NIS2 コンプライアンス要件の詳細
EU の最新のネットワーク・情報システムの安全に関する指令(NIS2)が施行され、必要不可欠なサービスおよび重要インフラストラクチャ部門のサイバーセキュリティ義務が大幅に強化されました。デジタル環境の相互接続がますます複雑化する今日において、組織のセキュリティとレジリエンスが維持され、進化し続けるサイバーセキュリティ規制に準拠していることを確実にする必要があります。
EU NIS2 指令とは何か?
ネットワーク・情報システムの安全に関する指令 2(NIS2)は、必要不可欠なサービスおよび重要インフラストラクチャのサイバーセキュリティを強化する EU の規制です。当初の NIS 指令の範囲を拡大し、エネルギー、医療、金融などのセクターにサイバーリスクを管理、軽減することを義務付けます。
NIS2 はセキュリティ対策、インシデント対応手続き、国家当局との連携の堅牢化によって、サイバー脅威に対するレジリエンスを保証し、業界全体で基幹事業を保護することを義務付けています。
NIS2 に対して準備する方法
EU NIS2 のコンプライアンス対応を進めていくと、次のようなさまざまな重要な疑問が生じます。
- どのようにしたら重要インフラストラクチャとデジタルサービス全体にわたって効果的にサイバーリスクを管理できるのか?
- どのようにして NIS2 要件を満たすようにインシデント対応および報告能力を強化すべきか?
- どのようにしたらコーポレートガバナンス構造を進化させ、NIS2 に沿ってサイバーセキュリティリスクの説明責任と監視を確実にできるのか?
- NIS2 や デジタルオペレーショナルレジリエンス法(DORA)などの他の規制に準拠するために、どの分野で最先端テクノロジーを活用できるのか?
NIS2 の要件は何か?どのようにしたら組織が遵守できるのか?
NIS2 指令では、特に重要インフラストラクチャの事業者にとって、サイバーセキュリティ要件の基準が大幅に引き上げられます。この指令では、セキュリティ対策の厳格化が義務付けられます。また、サイバーセキュリティインシデントの検出から 24 時間以内にインシデントを報告する義務が課せられるため、迅速で効果的な対応が欠かせなくなります。以下に、準備をするための方法について説明します。
-
暗号と暗号化を強化する
NIS2 では、暗号化対策を利用して、機密情報を保護することが強調されています。これには、保管中や転送中の重要なデータを業界標準に従って確実に暗号化することが含まれています。
- **公開鍵インフラストラクチャ(PKI):**安全な通信方法を導入し、ユーザーやデバイスが本物であることを検証する
- **デジタル証明書:**証明書を使用して、データが安全な方法で交換および検証されることを確実にする
- **データ暗号化:**堅牢な暗号化を利用して、保管中や転送中の機密データを保護する
-
強力な認証メカニズムを導入する
包括的な認証プロセスを採用し、NIS2 の厳格化されたセキュリティ要件に準拠する必要があります。これにより、許可されたユーザーのみが機密システムや機密データにアクセスできることが確実になります。
- **多要素認証(MFA):**多要素認証を施行して、アカウントのセキュリティを高める
- **ロールベースのアクセス制御(RBAC):**ロールベースのアクセス制御を使用して、重要なシステムへのアクセスを制限する
- **強力なパスワード:**セキュリティの高いパスワードポリシーを策定して施行し、不正アクセスを防止する
-
定期的なリスク評価、監査、セキュリティ計画を実施する
NIS2 では、組織は一貫した評価、セキュリティ監査、最新のセキュリティ計画の維持管理を通して、リスクを能動的に管理し、軽減するように義務付けられています。
- **リスク評価:**セキュリティの脆弱性とリスクの可能性を定期的に特定する
- **インシデント報告:**義務付けられている 24 時間以内のインシデント報告を確実に行う
- **インシデント対応計画:**セキュリティ脅威に迅速に対応するための計画を策定、テスト、更新する
- **監査と訓練:**日常的な監査を実施し、セキュリティ訓練を実行して、準備状況を評価する
-
コンプライアンス違反の罰則を回避する
NIS2 を遵守しない場合は、重大な罰金や評判の失墜につながる可能性があります。組織はこのような結果を回避するために、能動的に基準に適合する必要があります。
