金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係

はじめに

2025年1月17日に、欧州の金融セクターのデジタルレジリエンスとサイバーセキュリティについて定めたDigital Operational Resilience Act (DORA)¹が施行されました。一方、銀行業などの金融セクターは欧州の重要インフラ事業体を対象としたサイバーセキュリティ法令Network and Information Systems Directive（NIS指令）の改訂版であるNIS2指令の対象でもあります。いずれの法令も対象組織のサイバーセキュリティリスク管理などについて規制していますが、金融セクターはどちらの法令に対応すればよいのでしょうか。欧州におけるデジタル関連規制が急速に発展する中で、このような法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。本稿では、金融セクターを事例としてこのような課題へのアプローチを解説します。まず、NIS2指令²のような複数の対象セクターを含む横断的な法令とDORAのような金融等の個別セクターに関する法令であるセクター特別（sector specific）法の関係について整理します。その上で、NIS2指令とDORAの関係を分析し、金融セクターに求められる推奨事項を紹介します。

NIS2指令とセクター特別法の関係

同様の規制内容についてセクター横断的な法令とセクター固有の法令が存在する場合、DORAのようなセクター固有の法令はセクター特別法に該当します。NIS2指令では、特別法がNIS2指令と同等以上のサイバーセキュリティリスク管理措置と重大なインシデント報告に関する要件を義務付けているのであれば、これらの要件について当該特別法の対象はNIS2指令に基づく監督や執行を受けないとしています。つまり、これらの要件についてはセクター特別法に対する準拠で充足できると考えられます。

NIS2指令におけるサイバーセキュリティリスク管理措置と重大なインシデント報告に関する要件と、セクター特別法の該当要件の同等性については、欧州委員会のNIS2指令に関するガイドラインにおいてより具体的に定義されています³。まず、セクター特別法の特定要件とNIS2指令におけるサイバーセキュリティリスク管理措置が同等であるためには、以下のポイントを満たす必要があると理解されます。

NIS2指令上の重要インフラ事業体を対象としている。
事業またはサービスの提供に使用するネットワークおよび情報システムに対するセキュリティリスクについて適切かつ均整のとれた技術的、運用的、および組織的措置が実施されることを確保するものである。
最低限NIS2指令の第21条(2)で規定される内容を含む（図表1参照）。

つまり、サイバーセキュリティリスク管理措置要件の同等性の評価においては、要件の目的がネットワークおよび情報システムにおけるセキュリティの確保であり、少なくともNIS2指令の第21条(2)で規定される内容がカバーされているかが問題となります（図表1参照）。

次に、セクター特別法のインシデント報告要件の同等性を評価する上では、報告すべきインシデント、期限、報告に含めるべき情報などの観点からNIS2指令第23条と実質的に同等以上の要件を課しているかが問題となります。23条では報告対象となる重大なインシデントは、重要インフラ事業者に重大なサービス業務の中断ないし経済的損失を引き起こすかその可能性がある、あるいは、相当な物質的ないし非物質的な損害を引き起こして他の自然人ないし法人に影響を及ぼすかその可能性があるものと定義されます。重要インフラ事業者はこのような重大なインシデントが自組織において発生したと判断してから24時間以内に管轄国が定める当局に対する初期通知を、72時間以内にインシデント通知を行うことが義務付けられており、インシデント影響範囲、対応状況、原因などを報告することが求められます。

NIS2指令とDORAの関係

上記を踏まえてNIS2指令とDORAにおける要件の同等性を分析すると、サイバーセキュリティリスク管理措置と重大なインシデント報告に関する要件についてDORAはNIS2指令に対して同等以上の内容を定めていると理解されます。前述の欧州委員会のNIS2指令に関するガイドラインにおいても、金融セクターのサイバーセキュリティリスク管理措置と重大なインシデント報告についてはDORAの適用が優先されることが確認できます。ただし、DORAの要件の同等性は、各要件に対応した規制技術基準（RTS）や実施技術基準（ITS）などの下位文書も含めて判断する必要がある点に留意ください。

図表1：NIS2指令とDORAの関係

金融セクターへの推奨事項

欧州でサービスを提供する金融セクターの事業者は、サイバーセキュリティリスク管理措置と重大なインシデント報告の要件についてはDORAの要求を満たす必要があります。ただし、NIS2指令を受けて加盟各国で整備された法律も同時に適用されることに注意が必要です。これらの規制内容を理解した上で、DORAの要件がNIS2指令に対して優先される範囲を把握し、その両方に対応することが求められます。このような対応を行う上で、金融セクターの事業者はDORAや前述のRTSなどの下位文書の内容把握と対応を進めつつ、2025年3月現在も継続している、加盟各国におけるNIS2指令の国内法化プロセスなどのより広い範囲の法令動向をモニタリングして自組織に対する影響を評価することが推奨されます。

¹ REGULATION (EU) 2022/2554 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011、2025年1月21日閲覧、https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=FR

² Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive)、2025年1月21日閲覧、https://eur-lex.europa.eu/eli/dir/2022/2555

³ European Commission, Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive) 、2025年1月21日閲覧、https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive