目次
この記事では、NIS2指令の実践的なコンプライアンス要件と実装上の課題について詳しく解説します。また、コンプライアンス戦略や非遵守がもたらす影響を踏まえ、NIS2に関する実用的なガイダンスを提供します。
NIS2指令とは?
NIS2指令とは、「Network and Information Systems Directive 2」の略で欧州連合(EU)の策定したサイバー セキュリティ法です。これは「ネットワークおよび情報システム(NIS)指令」の第2版にあたり、2023年に発効されました。NIS2では、従来の法令を見直し、あいまいさを排除するとともに、より包括的なセキュリティ要件を導入し、より多くの分野にわたって適用範囲を拡大しました。これにより、複数セクター間での実施がより一貫したものとなりました。
NIS2指令を理解するための基本原則と適用範囲
NIS2指令は、EU加盟国全体で統一されたサイバー セキュリティ要件を導入し、加盟国間における「必須事業体」および「重要事業体」のサイバー セキュリティとレジリエンス(回復力)を強化することを目的としています。その目的は、これらの事業体が直面するサイバー脅威の複雑化と頻発化に対応するために、リスク管理手法、サイバー セキュリティ対策、説明責任、ガバナンス、そして協調のための共通基準を確立することにあります。
NIS2指令の目的
NIS2指令では、セクター間で統一性を欠いた実施状況や、分野ごとのセキュリティ水準の格差を是正することを目的として、以下の施策が導入されました。
- 取締役会や経営層にサイバー セキュリティ対策の監督・承認を義務付け、不遵守に対する個人レベルでの法的責任を含む経営責任を明確化。
- 欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)などの仕組みを通じて、国境を越えた協調体制を強化。
- 重大なインシデント発生時に当局へ通報するための、厳格な期限を設けた報告手順を確立。
- 従来は規制対象外だった分野や組織も含め、より多くのセクターと事業体を対象に範囲を拡大。
- EU全体での執行および罰則に関するルールを統一。
- サイバー セキュリティ リスクを管理するため、適切な技術的・運用的・組織的対策の導入を含む、リスクベースのセキュリティ要件を導入。
NIS2指令の対象となる主要なセクターと事業体
NIS2指令では、規制の対象を定めるための規模基準が設けられており、影響範囲の大きい事業体に対して重点的に規制を適用できるよう設計されています。一方で、規模は小さくても重要性の高い事業者を柔軟に取り込める仕組みも確保されています。主な対象は中規模および大規模組織ですが、地域で唯一の重要サービス提供者である場合や、その障害が公共の安全や健康に重大な影響を及ぼすおそれがある場合には、小規模組織もNIS2の適用対象となる可能性があります。
EU基準で中規模または大規模に分類される組織が対象となります。ただし、次のような特定分野に属する組織については、この基準が適用されません。
- 重要インフラとみなされる組織
- 公共サービス(電子通信ネットワークなど)を提供する組織
- サービスの中断が公共の安全・治安・健康に影響を及ぼしたり、システミック リスクを引き起こすおそれのあるサービスを提供する組織
- 政府へのサービスを唯一提供している組織
NIS2指令における事業体の分類
NIS2指令の対象となる組織、企業、サプライヤーは、「必須事業体」と「重要事業体」の2つのカテゴリーに分類されます。この区分は重要であり、それぞれに異なる監督・執行体制が適用されることで、EUの重要インフラ分野全体におけるレジリエンスとセキュリティの強化が促進されます。
NIS2指令における重要事業体および必須事業体の義務
重要事業体およびと必須事業体はともに、以下に示すNIS2指令の基本要件を遵守することが義務付けられています。
- リスク管理対策
- インシデント対応および危機管理計画
- 事業継続および災害復旧
- サプライ チェーンおよびサード パーティリスク管理
