NIS2指令:概要、要件、期限、および遵守方法

ブログ

NIS2指令とは何か、そのサイバーセキュリティおよび報告要件、欧州企業にとっての2026年の主要な期限、そしてDMARCのような実用的な対策を通じてコンプライアンスに備える方法について学びましょう。

Ayan Bhuiya

最終更新日:
6 読了時間:約6分
NIS2指令:概要、要件、期限、および遵守方法
目次-

主なポイント

  • ほとんどの「必須」事業体は、2026年6月30日という重要な期限までに、最初の正式なコンプライアンス監査を完了しなければなりません。
  • NIS2の対象はテクノロジー企業にとどまらず、現在では食品、製造、廃棄物管理などの分野も含まれています。従業員が50名を超える場合、
  • 売上高が1,000万ユーロあれば、おそらくそのリストに載っているでしょう。
  • 重大なサイバーインシデントを発見した後、当局に「早期通報」を行う時間は24時間しかありません。
  • 企業の経営陣は、セキュリティ上の不備について個人として責任を問われるようになった。
  • あなたは自分の店舗の責任を負うだけでなく、取引先やサプライヤーのセキュリティも確保されていることを証明しなければなりません。
  • DMARCのようなプロトコルは、フィッシングやなりすましを阻止するために不可欠であり、この指令が定める厳格なリスク管理基準を満たすのに役立ちます。

NIS2指令はもはやIT部門にとっての単なる目標ではなく、実効性のある本格的な法的要件となっています。EU域内で事業を展開している、あるいはEU域内の企業にサービスを提供している場合、「そのうち対応しよう」という時代は終わりました。猶予期間は終了し、現在は監査と執行が焦点となっています。

NIS2は、EUがサイバーセキュリティの水準を引き上げるための取り組みだと考えてください。これは単にデータ漏洩を防ぐことだけでなく、デジタルサプライチェーンの一部に問題が生じたとしても、システム全体が機能停止に陥らないようにすることを目的としています。

NIS2指令とは何ですか?

NIS2指令(改訂版ネットワーク・情報セキュリティ指令(NIS2)の略称)は、加盟国全体のネットワークおよび情報システムのセキュリティを強化することを目的とした、欧州連合(EU)のサイバーセキュリティに関する法律である。

その目的は、EU全域のネットワークおよび情報システムにおいて、高い水準のセキュリティを確保することにある。これにより、EU加盟国は本指令を国内法に組み込むことが義務付けられ、企業は「マルチリスク」アプローチを採用することが求められる。これは、基本的なパスワード管理や暗号化から、システム全体の障害への対応に至るまで、あらゆる側面を検討することを意味する。

NIS2の遵守義務を負うのは誰か

NIS2における最大の変更点の一つは、対象となる企業の数が大幅に増えたことです。同法では、組織を主に2つのグループに分類しています:

  • 重要事業体:これらはエネルギー、運輸、銀行、金融市場インフラ、医療、飲料水、およびクラウドプロバイダーやデータセンターなどのデジタルインフラといった分野における主要企業です。従業員数が250名を超える、または売上高が5,000万ユーロを超える企業であれば、このカテゴリーに該当する可能性が高いでしょう。
  • 重要な事業体:これには、食品生産、郵便サービス、廃棄物管理、および化学製品や医療機器などの製造業など、より広範な分野が含まれます。従業員数が50人以上かつ売上高が1,000万ユーロ以上の企業のほとんどが対象となります。

たとえ小規模な事業者であっても、こうした大手企業の重要なサプライヤーである場合や、事業の中断がシステミック・リスクを引き起こす可能性がある場合は、影響を受ける可能性があります。

NIS2指令の主な要件

この法律は、いくつかの主要な分野に焦点を当てています。監査官が突然訪ねてきた場合、これらが日々の業務において実際に運用されている部分であることを証明する必要があります。

サイバーセキュリティ・リスク管理

リスク分析に関する正式なポリシーを策定しておく必要があります。これは単にサーバー上に置かれたPDFファイルのことではなく、多要素認証(MFA)、安全な音声・ビデオ通信、データ暗号化といった、実際に実施される対策のことを指します。

