NIS2の要件に準拠するには
EU の最新のネットワーク・情報システムの安全に関する指令(NIS2)が施行され、必要不可欠なサービスおよび重要インフラストラクチャ部門のサイバーセキュリティ義務が大幅に強化されました。デジタル環境の相互接続がますます複雑化する今日において、組織のセキュリティとレジリエンスが維持され、進化し続けるサイバーセキュリティ規制に準拠していることを確実にする必要があります。
EU NIS2 指令とは何か?
ネットワーク・情報システムの安全に関する指令 2(NIS2)は、必要不可欠なサービスおよび重要インフラストラクチャのサイバーセキュリティを強化する EU の規制です。当初の NIS 指令の範囲を拡大し、エネルギー、医療、金融などのセクターにサイバーリスクを管理、軽減することを義務付けます。
NIS2 はセキュリティ対策、インシデント対応手続き、国家当局との連携の堅牢化によって、サイバー脅威に対するレジリエンスを保証し、業界全体で基幹事業を保護することを義務付けています。
NIS2対応準備はできていますか?
EUのNIS2指令に準拠するための対応には、多くの重要な課題が伴います。
- 重要インフラやデジタルサービス全体にわたって、サイバーリスクを効果的に管理するにはどうすればいいのか?
- NIS2の要件を満たすために、インシデント対応力と報告体制をどのように強化すべきか?
- NIS2に沿って、サイバーセキュリティリスクに対する説明責任と監督を確保するために、企業のガバナンス構造をどのように進化させるべきか?
- NIS2 や デジタルオペレーショナルレジリエンス法(DORA)などの他の規制に準拠するために、どこで最先端テクノロジーを活用できるのか?
NIS2 の要件と、そのコンプライアンス対応
NIS2指令は、特に重要インフラ事業者に対して、サイバーセキュリティ要件の水準を大幅に引き上げています。
この指令では、より厳格なセキュリティ対策の実施が義務付けられており、サイバーセキュリティインシデントを検知後24時間以内に報告することが求められます。そのため、迅速かつ効果的な対応が極めて重要となります。
その準備のためのポイントを説明します。
暗号技術と暗号化の強化
NIS2では、機密情報を保護するための暗号技術の活用が重視されています。これには、保存中および送信中の重要なデータが業界標準に基づいて暗号化されていることを確保することが含まれます。
- 公開鍵基盤(PKI):安全な通信を実現し、ユーザーやデバイスの真正性を検証する
- デジタル証明書:証明書を活用し、安全なデータ交換と検証を可能にする
- データ暗号化:保存時および送信時の機密データを強力な暗号化で保護する
強力な認証メカニズムの導入
組織は、NIS2の厳格なセキュリティ要件に準拠するために、包括的な認証プロセスを採用する必要があります。これにより、機密性の高いシステムやデータにアクセスできるのは、認可されたユーザーのみに限定されます。
- 多要素認証(MFA):多要素認証を施行して、アカウントのセキュリティを高める
- ロールベースアクセス制御(RBAC):ロールベースのアクセス制御を使用して、重要なシステムへのアクセスを制限する
- 強力なパスワード:セキュリティの高いパスワードポリシーを策定して施行し、不正アクセスを防止する
定期的なリスク評価、監査、セキュリティ計画の実施
NIS2では、継続的な評価、セキュリティ監査、最新のセキュリティ計画の維持を通じて、組織が積極的にリスクを管理・軽減することが義務付けられています。
- リスク評価:潜在的なセキュリティ上の脆弱性やリスクを定期的に特定する
- インシデント報告:義務付けられている 24 時間以内のインシデント報告を確実に行う
- インシデント対応計画:セキュリティ脅威に迅速に対応するための計画を策定、テスト、更新する
- 監査および訓練:定期的に監査を実施し、セキュリティ訓練を実行して、対応力を評価する
コンプライアンス違反による罰則を回避
NIS2 を遵守しない場合は、深刻な財務的罰則や評判の失墜につながる可能性があります。組織はこのような結果を回避するために、能動的に基準に適合する必要があります。
- 罰金:NIS2 要件への不適合の場合には、最大 1,000 万ユーロまたは世界年間売上高の 2 パーセントという非常に多額の罰金が科せられる
- 評判への影響:コンプライアンス違反の公表で顧客の信頼とブランドイメージを損なう可能性がある
組織でNIS2のコンプライアンス要件を満たすには
NIS2 コンプライアンスを達成するには、次の手順に従うことをお勧めします。
リスクを評価し、計画を策定
IT システムと情報システムを徹底的に評価し、脆弱性を特定します。堅牢なリスク管理計画、事業継続性戦略、および災害復旧戦略を策定し、潜在的な脅威に効果的に対応できることを確実にします。
- IT/情報システムの評価:現在のシステムにおける脆弱性とリスクを特定
- リスク管理計画の策定:リスク軽減のための戦略を要約
- 事業継続計画(BCP):事業が停止している間に基本的な機能を維持させるための計画
- 災害復旧計画:壊滅的な事象から回復するための戦略を導入
従業員の研修
セキュリティ意識の高い文化を醸成するには、サイバーセキュリティのベストプラクティスと NIS2 コンプライアンスに関する従業員のトレーニングが必要です。従業員の理解を高めるには、関連するコースを学習できるようにします。詳細については、 NAVEX コンプライアンストレーニングぺージをご覧ください。
- サイバーセキュリティ意識向上トレーニング:脅威の識別と安全な運用を目的とした定期的なセッションを実施
- NIS2コンプライアンストレーニング:NIS2の要件に特化した研修コースを実施
インシデントを管理して報告
サイバーセキュリティインシデントと潜在的な攻撃に対応するためのインシデント管理計画を策定します。報告手続き、期限、内容に関する要件など、明確な手順を提示して、従業員がインシデントを報告できるようにします。
