« ノルウェー 未来のデジタル化戦略 (2024.11.04) | Main | 米国 司法省 ビットコイン・フォッグの運営者、マネーロンダリング共謀罪で実刑判。日本の捜査機関も協力。(2024.11.08) »

2024.11.11

ドイツ BSI NIS2指令の国内への適用に関する情報ページ

こんにちは、丸山満彦です。

欧州各国では、2014.10.17までにNIS2の国内法への展開が終了し、18日より適用が開始されています。ドイツのBSI(連邦情報セキュリティ局)のページにNIS2指令の関連ウェブページがありますので、紹介。

 

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

1_20241110231801

Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft

Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft 規制経済のためのNIS 2指令の実施
Erste Informationen für voraussichtlich betroffene Unternehmen 影響を受ける可能性が高い企業向けの初期情報
Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz "besonders wichtige" und "wichtige" Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten. Da das Gesetz noch nicht verabschiedet ist, kann sich das BSI noch nicht genauer zu daraus möglicherweise entstehenden Pflichten äußern. Wir möchten Unternehmen und Organisationen aber schon während des laufenden Gesetzgebungsverfahrens bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten. NIS 2指令が国内法に組み込まれることにより、BSI法の改正により、BSIは以前よりもはるかに多くの企業の監督当局となる。これは、既存の重要インフラ(KRITIS)には大きな変化をもたらさないと予想されるが、法律上「特に重要」および「重要」とされる約29,000の施設については、登録、検証、報告義務が初めて発生することになる。この法律はまだ可決されていないため、BSIは、この法律から生じる可能性のある義務について、現時点では詳細なコメントはできない。しかし、現在進行中の立法プロセスにおいて、企業や組織をできる限りサポートし、NIS 2指令がドイツでできる限り円滑に実施されるよう努めたい。
Erste Unterstützungsangebote für die Wirtschaft 企業向けの初期サポートサービス
・Die NIS-2-Betroffenheitsprüfung ist das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt . ・NIS-2 影響評価は、ドイツにおける NIS-2 指令の国内実施により企業が影響を受ける可能性があるかどうかを確認するための主要なツールである。 NIS-2 影響評価のベースとなる決定ツリーも公開されている。
・Die NIS-2-FAQ bieten eine Sammlung von Antworten auf die am häufigsten gestellten Fragen zur NIS-2-RL. ・NIS-2 指令に関する FAQ では、NIS-2 指令に関するよくある質問への回答をまとめている。
・Die Seite NIS-2 - Was tun? enthält Hinweise, was wichtige und besonders wichtige Einrichtungen jetzt schon tun können. ・NIS-2 – What to do? ページには、重要組織および特に重要な組織が今できることに関する情報が記載されている。
Neue EU-Richtlinie zur Cybersicherheit: NIS-2-RL und ihre Umsetzung in Deutschland サイバーセキュリティに関する新たなEU指令:NIS-2指令とそのドイツでの実施
Im Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie, kurz NIS-2-RL) veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie in nationales Recht umsetzen. In Deutschland erfolgt die Umsetzung der NIS-2-RL durch Bund und Länder. Regelungen für die Wirtschaft werden dabei vornehmlich durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) des Bundes geregelt, dessen Regierungsentwurf unter anderem umfassende Änderungen im BSI-Gesetz vorsieht. ネットワークおよび情報セキュリティに関するEU指令第2号(NIS-2指令)は2022年12月に発表された。加盟国は、この指令を国内法に置き換える必要がある。ドイツでは、NIS-2指令は連邦政府および州政府によって実施されている。経済に関する規制は主に連邦政府のNIS-2実施およびサイバーセキュリティ強化法(NIS2UmsuCG)によって規定されており、その政府草案では、特にBSI法の包括的な変更が規定されている。
Pflichten für die regulierte Wirtschaft 規制対象事業体における義務
Die Gesetzesänderung führt voraussichtlich über die heute bereits regulierten KRITIS hinaus zu einer erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben. Die Identifizierung der betroffenen Unternehmen als "besonders wichtige Einrichtungen" oder "wichtige Einrichtungen" erfolgt voraussichtlich anhand von Kennzahlen und Schwellenwerten mit Bezug auf den Jahresumsatz oder die Mitarbeitendenzahl. この改正により、すでに規制対象となっている重要インフラストラクチャー以外にも、今後、BSIに対する登録、検証、報告義務を履行しなければならない企業や機関が大幅に増加することが予想される。影響を受ける企業は、年間売上高や従業員数に関する主要数値や基準値に基づいて、「特に重要な機関」または「重要な機関」として特定される見込みである。