インシデントの検知と報告

「重大な」インシデントの報告期限は、非常に厳しいものです:

  • 24時間以内:当局またはCSIRTに「早期警告」を送信しなければなりません。
  • 72時間以内:本件のインシデントについて、正式な評価と状況報告を行う必要があります。
  • 1か月後:発生した問題の内容と、その対処方法に関する最終的な詳細報告書を提出してください。

事業継続と危機管理

サイバー攻撃が発生した際にも業務を継続できるよう、事前の計画を立てておく必要があります。これには、システムの復旧、緊急時の手順、および危機管理チームの設置が含まれます。

サプライチェーンのセキュリティ

これからは、パートナーのセキュリティについても責任を負うことになります。サプライヤーを精査し、彼らがサプライチェーンにおける弱点とならないよう確認しなければなりません。

ガバナンスと説明責任

この点は経営陣の関心を集めています。セキュリティ上の不備があった場合、経営陣は個人として責任を問われる可能性があります。そのため、経営幹部はサイバーセキュリティ研修を受講し、自らが承認するリスクを確実に理解することが求められています。

NIS2では個々のソフトウェアツールを具体的に挙げてはいませんが、「ネットワークおよび情報システムのセキュリティ」を義務付けています。サイバー攻撃の多くは偽のメールから始まるため、ドメインのセキュリティ確保は極めて重要です。

DMARC、SPF、DKIMを活用することで、自社から送信されるメールが実際に自社からのものであることを受信者が確実に識別できるようになります。これにより、ハッカーがCEOになりすまして不正な送金を仕掛けるといった「なりすまし」を防止できます。業界の専門家も、DMARCが最も一般的な脅威に対する防御を強化し、NIS2のリスク管理の柱と完全に整合しているという点で一致しています。

不遵守による結果

「必須事業体」の場合、上限額は1,000万ユーロ、または全世界の年間売上高の2%となります。「重要事業体」の場合、上限額は700万ユーロ、または1.4%となります。

金銭的な問題に加え、監査やコンプライアンス上の是正命令を受けたり、特定の分野での事業運営権を失うリスクにも直面することになります。

NIS2の期限と2026年の主要な節目

まだお済みでない方は、ぜひカレンダーにこれらの日付を記入しておいてください。現在、我々は本格的な取り締まり段階に入っています:

  • 登録:2026年初頭までに、ほとんどの企業が自国のポータルサイト上で法人として登録を完了している必要があります。
  • 2025年4月17日:これは、加盟国が「不可欠な事業体」および「重要な事業体」の初期リストを作成する期限であった。
  • 2026年6月30日:これは極めて重要な節目です。多くの企業にとって、NIS2への準拠に関する最初の正式な監査を完了させる目標日となっています。
  • 継続的な報告:2026年より、24時間報告ルールが全面的に施行されます。当局は、重大な侵害が発生した場合は直ちに報告されることを求めています。

PowerDMARCがメールセキュリティ要件の遵守をどのように支援するか

複雑なメールプロトコルを手動で管理しようとする代わりに、PowerDMARCは通信のセキュリティとリスク監視の自動化を支援します。

  • DMARCとSPF/DKIM:PowerDMARCは、DMARC、SPF、DKIM、およびその他のプロトコルに対応したホスティングサービスを提供しています。これにより、メールの信頼性が強化され、ドメインのなりすましを防止します。また、予防的なリスク管理とフィッシング対策に関するNIS2の要件を満たしています。
  • レポートと可視性:ドメインへの攻撃が試みられた場合、ダッシュボードにその旨が表示されます。これにより、異常を検知し、厳しいインシデント報告の期限に間に合わせるために必要なデータが得られます。
  • リスク監視: 自動化された脅威インテリジェンスとポリシー監視により、手作業による推測に頼ることなくドメインのセキュリティを確保します。これは、NIS2が求める積極的なセキュリティ対策の要件にも合致しています。

