NIS指令でも、クラウドコンピューティングサービスのプロバイダーや、オンラインマーケットプレイス、検索エンジンが適用対象となっているものの、その規則と執行はインシデントが発生した後にのみ適用され、従業員数が50人未満の企業や年間売上高が1000万ユーロ未満の企業は除外対象になっている点から、規制はより緩いものと言える。
NIS指令に関するパブリックコンサルテーションによると、SaaSは除外するべきだという意見が多く出されたものの、英政府は「SaaSプロバイダーは英経済において重要な役割を演じており、彼らが自社のネットワークや情報システムのセキュリティを保証する責任を負うのは適切だ」という回答が記されている。
英政府は、クラウドコンピューティングサービスを、スケーラビリティと柔軟性を有した、共有可能な物理リソースや仮想リソース(IaaSやPaaS、SaaSを含む)のプールに対するアクセスを可能にするものと定義している。しかしこれには、ユーザーに対するリソースがスケーラビリティを有していないという理由で、ほとんどのオンラインゲームサービスや、エンターテインメントサービス、VoIPサービスは含まれていない。一方、ユーザーに対するリソースにスケーラビリティがある、電子メールプロバイダーやオンラインストレージプロバイダーなどが提供するサービスは含まれる可能性がある。
5月に英国法の一部に組み込まれる予定のNIS指令は欧州で生まれたものだが、英国のEU離脱(いわゆるブレグジット)によって英国内での影響力が失われる可能性はなさそうだ。英政府は、EUからの離脱後もこれらの規制は英国で適用され続けると述べている。
英国家サイバーセキュリティセンター(NCSC)は、組織による準拠を促すためにセキュリティ対策の詳しいガイダンスを発表している。
クラウドサービスの利用が増えるとともに、こういったサービスに重大な障害が発生した際に引き起こされる問題への懸念も大きくなりつつある。保険市場のLloyd's of Londonが最近発表したレポートでは、大手クラウドコンピューティングプロバイダー1社のサービスが長時間停止した場合、顧客の損害が莫大な金額となり得ることが示されており、経済が少数のプロバイダーに依存している現状を表したものともなっている。同レポートは、米国の大手クラウドプロバイダーが3〜6日オフラインになれば業界に150億ドル(約1.6兆円)の損害が発生する可能性もあると警告している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
