、ビジネスの継続に必要な対処を迅速に行えるようになる。

 また、NIS 2指令では厳しい罰則が定められている。主要エンティティや重要エンティティに該当する企業が必要なサイバーセキュリティを講じなかった場合、主要エンティティでは1000万ユーロ、あるいは前年のグローバル売上の2%のどちらか高いほうが、重要エンティティでは700万ユーロ、あるいは前年のグローバル売上の1.4%のどちらか高いほうが罰金として課せられる。いずれにせよ、違反した場合は、最低でも十億円規模の罰金が科せられるということだ。

●Next:NIS 2指令の厳格な対応要求に多くの“落ちこぼれ”が出てくる

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
麻生川静男の欧州ビジネスITトレンド一覧へ
関連キーワード

ドイツ / EU / サイバー攻撃 / CSIRT / 欧州

関連記事

トピックス

[Sponsored]

厳格なEUサイバーセキュリティ指令「NIS 2」に慄くドイツ企業:第44回サイバーセキュリティでは以前、機密情報や顧客の個人情報の漏洩・流出など一企業の被害が主に問題視されてきたが、企業間のネットワーク化が密になった現在、被害は1社にとどまらず、波状的に他社あるいは社会全体に深刻なダメージを及ぼすことが間々ある。EUは加盟各国の企業に対して厳格なサイバーセキュリティ対策を求める「NIS 2」指令を出している。1年半後に期限の迫ったこのNIS 2指令だが、ドイツの企業は依然対応に苦慮している。現地の報道から状況をお伝えする。

PAGE TOP