ドイツのNIS2移行法は2025年12月5日に施行されました。BSI登録期限は2026年3月に到来します。本ガイドではCISO、IT責任者、コンプライアンス担当者が知っておくべきすべてを網羅します:対象者、義務の内容、罰則の概要、実践的なコンプライアンスロードマップの構築方法。
NIS2指令(指令(EU) 2022/2555)は、範囲と執行が不十分であると広く認識されていた2016年の元のNIS指令を置き換えるものです。NIS1の約10,000事業体から、EU全域で推定160,000以上の事業体に対象を劇的に拡大しています。
NIS2は3つの根本的な弱点に対処するために設計されました:加盟国間での不一致な移行、狭いセクターのみを対象とする限定的な範囲、変革を促すには低すぎる罰則による弱い執行。
ドイツでは、NIS2UmsuCG(NIS2実装・サイバーセキュリティ強化法)が2025年12月5日に施行されました。BSIが指定監督当局であり、登録期限は2026年3月6日から始まります。
NIS2は指定ベースのアプローチから規模基準メカニズムに移行しました。組織はセクターと規模の基準を満たす場合、自動的に対象範囲に含まれます。
| セクター | 例 |
|---|---|
| エネルギー | 電力、石油、ガス、水素、地域暖房 |
| 運輸 | 航空、鉄道、水運、道路運輸 |
| 銀行 | 信用機関 |
| 金融市場インフラ | 取引所、中央清算機関 |
| 医療 | 病院、検査機関、製薬、医療機器 |
| 飲料水 | 供給・配水 |
| 排水 | 収集、処理、処分 |
| デジタルインフラ | IXP、DNS、TLDレジストリ、クラウド、データセンター、CDN |
| ICTサービス管理(B2B) | MSP、MSSP |
| 行政 | 中央政府機関 |
| 宇宙 | 地上インフラ運営者 |
| セクター | 例 |
|---|---|
| 郵便・宅配サービス | 郵便サービスプロバイダー |
| 廃棄物管理 | 収集、運搬、処理 |
| 化学品製造 | 生産、流通 |
| 食品生産 | 加工、流通(大規模) |
| 製造業 | 医療機器、電子機器、機械、車両 |
| デジタルプロバイダー | マーケットプレイス、検索エンジン、ソーシャルネットワーク |
| 研究 | 重大な影響を持つ研究機関 |
特定の事業体は規模に関係なく対象となります:適格トラストサービスプロバイダー、TLDレジストリ、DNSプロバイダー、電気通信プロバイダー、行政、重要サービスの唯一のプロバイダー。
| 側面 | 重要事業体(Essential) | 重要事業体(Important) |
|---|---|---|
| 監督 | 予防的(事前) | 事後的(事後) |
| 最大罰金 | 1,000万ユーロまたはグローバル売上高の2% | 700万ユーロまたはグローバル売上高の1.4% |
| 監査 | 定期的、義務的 | コンプライアンス違反の証拠がある場合 |
| セキュリティ要件 | 同一 | 同一 |
セキュリティ義務は両方のティアで同一です。違いは監督の強度と罰金の上限のみにあります。
| 期限 | 要件 | 目的 |
|---|---|---|
| 24時間 | CSIRTへの早期警告 | 重大インシデントの発生を通知 |
| 72時間 | 評価を含むインシデント通知 | 重大度、影響、侵害指標 |
| 1ヶ月 | 最終報告 | 根本原因分析、影響、緩和措置 |
第20条は経営陣にサイバーセキュリティ対策の承認、トレーニングの受講、個人的な責任を負うことを要求しています。ドイツのNIS2UmsuCGでは、経営幹部は個人的な罰金と経営職からの一時的な停職に直面します。この責任は完全に委任することはできません。
罰金に加えて、当局は拘束力のある指示を発行し、活動の停止を命じ、コンプライアンス違反の公開開示を要求し、認証を一時停止し、重要事業体については責任者の経営機能の一時的な禁止を行うことができます。
売上高10億ユーロの企業の場合、Essential事業体の最大罰金は2,000万ユーロです。D&O保険のカバレッジギャップを確認すべきです — 個人的な責任は完全に保険でカバーすることはできません。