- ネットワークおよび情報システムのセキュリティ
- データの取り扱いおよび脆弱性公開に関するセキュリティ ポリシー
- セキュアな開発、テスト、保守に関するポリシー
- サイバー ハイジーンおよびサイバー セキュリティに関するスタッフ向けトレーニング
- インシデント報告
- ガバナンスと説明責任
- 取締役会および上級管理職によるサイバー セキュリティ対策の承認義務
- 不遵守に対する経営層の個人責任
- 管理職レベル向けの必須研修と意識向上プログラム
- 監督と執行
NIS2指令実施に関する主要日程およびタイムライン
NIS2指令は2023年1月に発効しました。EU加盟国は、2024年10月17日までにNIS2指令への準拠に必要な国内法を採択・公布することが義務付けられました。この期限の後、EU加盟国は2025年4月17日までに、NIS2指令で定義される必須事業体および重要事業体を特定する必要がありました。NIS2指令の適用対象となる事業体は、サービスを提供するすべてのEU加盟国で、それぞれの期限までに登録を行い、その後少なくとも2年ごとに情報を更新することが義務付けられています。
NISとNIS2の違いを表で比較
以下の表は、欧州委員会によるNISとNIS2の比較を示しています。
項目 | NIS | NIS2 |
|---|---|---|
機能 | EU加盟国は、自国のサイバーセキュリティ能力を強化。 | より厳格な監督措置および執行体制が導入。また、サイバーセキュリティのリスク管理および報告義務に違反した場合の罰金を含む行政制裁一覧が新たに設定。 |
協力体制 | EUレベルでの協力体制が強化。 | 大規模なサイバーセキュリティ インシデントを統合的に管理するため、欧州サイバー危機連絡ネットワーク(EU-CyCLONe)が設立。協力グループの役割も強化され、加盟国間の情報共有と協力が促進。EU全体での脆弱性に関する協調的情報開示の仕組みも確立。 |
サイバーセキュリティリスク管理 | 必須サービス事業者(OES)およびデジタルサービスプロバイダー(DSP)は、リスク管理体制を整備し、重大インシデント発生時は主管当局へ報告が必要。 | インシデント対応、危機管理、脆弱性対応、暗号技術の活用、人事セキュリティ、アクセス制御、資産管理などを含む包括的な施策リストが導入。サプライチェーンセキュリティも強化。インシデント報告義務も手順・内容・期限が明確化され、要件が厳格化。 |
NIS2指令で追加された主な変更点:
- 必須事業体および重要事業体に対して、リスク管理に必要な技術的、運用的、組織的な対策の実施義務を強化
- インシデント報告に関する要件を大幅に拡大
- NIS2への不遵守に対する罰則を強化
NIS2に求められる対応措置と報告義務の概要
NIS2指令は、対象となる事業体に対して複数の義務と法的責任を課すとともに、監督およびコンプライアンス維持に関する詳細な法的手続きを定めています。なお、NIS2指令では具体的に導入すべき技術的変更が明示されているわけではありません。その代わりに、組織のセキュリティ体制を強化する際に役立つ概念やベストプラクティスが示されています。
技術的および組織的なセキュリティ対策
セキュリティ対策を13個の項目に分類し解説します。
項目 | 概要 |
|---|---|
リスク対策 | 事業体のリスクに応じて適切な技術的・運用的・組織的対策を導入。 |
セキュリティポリシー | セキュリティシステムとリスク管理に関するポリシーを策定・維持。 |
インシデント対応 | 検知、分類、封じ込め、除去、復旧の手順・役割・プレイブックを定義。 |
事業継続/危機管理 | 重要サービスの迅速な復旧を可能にするBCPおよび危機管理計画を策定。 |
サードパーティリスク管理 | サプライヤーやサービスプロバイダーに起因するリスクを評価・管理。 |
リスク管理評価 | テスト、指標、監査などによる対策の有効性評価手順を策定。 |
サイバー衛生 | パッチ適用、ハードニング、最小権限、ログ管理など高水準の衛生を維持。 |
