NIS2施行法：経営陣は私有財産で責任を負う

Raushan_films | shutterstock.com

サイバー脅威の状況がますます深刻化している（ドイツに限らず）ことを受け、欧州の立法者は近年、ITセキュリティの課題に集中的に取り組んできました。2023年1月には、この関連で3つの法律が同時に施行されました：

• NIS2指令
• CER指令
• DORA

DORAは規則として即時適用され、2025年1月から有効ですが、NIS2およびCER指令はまず各国の法律に落とし込む必要があります。ドイツの立法者には当初、2024年10月17日までの猶予が与えられていました。そして前年の同月には、NIS2施行・サイバーセキュリティ強化法（NIS2UmsuCG）およびCER指令施行法（KRITIS包括法）の草案が第20回連邦議会で審議されました。

しかし、その後連立与党（信号連立）が崩壊し、これらの草案は「実質的不連続性の原則」により廃案となりました。つまり、会期末までに可決されなかった法案は、新しい（または現行の）連邦議会で再度提出・審議されなければなりません。

NIS2マラソン

合計19のEU加盟国がNIS2指令を未実施または不完全に実施していることから、欧州委員会はドイツ連邦共和国に対して違反手続きの開始を警告しています。連邦立法者は今後2か月以内に対応し、必要な措置を講じてこの手続きおよび関連する罰金を回避しなければなりません。この2か月以内にNIS2UmsuCGおよびKRITIS包括法が成立するかは疑わしいところです。とはいえ、主導する内務省によれば、通常の立法プロセスと夏季休暇の関係から、2025年末までに施行される見込みです。

このような実施の不確実性があるにもかかわらず、企業は安心してはいけません。むしろ、規則に積極的に取り組むべきです。そうすることで、

• 自社が適用対象かどうかを確認し、
• 必要な措置を準備できます。

欧州の立法者は指令で大まかな方向性を示しているため、前会期での草案がどのように実施される予定だったかを確認する価値があります。なぜなら、現政権の草案も、少なくとも企業に関する限り、基本的に同様の内容になると予想されるからです。したがって、NIS2指令の国内実施に関する説明は、2025年5月26日付の政府草案に基づいています――KRITIS包括法の実施については2024年11月27日付の草案を参照しています。

NIS2UmsuCG：より多くの企業が対象に

これまでドイツではITセキュリティ法2.0が適用されてきました。対象は、公共秩序に重大な影響を与える恐れのある重要インフラ（KRITIS事業者）です。これには、デジタルサービスプロバイダー（オンライン検索エンジン、クラウドコンピューティング、オンラインマーケットプレイス）や、特に公共の利益に関わる企業が含まれます。

今後は、どの企業が対象となるかは主に各企業が属するセクターによって決まる予定です。これはNIS2UmsuCGの中核――BSI法（BSIG-E、NIS2実施のためのドイツITセキュリティ法）の改正――で想定されていたものです。対象は主に「重要」および「特に重要」な施設に区分されます。さらに「重要インフラ事業者」やその他のプロバイダーも含まれます。従業員50人未満、または年間売上高・年間バランスシートが1,000万ユーロ未満の企業のみが対象外となります（例外規定がない限り）。ドイツ国内だけでも約30,000社の追加企業がNIS2UmsuCGの対象となる見込みです。

2025年5月のNIS2指令実施法および連邦行政の情報セキュリティ管理の基本規定に関する草案によれば、主に以下が対象となります：

どの企業が「重要インフラ事業者」として認定されるかは、補足的な法令（§2 Nr.22、28 Abs.1、56 Abs.4 BSIG-E参照）で閾値（企業規模、利用者数など）が定義されてから初めて決まります。

これまで指摘されていた、潜在的な対象事業者や業界団体が十分に関与していないという批判は、2025年5月の最新草案で考慮されました。つまり、内務省が§56 BSIG-Eに基づき補足的な法令を制定する前に、潜在的な対象事業者の意見聴取が義務付けられました。これにより、関係する事業者が直接法令制定に関与できるようになります。

NIS2UmsuCGの義務一覧

企業がNIS2UmsuCG の適用対象となる場合、多様な義務を果たさなければなりません。義務の範囲は、「重要」「特に重要」「重要インフラ事業者」のいずれに該当するかによって異なります。基本的には、義務はBSI法で規定されます。一部のセクター（通信、エネルギー、金融など）には特別規定も適用されます（§28 Abs.1 a.E., 2 a.E., 4, 30, 31 BSIG-E参照）。金融セクターについては、NIS2指令はDORAというセクター固有の法令により置き換えられます。