Informationen zur Registrierung beim BSI folgen nach Abschluss des Gesetzgebungsverfahrens zum NIS2UmsuCG. BSIへの登録に関する情報は、NIS2UmsvCGの立法手続きが完了した後、発表される予定である。
Für einige der betroffenen Unternehmen ist mit einer Pflicht zum Nachweis der IT-Sicherheit zu rechnen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien (KRITIS, besonders wichtige Einrichtung, wichtige Einrichtung) ausdifferenziert wird. NIS-2-regulierte Unternehmen werden auch verpflichtet sein, IT-Sicherheitsvorfälle zu melden. Die bisherige Meldepflicht für hauptsächlich KRITIS-Betreiber wird durch das Melderegime der NIS-2-Richtlinie ersetzt. 影響を受ける企業の一部は、ITセキュリティの証明を求められることが予想されるが、その厳格さは、比例性の理由から、カテゴリー(KRITIS、特に重要な機関、重要な機関)ごとに区別される。NIS-2規制対象企業は、ITセキュリティインシデントの報告も求められる。主に重要インフラ事業者を対象としたこれまでの報告義務は、NIS 2指令の報告体制に置き換えられることになる。
Informationen zur nationalen Umsetzung sind vorläufig 国内での実施に関する情報は暫定的なものである
Das NIS2UmsuCG befindet sich derzeit noch im Gesetzgebungsverfahren. Die Federführung dafür liegt beim Bundesministerium des Innern und für Heimat. Aus diesem Grund kann sich das BSI derzeit nur in begrenztem Umfang zu den voraussichtlichen Inhalten des Gesetzes äußern. NIS 2指令の国内法化は現在も立法過程にある。連邦内務省および国土安全保障省がこれを担当している。このため、BSIは現時点では、この法律の想定される内容について限定的な範囲でのみコメントすることができる。
Die Informationen auf dieser Webseite, insbesondere die NIS-2-Betroffenheitsprüfung sind vor dem Hintergrund des noch nicht abgeschlossenen Gesetzgebungsverfahrens Erwartungswerte und nicht rechtlich bindend. Zurzeit basiert die hier angebotene NIS-2-Betroffenheitsprüfung auf dem Kabinettsbeschluss des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Erst, wenn das fertige Gesetz vorliegt, werden verbindliche Auskünfte zum Anwendungsbereich in Deutschland gemacht werden können. Gemäß dem Wortlaut des Regierungsentwurfs wird auf dieser Seite anstelle der in der EU-Richtlinie verwendeten Bezeichnung "wesentliche" Einrichtungen der Begriff "besonders wichtige" Einrichtungen verwendet. 立法プロセスがまだ完了していないという事実を踏まえ、このウェブサイト上の情報、特にNIS-2影響評価は予想値に基づくものであり、法的拘束力はない。現時点では、ここで提供されているNIS-2影響評価は、NIS-2実施およびサイバーセキュリティ強化法(NIS2UmsuCG)の閣議決定に基づいている。ドイツにおける適用範囲に関する拘束力のある情報を提供できるのは、法律が最終決定された後となる。政府草案の文言に従い、このページではEU指令で使用されている「不可欠」な事業体の代わりに「特に重要な」事業体という用語を使用している。
Für manche Sektoren und Unternehmen gibt es zudem noch gesonderte Regelungen. Besonders zu nennen sind hier grenzüberschreitende Anlagen, Regelungen durch DORA (EU-Verordnung über die digitale operationale Resilienz im Finanzsektor) und Änderungen im IT- und Energiesektor. Über diese Punkte wird das BSI rechtzeitig und umfassend informieren. さらに、一部のセクターおよび企業については、別途規定が設けられている。特にここで言及すべきは、国境を越えた施設、DORA(EUの金融セクターにおけるデジタル業務継続性に関する規則)による規制、およびITおよびエネルギーセクターにおける変更である。BSIは、これらの点について包括的な情報を適時提供する予定である。
Weitere Informationen 詳細情報
FAQ zu NIS-2 NIS-2に関するFAQ
Sek­tor­spe­zi­fi­sche FAQ zu NIS-2 NIS-2に関する業種別FAQ
NIS-2-Be­trof­fen­heits­prü­fung NIS-2の影響評価
NIS-2 - was tun? NIS-2 – 何をすべきか?
NIS-2 - Be­tei­li­gungs­work­shop NIS-2 – 参加ワークショップ
Zu­sam­men­fas­sung NIS-2-We­bi­nar NIS-2ウェビナーの概要

 

 

|

« ノルウェー 未来のデジタル化戦略 (2024.11.04) | Main | 米国 司法省 ビットコイン・フォッグの運営者、マネーロンダリング共謀罪で実刑判。日本の捜査機関も協力。(2024.11.08) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ノルウェー 未来のデジタル化戦略 (2024.11.04) | Main | 米国 司法省 ビットコイン・フォッグの運営者、マネーロンダリング共謀罪で実刑判。日本の捜査機関も協力。(2024.11.08) »