NIS2指令

要約

NIS2 は、EUの重要セクター向けの新しいサイバー法であり、範囲が広がり、規則が厳しくなっています。ベースラインセキュリティ（パッチ適用、サプライチェーン、アクセス制御）、迅速なインシデント報告（24時間以内）、および経営層の責任を要求します。

EUにおける「必須」または「重要」な事業体である場合、2024年10月までにコンプライアンスは必須となります。違反した場合、最大1,000万ユーロまたは全世界売上高の2%の罰金が科せられます。

NIS2指令スコアカード概要：

• 開発者の労力: 中程度 (特定の技術的制御の実装、脆弱性対応とサプライチェーンセキュリティに焦点を当てたセキュアなSDLCプラクティス、および迅速なインシデント検出/報告のサポートが必要です。)
• ツール費用: 中程度から高 (ベースラインの成熟度によります。リスク管理ツール、監視/ログ記録の改善、脆弱性管理、MFA、暗号化、サプライチェーンセキュリティツールへの投資が必要となる場合があります。)
• 市場への影響: 非常に高い（EUで事業を行う幅広いエンティティにとって必須であり、サイバーセキュリティの期待と執行の基準を大幅に引き上げます。）
• 柔軟性: 中程度（最低限のセキュリティ対策を義務付けていますが、リスクおよび組織の規模/重要度に基づいて比例的な対応を許可しています）。
• 監査の厳格度: 高（国家当局が監督および執行します。特に重要インフラ事業者に対しては、潜在的な監査、検査、コンプライアンスの証明が含まれます）。

NIS2指令とは何ですか？

The NIS2 Directive（指令 (EU) 2022/2555）は、元の2016年ネットワークおよび情報セキュリティ（NIS）指令を廃止し、置き換えるEU全域のサイバーセキュリティ法です。その目標は、EU加盟国全体でより高い共通のサイバーセキュリティレベルを達成することです。最初のNIS指令の欠点を、その範囲を拡大し、要件を明確にし、セキュリティ義務を強化し、より厳格な監督および執行措置を導入することで対処しています。

NIS2 Directiveの主要な側面：

• 範囲の拡大： 経済と社会にとってより重要なセクターをカバーします。これは以下を区別します：
  
  • 重要エンティティ（付属書I）: エネルギー、運輸、銀行、金融市場インフラ、医療、飲料水、廃水、デジタルインフラ（IXP、DNS、TLDレジストリ、クラウドプロバイダー、データセンター、CDN、トラストサービス）、公共行政、宇宙などのセクターが含まれます。
  • 重要なエンティティ (附属書II): 郵便/宅配サービス、廃棄物管理、化学品、食品の生産/加工/流通、製造業（医療機器、コンピューター、電子機器、機械、車両）、デジタルプロバイダー（オンラインマーケットプレイス、検索エンジン、ソーシャルネットワーキングプラットフォーム）、および研究が含まれます。
  • これらのセクターの中堅・大企業に一般的に適用されますが、加盟国は、セキュリティリスクプロファイルが高い小規模な事業体を含めることができます。
• より厳格なセキュリティ要件: サイバーセキュリティリスクを管理するために、「適切かつ相応の技術的、運用的、組織的措置」を講じることを義務付けています（第21条）。これには、リスク分析、インシデント対応、事業継続性、サプライチェーンセキュリティ、脆弱性対応/開示、テスト、暗号化/暗号、人事セキュリティ/アクセス制御/資産管理、MFA/セキュアな通信の使用を含む最低10の措置が含まれます。
• 経営陣の責任: 経営陣がサイバーセキュリティリスク管理措置の承認、監督、およびトレーニングを受ける責任を明確に負うことを規定しています。違反は経営陣の個人的な責任につながる可能性があります。
• インシデント報告義務: 重大なインシデントに対する多段階報告を導入します：
  
