欧州議会、EU議長国ルクセンブルク、欧州委員会の3者は7日、EU全体でサイバーセキュリティ対策を強化することを目的とした「ネットワークと情報セキュリティに関する(NIS)指令(案)」の内容で合意した。域内で活動するエネルギーや金融サービスといった重要セクターの大手企業やインターネット関連企業に対し、十分なセキュリティ対策を講じると共に、情報漏えいやシステム障害など重大な問題が発生した場合、当局への報告を義務づけるという内容。欧州議会と閣僚理事会の正式な承認を経て新ルールが導入される。
NIS指令は欧州委員会が2013年2月、巧妙化するサイバー犯罪に対応するための優先課題をまとめた「サイバーセキュリティ戦略」と併せて提案したもの。EUが一体となって情報ネットワークのセキュリティを強化し、安全で信頼性の高いデジタル環境を確保することで、インターネットを基盤とするデジタル経済の成長促進を図ることを目的としている。
現行ルールはハッカーによるネットワークへの不正アクセスなどの重大インシデントが発生した場合、通信事業者に対して当局への通報を義務づけている。これに対し、新指令はエネルギー、金融サービス、運輸、医療など、ネットワークセキュリティが決定的な意味を持つセクターの大企業に加え、グーグル、アマゾン、イーベイといったインターネット関連企業を対象に、ネットセキュリティの強化と重大な問題が発生した際の報告を義務づける内容になっている。ただし、フェイスブックをはじめとするソーシャルネットワークは対象に含まれていない。
新指令にはこのほか◇欧州ネットワーク情報セキュリティ機関(ENISA)を中心に、EU各国の専門機関が連携を強化し、リスクや重大インシデントに関する情報やベストプラクティスを共有する◇各国に設置されたコンピュータセキュリティの緊急対応チームによるネットワークを形成し、国境をまたいだサイバー攻撃や重大インシデントに共同で対応する――などが盛り込まれている。
