コンプライアンスへの要求
EU指令2022/2555、通称NIS 2の導入により、企業におけるコンプライアンスに対する要求が高まっています。NIS 2はEUにおけるサイバー攻撃の脅威に対応するために制定されました。この指令は、企業および機関のサイバーおよび情報セキュリティを規制しています。サイバー攻撃は、今や世界中の企業にとって最大のビジネスリスクの1つと見なされています。
NIS 2はEU指令2016/1148(NIS 1)を置き換え、欧州連合内のサイバーセキュリティを向上させ、企業をより効果的に保護することを目的としています。そのため、NIS-2指令の実施は、多くの企業におけるリスク管理およびコンプライアンスに対する要求を高めています。企業内で措置が適切に実施されない場合、制裁措置が取られる可能性があると、経済法律事務所MTR Legal Rechtsanwälteは述べています。
EUはNIS-2指令を2023年に採択し、加盟国は2025年までにそれを国内法に転換しなければなりません。この指令がどの企業に影響を与えるかは、主にその活動の種類に依存します。指令は、本質的(essential)および重要(important)と見なされる他の企業にも拡張されています。それは、連邦情報技術安全局(BSI)に対して法的義務を果たすべき企業および施設の数が著しく増加することにつながっています。
重要インフラへの影響
NIS-1指令の下にあったエネルギー、交通、医療、金融、水管理およびデジタルインフラのような重要インフラストラクチャに加え、NIS-2指令によってさらに多くのセクターが影響を受けています。これには、公共電子サービス、社会プラットフォームのような他のデジタルサービス、廃水および廃棄物管理、郵便および宅配サービス、行政機関または重要製品の製造者が含まれます。ドイツでは、業種横断的に約29,000の企業がNIS-2指令の実施により影響を受けると推定されています。主に中規模および大規模企業が、サイバーセキュリティに適切な措置を講じ、効果的なコンプライアンスを確立することが求められます。彼らはまた、重大な障害や被害を伴うセキュリティインシデントを関係当局に報告する義務があります。
NIS-2指令には、監督、執行、そして自発的なピアレビューのための規定も含まれ、欧州連合全体の相互信頼とサイバーセキュリティを強化することを目的としています。これは、サイバーセキュリティリスク管理措置が守られない場合、経営陣が責任を問われることをも意味しています。
サイバーセキュリティ攻撃への対応
NIS-2指令により、セキュリティの脅威について共有し、インシデントに適切に対応するためのコンピュータセキュリティインシデント対応チーム(CSIRT)のネットワークが整えられています。さらに、ヨーロッパのサイバー危機のためのリエゾン組織のネットワークが設立されます。このネットワークは、加盟国とEU機関との間での定期的な情報交換を支援し、大規模なインシデントや危機に対応できるようにするものです。
ドイツでNIS 2がどのように国内法として実施されるかはまだ決まっていません。理由は、連邦議会選挙の前倒しにより実施が遅れているためです。しかし、実施によりサイバーセキュリティが多くの中小企業においても注目されることは間違いありません。
企業はセキュリティ対策を実施しなければならない
NIS 2により、企業は必要なセキュリティ対策を実施し、潜在的なサイバー攻撃からデータおよび重要インフラを保護するという課題を抱えています。そのためには、必要な技術的および組織的な措置を講じなければなりません。企業がサイバー攻撃の犠牲になった場合には、すぐさま被害を封じ込め、システムを復旧するための計画が必要です。また、関係当局へ報告しなければなりません。さらに、企業は定期的にテストを実行し、弱点を探し出し、それらを除去する必要があります。サイバーセキュリティはサプライチェーン内でも存在すべきです。したがって、リスクにも対応しなければなりません。
NIS-2指令の実施は、影響を受ける企業における効率的なコンプライアンスへの挑戦を意味します。必須のセキュリティ対策が実行されない場合、取締役会や上級役員が個人的に責任を問われることもあります。
MTR Legal Rechtsanwälteは、企業が効果的なコンプライアンスシステムを実装できるように支援し、法律の要件が満たされることを保証します。MTR Legalは経済法律事務所として、 コンプライアンス および経済刑法の他のテーマについても相談しています。
どうぞお気軽に お問い合わせ ください!
