イギリスのデジタル・文化・メディア・スポーツ省が、2018年5月からの欧州連合（EU）のNIS命令（Network and Information System Directive）の内容を決めるため、8月8日、専門家からの意見募集を開始した。

イギリスの電力、輸送、水道、エネルギー、医療など公共性の高い社会基盤サービス提供事業者が、サイバー攻撃に対する十分な対策を打たぬままサイバー攻撃の被害に遭った場合、最大1700万ユーロまたは売上（グローバル）の4%に当たる罰金を課す案が示されている。

インフラ（社会基盤）サービス事業者は、サイバー攻撃のリスクを理解し、管理するための戦略を立案し、従業員の訓練を含め、攻撃やシステム故障を防ぐための手段を講じることが求められるようになる。インシデント発生時には、対策の実施だけでなく、迅速な報告も義務づけられる。

現在はサイバー攻撃を受けていても、個人情報の漏洩などがなければ、公表や報告の必要性を感じない組織が少なくない。罰金というペナルティを課すことで、対策を打つことに経済的な合理性を持たせるということであろう。実際にサイバー攻撃の攻撃者を縄で補足することはできなくても、泥棒を捕えるために縄を準備させておくには有効な手段かもしれない。

【参考情報】
New fines for essential service operators with poor cyber security