
自社がNIS2コンプライアンス要件の対象かを判断する方法
ENISAが2024年10月に最新の脅威動向レポートを発表した際、EU全域の重要インフラを標的としたサイバー攻撃が400%増加したことが強調されました。この急増はNIS2指令の施行期限と重なり、多くの組織が自社のコンプライアンス義務を把握しきれずに対応に追われています。欧州委員会は、適用範囲が拡大したことで16万以上の事業体が対象となったと推計しており、これは従来のNIS指令のカバレッジから劇的な増加です。
自社がNIS2コンプライアンス要件の対象かどうかを判断するのは簡単ではありません。指令の複雑な分類体系は、従業員数、収益基準、加盟国ごとに異なる業種別基準が組み合わさっています。この評価を誤ると重大な結果を招きます。重要事業体は最大1,000万ユーロまたは全世界売上高の2%の行政罰金、重要事業体は最大700万ユーロまたは売上高の1.4%の罰則リスクがあります。
本分析では、NIS2の適用性を決定する具体的な基準、計算方法、規制上の細かな違いを分かりやすく解説します。実際の事例や国境をまたぐ複雑なケース、そして本格的な施行フェーズが始まる前にコンプライアンスチームが取るべき実践的なステップを取り上げます。
どのデータコンプライアンス規格が重要か?
エグゼクティブサマリー
主なポイントは? NIS2コンプライアンスは、組織の規模(従業員数と収益)、事業を展開する業種、EU加盟国における地理的展開という3つの要素が相互に関係しています。指令は階層的アプローチを採用しており、重要事業体には重要事業体よりも厳しい要件が課されます。
なぜ重要なのか? NIS2の分類を誤ると数百万ユーロ規模の罰金や業務への支障につながります。各国当局が執行を開始している今、組織は適用範囲の正確な把握と適切なサイバーセキュリティ対策の導入が不可欠です。
主なポイント
-
従業員数がNIS2適用の判断基準となる
重要分野で従業員50名以上、重要事業体で250名以上の組織は、収益に関係なく自動的にNIS2の対象となります。
-
複数分野で事業を展開する場合は最も厳しい要件が適用される
複数のNIS2分野で事業を行う企業は、主要事業活動に適用される最も厳格な要件を遵守する必要があります。
-
国境を越えた事業展開には複数当局との対応が必要
複数のEU加盟国で事業を展開する組織は、それぞれの国の主管当局に登録し、異なる実施方法に対応する必要があります。
-
収益基準は分野分類とグループ売上高に依存
年間売上高基準は分野ごとに異なり、重要サービスは1,000万ユーロ、重要事業体は5,000万ユーロで、連結グループの数字で計算されます。
-
規制監督と罰則は分野指定ごとに異なる
重要事業体は重要事業体よりも厳しい監督と罰則が課され、分野ごとの要件は加盟国当局が決定します。
NIS2義務を発生させる従業員数の基準を理解する
NIS2指令は明確な従業員数基準を定めていますが、その計算方法が多くの組織にとって落とし穴となっています。各国の主管当局は、直近の会計年度における平均従業員数を用い、パートタイムや派遣社員もフルタイム換算で含めて計算します。
重要事業体:50名の従業員が基準
重要サービス(エネルギー、運輸、銀行、金融市場インフラ、医療、飲料水、廃水、デジタルインフラ、ICTサービス管理、行政)を提供する組織は、最も低い基準が適用されます。従業員が50名以上であれば、収益に関係なく自動的に対象となります。
ただし、加盟国は国家安全保障や経済安定にとって重要と判断した場合、より小規模な組織も対象に含める裁量を持っています。たとえばドイツのBSIは、エネルギー分野で送電網接続の役割を持つ従業員50名未満の事業体も指定する可能性を示唆しています。
重要事業体:250名の従業員が基準
重要事業体(郵便サービス、廃棄物管理、重要製品の製造、デジタルプロバイダー、研究機関など)は、従業員数が250名以上で義務的な適用範囲となります。この基準はEUの中小企業(SME)定義と一致しており、規制フレームワーク間の一貫性を生み出しています。
ツイート向け知見: NIS2の従業員数基準は単なる人数ではなく、契約社員や派遣、FTEを12か月平均で算出します。#NIS2Compliance
収益基準:財務的な閾値の把握
収益基準は従業員数と併用され、いずれかを満たせば対象となる二重基準システムです。計算には連結グループの数字が使われ、個別子会社の収益ではありません。これにより多国籍企業の適用範囲が大幅に拡大します。
重要サービスの収益基準
重要事業体は年間売上高1,000万ユーロを超える必要があります。この比較的低い基準は、地域の中小規模プレイヤーも対象とする意図を反映しています。たとえば従業員45名でも売上高1,200万ユーロの地方水道事業体はNIS2の対象となります。
欧州銀行監督機構は、金融機関は従来の売上高ではなく純銀行収益を用いるべきと明確化しており、エネルギー企業は規制・非規制の両方の収益を含める必要があります。
重要事業体:5,000万ユーロの基準
重要事業体は5,000万ユーロの基準が設けられ、中堅企業には一定の猶予があります。ただし、この計算にはグループ内取引も含まれるため、想定外に基準を超えるケースもあります。
製造業界ではこの手法に対し欧州委員会に懸念を表明しています。ドイツの自動車部品サプライヤーは、外部売上高4,500万ユーロでも、親会社子会社への販売を含めると5,200万ユーロとなり、基準を超えてしまいました。
ツイート向け知見: NIS2の収益計算にはグループ内取引も含まれるため、実際の基準値は外部売上高より高くなる場合があります。
分野分類:重要事業体と重要事業体の違い
重要事業体と重要事業体の区別は単なる言葉の違いではなく、規制の厳しさ、罰則リスク、監督体制に大きな影響を与えます。
重要分野:厳格な監督体制
重要事業体は、社会機能や経済活動に大きな影響を及ぼす分野で事業を展開しています。これらの組織には以下が求められます:
- 各国主管当局による直接監督
- セキュリティインシデントの24時間以内報告義務
- 定期的なセキュリティ監査・評価
- 最大1,000万ユーロまたは全世界売上高2%の高額な行政罰金
エネルギー分野はこのアプローチの典型例です。送電システム運用者は規模に関係なく、グリッド管理の役割から自動的に重要事業体に分類されます。
重要事業体:比例的な要件
重要事業体は重要サービスを支えるものの、直接提供はしません。規制は比較的緩やかで、以下が特徴です:
- 自己評価や自主的な報告制度
- インシデント発生から72時間以内の通知義務
- リスクベースの監督アプローチ
- 最大700万ユーロまたは全世界売上高1.4%の罰則上限
デジタルサービスプロバイダーはこのカテゴリの複雑さを象徴しています。クラウドインフラプロバイダーは重要事業体に該当しますが、SaaS企業は通常重要事業体に分類されます。
複数分野での事業展開:複雑な分類の乗り越え方
複数のNIS2分野で事業を展開する組織は、慎重な法的分析が必要な分類上の課題に直面します。指令は多角的なビジネスモデルを持つ事業体への明確な指針を示していません。
主要事業活動の特定
各国当局は通常、収益配分を用いて主要分野を決定します。たとえば、クラウドサービスの収益が大きい通信会社は、デジタルインフラ(重要事業体)として分類される可能性があります。
フランスのANSSIは、収益の60%以上が重要サービスから得られていれば、組織全体を重要事業体に分類するという基準を設けています。他の加盟国もこの手法に注目しています。
子会社とグループ単位での評価
企業構造はNIS2の分類に大きな影響を与えます。加盟国によっては各法人単位で評価する場合もあれば、グループ全体で判断する場合もあり、多国籍企業にとってコンプライアンスが複雑化します。
ある欧州エネルギーコングロマリットは、再生可能エネルギー子会社がドイツでは重要事業体に該当した一方、スペインでは評価手法の違いから対象外となることが判明しました。
国境を越えた事業展開:加盟国ごとの違い
複数のEU加盟国で事業を展開する組織は、指令の調和目標にもかかわらず、実施方法の違いというパッチワークに直面します。
登録要件
各加盟国は独自のNIS2登録簿を持ち、登録プロセスも異なります。オランダのNCSCはデジタルポータルで効率化していますが、イタリアでは一部地域で紙による申請が必要です。
