　「ネットワーク・情報システムのセキュリティに関する指令（NIS指令）」（関連情報）は、EU全域に渡るネットワーク・情報システム全体のセキュリティとレジリエンス（障害許容力）のレベルを向上させることを目的として、2016年5月17日にEU理事会で採択され、翌月の欧州議会による採択を経て、同年8月に発効した。現在、EU各加盟国は、2018年5月9日を期限として、NIS指令に準拠した国内法制の整備を進めている。

　図1は、欧州ネットワーク・情報セキュリティ機関（ENISA）が、2017年3月25日に公表した報告書「NIS標準化におけるギャップ - EU標準化政策におけるNIS向上のための提言」（関連情報）の中で、NIS指令がカバーするサイバーセキュリティの全体像を可視化したしたものである。

図1　NIS指令の焦点（クリックで拡大）出典：ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy」（2017年3月15日）

　ENISAは、以下の6つの質問に答える形で、NIS指令に関連する要素技術をまとめている。

サイバーセキュリティとは何か
誰または何が影響を受けるのか
どんな対策が保護を可能にするか
どんな手段が脅威の検知を可能にするか
どんな対策が阻止およびその他の救済策を可能にするか
どんな法的救済策が存在するか

　図2は、同じ報告書の中で、NIS指令に関連するステークホルダーを整理したものである。

図2　NIS指令のステークホルダー（クリックで拡大）出典：ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy□」（2017年3月15日）

　NIS指令に関わる産業セクターのステークホルダーで注目されるのが、重要サービスオペレーター（OES：Operator of Essential Services）とデジタルサービスプロバイダー（DSP：Digital Service Provider）だ。

　OESは、エネルギー（電力、石油、ガス）、運輸（空運、鉄道、海運、陸運）、銀行、金融市場インフラストラクチャ、医療（病院、診療所）、飲料水供給・配送、デジタルインフラストラクチャ（ドメインネームサービス（DNS）プロバイダー、インターネットエクスチェンジ（IXP）、トップレベルドメイン（TLD）レジストリ）のセクターに属し、ネットワーク・情報システムを利用する公的および民間主体で、以下のような要件に該当する事業者である。