欧州委員会は水曜日、重要インフラを対象としたEUの中核的なサイバーセキュリティ法を実施していないとして、加盟国4カ国をEU最高裁判所に付託しました。
アイルランド、スペイン、フランス、オランダは、病院やエネルギー網、交通事業者、行政機関に最低限のセキュリティ基準を課すNIS2指令の国内法への移行が、20カ月以上遅れています。
欧州委員会は、各国が完全な移行を正式に通知するまで、4カ国すべてに一括制裁金と継続的な日額制裁金を科すよう欧州連合司法裁判所に求めました。
NIS2を国内法に移行する当初の期限だった2024年10月に間に合った加盟国はほとんどありませんでした。2025年1月時点で、EU加盟27カ国のうち指令を移行済みだったのはわずか6カ国でした。
実際のところ、欧州委員会が求める制裁金が実際に支払われることはめったにありません。過去の事例では、加盟国は訴訟手続きが進行中に必要な法整備を行うのが一般的で、それを受けて欧州委員会は裁判所が判決を下す前に訴えを取り下げてきました。
今回の提訴は、EUのサイバーセキュリティ機関であるENISAが、2025年6月までの1年間にEU域内で数千件のサイバーセキュリティインシデントが発生したと警告したことを受けたものです。ENISAは、最も標的とされた重要分野として行政機関を挙げており、インシデント全体の38%を占めるとしています。次いで交通分野が7.5%となっています。
欧州当局者は、このリスクについてますます厳しい言葉で言及するようになっています。2月にミュンヘンで演説した欧州委員会の技術担当責任者ヘンナ・ヴィルクネン氏は、電力網や病院、金融システムがいずれもリスクにさらされる度合いを強めているとし、敵対勢力が重要インフラを停止させる能力についてEUはもはや「無邪気」ではいられないと警告しました。
NIS2は、2016年に制定された当初のネットワーク・情報セキュリティ指令を改定したものです。当初の指令は対象分野が少なく、EU域内での適用にもばらつきがありました。改定版の指令では対象を18の重要分野に拡大し、当初の指令にはなかったリスク管理およびインシデント報告の要件を追加しています。
NIS2は、より広範なサイバーセキュリティ関連の立法プログラムの土台にもなっています。コネクテッド製品にセキュリティ要件を課すEUのサイバーレジリエンス法は、脆弱性報告義務が2027年から適用開始となりますが、これはNIS2が構築する各国の対応チームネットワークに依拠しています。
1月、欧州委員会はEUのサイバーセキュリティ法を改定し、ENISAを強化するとともに重要技術のサプライチェーンにおけるリスクを低減する案を提示しました。この中には、加盟国がファーウェイやZTEといった指定された高リスクサプライヤーを重要インフラから段階的に排除するとの規定も含まれています。
これとは別に、欧州委員会はNIS2への的を絞った改正案も提示し、企業にとっての法的明確性を高め、コンプライアンス対応を容易にすることを目指しています。当局者は、こうした課題が改定指令の移行遅延の一因になったと述べています。
アイルランドは、NIS2を移行し同国のナショナル・サイバーセキュリティセンターを法的根拠のある機関とする「国家サイバーセキュリティ法案」がほぼ最終段階にあるとし、担当大臣は2026年末までに移行完了を通知できる見通しだと述べています。
スペイン、フランス、オランダについては、本稿執筆時点で同様の声明は発表されていません。
翻訳元: https://therecord.media/eu-cyber-filing-ireland-spain-france-netherlands-nis2