EUサイバーセキュリティ規制の「NIS2」と「CRA」が日本企業に与える影響と対応策

　「世界をリードするEU（欧州連合）のサイバーセキュリティ規制は、日本企業にも大きな影響を及ぼす。いち早く柔軟に対応するためには、その特徴や動向を把握し、先手を打っていくことが肝要だ」--。ドイツ機械工業連盟（VDMA）で産業セキュリティ・コンピテンス・センター長を務めるシュテファン・ツィメルマン氏は、こう指摘する（写真1）。

写真1：ドイツ機械工業連盟（VDMA）産業セキュリティ・コンピテンス・センター長のシュテファン・ツィメルマン（Steffen Zimmermann）氏

企業・組織対象のNIS2と製品対象のCRAは補完関係にある

　欧州市場に製品を流通させる企業にとって、EU規制の中心にある「NIS2指令（改正ネットワーク及び情報システム指令）」と「CRA（EUサイバーレジリエンス法）」は避けては通れない二大規制だ。ツィメルマン氏は「両者は対象範囲が明確に分かれており、相互に補完し合う関係にある」と説明する（図1）。

図1：「NIS2指令（改正ネットワーク及び情報システム指令）」と「CRA（EUサイバーレジリエンス法）」は補完関係にある

　NIS2指令は「企業・組織のサイバーセキュリティ体制を律する指令である。エネルギーや交通、医療といった重要インフラに加え、製造業を含む広範な産業分野の企業に対し、リスク管理体制の整備や迅速なインシデント対応を求めている」（ツィメルマン氏）

　そのNIS2は“指令（Directive）”であるためEU加盟各国の国内法として施行される。「ドイツでは2025年12月に国内法化が完了した。だが、フランスやスペインなど未整備の国もあり、各国の動向には注意が必要だ」とツィメルマン氏は指摘する。

　一方のCRAはデジタル要素を含む製品そのものを対象とした“規則（Regulation）”だ。ツィメルマン氏は「2027年12月に全面適用が予定されており、ソフトウェアやハードウェアの設計段階から脆弱性対策を組み込むことが製造業者に義務付けられる。CRAは国内法化を待たず、EU全域で直接適用される点がNIS2との大きな違いだ」と説明する。

NIS2ではコンプライアンスが、CRAでは“単体”対応が山場に

　NIS2の第21条は、企業・組織が遵守すべきサイバーセキュリティリスク管理のための措置を義務として定めている。対象はインシデント対応やBCP（Business Continuity Plan：事業継続計画）、サプライチェーンセキュリティ、資産管理など10項目に及ぶ（図2）。

図2：NIS2第21条に基づくサイバーセキュリティリスク管理措置

　ツィメルマン氏は「NIS2はリスクベースのアプローチを採用している。機械メーカーと原子力発電所では抱えるリスクが異なるだけに、求められる対策は一律ではない。自社の状況に応じた適切な実装が求められる」と語る。「重大なインシデントが発生した際の24時間以内の報告義務や、経営幹部に対する教育の義務化など、経営レベルの責任が明確化されている点も特徴だ」（同）

　NIS2により機械産業だけで3600社以上が影響を受けると予測されている。「多くの企業が初期段階の国家当局への登録手続きなどに負担を感じている。だが、そこさえクリアできれば、あとは具体的な対策の実装に集中できる。コンプライアンス対応という最も難しい山場を早期に乗り越えるべきだ」とツィメルマン氏は助言する。