EU連合理事会 NIS2成立
こんにちは、丸山満彦です。
NIS2がEU連合理事会で可決されたようですね。。。
● European Council/Council of the European Union
・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation
| EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation | EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択 |
| The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. | 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。 |
| The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). | 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。 |
| There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. | サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。 |
| Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development | チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏 |
| Stronger risk and incident management and cooperation | リスクマネジメント、インシデントマネジメント、協力体制の強化 |
| NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. | NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。 |
| The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. | 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。 |
| The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. | この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。 |
| Widening of the scope of the rules | 規則の適用範囲の拡大 |
| While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. | 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。 |
| While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. | 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。 |
| The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. | また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。 |
| NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. | NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。 |
| Other changes introduced by the new law | 新法が導入するその他の変更点 |
| Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. | さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。 |
| A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. | 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。 |
| The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. | また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。 |
| Next steps | 次のステップ |
| The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. | この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。 |
| Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. | 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。 |
| Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) | 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22) |
 |
[DOCX]
|
| Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach | EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ |
| Cybersecurity: how the EU tackles cyber threats (background information) | サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報) |
| A digital future for Europe (background information) | 欧州のデジタルな未来(背景情報) |
| How the EU responds to crises and builds resilience | EUはどのように危機に対処し、レジリエンスを構築しているか? |
| Visit the meeting page | 会議のページ |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022
・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決
・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明
・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16
Comments