- **罰金:**NIS2 要件への不適合の場合には、最大 1,000 万ユーロまたはグローバルベースの年間収益の 2 パーセントという非常に多額の罰金
- **評判:**コンプライアンス違反の開示は顧客の信頼とブランドの評判を損なう可能性がある
組織で NIS2 コンプライアンス要件に適合する方法
NIS2 コンプライアンスを達成するには、次の手順に従うことをお勧めします。
-
リスクを評価し、計画を策定する
IT システムと情報システムを徹底的に評価し、脆弱性を特定します。堅牢なリスク管理計画、事業継続性戦略、および災害復旧戦略を策定し、潜在的な脅威に効果的に対応できることを確実にします。
- **IT/情報システムの評価:**現在のシステムにおける脆弱性とリスクを特定します。
- **リスク管理計画の策定:**リスク軽減のための戦略を要約します。
- **事業継続性計画:**事業が停止している間に基本的な機能を維持します。
- **災害復旧計画:**壊滅的な事象から回復するための戦略を導入します。
-
従業員の研修
セキュリティ意識の高い文化を醸成するには、サイバーセキュリティのベストプラクティスと NIS2 コンプライアンスに関する従業員のトレーニングが必要です。従業員の理解を高めるには、関連するコースを学習できるようにします。詳細については、 NAVEX コンプライアンストレーニングぺージをご覧ください。
- **サイバーセキュリティ意識向上トレーニング:**脅威とセキュリティの高い慣行を特定するための定期的なセッション。
- **NIS2 コンプライアンストレーニング:**NIS2 要件に関する集中コース。
-
インシデントを管理して報告する
サイバーセキュリティインシデントと潜在的な攻撃に対応するためのインシデント管理計画を策定します。報告手続き、期限、内容に関する要件など、明確な手順を提示して、従業員がインシデントを報告できるようにします。
- **インシデント管理計画:**インシデントを検出し、対応するための手順。
- **サイバーインシデントへの対応計画:**サイバー攻撃に対処するための戦略。
- **報告するための働きかけ:**従業員間でタイムリーなインシデント報告の文化を促進します。
-
安全なサプライチェーン
サプライチェーンとサプライヤー関係におけるサイバー脅威を評価し、対処します。サプライヤーと連携して強力な慣行に従い、第三者の脆弱性に関連付けられたリスクを確実に低減します。
- **サプライヤーの評価:**サプライヤーのリスク評価を実施します。
- **関係の強化:**サプライヤーと協力してベストプラクティスを導入し、貴社の要件に適合させます。
-
定期的な内部監査を実施し、問題を是正する
定期的な内部監査を計画して、NIS2 へのへの準拠を確保し、リスク管理計画に適合させます。問題が特定された場合は、すみやかに是正措置を実施し、セキュリティを強化します。
- **内部監査:**コンプライアンスとセキュリティ対策の効果を評価します。
- **是正措置:**監査中に特定された問題に対処し、コンプライアンスを改善します。
NAVEX が NIS2 コンプライアンス要件への適合を支援できる方法
従業員は、法的基準および倫理的基準の価値を重視する企業で働いていることに誇りを持っているでしょう。NAVEX One を導入すると、組織と従業員はコンプライアンスを維持し、このような重要原則を守るために必要なツールを利用できるようになります。
-
ポリシーと手順の管理
ポリシーと手順のライフサイクル全体を一元管理します。
詳しくはこちらへ
-
内部通報とインシデント管理
NAVEX の内部通報および報告ソリューションで規制遵守を確保し、従業員の関与と組織への信頼性を高めましょう。
詳しくはこちらへ
-
倫理とコンプライアンストレーニング
従業員の言語を使用し、彼らの経験に合うオンライントレーニングで教育し、関与します。
詳しくはこちらへ
-
スクリーニングとモニタリング
NAVEX One により、お客様のビジョンを共有する第三者を簡単に特定し、 最も貴重なパートナーシップを保護します。
詳しくはこちらへ
-
ベンダーリスク管理の簡素化
急速な立ち上げ、急速な提供 - NAVEX IRM は、すぐに使用でき、ベンダーリスク管理をマスターするための急行ルートです。
詳しくはこちらへ
主な NIS2 コンプライアンスに関する質問と回答
-
NIS2 指令の状況はどうなっていますか?