  • 24時間以内の早期警告を関連するCSIRT（Computer Security Incident Response Team）または管轄当局へ。
  • 72時間以内のインシデント通知と初期評価。
  • 最終報告書は1ヶ月以内に提出されます。
• サプライチェーンセキュリティ: 事業体に対し、サプライチェーンおよび直接のサプライヤー/プロバイダーとの関係におけるサイバーセキュリティリスクに対処することを要求します。
• Harmonization & Enforcement: 加盟国全体でのより一貫した適用を目指し、国家当局の監督権限を強化し、不遵守に対する多額の行政罰金を導入します。

加盟国は、NIS2を2024年10月17日までに国内法に転置する必要があります。

なぜそれが重要なのか

NIS2は、EUのサイバーセキュリティ規制における大きな進展を意味します。

• より広範な影響：元のNIS指令と比較して、EU内で事業を展開するはるかに広範なセクターや企業に影響を与えます。多くのテクノロジー企業（クラウドプロバイダー、データセンター、デジタルプロバイダー）が直接その範囲に含まれます。
• Higher Security Baseline: より具体的な最小限のセキュリティ対策を義務付け、対象となるセクター全体のサイバーセキュリティ基準を引き上げます。
• 説明責任の強化: サイバーセキュリティ監督に対する直接的な責任（および潜在的な法的責任）を経営陣に課します。
• インシデント対応の迅速化: 厳格な報告期限は、組織がより迅速な検出および対応能力を確立するよう促します。
• サプライチェーンへの注力: サプライチェーンに起因する重大なリスクを認識し、対処することで、企業は自社の境界を超えて目を向けることを余儀なくされます。
• 執行の強化: 多額の罰金と監督権限は、不遵守が深刻な結果を招くことを意味します。
• 国境を越えた一貫性：EU全体におけるサイバーセキュリティ要件と監督の断片化を減らすことを目指します。

必須および重要エンティティにとって、NIS2への準拠は任意ではなく、EU市場内で事業を運営するための法的要件です。

何を、どのように実装するか (技術的側面とポリシー側面)

NIS2の実装には、リスク管理と、義務付けられた最小限のセキュリティ対策（第21条）に焦点を当てた構造化されたアプローチが必要です。

1. スコープの確認: 指令および国内法で定義されているセクターおよび規模の基準に基づき、貴社が「必須」または「重要」な事業体のスコープに該当するかどうかを判断します。
2. リスク評価とポリシー（第21条(2a)）: ネットワークおよび情報システムに対する脅威を特定する徹底的なリスク評価を実施します。対応する情報システムセキュリティポリシーを策定し、実装します。
3. インシデントハンドリング（Art. 21(2b)）: サイバーセキュリティインシデントの検出、分析、報告（24時間/72時間/1ヶ月の期限を満たす）、および対応のための手順を確立します。堅牢な監視とロギングが必要です。
4. 事業継続性および危機管理（第21条(2c)）: 主要なインシデント発生中および発生後の運用回復力を確保するため、事業継続性（バックアップ管理、災害復旧）および危機管理の計画を策定します。
5. サプライチェーンセキュリティ（第21条2項d号）: 直接のサプライヤーおよびサービスプロバイダー（CSPsを含む）に関連するリスクを評価し、対処します。サプライヤー契約にセキュリティ要件を実装します。デューデリジェンスを実施します。
6. システムセキュリティと脆弱性対応（第21条(2e)）: ネットワーク/情報システムの取得、開発、保守におけるセキュリティを実装します。脆弱性対応と開示のプロセスを確立します（例：脆弱性スキャナーの使用、パッチ管理）。これは、セキュアなSDLCプラクティス（NIST SSDFなど）と大きく重複します。
7. 有効性テスト（第21条(2f)）: 実施されたサイバーセキュリティリスク管理措置の有効性を定期的に評価するためのポリシーと手順を策定します（例：内部/外部監査、ペネトレーションテスト）。
8. サイバーハイジーンとトレーニング（第21条第2項g）：基本的なサイバーハイジーン対策（強力なパスワード、パッチ適用）を実施し、全従業員に対して定期的なサイバーセキュリティ意識向上トレーニングを提供します。
9. 暗号化と暗号技術（第21条第2項h）：適切な場合（例：保存データおよび転送データ）における暗号化と暗号技術の使用に関するポリシーを定義し、実装します。
10. HRセキュリティ、アクセス制御、資産管理（Art. 21(2i)）: 人員に対するセキュリティ手順（必要に応じてバックグラウンドチェックを含む）、強力なアクセス制御ポリシー（最小権限の原則、RBAC）を実施し、資産のインベントリを維持し、安全に管理します。
11. 多要素認証 (MFA) とセキュアな通信 (Art. 21(2j)): 適切な場合、MFAまたは継続的な認証ソリューション、セキュアな音声/ビデオ/テキスト通信、およびセキュアな緊急通信システムを使用します。

