欧州大陸のサイバーセキュリティ強化を目的とした措置について、欧州連合(EU)加盟国の受け入れは、ほとんど熱意が感じられない。EU各国が「ネットワークおよび情報セキュリティ(NIS)2指令」を実施しているはずの期限から15カ月が経過したが、完全に実施した国は3分の2未満にとどまる。フランスやアイルランドといった主要国は、必要な国内法すら成立させていない。
専門家の間では、この状況が欧州の防衛能力に与える影響について見解が分かれている。欧州が深刻な脅威に直面する中でのことだ。つい水曜日には、ポーランドの首相が、同国のエネルギー網に対する12月の一連のサイバー攻撃についてロシアを非難した。
いずれにせよ、NIS2の実施における差異(時期や実施法の詳細)は、法令を厳密に遵守すべき企業にとって厄介な問題となっている。
「国境を越えて事業を行う企業は不確実性に直面しています。ある国でコンプライアンス対応を計画しながら、別の国では異なる要件に対処しなければならない可能性があるからです」と、欧州全域で官民セクター間の調整を提供する非営利団体、欧州サイバーセキュリティ機構(ECSO)の政策分析・アウトリーチマネージャーであるシモナ・カネヴァ氏は述べた。
不確実性は、NIS2が解決するはずだった大きな問題の一つだった。
2016年に採択された最初のNIS指令は、エネルギーや輸送などの分野における重要サービス、ならびに検索やクラウドなどのデジタルサービスのセキュリティ慣行を標準化することを目的としていた。これは域内全体に適用される初のサイバーセキュリティ法制だったが、どのサービスが重要に分類されるべきかといった点が明確でなく、各国レベルで実施にばらつきが生じた。欧州連合サイバーセキュリティ機関(ENISA)の2020年報告書は、調査対象組織の35%がNISの要件について混乱していたと指摘している。
その混乱を解消し、さらに脅威の進化にも対応するため、2022年のNIS2では「重要」サービスと「デジタル」サービスの区別を廃し、「重要または重要度の高いサービス」を提供するあらゆる組織に法を適用する形へと改めた。「重要」と「重要度の高い」の区分は、従業員数や売上高の閾値、そして事業体が属するセクターによって決まる。例えば、大規模なエネルギー事業者やデジタルインフラ提供者は「重要」に該当し、中規模の化学・製造企業は「重要度の高い」に該当する。
全体として、NIS2は廃棄物管理、郵便サービス、ソーシャルプラットフォームなど、最初の指令では対象外だったセクターもカバーする。新法は、サプライチェーンのセキュリティなどに関する政策を含む国家サイバーセキュリティ戦略の策定をEU各国に義務付けるとともに、各国のコンピュータセキュリティ・インシデント対応チーム(CSIRT)間の連携を強化する。欧州サイバー危機リエゾン組織ネットワークも設立する。最初のNISで設置された各国当局は、組織のセキュリティ慣行を監督する役割が大幅に強化された。
インシデント報告要件は明確化され、厳格化された。また、最初のNISでは不遵守に対する罰則を各国が独自に定めることができたのに対し、NISでは是正命令から、全世界年間売上高の2%に達し得る罰金まで、罰則の範囲が定められている。重要なのは、取締役会メンバーに対する刑事制裁も導入している点だ。
しかし、NIS2は依然として「指令」である。加盟国に統一法の実施を義務付ける一般データ保護規則(GDPR)のようなEU規則とは異なり、EU指令は調和の最低水準のみを定め、各国がその基準要件を超えて法を解釈する余地を相当程度認めている。
取締役会レベルの責任の問題を例に取ると、12月に可決されたもののまだ施行されていないドイツの実施法は、企業の取締役会の執行部門にのみ言及している。ベルギーの法律では、責任が執行役員会と監督役員会の双方に及ぶことが明記されている。
モリソン・フォースターのグローバル・サイバー・プラクティス共同責任者である弁護士アレックス・ファン・デル・ウォルク氏によれば、NIS2の要件の対象となる従業員数の閾値も相違点の一つだ。ドイツなど一部の国は企業の現地法人の従業員数のみを考慮する一方、別の国々は企業のEUグループ全体の従業員数に焦点を当てる。NIS2はいずれのアプローチも認めている。
政府が2024年4月にNIS2を国内法に移し替え、広く守られなかった10月の実施期限より数カ月早く対応したベルギーでは、国家規制当局が組織向けに非常に詳細なガイダンスを策定する時間があった。このガイダンスでは、グループ内の内部ITサービスが同一グループ内の別会社によって提供されている場合、その会社はたとえ社内向けのみであっても、マネージドサービスを提供しているためNIS2の要件の対象に明確に該当し得ると規定している。「他の加盟国はその点について沈黙しています」とファン・デル・ウォルク氏は述べた。
同氏は付け加えて、「各国の指令解釈には、かなり妥当な調和のベースラインが見られます。逸脱は細部にあります」と述べた。
EU指令の性質を踏まえると、各国で実施のペースや様式が異なるのは決して珍しいことではないと、専門家は強調した。「移し替えの遅れの背景には、選挙とそれに伴う政権交代、そして各国の立法構造の性質などが含まれます」とカネヴァ氏は述べた。
NIS2の全体的な使命への影響について、ファン・デル・ウォルク氏は、最初のNISがすでに必要な国家当局と国際協力のための構造の大半を確立していたため、企業への影響は限定的だと指摘した。
一方で、欧州のサイバーセキュリティ態勢に深刻な影響が及び得ると見る向きもある。「これは間違いなく問題です。とりわけ、攻撃的サイバー作戦がいまや国家運営の標準的な手段になっているからです」と、サイバーセキュリティ研究者でコンサルタントのルカシュ・オレイニク氏は述べた。「NIS2の運用化が欠けていることは、EU諸国、特に西欧のシステムに干渉しようとする外部アクターにとって有利に働き得ます。当面、ロシアのサイバー脅威アクターが直接の受益者となるかもしれません。」
欧州委員会の報道官は「NIS2指令は、EU全体で高い水準のサイバーセキュリティを確保することを目的としています。したがって、すべての加盟国に対し、NIS2を迅速に国内法化し実施するよう促します」と述べた。
ブリュッセルでは、将来のNIS3を指令とするか、より調和の取れた規則とするかについての議論さえあるとカネヴァ氏は、そうした議論について問われた際に認めたが、この件についてECSOとしての立場はないと強調した。
委員会によれば、NIS2の実施状況は以下のとおりである:
- 17加盟国が完全な国内法化を通知:ベルギー、イタリア、クロアチア、ギリシャ、リトアニア、マルタ、ルーマニア、スロバキア、キプロス、デンマーク、スロベニア、ラトビア、チェコ、ハンガリー、ポルトガル、オーストリア、エストニア;
- 3加盟国が部分的な国内法化を通知:ドイツ、フィンランド、ポーランド;
- 7加盟国は、いかなる国内法化措置もまだ通知していない:ブルガリア、スペイン、フランス、アイルランド、ルクセンブルク、オランダ、スウェーデン。
翻訳元: https://www.databreachtoday.com/european-states-spin-wheels-on-cybersecurity-directive-a-30542