- インシデント管理計画:インシデントの検知と対応に関する手順を整備
- サイバーインシデント対応計画:サイバー攻撃への対応戦略を策定
- 報告の促進:従業員による迅速なインシデント報告を促進する企業文化を醸成
サプライチェーンのセキュリティを強化
サプライチェーンおよびサプライヤーとの関係におけるサイバー脅威を評価し、対策を講じることが重要です。サプライヤーと連携し、強固なサイバーセキュリティ対策を実施することで、第三者の脆弱性に起因するリスクを低減できます。
- サプライヤーの評価:サプライヤーのリスク評価を実施
- 関係強化:サプライヤーと協力し、ベストプラクティスを導入するとともに、自社の要件に沿った対策を整備
定期的な内部監査を実施して問題を是正
NIS2への準拠を確保し、リスク管理計画と整合させるために、定期的な内部監査をスケジュールしてください。特定された問題には迅速に是正措置を講じ、セキュリティの向上を図りましょう。
- 内部監査:セキュリティ対策の遵守状況と有効性を評価
- 是正措置:監査中に特定された問題に対処し、コンプライアンスを改善
NAVEXがNIS2コンプライアンスの達成を支援します
「働く人全員が、法的および倫理的基準の価値を重視する企業で働いていることに誇りを持つこと」を当たり前に。NAVEX Oneを活用することで、組織と従業員に必要なツールを提供し、コンプライアンスを維持しながら、これらの重要な原則を守ることができます。
ポリシー・手順管理
組織の行動規範やポリシーを日常的な言葉で伝えるツールにします
詳しくはこちらへ
内部通報・インシデント管理
「声を上げること」「隠さないこと」を日常的なリスク管理・コンプライアンス活動に反映させましょう
詳しくはこちらへ
倫理・コンプライアンストレーニング
それぞれの経験に合わせた、わかりやすいオンライントレーニングで従業員の積極的参加を促します
詳しくはこちらへ
第三者審査・監視
NAVEX Oneなら、目的を共にする第三者を簡単に特定し、 最も貴重な提携関係を守ります
詳しくはこちらへ
シンプルなベンダーリスク管理
NAVEX IRMなら、立ち上げも運用もスピーディーに。ベンダーリスク管理を極めるための最短距離がこちら
詳しくはこちらへ
NIS2 コンプライアンスに関する質問に答えます
NIS2 指令の現状について教えてください。
NIS2指令は、2020年12月にEU連合によって正式に採択されました。現在、EU加盟国はこの指令を自国の法律へと移行(トランスポーズ)しています。
組織は、自国政府による実施スケジュールを継続的に確認し、期限が近づくにつれてコンプライアンスの準備を進める必要があります。NIS2 指令の遵守が義務付けられているのはどの組織ですか?
NIS2への準拠は、エネルギー、輸送、医療、デジタルサービスなどの重要インフラ分野に属する中規模および大規模企業に義務付けられています。EU域内で事業を展開している、またはEU市場にサービスを提供している組織は、規模に関係なくNIS2の対象となります。これには、食品供給や宇宙関連サービスなどの新たな産業も含まれます。
NIS2 に違反した場合の罰則は何ですか?
NIS2に準拠しない場合、罰則として多額の罰金が科される可能性があります。これらの罰金は通常、組織の年間収益の割合に基づいて算出され、数百万ユーロに達することもあります。さらに、組織は評判の失墜や業務上の制限を受ける可能性もあります。
NIS1 と NIS2 の違いは何ですか?
NIS2 は最初の NIS1 指令に基づいて拡大されました。NIS2 では、広範囲にわたる必要不可欠なサービスが対象となり、セキュリティ要件の厳格化とインシデント報告義務の強化が導入されています。
NIST と NIS2 の違いは何ですか?
NIST(米国国立標準技術研究所)は主に、米国連邦政府機関およびその請負業者向けのサイバーセキュリティ基準およびガイドラインを策定しています。一方、NIS2 は、加盟国全体の必要不可欠なサービス事業者に対して特定のサイバーセキュリティ対策を義務付ける EU 指令です。 NIST コンプライアンスの詳細をご覧ください。
NIS2 と DORA の違いは何ですか?
NIS2は、さまざまな分野における重要かつ不可欠な事業体に対するサイバーセキュリティ要件を主に対象としています。一方、DORA(デジタル業務レジリエンス法)は金融業界に特化しており、デジタル脅威に対する業務レジリエンスの強化に重点を置いています。 DORA コンプライアンスの詳細をご覧ください。
NIS2 のインシデント対応の要件は何ですか?
NIS2では、インシデントの検知・報告・対応に関する明確な手順を含むインシデント対応計画を、組織が策定することを義務付けています。また、重大なインシデントが検知された場合には、24時間以内に関係当局へ報告する必要があります。
NIS2 の義務とは何ですか?
組織は、ネットワークシステムおよび情報システムに対するリスクを評価および管理すること、適切なセキュリティ対策を導入すること、インシデントを報告すること、サイバーセキュリティトレーニングに参加することが求められています。コンプライアンス義務には、定期的な監査とリスク評価を実施し、継続的なコンプライアンスを確保することも含まれています。
NIS2 に相当する米国の規制は何ですか?
NIS2 に相当する米国の規制は、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)のガイドラインなどのフレームワークのほか、NIST サイバーセキュリティフレームワークなどの部門固有の規制があります。これらは、重要インフラストラクチャ部門全体のサイバーセキュリティを強化することを目的としています。詳細については、追加のリソースをご覧ください。