2020 年 12 月、NIS2 Union が正式に欧州指令を採択し、EU 加盟国はこの指令を国内法に移しています。組織は各国政府の導入計画を監視し、期限が近づくにつれ、コンプライアンスに備える必要があります。
-
NIS2 指令の遵守が義務付けられているのはどの組織ですか?
NIS2 コンプライアンスは、エネルギー、運輸、医療、デジタルサービスといった重要インフラストラクチャ部門の中規模および大規模な企業に義務付けられています。食品供給や宇宙事業などの新しい業種を含む EU で事業を展開する組織または EU 市場にサービスを提供する組織も、事業規模に関係なく遵守が求められます。
-
NIS2 に違反した場合の罰則は何ですか?
NIS2 に違反した場合の罰則は、多額の罰金になる可能性があり、一般的には組織の年間収益の割合として算出されます。場合によっては、数百万ユーロに達することもあります。さらに、組織の評判が失墜したり、事業に制限が生じる可能性もあります。
-
NIS1 と NIS2 の違いは何ですか?
NIS2 は最初の NIS1 指令に基づいて拡大されました。NIS2 では、広範囲にわたる必要不可欠なサービスが対象となり、セキュリティ要件の厳格化とインシデント報告義務の強化が導入されています。
-
NIST と NIS2 の違いは何ですか?
NIST(米国国立標準技術研究所)は主に、米国連邦政府機関およびその請負業者向けのサイバーセキュリティ基準およびガイドラインを策定しています。一方、NIS2 は、加盟国全体の必要不可欠なサービス事業者に対して特定のサイバーセキュリティ対策を義務付ける EU 指令です。 NIST コンプライアンスの詳細をご覧ください。
-
NIS2 と DORA の違いは何ですか?
NIS2 は主に、さまざまなセクターにわたって、必要不可欠な基幹サービスを提供する事業者向けのサイバーセキュリティ要件に対応します。一方、DORA(デジタルオペレーショナルレジリエンス法)は金融業界に特化し、デジタル脅威に対する運用のレジリエンスを強調しています。 DORA コンプライアンスの詳細をご覧ください。
-
NIS2 のインシデント対応要件は何ですか?
NIS2 では、組織はインシデントの検出、報告、対応のための明確な手順を規定したインシデント対応計画を策定するように義務付けられています。また、重大なインシデントは、検出から 24 時間以内に、管轄当局に報告する必要があります。
-
NIS2 の義務は何ですか?
組織は、ネットワークシステムおよび情報システムに対するリスクを評価および管理すること、適切なセキュリティ対策を導入すること、インシデントを報告すること、サイバーセキュリティトレーニングに参加することが求められています。コンプライアンス義務には、定期的な監査とリスク評価を実施し、継続的なコンプライアンスを確保することも含まれています。
-
NIS2 に相当する米国の規制は何ですか?
NIS2 に相当する米国の規制は、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)のガイドラインなどのフレームワークのほか、NIST サイバーセキュリティフレームワークなどの部門固有の規制があります。これらは、重要インフラストラクチャ部門全体のサイバーセキュリティを強化することを目的としています。詳細については、追加のリソースをご覧ください。