2026年から企業にサイバーセキュリティ義務化

SuPatMaN – shutterstock.com

連邦政府は、重要な施設や企業をサイバー攻撃から守るためのEU指令を、2026年初頭までにドイツ国内法として制定する予定です。「連邦内務省は現在、この課題を全力で推進しています」と連邦情報セキュリティ庁（BSI）のクラウディア・プラットナー長官はドイツ通信社に語りました。「2026年初頭に施行できるようにしたいと期待しています。」リスク分析やセキュリティインシデントの報告義務などを定めた法案については、7月初めに各州や関係団体へのヒアリングが行われました。「重要なのは、企業や機関がスタートの合図を聞くことです」とBSI長官は述べています。

脅迫者や破壊行為からの保護

欧州NIS-2指令の導入により、企業や機関のサイバーセキュリティが強化されます。法律上の「重要な施設」とは、エネルギー、交通、飲料水、食品生産、下水処理、通信などの分野の大規模企業が該当します。その背景には、例えばハッカーがデータを暗号化したりアクセスを遮断したりして、これらの企業が業務不能になった場合、社会全体に大きな影響が及ぶという考えがあります。

サイバー攻撃の防御や対応のために特定のセキュリティ対策を講じる義務は、今後約29,000社に及ぶと見込まれており、従来よりも大幅に増加します。現在、BSIは約4,500の重要インフラ運営者を監督しており、これらは一定のサイバーセキュリティ基準を満たす必要があります。

約4か月前から「NIS-2該当性テスト」がオンラインで提供されています。これにより、誰でも自分が今後の厳格な規則の対象かどうかを確認できます。BSIによれば、このテストはすでに20万回以上利用されています。しかしプラットナー長官は「対象となる企業や機関の多くが、これから求められる要件をまだ十分に把握していない印象があります」と述べています。

実施期限は10月に終了

NIS-2指令の実施期限は2024年10月17日に終了しました。それまでにすべてのEU加盟国が指令を国内法に取り入れる必要がありましたが、ドイツを含む多くのEU諸国は期限を守れませんでした。ドイツの連立政権は2024年7月に内閣で関連法案を決定しましたが、SPD・緑の党・FDPの連立崩壊後、連邦議会で多数を得られませんでした。「前の立法期間で成立できなかったため、今は本当にスピードが求められています」とBSI長官は警告します。彼女の見解では、指令を早急に導入し、必要に応じて後から修正する方が良いとしています。

犯罪ハッカーと諜報活動

ドイツの企業、行政機関、研究機関、さらには政治関連の施設も、比較的高いレベルで継続的に攻撃を受けており、この法律は攻撃の成功リスクを低減することにつながります。BSIによると、現在多くのサプライチェーン攻撃が観測されています。これは、エンジニアリング会社やIT企業が攻撃され、実際の標的はその顧客である企業や機関であることが後から判明するケースです。「それは行政機関や政治関連の機関である場合もあります」とプラットナー長官は述べています。

時には、純粋な犯罪行為なのか、あるいは国家的な関与があるのか明確でない場合もあります。両方が関係するケースもあります。「金銭目的の勢力と政治的勢力の間に、不健全な連携が存在します」とBSI長官は報告しています。

ハッカーは自治体や病院も標的に

最近、ハッカー攻撃により大規模なIT障害が発生し、医療グループAmeosのドイツ国内施設で問題が発生しました。また、ザクセン＝アンハルト州では、木曜日に複数の省庁のウェブサイトが一時的にアクセス不能となりました。原因は、親ロシア派ハッカーグループによる州ポータルへの過負荷攻撃とされています。

BSIが支援を提供

NIS-2指令の義務を果たすために、各企業や機関が必要とする労力は一概には言えないとプラットナー長官は見ています。優れたIT部門があり、すでにサイバーセキュリティに取り組んでいる場合は、多くの場合「自前のリソース」で課題を乗り越えられるでしょう。

一方で、これまでサイバーセキュリティに全く取り組んでこなかった場合は、「学習曲線がかなり急になる」といいます。本庁がボンにある連邦機関の長官は支援を約束しています。「私たちは、企業向けの情報提供や相談サービスを通じて、できるだけ負担が少なくなるよう努めています。」（dpa/jm）