NIS2への準拠に向けた準備

計画の調整がまだ終わっていない場合は、以下の重要な項目を優先順位の上位に置いてください:

  • 弱点を見つける:じっくりと腰を据えて、本格的なギャップ分析を行う必要があります。現在の体制を見直し、国の法律に準拠していない点がないか確認しましょう。監査官に指摘される前に、自らその弱点を見つけ出す方が賢明です。
  • メールセキュリティを強化しましょう:これは手軽に実施できる対策でありながら、大きな効果をもたらします。会社が所有するすべてのドメインで、DMARC、SPF、DKIMを導入してください。これにより、フィッシング詐欺で社名が悪用されるのを防ぎ、通信システム全体への不正アクセスを大幅に困難にすることができます。
  • 迅速な報告体制を整えましょう:24時間および72時間の報告期限は決して冗談ではありません。不審な点を発見した瞬間に、チームメンバーが誰に連絡し、何を伝えるべきかを正確に把握できるよう、万全なワークフローが必要です。
  • 取引先を確認してください:これからは、サプライヤーのセキュリティについても責任を負うことになります。今すぐベンダーとの契約内容を見直しましょう。取引先が、自社と同じNIS2のルールを遵守していることを確認する必要があります。

書類の準備を早めに始めましょう:2026年6月の監査の1週間前になってからログを探し始めるようなことは避けてください。今すぐ技術データやポリシー文書の整理を始めましょう。すべてを万全に整えておけば、監査プロセス全体の負担を大幅に軽減できます。

まとめ

結局のところ、NIS2は単に罰金を免れるために形式的な手続きを踏むことではありません。それは、万が一の攻撃を受けても、自社が確実に生き残れるようにするためのものです。私たちは、サイバー攻撃が稀な「もしもの事態」ではなく、ビジネスを行う上での当たり前の要素となっている世界に生きています。

メールのセキュリティやインシデントへの対応などを真剣に考えることは、単に法令遵守を果たすだけでなく、企業の評判を守り、事業の存続を確保することにもつながります。

PowerDMARCなら、2026年の監査に必要な正確なレポートを簡単に作成できます。今すぐPowerDMARCの 無料トライアルを開始し、ドメインのセキュリティ対策がいかに簡単かをご確認ください。

よくあるご質問

DMARCはNIS2にどのように役立つのでしょうか?

NIS2では、DMARCの導入は準拠要件として明示されていませんが、これを「リスク管理」および「認証」における重要な取り組みの一環と捉えてください。DMARCを設定することで、フィッシングやドメインの悪用が発生する前に、それらを未然に防ぐための具体的かつ積極的な対策を講じていることを規制当局に証明することになります。

コンプライアンスの確認はどのくらいの頻度で行う必要がありますか?

EU加盟国は対象企業のリストを2年ごとに公式に更新していますが、そこまで待つべきではありません。社内のセキュリティチェックは常に行うべきものです。監査の直前にすべてを「修正」しようとするよりも、常にコンプライアンスを遵守しておくほうがはるかに簡単です。

公式ルールはどこで確認できますか?

最も確実なのは、ENISAのウェブサイトを確認することです。また、各国のサイバーセキュリティ当局のポータルサイトも確認することをお勧めします。そこでは、その地域に即した実用的なアドバイスが掲載されていることが多いからです。

NIS2は、本当に中小企業(SME)にも適用されるのでしょうか?

一般的に、従業員数が50人、売上高が1,000万ユーロに達すると、この規制が適用されます。ただし、注意点があります。重要な業務を行う小規模な事業者や、大企業のサプライチェーンにおいて不可欠な役割を担っている場合、当局は依然としてその事業者を「重要」な事業体として指定する可能性があります。

最新記事 by Ayan Bhuiya(全て見る)
最終更新日:
SPF圧縮:SPFのDNSルックアップを削減し、SPFレコードを最適化SPF圧縮個人データの漏洩個人情報の漏洩が企業のセキュリティに及ぼす6つの脅威