NIS2指令とは?
欧州連合(EU)のネットワークおよび情報セキュリティ指令(NIS)は、EU全域の組織に対して高い共通レベルのサイバーセキュリティを実現することを目的とした立法法です。もともと2016年に採択されたNISは、各加盟国の裁量に大きく依存し、説明責任を欠いていました。
2023年1月16日、デジタル化の進展とサイバー攻撃の急増がもたらす脅威の増大に対応するため、EUはセキュリティ要件とサイバーレジリエンスを強化するNIS2を採択しました。EU加盟27か国は、2024年10月17日の期限までに、NIS2指令を国内法に移行する必要があります。
NIS2は、当初のNIS指令をより多くの産業分野に拡大し、リスク管理措置やインシデント報告義務を追加したものです。また、執行の強化についても規定されています。NIS2では、NISの以下の4つの重要な分野で要件が追加されています:
- 範囲の拡大:NIS2の対象分野は7分野から18分野に拡大されています。NIS2はまた、セクターを必須または重要に分類しており、それぞれ監督要件が異なっています。
- より厳格なセキュリティ要件:同指令は、より厳格なサイバーセキュリティ対策を求めています。これらの要件には、リスク管理の実践、技術的・組織的対策、インシデント対応と復旧計画、従業員教育、頻繁な更新とパッチ適用が含まれます。
- 特定の期限を定めたインシデント報告の義務化:NIS2は、組織に対して、組織のサービス提供に悪影響を及ぼす可能性のある重大なサイバーセキュリティインシデントの報告を義務付けています。組織は、標準化された書式を用いて24時間に短縮された報告期間内に「早期警告」報告を行い、その後、インシデントに初めて気づいてから72時間以内にインシデント通知を行い、30日以内に最終報告を行わなければなりません。
- 罰則による強制:NIS2指令は、金銭的な罰則の強化を含め、違反に対してより厳しい罰則を科しています。
NIS2では、指令の適用範囲が7分野から18分野に拡大されました。前バージョンのNISでは、医療、交通、デジタルインフラ、水道、銀行、金融市場インフラ、エネルギーが必須セクターとされていました。NIS2では、デジタルサービスプロバイダー、廃棄物管理、製薬・研究所、宇宙、行政が「必須」セクターのカテゴリーに追加されています。NIS2ではまた、公共通信プロバイダー、化学薬品、食品製造・販売業者、重要機器製造業者、ソーシャルネットワークおよびオンラインマーケットプレイス、宅配便サービスを含む「重要」セクターのカテゴリーが追加されました。
必須事業体は監督要件を遵守しなければなりませんが、重要事業体は事後監督のみの対象となります。事後監督とは、当局がコンプライアンス違反の証拠を入手した場合にのみ、監督措置が取られることを意味します。
NIS2の第21条には、「加盟国は、必要不可欠かつ重要な事業体が、その事業またはサービスの提供のために使用するネットワークおよび情報システムのセキュリティにもたらされるリスクを管理し、その事業体のサービスの受け手および他のサービスに対するインシデントの影響を防止または最小化するために、適切かつ相応の技術的、運用的、組織的措置を講じることを確実なものにする」とあります。第21条の目的は、ネットワークおよび情報システムと、それらのシステムの物理的環境をインシデントから保護することであり、少なくとも以下が含まれます:
(a) リスク分析および情報システムセキュリティに関する方針
(b) インシデント処理
(c) バックアップ管理、災害復旧、危機管理などの事業継続
(d) サプライチェーンのセキュリティ(各事業体とその直接のサプライヤーまたはサービスプロバイダーとの関係に関するセキュリティ関連の側面を含む)
(e) ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ(脆弱性への対応と開示を含む)
(f) サイバーセキュリティリスク管理策の有効性を評価するための方針と手順
(g) 基本的なサイバーハイジーンの実践とサイバーセキュリティ研修
(h) 暗号(および適切な場合には暗号化)の使用に関する方針と手順
(i) 人材のセキュリティ、アクセス制御に関する方針、資産管理
(j) 適切な場合に、事業体内における多要素認証または継続的認証ソリューション、保護された音声、動画、テキスト通信、保護された緊急通信システムの使用
NIS2の第23条は、「...そのサービスの提供に重大な影響を及ぼす...」すべての重大なサイバーセキュリティインシデントについて、その攻撃が実際に事業体の業務に影響を与えたかどうかにかかわらず、報告することを求めています。インシデント報告に関する最も大きな変更点は、NIS2指令が、必須の多段階でのインシデント報告プロセスと、それに含むべき内容を詳細に規定したことです。
早期警告:
24時間以内。サイバーセキュリティインシデントの発生後24時間以内に、所轄官庁または国の関連 CSIRTに初期報告書を提出しなければなりません。初期報告では、国境を越えた影響や悪意が関与している可能性がある場合、早期に警告を発する必要があります。この最初の通知は、サイバー脅威の潜在的な広がりを制限することを目的としています。
インシデントのフォローアップ通知:
72時間以内。72時間以内に、より詳細な通知報告をしなければなりません。この報告には、インシデントの重大性、影響、侵害の指標を含むインシデントの評価が含まれている必要があります。影響を受けた事業体はまた、インシデントが犯罪であった場合、法執行当局に報告する必要があります。
最終報告:1か月以内。
最終報告書は、初期通知または初期報告から1か月以内に提出しなければなりません。この最終報告書には、以下が含まれている必要があります:
- インシデントの詳細。
- インシデントの重大性と結果。
- インシデントにつながったと思われる脅威または原因の種類。
- すべての適用された緩和策および継続中の緩和策。