研修 | 全ユーザー向けにサイバーセキュリティとリスク意識向上の定期研修を実施。 |
暗号化ポリシー | 保存・転送データの保護や鍵管理を含む暗号技術の使用ルールを策定。 |
人的セキュリティ | 入社・異動・退職時の審査、研修、NDA、懲戒手順を含む管理を実施。 |
アクセス制御 | 多要素認証(MFA)、ロールベースアクセス制御(RBAC)、定期的なアクセス権限レビュー、管理者向けの特権アクセス管理(PAM)など最小権限原則に基づく制御を実施。 |
資産管理 | オンプレ・クラウド・SaaSの資産インベントリを維持し、所有者・分類・ライフサイクルを管理。 |
セキュアな通信 | メール、音声、ビデオ、SMSのセキュアな通信チャネルを確保。 |
報告対象
重大なインシデントは報告する必要があります。これには、深刻な業務の中断や財務損失を引き起こした、または引き起こす可能性のあるインシデント、さらに、他者に損害を与えたりサービスを妨げたりするおそれのある事象が含まれます。
報告スケジュール
インシデントの発生を事業体が認識した時点から報告のカウントが始まります。24時間以内に、CSIRTまたは主管当局へ早期警告を送信し、疑われる原因や越境的な影響の可能性を示す必要があります。
インシデント通知には、初期評価、重大度、影響、侵害の兆候(IoC)などを含め、72時間以内に提出する必要があります。また、最終報告書(またはインシデントが継続中の場合は最新情報の報告)を、インシデント通知から1か月以内に提出する必要があります。
重大インシデントの定義
NIS2指令において、インシデントの重大性は、深刻度、中断、財務的損失、または他者への影響といった要素を基にした質的評価によって判断されます。ただし、以下のようないくつかの明確な基準が設けられています。
- 経済的損失:50万ユーロ以上または年間売上高の5%(いずれか低い方)
- サービス不可:クラウド、CDN、MSP/MSSPにおいて30分を超える完全な停止(その他の事業体固有のルールは異なる場合があります)
- 可用性の低下:EUユーザーの5%超、または100万人超が1時間を超えてサービス制限を受けた場合
- データ侵害:完全性、機密性、または真正性が損なわれた場合
- 不正アクセス:深刻な障害を引き起こす、または繰り返し発生するおそれのあるもの
通知先と調整の仕組み
- 国のCSIRTまたは管轄当局に通知する
- 複数の加盟国に関係するインシデントの場合、CSIRT、主管当局、または国の単一窓口(SPOC)は、影響を受けた他の加盟国および欧州連合サイバー セキュリティ機関(ENISA)に対して遅滞なく通知する
- 公共の利益のために必要と認められる場合(たとえば、進行中のインシデントの防止または対応を目的とする場合)、当局は公衆に情報を提供すること、または事業体に対して情報公開を求めることができる
- 各国のSPOCは、集計・匿名化された報告に基づく四半期要約をENISAに提出する
ガバナンスおよび文書化に関する要件
5つの観点から要件について解説します。
カテゴリ | 概要 |
|---|---|
ガバナンス |
|
リスク評価 |
|
文書化 |
|
監査 |
|
経営陣の法的責任 |
|
NIS2指令では、経営陣に対して以下の事項に関する説明責任を課しています。
- サイバー セキュリティ リスク評価の実施を確実に行うこと
- 技術的および組織的なセキュリティ対策を実施すること
- リスクを適切に管理すること
- トレーニングとリスク管理プログラムを通じてサイバー セキュリティをサポートすること
NIS2実装における主要課題の整理と導入ステップ
以下は、NIS2指令の要件実装に向けた準備を進めるために、組織が講じるべき推奨ステップです。
ステップ | 概要 |
|---|---|
準備 | 継続的なリスク分析を行い、潜在的脅威を早期に特定して対策を準備。 |
暗号化 | データベース、通信、文書、サーバーなど、あらゆる重要データを暗号化。 |