国境を越えた事業体は、分類基準を満たす各加盟国の主管当局に登録しなければなりません。これにより複数の監督関係や、場合によっては矛盾する要件が発生する可能性があります。
執行の連携
NIS協力グループは各国当局間の情報共有を促進していますが、執行アプローチには大きな違いがあります。北欧諸国は協調的なコンプライアンス支援を重視する一方、南欧諸国は公式な監査手続きを重視する傾向があります。
ツイート向け知見: 同じ企業でもNIS2の扱いが異なる―加盟国ごとの実施の違いが国境を越えたコンプライアンスの複雑さを生み出します。
まとめ
NIS2コンプライアンス要件の判断には、従業員数、収益基準、分野分類、地理的な事業展開の体系的な分析が必要です。指令の適用範囲拡大により、従来サイバーセキュリティ規制の対象外だった組織も新たな義務を負うことになりました。
組織は単純な閾値チェックを超えて、自社の規制リスクを正確に把握する必要があります。これには、事業活動をNIS2分野にマッピングし、連結収益を計算し、全ての該当加盟国の管轄を特定することが含まれます。複数分野・複数国で事業を展開する多国籍企業では、さらに複雑さが増します。
成功のためには、NIS2のリスク管理、インシデント報告、事業継続要件を満たす堅牢なサイバーセキュリティフレームワークの導入が不可欠です。全てのデータ通信チャネルを統一したセキュリティポリシーで管理し、必須の違反報告に対応する包括的な監査証跡、リアルタイムの脅威検知機能が求められます。規制環境は、加盟国ごとの要件に柔軟に対応しつつ、一貫したセキュリティ体制を維持できるソリューションを要求しています。
重要インフラ事業者は、レガシーシステムを近代化し、NIS2が求める包括的なサイバーセキュリティ対策を確立しなければなりません。この変革には、セキュリティポリシーの標準化、不変の監査ログの提供、迅速なインシデント対応のサポートなど、重要サービスの運用継続を維持しながら実現できるプラットフォームが必要です。
KiteworksはNIS2の影響を受ける組織の安全かつコンプライアンス対応のファイル共有を支援
Kiteworksのプライベートデータネットワークは、セキュアメール、Kiteworksセキュアファイル共有、セキュアMFT、SFTPチャネル全体でセキュリティポリシーを標準化する統合プラットフォームにより、NIS2コンプライアンスの課題を解決します。
KiteworksはAES-256暗号化、ロールベースアクセス制御(RBAC)、必須のインシデント報告要件に対応した包括的な監査証跡を提供します。リアルタイムの異常検知やきめ細かなポリシー適用により、重要インフラ事業者がNIS2のサイバーセキュリティ義務を果たしつつ、運用効率も維持できます。ISO 27001、FedRAMP、SOC 2認証による実績あるコンプライアンスフレームワークで、複数のEU管轄にまたがる規制対応にも自信を持てます。
NIS2コンプライアンスに関するKiteworksの詳細は、カスタムデモください。
よくあるご質問
NIS2コンプライアンスの収益基準は、連結グループの売上高で計算します。重要事業体は1,000万ユーロ、重要事業体は5,000万ユーロです。グループ内取引や子会社の売上も含めて計算します。金融機関は純銀行収益、エネルギー企業は規制・非規制両方の収益を含めてください。
NIS2では、重要事業体は24時間以内のインシデント報告、直接監督、最大1,000万ユーロまたは全世界売上高2%の罰則など、より厳しい監督を受けます。重要事業体は72時間以内の報告、自己評価、最大700万ユーロまたは売上高1.4%の罰則など、比較的緩やかな要件です。
NIS2に準拠するためには、該当する各加盟国の主管当局に登録が必要です。各国ごとに登録簿や手続きが異なり、デジタルポータルから紙申請まで様々です。
追加リソース
- ブリーフ NIS2準備状況アセスメントの進め方
- 動画 NIS2指令:要件・義務とKiteworksによるコンプライアンス支援
- ブログ記事 中小企業向けNIS2コンプライアンスガイド
- ブログ記事 NIS2指令:ビジネスへの影響とは
- ブログ記事 NIS2指令:効果的な導入戦略