NIS指令とは

NIS指令(NIS Directive)とは、欧州連合(EU)全体のサイバーセキュリティに関する法的枠組み。正式名称は「The Directive on Security of Network and Information Systems」(ネットワークと情報システムのセキュリティに関する指令)。

同指令は、EU加盟国に対し、特に、エネルギーをはじめとする重要インフラや、インターネットなどの社会基盤となるサービスプロバイダーに対して、充分なセキュリティ対策を講じることや、重大なインシデントの報告を義務づけている。具体的には、NISに関する国家戦略の策定や強調グループの設置、CSIRTを含むサイバーセキュリティインシデントに対応する組織の構築などを要求している。

同指令は、2016年8月に発効された。EU加盟国は21カ月以内に国内法化しなければならない。同指令は、2013年2月に発表された「EU サイバーセキュリティー戦略」をさらに詳細にし、加盟国に具体的な行動を求めるものと位置づけられ、主に3つのポイントがある。

1つめは、加盟国のNIS機関やCSIRTなどを通じた、サイバーセキュリティ能力の向上。2つめは、加盟国間の戦略的協力と情報交換体制の整備。そして、3つめが、重要な社会インフラを担う事業者に、リスクマネジメントとインシデント報告の義務を課すルールの整備だ。これは、エネルギーや交通、水、金融、医療などの公共インフラや、検索エンジン、クラウドコンピューティング、ECといったデジタルサービス提供者(DSP)などが対象となる。

昨今、サイバー攻撃は国境を越え、社会のあらゆる分野に深刻な影響を及ぼしている。また、IoT(モノのインターネット)によって、インターネットに接続する機器が増え、サイバーセキュリティの脅威はますます増えていくことが考えられる。NIS指令をはじめとするサイバーリスク軽減のための取り組みは、世界的に急務な取り組みといえるだろう。

セキュリティ用語辞典一覧ページへ

関連キーワード:

CSIRT

EU

IoT

インシデント

インターネット

クラウドコンピューティング

サイバーセキュリティ

サイバー攻撃

セキュリティ対策

ネットワーク

リスクマネジメント

検索エンジン

脅威