EUのみに留まらないNIS2指令

2026年7月14日

サイバーセキュリティを巡る議論の中で、近年、経営層の関心を集めているキーワードの一つがNIS2指令(Network and Information Security Directive 2)です。
一方で、「EUの規制なので日本企業には関係ない」「ブレグジット後の英国には適用されないのでは」という声も耳にします。しかし実際には、NIS2はEU域内だけの問題ではなく、欧州で事業を展開する日系企業の経営判断に影響を及ぼすルールとなりつつあります。

NIS2は、EU(欧州連合)のサイバーセキュリティ強化を目的とした法令であり、エネルギー、ヘルスケア、金融、ICT・デジタルサービスなど、社会や経済を支える必要不可欠な分野を担う事業者に対し、リスク管理、インシデント対応、サプライチェーン管理などの強化を求めています。厳格なセキュリティ対策と事故報告義務を課すものです。違反した場合には主要事業体は最高で1,000万ユーロ、または全世界年間総売上高の2%のいずれか高い方の額の制裁金、重要事業体は最高で700万ユーロ、または全世界の年間総売上高の1.4%のいずれかの高い方の額の制裁金が課せられる可能があります。

またNIS2は「拠点所在地」ではなく「事業のつながり」を軸に適用される点が特徴と言えます。EU域内に子会社や事業拠点がある、欧州企業に対してサービスや基盤を提供している、欧州の重要インフラ事業に間接的に関与している、等のケースでは、本社や主要拠点が欧州域外にあっても、EU側からNIS2水準のセキュリティを求められることになります。実際、欧州企業が取引先に対して「NIS2レベルでの管理と説明」を要求する動きは、すでに始まっています。

NIS2が変えたのは「技術要件」ではなく「責任の所在」であり、NIS2を単なるセキュリティ強化策と捉えると、本質を見誤る可能性があります。この指令が企業に突きつけているのは、サイバーリスクを誰が判断し、誰が責任を負うのかという問いです。

  • インシデントが起きたとき、経営層は状況を把握できているか
  • 委託先やグループ会社のセキュリティリスクを説明できるか
  • 「守っているつもり」ではなく、「説明できる状態」になっているか

NIS2における、サイバーセキュリティの取り組みはIT部門任せの課題にとどまらず、経営判断・ガバナンス・組織設計そのものが対象になります。

しかしながら実態として、在欧州日系企業に共通して見えてくる課題は、「EU規制はEU拠点で対応すればよい」という局所最適の発想です。一部の拠点だけをNIS2対応にしても、グループ全体として説明がつかない状態になるケースは少なくありません。結果として問われるのは、「NIS2を欧州拠点に対する特例対応とするのか、グループの標準に取り込むのか」という経営判断です。
技術の導入そのものではなく、現状はNIS2にどこまで対応できており、何が不足しているのか、投資とリスク低減のバランスを鑑みた上でどこまで手を付ければ経営として合理的か、といった視点が求められています。

NIS2対応は、単発のツール導入では完結しません。NIS2をきっかけに、自社のセキュリティと意思決定のあり方を、改めて整理してみてはいかがでしょうか。

Newton ITは上記のようなお悩みに対し、無料相談会を随時実施しております。些細なお悩みでも構いませんので、是非お気軽にお申し付けください。