リサーチ 2026年2月24日 18分で読めます

NIS2コンプライアンス:欧州企業のための完全ガイド

ドイツのNIS2移行法は2025年12月5日に施行されました。BSI登録期限は2026年3月に到来します。本ガイドではCISO、IT責任者、コンプライアンス担当者が知っておくべきすべてを網羅します:対象者、義務の内容、罰則の概要、実践的なコンプライアンスロードマップの構築方法。

160K+
EU対象事業体
€10M
最大罰金
18
対象セクター
24時間
インシデント報告

NIS2指令とは?

ℹ️ 背景

NIS2指令(指令(EU) 2022/2555)は、範囲と執行が不十分であると広く認識されていた2016年の元のNIS指令を置き換えるものです。NIS1の約10,000事業体から、EU全域で推定160,000以上の事業体に対象を劇的に拡大しています。

NIS2は3つの根本的な弱点に対処するために設計されました:加盟国間での不一致な移行、狭いセクターのみを対象とする限定的な範囲、変革を促すには低すぎる罰則による弱い執行

ドイツでは、NIS2UmsuCG(NIS2実装・サイバーセキュリティ強化法)が2025年12月5日に施行されました。BSIが指定監督当局であり、登録期限は2026年3月6日から始まります。


NIS2の対象者は?

NIS2は指定ベースのアプローチから規模基準メカニズムに移行しました。組織はセクターと規模の基準を満たす場合、自動的に対象範囲に含まれます。

附属書I — 高度に重要なセクター(11セクター)

セクター
エネルギー電力、石油、ガス、水素、地域暖房
運輸航空、鉄道、水運、道路運輸
銀行信用機関
金融市場インフラ取引所、中央清算機関
医療病院、検査機関、製薬、医療機器
飲料水供給・配水
排水収集、処理、処分
デジタルインフラIXP、DNS、TLDレジストリ、クラウド、データセンター、CDN
ICTサービス管理(B2B)MSP、MSSP
行政中央政府機関
宇宙地上インフラ運営者

附属書II — その他の重要セクター(7セクター)

セクター
郵便・宅配サービス郵便サービスプロバイダー
廃棄物管理収集、運搬、処理
化学品製造生産、流通
食品生産加工、流通(大規模)
製造業医療機器、電子機器、機械、車両
デジタルプロバイダーマーケットプレイス、検索エンジン、ソーシャルネットワーク
研究重大な影響を持つ研究機関

規模基準

⚠️ 規模に関係なく対象となる事業体

特定の事業体は規模に関係なく対象となります:適格トラストサービスプロバイダー、TLDレジストリ、DNSプロバイダー、電気通信プロバイダー、行政、重要サービスの唯一のプロバイダー。


重要事業体(Essential)vs 重要事業体(Important)

側面重要事業体(Essential)重要事業体(Important)
監督予防的(事前)事後的(事後)
最大罰金1,000万ユーロまたはグローバル売上高の2%700万ユーロまたはグローバル売上高の1.4%
監査定期的、義務的コンプライアンス違反の証拠がある場合
セキュリティ要件同一同一

重要な洞察

セキュリティ義務は両方のティアで同一です。違いは監督の強度と罰金の上限のみにあります。


NIS2の主要要件(第21条)

10の義務的要件

インシデント報告タイムライン

期限要件目的
24時間CSIRTへの早期警告重大インシデントの発生を通知
72時間評価を含むインシデント通知重大度、影響、侵害指標
1ヶ月最終報告根本原因分析、影響、緩和措置

⚠️ 取締役会レベルの個人的責任

第20条は経営陣にサイバーセキュリティ対策の承認トレーニングの受講個人的な責任を負うことを要求しています。ドイツのNIS2UmsuCGでは、経営幹部は個人的な罰金と経営職からの一時的な停職に直面します。この責任は完全に委任することはできません


NIS2の罰則と執行

€10M
Essential事業体の罰金
2%
グローバル売上高に対して
€7M
Important事業体の罰金
1.4%
グローバル売上高に対して

罰金に加えて、当局は拘束力のある指示を発行し、活動の停止を命じ、コンプライアンス違反の公開開示を要求し、認証を一時停止し、重要事業体については責任者の経営機能の一時的な禁止を行うことができます。

⚠️ サイバーセキュリティにGDPR級の罰則

売上高10億ユーロの企業の場合、Essential事業体の最大罰金は2,000万ユーロです。D&O保険のカバレッジギャップを確認すべきです — 個人的な責任は完全に保険でカバーすることはできません。


NIS2タイムライン:重要な日程

日付マイルストーン
2022年12月27日NIS2がEU官報に掲載
2023年1月16日NIS2発効
2024年10月17日全加盟国の移行期限
2025年12月5日ドイツ:NIS2UmsuCG施行
2026年3月6日ドイツ:BSI登録期限
2027年10月17日欧州委員会がNIS2の機能を見直し

