メインコンテンツにスキップ ナビゲーションにスキップ フッターにスキップ
期間限定:デザインパートナープログラム — BUSINESSプランを永久利用

無料ダウンロード · 24ページ · A4 PDF

NIS2指令: CISOとコンプライアンス担当者のための英語要約

指令(EU)2022/2555の24ページ英語要約。対象範囲、第21条の10の対策、第23条の24時間/72時間/1か月の報告タイムライン、附属書IおよびII分野、行政罰則、10ステップのコンプライアンスロードマップを収録。Rediaccが作成した非公式翻訳です。

PDFをダウンロード ブラウザで開く

本文書は非公式の要約です。拘束力のある解釈については、OJ L 333/80, 27.12.2022の公式テキストをご参照ください。

PDFの内容

19のセクションで構成され、73ページの前文や条文を読み込まずに指令の本質を把握したいCISOやコンプライアンス担当者向けに構成されています。

  1. エグゼクティブサマリー
  2. 目的と法的根拠
  3. NIS1からNIS2へ: なぜ新しい規制が必要か
  4. 適用範囲と除外領域
  5. 主要な定義
  6. エンティティの分類: 重要エンティティと重要度の高いエンティティ
  7. 対象分野(附属書IおよびII)
  8. 加盟国の義務
  9. サイバーセキュリティリスク管理措置(第21条)
  10. インシデント報告義務(第23条)
  11. サプライチェーンセキュリティ
  12. 経営機関の責任
  13. EUレベルの協力体制
  14. 監督と執行
  15. 行政罰則
  16. 実施タイムラインと移行
  17. EU域外企業への影響
  18. 実践的コンプライアンスロードマップ(10ステップ)
  19. 結論と評価

3つのコンパニオンガイド

PDFが指令をマッピングします。コンパニオンガイドは各対象者向けに、義務を調達・運用上の意思決定に変換します。

第21条(2)(d)はベンダーの問題です

データプレーンが自テナントから外に出ない場合、サードパーティICTレジスターが縮小する理由。2026年にDPAを再交渉するCISOと調達担当者向け。

ガイドを読む →

演技なしの継続的有効性

第21条(2)(e)(f)と第23条を合わせて読む。週次ドリルを現実的にする定時フォークと、フォレンジック品質のアーティファクトなしでは間に合わない第23条の報告タイムライン。SREおよびOpsリード向け。

ガイドを読む →

最初のNIS2監査サイクルで買い手が語ったこと

中規模の重要エンティティが静かに組み上げている5ツールコンプライアンススタック、セルフホスト型コントロールプレーンが削減できるもの、そしてどちらにせよ残るコスト項目。更新サイクルに入るCFOと購買担当者向け。

ガイドを読む →

よくある質問

これは指令の公式翻訳ですか?

いいえ。指令の構造と義務をわかりやすくするための非公式英語要約です。拘束力のある解釈については、OJ L 333/80(2022年12月27日)の公式テキスト、またはEUR-Lex(CELEX 32022L2555)をご参照ください。加盟国の国内法の転換において、指令よりも厳格または異なる範囲の義務が課される場合があります。

NIS2の対象となるのはどのような組織ですか?

附属書I(高重要性)または附属書II(その他重要)分野で、中堅企業の閾値(推奨2003/361/ECに基づく従業員50名以上または年間売上1,000万ユーロ以上)を満たすエンティティ。TLDレジストリ、DNSプロバイダー、トラストサービスプロバイダー、中央行政機関など、規模にかかわらず対象となるエンティティもあります。PDFのセクション4、6、7に詳細があります。

NIS2はいつ発効し、転換期限はいつですか?

指令は2023年1月16日に発効しました。加盟国は2024年10月17日までに国内法へ転換する義務があり、適用開始は2024年10月18日(NIS1廃止と同日)です。エンティティリストの欧州委員会への提出期限(2025年4月17日)および定期見直しスケジュールを含む完全なタイムラインはセクション16に記載されています。

最大罰則額はいくらですか?

重要エンティティの場合: 1,000万ユーロまたは世界年間売上高の2%のいずれか高い方。重要度の高いエンティティの場合: 700万ユーロまたは世界年間売上高の1.4%のいずれか高い方。指令は重要エンティティの上級管理職に対する一時的な業務停止命令など、金銭的制裁以外の措置も認めています(最終手段)。罰則決定要素についてはセクション15をご参照ください。

NIS2はEU域外の企業にも適用されますか?

はい、2つの方法で適用されます。直接的: EU域外のDNS、クラウド、データセンター、CDN、MSP/MSSP、オンラインマーケットプレイス、検索、ソーシャルネットワークプロバイダーがEU内でサービスを提供する場合、EU代理人の選任と遵守が必要です。間接的: EUの重要エンティティに製品やサービスを提供するEU域外サプライヤーは、第21条(2)(d)に基づきEU顧客が課すサプライチェーンセキュリティ契約要件の対象となります。セクション17に両方の詳細があります。

第23条のインシデント報告はどのように機能しますか?

重大インシデントを「認知した」時点から3つの期限が発生します。早期警告は24時間以内、完全なインシデント通知は72時間以内、最終報告は1か月以内。重大なサイバー脅威が発生している可能性が高い場合、サービス受益者への通知も不当な遅滞なく行う必要があります。完全な報告マトリクスはセクション10に記載されています。

本要約について

Rediaccはエストニア登録のセルフホスト型インフラストラクチャプラットフォームです(OÜ 17363830、VAT EE102920091)。本要約はNIS2コンテンツプログラムの一環として作成されました。上記のコンパニオンガイドでは、Rediaccが対応できない領域(現時点では認証なし、GRCレイヤーなし、Article 23報告管理なし、ポータル専用MFA)を含め、指令の各条項にRediaccがどのように対応しているかを説明しています。公開されている機能マッピングについては、ドキュメントのNIS2 and DORAをご参照ください。

ベンダー質問票または昨年の予算からセキュリティに関する最大の3つのコスト項目をお送りください。デプロイ済みインスタンスに基づき、書面で、不足している点も含めてご回答します。または、PDFをダウンロードして同僚に転送してください。

PDFをダウンロード