罰金だけでは済まない？【EU法規制】甘く見る経営者が陥る深刻なサイバーリスク､｢CRA｣｢NIS2指令｣への対応が進む企業と遅れている企業の差

もう1つ、2024年10月から各国で対応が進められているのが、NIS2指令です。これは、EU全域の重要インフラや製造業を含む事業体に、組織全体のセキュリティ体制強化を求める指令です。対象セクターは下図に示すように非常に幅広いです。

経営者の責任が明確化された｢NIS2指令｣

企業には、既存の国際規格に基づく「サイバーリスク管理体制の構築」のほか、サービス提供に重大な影響を及ぼすインシデントが発生した場合にCSIRTまたは所管当局へ24時間以内に通知する「報告義務」が求められます。

また、「経営層の責任」が明確化されており、経営層はサイバーセキュリティ対策の承認・監督責任を負い、インシデント対応の不備や違反があった場合には個人責任が問われるリスクがあります。さらに、委託先や外部ベンダーを含む「サプライチェーンのセキュリティリスクを評価・管理すること」が求められます。

NIS2指令に違反すると、最大1000万ユーロまたは全世界の年間売上高の2.0％の罰金や取引停止などの可能性があります。一方で、NIS2指令への対応は、組織のレジリエンスを高める「経営投資」であり、事業継続性と企業の持続可能性を支える基盤となります。

欧州ではすでに16カ国以上がNIS2指令を国内法化しており、対象企業はCSIRTへの24時間以内の報告体制や経営層の責任明確化など、実務対応を加速させています。