実装には、堅牢な技術的制御（ファイアウォール、IDS/IPS、EDR、SIEM、MFA、暗号化、脆弱性スキャナー、パッチ管理ツール）と、十分に文書化されたポリシー、手順、トレーニングプログラムの組み合わせが必要です。

避けるべきよくある間違い

NIS2への準備を進める組織は、以下の落とし穴を避けるべきです：

1. 範囲の過小評価: 業種や規模によってNIS2が適用されないと誤って仮定すること、または範囲内のすべての関連する事業単位/システムを特定できないこと。
2. サプライチェーンリスクの無視：内部セキュリティのみに焦点を当て、直接のサプライヤーからのリスクを評価・管理する要件を怠ること。
3. 不十分なインシデント報告能力：厳格な24時間／72時間報告期限を満たすための監視、検出、分析、および内部プロセスが不足していること。
4. 経営陣のコミットメント/監督の欠如: NIS2を単なるIT/セキュリティ問題として扱い、経営陣をポリシー承認、実装監督、および必要に応じたトレーニングに参加させないこと。
5. テクノロジーのみに注力する: 指令で求められる重要なプロセス、ポリシー、トレーニング、ガバナンスの側面を軽視する。
6. 不適切な文書化: リスク評価、ポリシー、手順、インシデント対応、および管理策実装の証拠を適切に文書化せず、国家当局による潜在的な監督に対応できないこと。
7. 準備の遅延: 2024年10月の期限まで準備を遅らせ、ギャップ分析、実装、およびプロセス変更に必要な時間（通常約12ヶ月と見積もられる）を過小評価すること。

監査人／当局が尋ねる可能性のあること（開発者向け）

SOC 2のような正式な監査はまだ定義されていませんが、各国の監督当局はコンプライアンスをチェックする権限を持つことになります。開発チームに影響を与える可能性のある質問は、以下に関連する可能性があります：

• (第21条(2e)) 脆弱性対応: 「ソフトウェアまたはその依存関係で発見された脆弱性を特定、評価、および修正するためのプロセスは何ですか？最近のパッチ適用に関する証拠を提示してください。」
• (第21条(2e)) セキュアな開発: 「ソフトウェア開発ライフサイクル中にセキュリティが考慮されていることをどのように保証しますか？セキュアコーディングプラクティスまたはセキュリティテスト（SAST/SCA）の証拠を提示できますか？」
• (第21条(2d)) サプライチェーン（依存関係）: 「ソフトウェアで使用されているオープンソースライブラリやサードパーティコンポーネントのセキュリティをどのように評価しますか？」
• (Art. 21(2b)) Incident Handling Support: 「アプリケーションのロギングは、セキュリティインシデントの検出と分析をどのようにサポートしていますか？」
• (Art. 21(2h)) Cryptography: 「アプリケーションではどこで暗号化が使用されていますか（転送中のデータ、保存中のデータ）？鍵はどのように管理されていますか？」
• (Art. 21(2i)) Access Control: 「開発環境、ソースコード、およびデプロイメントパイプラインへのアクセスはどのように制御されていますか？」
• (Art. 21(2j)) Authentication: 「開発者が重要なシステムやコードリポジトリにアクセスする際に、MFAは使用されていますか？」

