目次
NIS2指令:ネットワークと情報システムのセキュリティ強化
NIS2指令(Directive 2022/2555)は、EU全域でサイバーセキュリティの水準を統一的に引き上げることを目的とした指令です。欧州委員会によれば、この指令は18の重要セクターにおいてサイバーセキュリティを維持するための統一的な法的枠組みを確立するものです。
NIS2は、2016年に施行された初代NIS指令(NIS1)を大幅に拡充したものです。従来のエネルギー、運輸、医療、金融、水道管理、デジタルインフラの6セクターに加え、電子通信、ソーシャルプラットフォーム、廃棄物管理、製造業、郵便サービス、宇宙セクターなどが新たに対象に含まれました。
NIS2指令の主な特徴として、以下の点が挙げられます。
- リスク管理措置の義務化:対象となる中規模・大規模事業者は、サプライチェーンセキュリティ、脆弱性管理、サイバーセキュリティ教育を含む包括的なリスク管理措置を講じなければなりません。
- インシデント報告義務の強化:重大なセキュリティインシデントが発生した場合、各国の関係当局への迅速な報告が求められます。
- 経営陣の説明責任が明確化:サイバーセキュリティ対策の不備に対して経営層が責任を問われる仕組みが導入されました。
NIS2指令は2023年1月に発効し、EU加盟国は2024年10月17日までに国内法への移行(トランスポジション)を完了する義務がありました。
各国の国内法移行状況
ドイツの状況
ドイツでは、NIS2指令の国内法移行として「NIS-2-Umsetzungsgesetz」(NIS2実施法)が2025年12月6日に施行されました。ドイツ連邦情報セキュリティ庁(BSI)の発表によれば、この法律により約29,500の企業と連邦行政機関の施設に新たなIT セキュリティ義務が課されることになります。
対象企業は、NIS2登録を行い、BSIにセキュリティインシデントを報告し、リスク管理措置を実施・文書化する義務を負います。
2026年1月6日には、登録・情報交換のためのBSIポータルが稼働を開始しました。このポータルはAmazon Web Servicesのクラウドインフラ上に構築され、リアルタイムデータと分析機能を備えた情報・交換プラットフォームとして機能します。企業はこのポータルを通じて、サイバー脅威を被害発生前に認識し、対策を講じることが可能になります。
フランスの状況
フランスでは、NIS2指令の国内法移行がまだ完了していません。フランス国家情報システムセキュリティ庁(ANSSI)が運営するMonEspaceNIS2のFAQによれば、トランスポジションは2段階で進行しています。
第1段階として、「重要インフラのレジリエンスとサイバーセキュリティ強化に関する法案」が2024年10月15日に閣議で提示され議会提出へ進み、2025年3月11日・12日に上院で審議・採択されました。この法案は、REC(重要事業体のレジリエンス指令)、NIS2、DORAの3つの欧州指令を国内法化するものです。2025年9月10日には国民議会の特別委員会で採決が行われ、新たな段階に進みました。
第2段階として、政令と省令の策定が進められており、省庁間の協議を経て法律の公布後数ヶ月以内に公表される予定です。なお、法律の発効日は、規制対象事業体に課されるすべての要件の適用開始日とは一致しない点に注意が必要です。
サイバーレジリエンス法(CRA):デジタル製品のセキュリティ基準
サイバーレジリエンス法(Regulation 2024/2847)は、デジタル要素を持つ製品—ベビーモニターからスマートウォッチ、アプリ、コンピュータプログラム、接続可能なハードウェアやソフトウェアまで—のサイバーセキュリティを確保するための規則です。
欧州委員会によれば、CRAは「すべてのデジタル製品がサイバー脅威から安全であることを確保するEUの新たな計画」であり、「デバイスとソフトウェアが設計、更新、維持され、ますますデジタル化する世界でユーザーを保護する」ことを目的としています。
CRAの主な内容は以下の通りです。
- 製造業者に対する義務的なサイバーセキュリティ要件として、製品の計画、設計、開発、保守の全段階において遵守すべき基準が定められています。
- 製品ライフサイクル全体を通じた脆弱性対応が求められ、サイバーセキュリティ上特に重要な製品については、EU市場での販売前に通知機関による第三者評価が必要となります。
- CRA要件に適合した製品にはCEマーキングが付され、各国の市場監視当局がルールの執行を担います。
CRAは2024年12月10日に発効しました。主要な義務は2027年12月11日から適用され、報告義務は2026年9月11日から適用されます。
報告義務の詳細
2026年9月11日以降、製造業者は積極的に悪用された脆弱性およびデジタル要素を持つ製品のセキュリティに影響を与える重大なインシデントを報告する義務を負います。
具体的には、認知後24時間以内の早期警告、72時間以内の完全な通知が必要です。積極的に悪用された脆弱性については修正措置が利用可能になってから14日以内、重大なインシデントについては1ヶ月以内に最終報告を提出しなければなりません。
報告は、CRA単一報告プラットフォーム(SRP)を通じて行われます。通知は、製造業者の主たる事業所を管轄するコンピュータセキュリティインシデント対応チーム(CSIRT)に送付され、同時にENISA(欧州連合サイバーセキュリティ機関)にも情報が提供されます。このSRPは、ENISAが構築を担当しており、2026年9月11日(報告義務適用開始日)までに運用開始予定です。
DORA:金融セクターのデジタルオペレーショナルレジリエンス
DORA(Regulation 2022/2554)は、金融セクターのデジタルレジリエンスを強化するためにEUが導入した規則です。2025年1月17日に適用が開始されました。
欧州保険・年金監督機構(EIOPA)によれば、DORAは「銀行、保険会社、投資会社、その他の金融機関がサイバー攻撃やシステム障害などのICT(情報通信技術)の混乱に耐え、対応し、回復できることを確保する」ものです。