セキュリティ文化の醸成 | 経営層主導でセキュリティを最優先にし、役割に応じて研修内容を調整して意識を浸透。 |
必須サービス関連資産の特定 | NIS2指令への準拠を確保するために、影響評価を行い、NIS2対象となる重要サービス・プロセス・資産を特定。 |
NIS2準拠の管理システム導入 | 責任の明確化、主要プロセス(ポリシー、BCP、サードパーティ管理、脆弱性管理等)の整備、リスクの特定・修正・監視を実現。 |
多要素認証(MFA)の必須化 | 全ユーザーアカウントで多要素認証(MFA)を導入し、パスワード依存を回避。 |
インシデント報告準備 | 報告テンプレートの準備、コンピューター セキュリティ インシデント対応チームの連絡先の整備、社内の「認識」定義化、関係者へのトレーニングを実施。 |
NIS2要件の理解と体制整備 | NIS2要件を学び、期限内に埋める計画を策定。経営層の支援、関係者の協力、必要リソースの確保が必須。早期着手が重要。 |
以下、それぞれ解説します。
セキュリティに対して先を見越したアプローチを採用する
潜在的な脅威を事前に特定するために、継続的なリスク分析を実施します。これにより、組織は問題を早期に対処し、NIS2指令のコンプライアンス要件を満たすための準備を整えることができます。
すべての重要データを暗号化する
NIS2指令の厳格なサイバー セキュリティ基準を満たすためには、データベース、通信、文書、サーバー、重要インフラなど、あらゆる重要データを保護するために暗号化を実施する必要があります。
セキュリティ重視の企業文化を育む
組織の経営層は、すべての部門においてサイバー セキュリティを最優先事項とする必要があります。セキュリティ重視の企業文化は経営層から始まり、全従業員に一定水準のセキュリティ意識を求めることで組織全体に浸透します。また、従業員が自らのロール(役割)と責任がセキュリティにどのような影響を及ぼすかを理解できるよう、セキュリティ研修は内容を役割に応じてカスタマイズする必要があります。
NIS2指令で定義される「必須サービス」に関連する重要なサービス、プロセス、および資産を特定する
NIS2指令への準拠を確保するために、追加の保護が必要となる対象を判断するには、影響評価を実施することが有効です。これにより、NIS2指令の適用範囲に含まれるシステムやプロセスを特定できます。
NIS2指令の要件を満たすため、準拠したリスク管理および情報セキュリティ管理システムを導入する
多くの組織では、NIS2指令への準拠に向けて、情報セキュリティ管理システムのアップグレードまたは改修が必要であることが明らかになっています。こうした組織は、次の事項を実現できなければなりません。
- 定義された責任を明確に示す
- 情報システムに関するセキュリティ ポリシー、インシデント対応および管理、事業継続(バックアップ システムや災害復旧計画など)、サード パーティ リスク管理、脆弱性管理、従業員向けセキュリティ意識向上トレーニングなどの主要プロセスが確実に機能していることを確認する
- セキュリティ上のリスクを特定、修正、監視する
すべてのユーザーに対して多要素認証(MFA)の使用を必須とする
すべてのアカウントを保護するために、パスワードのみに依存せず多要素認証(MFA)を導入することは、資産を守り、NIS2指令の要件を満たす上で重要な役割を果たします。
インシデント報告の準備をする
NIS2指令の遵守においては、インシデント発生時の対応速度が極めて重要です。インシデントに迅速に対応するために取るべき手順には、次のようなものがあります。
- 24時間、72時間、および30日報告用のテンプレートを事前に準備する
- コンピューター セキュリティ インシデント対応チーム(CSIRT)の連絡先一覧を用意する
- 社内で「認識」の定義を明確にする(初期評価で重大なインシデントと確認された時点から報告までの時間が計測されるため)
- インシデント対応計画の実行に関与するすべての関係者に対してトレーニングを実施する
NIS2指令の要件を理解し、それらを満たすための準備を整える