さらに、NIS2指令に基づき、事業体は、重大なインシデントにつながる可能性のある重大なサイバー脅威を特定した場合、それを報告しなければなりません。脅威が以下につながる場合、その脅威は重大であるとみなされます:
- 当該事業体にとって重大な業務上の混乱または財務上の損失。
- 重大な物質的または非物質的な損害を与えることにより、自然人または法人に影響を及ぼす可能性があります。
NIS2指令を遵守しない場合、NISよりも厳しい罰則が科されます。NIS2指令では、不遵守に対する罰則は、必須事業体と重要事業体で異なります。
- 必須事業体の場合、行政罰は最高1,000万ユーロ、または必須事業体が属する企業の前会計年度における全世界での年間総売上高の少なくとも2%のいずれか高いほうの金額となります。
- 重要事業体の場合、行政罰は最高700万ユーロ、または重要事業体が属する企業の前会計年度における全世界での年間総売上高の少なくとも1.4%のいずれか高いほうの金額となります。
ホワイトペーパー
ネットワークおよび情報セキュリティ指令2(NIS2)
当社の包括的なサイバーセキュリティソリューションを通じて、組織がどのようにNIS2指令への準拠を達成しているか、またNIS2の要件について詳しくご紹介します。
NIS2への準拠達成のためにThalesがお手伝いできること
ThalesならびにThales傘下のImpervaは、アプリケーションセキュリティ、データセキュリティ、IDおよびアクセス管理を補完する製品の幅広いポートフォリオを擁し、NIS2要件への対応を支援する包括的なソリューションを提供しています。当社は、第21条に基づく必須のサイバーセキュリティリスク管理要件に対応し、第23条の要件を満たす完全で正確かつタイムリーな報告書の作成をサポートすることで、必須事業体と重要事業体がNIS2に準拠できるよう支援します。
NIS2コンプライアンスソリューション
アプリケーションセキュリティ
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品ポートフォリオには、Webアプリケーションファイアウォール(WAF)、分散型サービス拒否(DDoS)攻撃や悪意のあるボット攻撃に対する防御、APIセキュリティ、安全なコンテンツデリバリーネットワーク(CDN)、ランタイムアプリケーションセルフプロテクション(RASP)などがあります。
データセキュリティ
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。
IDおよびアクセス管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシー、多要素認証、フィッシングに強いPKI/FIDOハードウェアデバイスによって、社内外のユーザーの役割やコンテキストに基づいてアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
主要なNIS2要件への対応
Thalesがお手伝いできること:
- ServiceNowチケットを自動的に開き、更新することで、より迅速なインシデント処理を可能にします。
Thalesがお手伝いできること:
- DDoS攻撃をわずか3秒で軽減します。
- 危機的状況を予測し、回避するための予防措置を実施します。
Thalesがお手伝いできること:
- クラウドでホストされているデータを保護する暗号鍵をオンプレミスで管理することで、サードパーティのリスクを低減します。
- クラウドプロバイダーの管理者と組織との役割分離を徹底し、機密データへのアクセスを制限します。
- 異常を監視し警告することで、不正なアクティビティを検知し、サプライチェーンのアクティビティが阻害されるのを防ぎます。
- アクセス権を明確に委任することで、サプライヤー、パートナー、あらゆるサードパーティユーザーとの関係管理を可能にします。
- 関係ベースのきめ細かな承認を使用することで、権限を最小限に抑えます。
Thalesがお手伝いできること:
- Webアプリケーションファイアウォールでサイバー脅威を検知・防御し、シームレスな運用を実現して安心感をもたらします。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。
- データ中心のセキュリティとは、シンプルなセンサーにより、広範なデータ環境全体でセキュリティとコンプライアンスを確保できることを意味します。
Thalesがお手伝いできること:
- オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
- データベース内の機密情報を仮名化します。
- クラウドおよびオンプレミス環境における鍵管理を合理化します。
- FIPS 140-2レベル3環境で暗号鍵を保護します。
- 高速暗号化によって転送中データを保護します。
Thalesがお手伝いできること:
- 社内外のユーザーのシステムやデータへのアクセスを、役割や状況に応じてポリシーで制限します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
- 条件付きアクセスによるスマートシングルサインオンで、パスワード疲れを防止します。
- 顧客による、摩擦のない、安全でプライバシー保護されたアクセスを実現します。
Thalesがお手伝いできること:
- 多要素認証(MFA)を幅広いハードウェアおよびソフトウェア方式とフォームファクターで可能にします。
- データ/アプリケーションの機密性に基づいて適応型認証ポリシーを構築し、展開します。
- PKIおよびFIDOハードウェア認証システムにより、フィッシング攻撃や中間者攻撃から保護します。
Thalesがお手伝いできること:
- 詳細な検索や調査を行うために、保管されている1年分の記録に即座にアクセスできます。監査データは自動的にアーカイブされますが、クエリーやレポート作成のために数秒でアクセスできます。
関連リソース
