複数のヨーロッパ諸国が、NIS2指令を国内法に転換しなかったことで、欧州委員会の規制措置に直面しています。
アイルランド、スペイン、フランス、ブルガリア、ルクセンブルク、オランダ、ポルトガル、スウェーデンが違反国であると、欧州委員会は述べています。
GDPRのような「規則」はEU全域で自動的に法律となりますが、欧州指令は各加盟国が自国の法律に転換する必要があります。これには追加の時間がかかるだけでなく、指令の適用が加盟国ごとに若干異なる場合もあります。
NIS2の転換期限は2024年10月17日でした。
NIS2の期限について詳しくはこちら:NIS2の混乱:期限到達時の準備状況への懸念
2025年5月、欧州委員会は19の加盟国に対し、このプロセスの遅延について正式に連絡しました。委員会は、2か月以内に「対応し必要な措置を講じる」よう警告し、そうでなければ「欧州連合司法裁判所(CJEU)に案件を付託する可能性がある」と述べました。
この8か国がさらに法的措置に直面するかどうかは、今後の動向を見守る必要があります。
指令を法律として制定した国でさえ、遵守状況は決して十分とは言えません。Enisaが3月に発表した報告書では、特に深刻な課題に直面している6つの重要インフラ分野が指摘されています。
ITサービス管理、宇宙、公共行政、海事、医療、ガスが「NIS360リスクゾーン」にあると強調されました。
一方で、電力、通信、銀行の各分野は「大きな規制監督」や資金提供、投資、政治的注目、公民連携の恩恵を受けており、最も成熟した3分野として称賛されました。
ヨーロッパに拠点を持つ企業を除き、ほとんどの英国企業はNIS2に従う必要はありません。しかし、2024年11月のGreen Ravenの調査では、かなりの少数派(22%)が新しい指令が自社に適用されるかどうか分からないと回答しています。
さらに悪いことに、NIS2が自社に適用されると認識している回答者の10%は、10月17日の期限時点で遵守できていなかったと認めています。
英国独自のNIS2バリアントである「サイバーセキュリティおよびレジリエンス法案」は、今年後半に議会を通過する見込みです。
DORAも問題を引き起こしている
コンプライアンスの頭痛の種はNIS2だけではありません。地域内の金融企業の約96%が、現在のデータレジリエンスのレベルがDORAの要件を満たしていないと認めていると、先月発表されたVeeamの報告書は伝えています。
5分の1(20%)は、DORAの要件を満たすために必要な予算をまだ確保できていないと述べています。
DORAとNIS2の両方について、対象組織は最大1,000万ユーロ(740万ドル)または全世界売上高の2%のいずれか高い方の不遵守罰金に直面します。
翻訳元: https://www.infosecurity-magazine.com/news/eight-countries-eu-action-nis2/