BSI期限が迫っています

2026年3月の登録まであと数週間。登録前にコンプライアンスのギャップを特定してください。

無料NIS2スキャンを開始 →

NIS2コンプライアンスのステップバイステップ

10ステップのコンプライアンスロードマップ

ℹ️ ISO 27001 ≠ NIS2コンプライアンス

ISO 27001は強固な基盤を提供しますが、NIS2は特定の要件を追加します:義務的なインシデント報告タイムライン(24時間/72時間/1ヶ月)、経営陣の個人的責任、および詳細なサプライチェーンセキュリティ義務。認証だけではコンプライアンスを保証しません。


KENSAIによるNIS2コンプライアンスの自動化

自動攻撃対象面発見

KENSAIは外部の攻撃対象面 — ドメイン、サブドメイン、IP、クラウドサービス、公開API — を継続的にスキャンし、NIS2の対象範囲に対して資産をマッピングします。保護すべき対象のリアルタイムインベントリ。

CVEベースの脆弱性マッピング

332,000以上のCVEにより、KENSAIは既知の脆弱性を特定し、NIS2要件と相関させます。各検出結果はCVSSスコア、NIS2関連性、脅威インテリジェンスに基づく修正の緊急度で優先順位付けされます。

NIS2コンプライアンスギャップ分析

AIがセキュリティ体制をすべての第21条要件に対してマッピング:コンプライアンススコアギャップレポート優先順位付けされた修正、規制当局や監査人に適したエビデンス文書

サプライチェーンリスクの可視性

サプライヤーの外部インフラをスキャンして、公開サービス、脆弱性、証明書の問題、DNS設定ミス、データ侵害履歴を特定 — NIS2が求めるサプライチェーンの可視性。

NIS2コンプライアンスの価格

スターター:月額990ユーロ — NIS2対象範囲に入る中規模企業向け。プロフェッショナル:月額1,490ユーロ — 複雑なインフラとサプライチェーン向け。エンタープライズ:月額2,490ユーロ — 専任サポート付きフルスコープコンプライアンス自動化。


よくある質問:NIS2コンプライアンス

NIS2指令とは何ですか?

元のNIS指令を置き換えるEUの更新されたサイバーセキュリティ規制(指令(EU) 2022/2555)。18の重要セクターにわたって義務的なリスク管理対策、インシデント報告、サプライチェーンセキュリティ要件を確立します。

対象者は?

18の指定セクターの中規模企業(従業員50人以上または売上高1,000万ユーロ以上)または大企業(従業員250人以上または売上高5,000万ユーロ以上)の基準を満たす組織。DNSプロバイダーや電気通信事業者などの特定の事業体は規模に関係なく対象となります。

罰則は?

Essential事業体:最大1,000万ユーロまたはグローバル売上高の2%。Important事業体:最大700万ユーロまたはグローバル売上高の1.4%。加えて拘束力のある指示、公開開示、認証の一時停止、経営陣の個人的責任。

インシデント報告要件は?

3段階:24時間以内の早期警告、72時間以内のインシデント通知、1ヶ月以内の最終報告。

NIS2は取締役会メンバーにどのような影響がありますか?

第20条は取締役会にサイバーセキュリティ対策の承認、トレーニングの受講、個人的な責任を負うことを要求しています。ドイツの法律では、経営幹部は個人的な罰金と潜在的な一時的停職に直面します。

NIS2は中小企業に適用されますか?

一般的にはいいえ(従業員50人未満/売上高1,000万ユーロ未満は除外)。トラストサービスプロバイダー、TLDレジストリ、DNSプロバイダー、電気通信事業者には例外があります。

NIS2とISO 27001の関係は?

大きな重複がありますが、NIS2は義務的なインシデント報告タイムライン、経営陣の個人的責任、詳細なサプライチェーン要件を追加しています。ISO 27001認証だけではNIS2コンプライアンスを保証しません。

NIS2はGDPRやDORAとどのように関係しますか?

NIS2はネットワーク/システムセキュリティに焦点を当て、GDPRは個人データ保護に焦点を当てています — サイバーインシデントには両方が適用される場合があります。DORAは特別法の原則に基づき金融事業体に優先されます。


本ガイドは情報提供を目的としており、法的助言を構成するものではありません。具体的なNIS2義務については、適格な法律およびサイバーセキュリティの専門家にご相談ください。

NIS2コンプライアンスの旅を始めましょう

数分でコンプライアンスのギャップを確認。NIS2、DSGVO、DORAマッピングを内蔵したAI搭載スキャン。

無料スキャンを開始 →

セキュリティはオプションではありません。

🗡️ KENSAIチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home