公開日
この記事をシェアする 
重要部門は、ほとんどの EU 加盟国におけるサイバーセキュリティ規則の明確性と準備の欠如を懸念しています。
ほとんどのEU加盟国は、サイバー攻撃から重要な組織を保護するための規則を導入するための今日(10月17日)の施行期限に間に合わない見通しであり、組織はまた、そのような規則の細分化を懸念している。
ユーロニュース報告されました先週、欧州委員会はこれまでのところ、ネットワークおよび情報セキュリティ指令(NIS 2)の置き換えに関してベルギーとクロアチアからのみ確認を受け取ったと発表した。欧州委員会の報道官は10月16日、今週の時点でイタリアとリトアニアも規則を部分的に施行したと述べた。
ドイツ、オランダ、スウェーデン、チェコなどの国では法案が提出されていないが、アイルランド、ギリシャ、スペインなどでは法案の策定がさらに遅れている。
この規則は、エネルギー、交通、銀行、水道、デジタルインフラなどの重要な組織を重大なサイバーインシデントから保護することを目的として、2022年に承認されました。同委員会によれば、EU域内で事業を展開する企業のサイバーレジリエンスを向上させることができず、共同の危機対応を促進しなかったNIS1は廃止されることになる。
NIS2 では、企業が重大な業務上の混乱に直面した場合は常に、24 時間以内に警告が発せられ、72 時間以内にインシデントレポートが配信されるという、インシデント報告の新しいタイムラインが導入されています。
コンプライアンスの難しさ
各国はさまざまなアプローチを採用しています。例えばデンマークは、分野ごとに規則の更新を検討し、エネルギー分野での遵守を開始する予定だ。
フランスを含む一部の政府は、現在この規則の対象となる企業間の認識の欠如と、NIS1の下で関係する500の事業体からNIS2の下で影響を受ける可能性のある15,000の事業体に範囲が拡大していることについて警告した。
一方、企業は、ルールの断片的な実施や、複数の市場で事業を展開するプロバイダーのコンプライアンスの課題を懸念しています。
官民の全国飲料・下水サービス事業者を代表する欧州水道サービス協会連合(EurEau)は、加盟国の遅れが若干の懸念を引き起こしていると述べた。
同事務総長のオリバー・ローベル氏はユーロニュースに対し、「どの水道事業者がこの指令の対象となるかは多くの国で依然として不透明であり、加盟国間で大きな差異が生じる可能性が高く、懸念している」と語った。
「水道セクターは、必要な措置をすべて実施するために財政的支援を必要とするかもしれませんが、この支援は保証されたものではありません。特に小規模な事業者は、サイバーセキュリティの専門家にアクセスして関与するのが難しい場合があります。また、水の安全計画などの既存のレジリエンス戦略が、より広範なレジリエンスの枠組みに統合できると信じています」と彼は付け加えた。
ソフトウェアロビー団体BSAも懸念を共有している。ユーロニュースへの声明の中で、ヨーロッパ全土でのタイムラインや報道対象団体に関する調整が欠如していることを会員らが懸念していると述べた。
「重大な懸念がいくつかあります。 EU 委員会は、NIS2 の主要な要素である「インシデント報告」に関する実施規則をまだ公表していません。その明確さがなければ、企業が何が求められているかを完全に理解することは難しく、コンプライアンスの余地は急速に縮小している」とBSAは述べた。
European DIGITAL SME Alliance は、NIS2 規則に該当する大企業のサプライチェーンに含まれる数万の中小企業が影響を受ける可能性があることを懸念しています。
「企業が自社のサプライチェーンをどのように確保すべきかについては明確さが欠如している。明確な指針がなければ企業が準備することは困難であり、他の推奨事項がなければサプライチェーンを確保する必要がある企業が債務不履行に陥るのではないかという懸念がある」リスクベースのアプローチが含まれているかどうかに関係なく、NIS2 と同じ要件を満たしている」と協会は声明で述べた。
NIS 2 には、違反に対する罰則もあり、最大 1,000 万ユーロまたは世界の年間収益の 2% の罰金が科せられます。さらに、上級管理職は過失によるセキュリティ侵害に対して個人責任を負う可能性があり、これはサイバーセキュリティポリシーに対する責任がIT部門を超えることを意味します。