DORAが必要とされる背景として、金融セクターがテクノロジーとテック企業への依存度を高めていることが挙げられます。これにより金融機関はサイバー攻撃やインシデントに対して脆弱になっています。ICTリスクが適切に管理されない場合、金融サービスの混乱が国境を越え、他の企業やセクター、さらには経済全体に影響を及ぼす可能性があります。
DORAは、銀行、保険会社、投資会社、ICTサードパーティサービスプロバイダーを含む20種類の金融機関に適用されます。主な規制内容として、ICTリスク管理の原則と要件を定めたICTリスク管理フレームワーク、サードパーティリスクプロバイダーの監視と主要な契約条項に関するICTサードパーティリスク管理、基本的・高度なテストを含むデジタルオペレーショナルレジリエンステスト、主要なICT関連インシデントの所管当局への報告を義務付けるICT関連インシデントの報告、サイバー脅威に関する情報・インテリジェンスの交換を促進する情報共有、そして金融セクターのシステミックリスクと集中リスクに対処する重要ICTサードパーティプロバイダーの監督が含まれます。
DORAの規制は3つのレベルで実施されています。
レベル1:欧州議会と理事会の規則・指令
レベル2:規制技術基準(RTS)と実施技術基準(ITS)として官報に掲載される詳細規定
レベル3:監督協力や集計年次コスト・損失の推計に関するガイドライン
3つの規制の相互関係と企業への影響
NIS2、CRA、DORAは相互に補完し合う関係にあります。NIS2は組織のサイバーセキュリティ体制全般を対象とし、CRAは製品のセキュリティに焦点を当て、DORAは金融セクター特有のリスクに対応します。
EU域内でビジネスを展開する企業にとって、これらの規制への対応は喫緊の課題です。特に、複数の規制が重複して適用される可能性がある金融機関やデジタル製品製造業者は、包括的なコンプライアンス戦略を策定する必要があります。
2026年1月20日、欧州委員会は、法的明確性を高め、中小・零細企業を含む約28,700社のコンプライアンスを簡素化するため、NIS2指令に対する標的型修正案を提案しました。これは、EUサイバーセキュリティ規則およびリスク管理要件への準拠を容易にする措置として注目されています。
企業が今すぐ取るべきアクションとして、まず自社がどの規制の対象となるかを特定することが重要です。次に、現状のサイバーセキュリティ体制と規制要件のギャップ分析を実施し、優先度に基づいた対応ロードマップを策定します。そして、インシデント報告体制の整備、従業員教育、サプライチェーンセキュリティの強化などを計画的に進めていくことが求められます。
EUのサイバーセキュリティ規制は今後も進化を続けることが予想されます。最新の動向を継続的に把握し、適切なタイミングで対応を行うことが、ビジネスの継続性とレピュテーションを守る上で不可欠です。
参考・出典
本記事は、以下の資料を基に作成しました。
- European Commission:NIS2 Directive(アクセス日:2026年01月29日)
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
European Commission:Cyber Resilience Act(アクセス日:2026年01月29日)
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
European Commission:Cyber Resilience Act – Reporting(アクセス日:2026年01月29日)
https://digital-strategy.ec.europa.eu/en/policies/cra-reporting - EIOPA:Digital Operational Resilience Act (DORA)(アクセス日:2026年01月29日)
https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en - BSI(Bundesamt für Sicherheit in der Informationstechnik):NIS-2-Umsetzungsgesetz in Kraft(2025年12月5日)(アクセス日:2026年01月29日)
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
NIS2 BSI-Portal(2026年1月6日)(アクセス日:2026年01月29日)
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260601_NIS2_BSI-Portal.html - Die Bundesregierung:NIS-2-Richtlinie in Deutschland(2025年12月8日)(アクセス日:2026年01月29日)
https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174 - Mon Espace NIS2(cyber.gouv.fr):Avancement de la transposition de la directive NIS 2(アクセス日:2026年01月29日)
https://aide.monespacenis2.cyber.gouv.fr/fr/article/avancement-de-la-transposition-de-la-directive-nis-2-1b3j1da/ - Digital Operational Resilience Act:Digital Operational Resilience Act(アクセス日:2026年01月29日)
https://www.digital-operational-resilience-act.com/ - European Cyber Resilience Act:European Cyber Resilience Act(アクセス日:2026年01月29日)
https://www.european-cyber-resilience-act.com/
AI利用について
本記事はAIツールの支援を受けて作成されております。 内容は人間によって確認および編集しておりますが、詳細につきましてはこちらをご確認ください。
