欧州NIS指令が医療規制対応にもたらすインパクト：海外医療技術トレンド（33）（1/3 ページ）

NIS指令に基づくEU加盟国のセキュリティ法整備が進む2018年

　「ネットワーク・情報システムのセキュリティに関する指令（NIS指令）」（関連情報）は、EU全域に渡るネットワーク・情報システム全体のセキュリティとレジリエンス（障害許容力）のレベルを向上させることを目的として、2016年5月17日にEU理事会で採択され、翌月の欧州議会による採択を経て、同年8月に発効した。現在、EU各加盟国は、2018年5月9日を期限として、NIS指令に準拠した国内法制の整備を進めている。

　図1は、欧州ネットワーク・情報セキュリティ機関（ENISA）が、2017年3月25日に公表した報告書「NIS標準化におけるギャップ - EU標準化政策におけるNIS向上のための提言」（関連情報）の中で、NIS指令がカバーするサイバーセキュリティの全体像を可視化したしたものである。

図1　NIS指令の焦点（クリックで拡大） 出典：ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy」（2017年3月15日）

　ENISAは、以下の6つの質問に答える形で、NIS指令に関連する要素技術をまとめている。

1. サイバーセキュリティとは何か
2. 誰または何が影響を受けるのか
3. どんな対策が保護を可能にするか
4. どんな手段が脅威の検知を可能にするか
5. どんな対策が阻止およびその他の救済策を可能にするか
6. どんな法的救済策が存在するか

　図2は、同じ報告書の中で、NIS指令に関連するステークホルダーを整理したものである。

図2　NIS指令のステークホルダー（クリックで拡大） 出典：ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy□」（2017年3月15日）

　NIS指令に関わる産業セクターのステークホルダーで注目されるのが、重要サービスオペレーター（OES：Operator of Essential Services）とデジタルサービスプロバイダー（DSP：Digital Service Provider）だ。

　OESは、エネルギー（電力、石油、ガス）、運輸（空運、鉄道、海運、陸運）、銀行、金融市場インフラストラクチャ、医療（病院、診療所）、飲料水供給・配送、デジタルインフラストラクチャ（ドメインネームサービス（DNS）プロバイダー、インターネットエクスチェンジ（IXP）、トップレベルドメイン（TLD）レジストリ）のセクターに属し、ネットワーク・情報システムを利用する公的および民間主体で、以下のような要件に該当する事業者である。

• 主体は、重要な社会・経済活動の維持に不可欠なサービスを提供する
• そのサービスの提供は、ネットワーク・情報システムに依存する
• インシデントが、そのサービスの供給に破壊的影響を及ぼす

　他方、DSPは、デジタルサービスを提供する法人のうち、オンラインマーケットプレース、オンライン検索エンジン、クラウドコンピューティングサービスの3つが該当する。

　なお、零細・小規模企業は、NIS指令の適用対象外となっている。