BSIG-Eの適用対象となるすべての施設は、ITシステムやプロセスの保護のため、技術的および組織的な措置を講じる義務があります。これらの措置は最新の技術水準に準拠し、損害発生リスクを適切に考慮する必要があります――施設の規模や潜在的なセキュリティインシデントなどの要素も考慮されます。今後は、企業のサプライチェーンも含めた包括的なリスク管理も義務付けられます。さらに、基本的な登録義務や、インシデント発生時の報告義務（初報告は24時間以内）が導入され、ITシステムの可用性、完全性、真正性、機密性の障害を防ぎ、セキュリティインシデントの影響を最小限に抑えることが求められます。また、BSI（連邦情報セキュリティ庁）に対し、要件を満たしていることを証明する必要があります。BSIは対象企業を監督し、「特に重要」な施設は積極的に、「重要」な施設は事後的に監督します。

2024年10月の連立与党草案と比較して、リスク管理措置に関する変更はごくわずかです。これらは§30 BSIG-Eに基づく措置の具体化にとどまります。

経営陣はリスク管理に責任を負う

経営陣はリスク管理措置の導入と監督に主たる責任を負います。ただし、2025年5月の現行草案では、監督目的で第三者を関与させることも可能です。これは理にかなっています。たとえば機密データの暗号化などの情報セキュリティ対策は、理想的にはIT部門が実施すべきだからです。

BSIG-E草案によれば、経営陣とは§2 Nr.13 BSIG-Eに基づき「法律、定款または会社契約により、特に重要な施設または重要な施設の経営および代表を任命された自然人」とされています。新しい連邦議会がここでより明確な規定を設けることが望ましいでしょう。現行草案では、これ以外に職務契約や雇用契約で代表権を持つ者も責任を問われるかどうかは明確ではありません。

ただし、経営陣が定期的に研修に参加する義務があることは定められています。これらの研修や関連する記録義務がどのように設計されるかについては、BSIG-Eでは明確にされていません。特に重要なのは、経営陣が私有財産で過失に応じて責任を負うことです（§38 Abs.2 BSIG-Eおよび該当する責任規定、例：§93 Abs.2 S.1 AktG、§43 Abs.2 GmbHG参照）。会社法上の規定で責任が定められていない場合、経営陣は場合によっては§38 Abs.2 S.2 BSIG-Eに基づき直接責任を負います。この責任は経営陣の機関が契約で免除することはできず、放棄や和解の合意も無効となります。

すでに会社法や行政違反法には経営陣の責任規定があります――たとえば「善良な経営者の注意義務」（§43 Abs.1 GmbHG）など。§38 Abs.1 BSIG-Eは、サイバーセキュリティを経営陣の義務に明示的に含めています。さらに、一時的に経営職務の遂行を禁止される場合もあります。

NIS2施行法：高額な罰金のリスク

違反があった場合、企業自体にも最大1,000万ユーロ（§65 Abs.5 BSIG-E参照）または前年度世界売上高の2％という多額の罰金が科されるリスクがあります。さらに、異なる保護目的に基づき、複数の法律で同時に処罰される可能性もある（たとえば同時にデータ保護違反があった場合）ことに注意が必要です。

政権交代により、現在はCDU主導の連邦政府がNIS2指令の実施を担当しているため、立法手続きの中で変更が生じる可能性があります。特に国家機関の関与に関する規定が見直される可能性があります。たとえば、BSIが今後、部品の使用禁止権限を持ったり、脆弱性の報告窓口として機能することも考えられます。NIS2UmsuCGの最終的な形は、当面は政治的にも内容的にも未定です。

差し迫った結果を踏まえ、企業は早急に以下を確認すべきです。

• 自社がNIS2UmsuCGの適用対象かどうか、
• すでに必要な措置が実施されているか、
• どこに追加対応が必要か。

自社システムを守る義務を制約と捉えるべきではありません。むしろ、サイバー脅威から企業をより強固に守るチャンスと考えることもできます。（fm）

ITセキュリティに関する他の興味深い記事もご覧になりたいですか？無料ニュースレターでは、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。