これは、NIS2指令の要件を十分に学び、組織がそれに対応できる準備状況を評価することを意味します。その一環として、現状のギャップを特定し、コンプライアンス期限までに特定したギャップを埋めるための計画を事前に策定しておく必要があります。
準備体制を整える上で重要なもう一つの要素は、経営層からのサポート、関係者の理解と協力、そして必要な予算とリソースの確保です。遅延はほぼ避けられないため、早期に着手することが不可欠です。期限は延長を想定していない点にも留意する必要があります。
EUの実例で学ぶNIS2コンプライアンス
国境を越えたNIS2コンプライアンス
越境で事業を展開する事業体の場合、NIS2コンプライアンスは「主要拠点」の原則に基づいて運用されます。これは、1つのEU加盟国が主たる監督当局として機能する仕組みです。一方で、協力ネットワーク(EU-CyCLONeやNIS協力グループ)などにより、複数の国に影響を及ぼすインシデントが一貫した方法で管理され、分断的な執行が回避されます。以下のクラウド サービス プロバイダーの例は、EUにおける越境的NIS2コンプライアンスの実際の運用を示しています。
米国に本社を置き、ドイツ、フランス、アイルランドにデータ センターを有するクラウド プロバイダーは、必須事業体としてNIS2の適用対象となります。この場合、このプロバイダーはEU域内の主要拠点(例:アイルランド本社)を主管管轄として指定する必要があります。これにより、アイルランドの監督当局が主たる監督機関となり、ドイツおよびフランス当局との間でインシデント対応および監督を調整します。たとえば、ドイツで発生したセキュリティ インシデントがEU全域のサービスに影響を及ぼす場合、このプロバイダーはアイルランドの単一連絡窓口(SPOC)を通じて報告を行い、この窓口が他の加盟国当局と情報共有を行います。
NIS2コンプライアンスにおけるサード パーティ プロバイダーとの連携
サード パーティおよびサプライチェーンのリスク管理は、NIS2における重要な要素です。NIS2の下では、業務を外部委託している場合であっても、セキュリティに対する責任は事業体が負います。そのため、協力会社に対しては、ベンダー評価の強化、契約上のセーフガード、監視体制、報告義務といった仕組みを確立しておく必要があります。以下の例は、製造業のサプライ チェーンにおけるサード パーティの役割を示しています。
重要事業体に分類される医療機器メーカーは、EU各国の複数のサプライヤーからIoTコンポーネントを調達しています。このメーカーは、サプライヤー エコシステム全体を可視化して重要な依存関係を特定し、いずれかのサプライヤーが侵害された場合に備えて、代替調達契約を含む事業継続計画を策定することが義務付けられます。さらに、各サプライヤーはISO/IEC 27001または同等の基準に準拠し、サイバー セキュリティ監査報告書を提出する必要があります。
まとめ
NIS2指令は、EU全域で統一された義務的なサイバー セキュリティ基準を確立しています。対象となる業種を拡大し、より厳格なリスク管理および報告義務を定めるとともに、コンプライアンスに関して経営層に説明責任を課しています。
NIS2指令は、サイバー セキュリティおよびサイバー レジリエンスを法制度の中に組み込むという、強まりつつある傾向を象徴しています。この指令により、すべてのEU加盟国はNIS2を国内法として採用することが義務付けられています。
NIS2指令は、あらゆる種類の組織に広く影響を及ぼし、深刻化するサイバー脅威に対する防御体制を強化することを目的としています。NIS2指令および同様の取り組みに関しての朗報は、これらが組織全体のサイバー セキュリティ態勢を向上させ、オペレーションのあらゆる側面に良い影響をもたらす点にあります。
免責事項:本記事の内容は情報提供のみを目的としており、法的助言を意図するものではありません。SailPointは法的助言を提供する立場にはなく、該当する法的事項については法律顧問にご相談されることをお勧めします。