| 日付 | マイルストーン |
|---|---|
| 2022年12月27日 | NIS2がEU官報に掲載 |
| 2023年1月16日 | NIS2発効 |
| 2024年10月17日 | 全加盟国の移行期限 |
| 2025年12月5日 | ドイツ:NIS2UmsuCG施行 |
| 2026年3月6日 | ドイツ:BSI登録期限 |
| 2027年10月17日 | 欧州委員会がNIS2の機能を見直し |
ISO 27001は強固な基盤を提供しますが、NIS2は特定の要件を追加します:義務的なインシデント報告タイムライン(24時間/72時間/1ヶ月)、経営陣の個人的責任、および詳細なサプライチェーンセキュリティ義務。認証だけではコンプライアンスを保証しません。
KENSAIは外部の攻撃対象面 — ドメイン、サブドメイン、IP、クラウドサービス、公開API — を継続的にスキャンし、NIS2の対象範囲に対して資産をマッピングします。保護すべき対象のリアルタイムインベントリ。
332,000以上のCVEにより、KENSAIは既知の脆弱性を特定し、NIS2要件と相関させます。各検出結果はCVSSスコア、NIS2関連性、脅威インテリジェンスに基づく修正の緊急度で優先順位付けされます。
AIがセキュリティ体制をすべての第21条要件に対してマッピング:コンプライアンススコア、ギャップレポート、優先順位付けされた修正、規制当局や監査人に適したエビデンス文書。
サプライヤーの外部インフラをスキャンして、公開サービス、脆弱性、証明書の問題、DNS設定ミス、データ侵害履歴を特定 — NIS2が求めるサプライチェーンの可視性。
スターター:月額990ユーロ — NIS2対象範囲に入る中規模企業向け。プロフェッショナル:月額1,490ユーロ — 複雑なインフラとサプライチェーン向け。エンタープライズ:月額2,490ユーロ — 専任サポート付きフルスコープコンプライアンス自動化。
元のNIS指令を置き換えるEUの更新されたサイバーセキュリティ規制(指令(EU) 2022/2555)。18の重要セクターにわたって義務的なリスク管理対策、インシデント報告、サプライチェーンセキュリティ要件を確立します。
18の指定セクターの中規模企業(従業員50人以上または売上高1,000万ユーロ以上)または大企業(従業員250人以上または売上高5,000万ユーロ以上)の基準を満たす組織。DNSプロバイダーや電気通信事業者などの特定の事業体は規模に関係なく対象となります。
Essential事業体:最大1,000万ユーロまたはグローバル売上高の2%。Important事業体:最大700万ユーロまたはグローバル売上高の1.4%。加えて拘束力のある指示、公開開示、認証の一時停止、経営陣の個人的責任。
3段階:24時間以内の早期警告、72時間以内のインシデント通知、1ヶ月以内の最終報告。
第20条は取締役会にサイバーセキュリティ対策の承認、トレーニングの受講、個人的な責任を負うことを要求しています。ドイツの法律では、経営幹部は個人的な罰金と潜在的な一時的停職に直面します。
一般的にはいいえ(従業員50人未満/売上高1,000万ユーロ未満は除外)。トラストサービスプロバイダー、TLDレジストリ、DNSプロバイダー、電気通信事業者には例外があります。
大きな重複がありますが、NIS2は義務的なインシデント報告タイムライン、経営陣の個人的責任、詳細なサプライチェーン要件を追加しています。ISO 27001認証だけではNIS2コンプライアンスを保証しません。
NIS2はネットワーク/システムセキュリティに焦点を当て、GDPRは個人データ保護に焦点を当てています — サイバーインシデントには両方が適用される場合があります。DORAは特別法の原則に基づき金融事業体に優先されます。
本ガイドは情報提供を目的としており、法的助言を構成するものではありません。具体的なNIS2義務については、適格な法律およびサイバーセキュリティの専門家にご相談ください。
セキュリティはオプションではありません。
🗡️ KENSAIチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →