NIS 2指令の徹底ガイド:EUのサイバーセキュリティ基準の強化
欧州サイバーセキュリティ庁(ENISA)によると、2022年のEUにおけるITインシデントの平均コストは20万ユーロでした。サイバー脅威の件数が年間150%増加し、月間約280件のランサムウェア攻撃が発生していることから、これらのコストは今後も増加し続けると予想されます。 絶えず変化し続けるサイバー脅威の状況に対応するため、EUの組織にはより強固なレジリエンスとリスク意識の向上が求められており、その結果として新たなEUサイバーセキュリティ法である"NIS2指令"が制定されました。
本記事では、NIS2指令の要件と、それがEUのデジタル環境に与える影響について解説します。また、NAKIVOのソリューションが、NIS2準拠環境においてお客様のデータを保護するためにどのように役立つかについてもご紹介します。
NIS2とは何ですか?
NIS2は EUネットワーク・情報セキュリティ指令第2022/2555号 これは2022年12月に正式に公布され、2023年初頭に発効しました。NIS2は、EU全域におけるサイバーセキュリティの標準化と強化を目的としています。この指令は、2016年に発効した以前のNIS1指令に代わるものです。
直接適用される規則(例えば、 デジタル・オペレーショナル・レジリエンス法(DORA)EU加盟国全体で統一されているものの、指令は各加盟国が個別に国内法として整備する必要があります。加盟国は、NIS2への準拠に必要なすべての措置を2024年10月までに採択・公布しなければなりません。その期日を過ぎると、組織は法的に準拠する義務を負うことになります。
NIS2指令の目的
NIS2指令は、現在のサイバーセキュリティ基準を改善し、デジタル脅威に対するEU組織のレジリエンスに関する新たな基準を確立することを目的としています。
この指令は、主に以下の4つの側面に焦点を当てています:
- デジタルセキュリティの強化 リスク管理、企業の説明責任、および事業継続に関する新たな要件を通じて。
- EU全域におけるサイバーセキュリティの不整合を解消する 指令の適用範囲を拡大し、より多くの分野を対象に含めることで。
- 国内および国境を越えた状況認識と連携の促進 既存のサイバーインシデントや新たな脅威に効果的に対処するため。
- 標準化された報告義務の導入 事態発生時に透明性を高め、連携した対応を円滑に進めるため。
当初のNIS指令とNIS 2の主な相違点
NIS1は欧州連合(EU)のサイバーセキュリティとレジリエンスの強化を目的としていたものの、パンデミック期間中およびその後の急速なデジタル化と脅威の進化により、その不備、特に具体的な要件の欠如やEU域内での実施状況のばらつきが明らかになった。
改訂版NIS指令の提案は2020年に初めて公表され、適用範囲の拡大、サイバーセキュリティ基準の引き上げ、新たな要件の導入、およびより統一されたアプローチの必要性が示された。
NIS1と比較して、新しい指令では:
- 以下を追加することで、当初の範囲を大幅に拡大します その他の分野 また、各国のデジタル経済における組織の役割に基づいた新たな分類を導入する
- より厳格なセキュリティおよびリスク管理要件を導入し、 最低限のセキュリティ対策一覧 実装する
- 強制する 事業継続計画 重大なサイバーインシデントが発生した場合
- より厳格な インシデント報告
- 確立する 違反に対する罰金と執行の強化 措置
- 強制する 規制監督、 オンサイトおよびオフサイトの検査、臨時の監査、セキュリティスキャンなど
- 保持する コンプライアンス違反に対する経営陣の責任 また、当局が勤務停止を要請することを認めている
- 見どころ サプライチェーンのセキュリティ サイバーセキュリティ全体における重要な要素として。
EUのサイバーセキュリティ規制の適用範囲の拡大
NIS2は、当初のNISの適用範囲を2倍以上に拡大しています。また、従来の"重要サービス事業者"と"デジタルサービスプロバイダー"との区別を、 必須 そして 重要 組織の規模や収益基準に基づく分類。
GDPRとは異なり、NIS2は適用対象となる組織の基準をより厳格に定めており、EU域内でサービスを提供したり活動を行ったりする組織にのみ適用されます。例えば、国際企業がEUに子会社を持っている場合、NIS2の適用対象となるのはその子会社のみです。ただし、注意点があります。サプライチェーンに対するデューデリジェンスの要件がより厳しいため、EU域外の企業であっても影響を受ける可能性があります。
本指令の対象となる分野および事業体
NIS2の適用範囲は、附属書I("必須"または"重要"に分類される極めて重要なセクター)および附属書II("重要")の対象となります。
NIS1の適用範囲には、すでに附属書Iに規定されているセクターの大部分が含まれており、具体的には以下の通りです:
- エネルギー
- 輸送
- 健康
- 飲料水
- 金融市場インフラ
- 銀行業
- デジタルインフラ
NIS2指令の附属書Iにおいて適用範囲に追加された新たな分野は、以下の通りです:
- スペース
- 排水
- 情報通信技術(ICT)サービス管理
- 行政
組織の種類、規模、および収益に応じて、附属書Iに該当する組織は次のように分類される:
- 必須、 その混乱が国に深刻な影響を及ぼす可能性がある場合:
- 従業員数が250名以上、または年間売上高が5,000万ユーロ以上の大企業
- 中央政府の行政機関
- 生活必需サービスの事業者
- 加盟国が選定するその他の企業
- 重要:
- 従業員数が50名以上、または年間売上高が1,000万ユーロ以上の企業
- 加盟国が選定するその他の企業
どちらのカテゴリーにも、同じセキュリティ要件が適用されます。ただし、"必須(Essential)"グループは事前の監督対象となるのに対し、"重要(Important)"グループは、コンプライアンス違反の事案が報告された場合にのみ監視の対象となります。"必須"グループに属する組織に対しては、当局がより高額な違反罰金を科すほか、管理職の職務を一時的に停止させることさえ可能です。
付属書IIでは、さらに多くのセクターが追加されており、これらはすべて"重要"カテゴリーに分類されます:
- 郵便・宅配サービス
- 食べ物
- 化学品
- メーカー
- デジタルサービス事業者
- 廃棄物管理
- 研究
- ドメイン名登録サービス
本指令は、収益や規模の基準にかかわらず、国内経済への影響が極めて大きい場合、または当該企業が特定のサービスの唯一の提供者である場合、加盟国が"重要かつ不可欠な組織"の国内リストを作成することを認めている。各加盟国は、2025年4月までに当該リストを作成することが求められている。
中小企業(SME)の義務
従業員50名以上かつ年間売上高1,000万ユーロ以上の中堅企業の多くは、業種に応じて"重要"または"不可欠"とみなされます。
これより小規模な企業は、国の"不可欠"および"重要"事業体リストに該当する場合、または以下の業種に属する場合を除き、対象外となります:
- デジタルインフラ
- DNSサービスプロバイダー
- 信頼サービスプロバイダー
- TLDレジストリ
- 公衆電子通信ネットワークおよび公衆利用可能な通信サービスの提供者
- 行政機関
コンプライアンスへの対応には追加投資が必要となる場合もありますが、EUのNIS2が定める"適切性"および"比例性"の原則により、リソースが限られている中小企業でもサイバーセキュリティ対策を講じることが可能になります。例えば、中小企業は定期的な従業員研修を実施することで、リスク管理やサイバーセキュリティ意識の向上に注力することができます。
以下では、セキュリティ対策についてさらに詳しく見ていきましょう。
NIS 2に基づくサイバーセキュリティ・リスク管理
リスク管理およびセキュリティポリシー
デジタル環境の変化は法整備のペースを上回る速さで進んでいるため、NIS2指令では "最先端の"アプローチ、組織に対し、以下のセキュリティ対策の導入を義務付けており、 適切かつ均衡が取れており、かつ費用対効果が高い それぞれの具体的なニーズや能力に基づいて。セキュリティ対策の適切性を評価する際、組織はリスクへの曝露度、組織の規模、セキュリティインシデントの発生確率と深刻度、および導入コストを考慮すべきである。
組織は、ITインシデントおよびそれが業務に及ぼす影響を防止または最小限に抑えるため、その時点で利用可能な最新かつ最も効果的な措置を実施すべきである。ただし、本指令は組織に対し、いかなる犠牲を払ってでもサイバーセキュリティを確保することを義務づけるものではなく、"最先端"の状態を維持するための継続的なリスクおよびセキュリティ評価の重要性を強調している。
NIS2のサイバーセキュリティ要件は、以下の点を中心に構成されている。 リスクに基づく("あらゆる災害"を対象とした)アプローチ (第21条)また、組織に対し、セキュリティスキャン、リスク分析、定期的な侵入テスト、パッチ適用、および資産管理を通じて、自組織がさらされているリスクを定期的に評価するよう奨励する。
さらに、本指令では、すべての組織に義務付けられる10項目の基本セキュリティ対策が定められている:
- 方針 リスク評価と情報セキュリティについて
- インシデント対応 (予防、検知、および対応)
- 事業継続 バックアップ付きのプランと 災害復旧計画、緊急対応手順、危機管理、および組織化された危機対応チーム
- サプライチェーンのセキュリティ、直接取引先およびサービス提供業者に対するリスク分析、取引先の脆弱性を軽減するための計画、ならびに組織と直接取引先およびサービス提供業者との関係におけるその他のセキュリティ関連事項
- サイバーセキュリティ研修 およびサイバー衛生
- 有効性の評価 実施されたセキュリティ対策
- 【~に関する方針および手順】 暗号学と暗号化
- 多要素認証または継続的認証の活用 認証, 安全な通信 音声、動画、テキストの暗号化
- 【~に関する方針および手順】 要員のセキュリティ、データへのアクセス、資産管理
- ネットワークおよび情報システムのセキュリティ、調達、開発、保守を含む
これらの措置に加え、EUのNIS2ではまた、 協力と情報共有 新たなデジタル上の脅威への対処や、サイバー攻撃に対するEU全体のレジリエンスの向上に向けた相互理解と協力を促進するため。
サプライチェーンのセキュリティ
以前のNIS指令ではサプライチェーンのセキュリティに重点が置かれていなかったため、新しいNIS2はその空白を埋めるものである。 前文85項では、悪意のある攻撃者がサードパーティのツールやサービスの脆弱性を悪用して、組織のネットワークや情報システムのセキュリティを侵害するサイバー攻撃が蔓延していることを踏まえ、サプライチェーンセキュリティの重要性が強調されている。
本指令は、組織に対し、サプライヤーやサービスプロバイダーのレジリエンス、品質、およびサイバーセキュリティ対策の評価を求め、契約に適切なリスク管理措置を盛り込むことを義務付けている。 前文86は、インシデント対応、ペネトレーションテスト、セキュリティ監査、およびコンサルティングに特に焦点を当てています。
これにより、NIS2の対象となる組織と提携するサプライヤーやサービスプロバイダー(マネージドサービスプロバイダーやセキュリティサービスプロバイダーを含む)には、さらなる負担が課せられます。プロバイダーは、たとえNIS2の適用範囲外であっても、自社のデジタルセキュリティと運用上のレジリエンスを向上させることが求められます。
サイバーインシデント報告要件の強化
この新しい指令では、重大なインシデントやサイバー攻撃が発生した場合、具体的な期限を定めてインシデントの報告および通知が義務付けられています。NIS2(第23条)において、"重大な"とは、当該組織に深刻な業務上の混乱や金銭的損失をもたらす可能性のあるもの、あるいはその他の当事者に重大な物的または非物質的損害をもたらす可能性のあるものを指します。
- 24時間以内。 組織は、当該事案について所管当局またはコンピュータセキュリティインシデント対応チーム(CSIRT)に通報するとともに、それがサイバー攻撃であるか、あるいは国境を越えた影響を及ぼす可能性があるかを明記すべきである。
- 72時間以内組織は、インシデントの深刻度と影響に関する初期評価を行うべきである。
- ご要望に応じて. 所管当局およびCSIRTは、組織に対し、状況の進捗に関する中間報告の提出を求めることができる。
- 事案の通知から1か月以内最終報告書には、インシデントの詳細な説明、その影響の評価、インシデントを引き起こした根本原因、および実施された是正措置を記載する必要があります。インシデントの対応に1か月以上を要する場合、組織は進捗報告書を提出し、インシデントが終了した時点で最終報告書を提出することが求められます。
インシデントの報告に加え、組織はサービス利用者に対しても、当該インシデントについて通知するとともに、その影響を軽減するために利用者が講じることができる措置について周知する必要があります。
NIS 2指令への準拠における課題と機会
コンプライアンスのメリット
EUのNIS2への準拠は、組織がサイバーセキュリティを強化し、事業中断に対する事業継続力を高めるのに役立ちます。これにより、組織の評判や透明性が向上するため、準拠は競争上の優位性をもたらす可能性があります。
NIS2準拠のもう一つの明らかなメリットは、違反による罰金を回避できることです。同指令では、以下の罰則が定められています:
- 主要な組織:少なくとも1,000万ユーロ、または全世界の年間売上高の2%のいずれか高い方
- 主要な組織:少なくとも700万ユーロ、または全世界の年間総売上高の1.4%のいずれか高い方
その他の執行措置には、警告、業務停止、組織の認定または認可の停止、および管理責任を負う者の職務停止が含まれる。
課題と留意点
NIS2の最大の課題は、組織がより高度かつ複雑なデジタル脅威に直面する中で導入されるという点にあり、つまり、これらに対処するためには、より高度かつ複雑な戦略が必要となっている。このため、NIS2指令は組織のサイバーセキュリティに関する責任を大幅に拡大し、より厳格な措置を導入している。
新たなサイバーセキュリティ対策により、組織は技術や専門知識への投資を迫られることになり、これは小規模な組織にとって負担となる可能性がある。によると、 影響評価報告書 欧州委員会の報告によると、今後3年間で、NIS1の対象外である組織は情報セキュリティへの投資を22%増やす必要があり、すでにNIS1に準拠している組織でも12%の増額が必要となる見込みです。
もう一つの課題は、コンプライアンス違反による重大なリスクであり、これは組織に多大な経済的損失をもたらします。重要事業者は、定期的なセキュリティ監査に加え、臨時の監査も受けることになります 事前の 予防策として。
NIS 2指令がEUのデジタル市場に与える影響
NIS2指令は、EU全域におけるサイバーセキュリティ水準の強化と調和を図るための主要な原動力となります。しかし、同指令は各国の国内法に組み込まれる必要があるため、サイバーセキュリティの基準や要件は国によって異なることになります。
NIS2はサイバーセキュリティの基準を引き上げ、あらゆるセクターがデジタル脅威に対してより強靭な事業継続性を確保できるよう貢献します。サイバーセキュリティ業界にとって、この指令は、組織のNIS2準拠を支援するためのソリューションという新たな市場を切り拓くものです。
なお、EUの金融セクターは、デジタル・オペレーショナル・レジリエンス法(DORA)によって追加的な保護を受けている点に留意すべきである。同法は、セクター固有の規制として、すべてのEU加盟国に統一された要件を課している。その要件はNIS2に優先するが、NIS2に取って代わるものでも、競合するものでもない。したがって、金融機関はDORAとNIS2の両方に準拠することが求められる。
NIS 2 準拠に向けた準備
まず、貴組織がNIS2の適用対象となるか、あるいはNIS2の規制対象となる組織に対してマネージドサービスやその他のサービスを提供しているかどうかを確認してください。また、貴組織に適用されるEU加盟国の法規制を特定し、遵守すべき具体的な要件を把握する必要があります。
ギャップ分析の実施
ギャップ分析を実施することで、組織のサイバーセキュリティ状況とリスクの程度を把握しましょう。 自国でNIS2の具体的な要件が確定するまでは、IEC 62443やサイバーセキュリティ能力成熟度モデル(C2M2)といった国際規格、およびEUサイバーレジリエンス法(CRA)のソフトウェア・ハードウェアに関するサイバーセキュリティ要件を、評価の参考として活用できます。
NIS2は3つの主要なカテゴリーで構成されているため、ギャップ分析を行う際はまずこれらを考慮してください:
- ガバナンス(第20条)NIS2では、コンプライアンスおよびサイバーセキュリティ全般に対する経営陣の責任を特に重視しており、これに伴い、組織内の職場文化の見直しや行動様式の変革が必要となる可能性があります。
- サイバーセキュリティリスク管理措置(第21条)。 NIS2では、組織に対し、適切かつ均衡のとれた技術的、運用上、および組織的な措置を講じることで、あらゆる想定されるリスクを評価し、それに対する備えを行うことが求められています。
本指令では、インシデント対応計画、リスク評価、サプライチェーンのセキュリティ、サイバーセキュリティ対策の有効性評価、安全な通信、定期的な職員研修など、10項目の最低限の措置が定められている。
- 報告(第23条). NIS2の要件に準拠するため、インシデント発生後の報告を透明性のあるものとし、適時に行うようにする。
- EUサイバーセキュリティ認証(第24条)NIS2によれば、加盟国は組織に対し、EU認定の技術サービスおよび製品の使用を義務付けることができる。
NAKIVOでサイバーセキュリティ戦略を強化
NAKIVO Backup & Replication は、バックアップおよび災害復旧のための堅牢なソリューションです。その高度な機能とサイバーセキュリティ機能により、組織はNIS 2への準拠を維持しつつ、データを保護することができます。
ここでは、サイバーレジリエントなデータ保護戦略の実装に役立つよう、NAKIVOソリューションの機能とNIS 2のベースライン対策との対応関係についてご紹介します。
ICTセキュリティとデータ保護
- データの耐障害性。 NAKIVOのソリューションを利用すれば、一元化されたWebベースのダッシュボードを通じて、仮想マシンや物理マシン上のすべてのワークロード、クラウド上のデータ、ファイル共有内のデータ、およびMicrosoft 365アプリを保護できます。"バックアップの黄金律"を容易に満たし、データコピーをオンサイトおよびオフサイトの複数の場所(NASや重複排除デバイス、USBドライブ、テープなど)に保存できます。 パブリッククラウドまたはS3互換クラウド プラットフォーム。
- データの完全性。 本ソリューションはアプリケーション認識モードに対応しており、Active DirectoryやExchange ServerなどのオンプレミスMicrosoftアプリケーションやOracle DBを含め、アプリケーションやデータベースを実行しているワークロードの一貫性のあるバックアップを作成できます。また、Microsoft 365のアプリやサービスに対応しているため、Exchange Onlineのメールボックス、Teamsのメッセージ、SharePoint Onlineのサイト、およびOneDrive for Businessのデータを簡単にバックアップできます。
- ランサムウェアなどのサイバー脅威からの保護。 NAKIVOのソリューションを利用すれば、サイバーセキュリティのベストプラクティスに従い、サイバー攻撃が成功するリスクを軽減できます。クラウド、ローカルフォルダ、またはHYDRAstorデバイス上のバックアップを不変化することで、指定された期間中は誰もデータを削除または変更できないようにすることができます。また、バックアップコピーをテープなどの取り外し可能なオフラインストレージに転送してエアギャップを確保することで、サイバー犯罪者がネットワーク経由でデータにアクセスするのを防ぐことも可能です。
- 暗号化。 AES 256ビット暗号化を有効にして、バックアップデータを保護しましょう。NAKIVOのソリューションはソースサイド暗号化に対応しており、転送中および保存中のデータの両方が保護されます。
- アクセス制御. 最小権限の原則に従い、ソリューションに対するロールベースのアクセス制御を設定します。
- 認証. バックアップデータへのアクセスやデータ保護作業を行う際は、多要素認証を有効にしてください。NAKIVOのソリューションは、多要素認証が有効なMicrosoft 365アカウントにも対応しているため、Microsoft 365インフラストラクチャ内のセキュリティを犠牲にする必要はありません。
インシデントの検知、対応、および対処
- 事業継続。 本ソリューションは、バックアップ、レプリケーション、 リアルタイムレプリケーションに加え、あらゆる状況でデータを確実に復元できるよう、12種類の復旧オプションを用意しています。VMのバックアップやレプリカが復旧可能かどうかを即座に確認し、バックアップ内のマルウェアをスキャンすることで、スムーズかつ安全な復旧を実現します。
- 災害復旧。 災害が発生した場合、たった1回のクリックで一連の処理を開始し、セカンダリサイトにあるレプリカへフェイルオーバーできます。Site Recovery機能により、以下のことが可能になります 自動化されたワークフローを作成する すべての復旧目標を達成しつつ、数秒でフェイルオーバーと復帰を行う。
- リアルタイム監視。 ~とともに VMware向けIT監視これにより、CPU、RAM、ディスク容量の異常な使用状況や不審な使用状況を、大きな問題になる前に早期に検知することができます。
セキュリティ対策の有効性評価
- 災害復旧テスト。 NAKIVOのソリューションにより、以下のことが可能になります 業務に支障をきたさない復旧テストを実施する 災害復旧計画が確実に機能し、復旧目標が達成されるようにするためです。テストの実施中は、ネットワークを確認し、ネットワークのマッピングやIPアドレスの再設定が正しいことを確認できます。また、災害復旧の手順が有効であるか、あるいは変更が必要かどうかも検証できます。このテストは本番環境に影響を与えず、スケジュールに従って実行することができます。