当局は、確立されたプロセス、技術的統制、および義務付けられたセキュリティ対策への遵守を示す文書の証拠を確認します。

開発チームのためのクイックウィン

開発チームは、基本に注力することでNIS2対応に貢献できます：

1. 脆弱性管理の優先順位付け: CI/CDパイプラインに堅牢なSCAおよびSASTスキャンを実装し、重大度が高い脆弱性を修正するための明確なSLAを確立します。（第21条(2e)に準拠）
2. CI/CDセキュリティの強化: パイプラインへのアクセスを保護し、シークレット管理を使用し、ビルド成果物をスキャンします。（複数の第21条措置をサポート）
3. ロギングの改善: アプリケーションが意味のあるセキュリティイベントログを生成し、インシデント検出をサポートするためにそれらを一元的に転送することを確認します。(第21条(2b)に準拠)
4. MFAの強制: コードリポジトリ、クラウドコンソール、CI/CDシステムへの開発者アクセスをMFAで保護します。（第21条(2j)に準拠）
5. 依存関係のレビュー: サードパーティライブラリのセキュリティ体制を積極的にレビューし、管理します。（第21条(2d)、(2e)に準拠）
6. Basic Secure Coding Training: 一般的な脆弱性（OWASP Top 10）とセキュアコーディングプラクティスに関するチームの知識を更新します。（第21条第2項g号に準拠）

これを無視すると...（非準拠の結果）

NIS2の非準拠は、各国の当局によって課される重大な罰則を伴います。

• 高額な罰金:
  
  • 必須事業体: 前会計年度の世界年間総売上高の1,000万ユーロまたは2%のいずれか高い方まで。
  • 重要エンティティ: 前会計年度の全世界年間総売上高の700万ユーロまたは1.4%のいずれか高い方まで。
• 是正命令：当局は欠陥を是正するための拘束力のある指示を発行できます。
• 監査と検査: 不適合組織は、監視の強化と強制的なセキュリティ監査に直面します。
• 認証/認可の停止: 場合によっては、関連する運用認証または認可が停止される可能性があります。
• 公開開示: 当局は、非準拠組織を公に公表することができます。
• 経営陣の法的責任: 経営陣のメンバーは個人的な法的責任を問われ、重大な過失に対しては経営職務の一時的な停止に直面する可能性があります。
• 評判の損害: 罰金や公表は、顧客の信頼とブランドの評判に深刻な損害を与えます。

よくあるご質問

NIS2指令に準拠する必要があるのは誰ですか？

EU内で事業を展開する中規模および大規模組織で、附属書I（「必須エンティティ」）および附属書II（「重要エンティティ」）にリストされている特定のセクターに属するもの。これには、エネルギー、輸送、医療、デジタルインフラストラクチャ（クラウドプロバイダー、データセンター、DNSなど）、デジタルプロバイダー（マーケットプレイス、検索エンジン、ソーシャルネットワーク）、製造業、郵便サービスなどの分野が含まれます。詳細については、指令および国内法への転置を確認してください。

NIS2準拠の期限はいつですか？

EU加盟国は、NIS2指令を遵守するために必要な措置を2024年10月17日までに採用し、公表しなければなりません。対象となる組織は、国内法が施行されるまでに遵守する必要があります。

NIS1とNIS2の主な違いは何ですか？

NIS2は、適用範囲を大幅に拡大し（対象セクターの増加、中規模・大規模事業体への義務化）、より厳格なセキュリティおよび報告要件を課し（特定の最低限の対策や厳格な期限を含む）、監督と執行を強化し（罰金の増額、経営陣の責任）、加盟国間での調和を向上させることを目指しています。

NIS2はGDPRとどのように関連しますか？

これらは補完的な関係にあります。GDPRは個人データの保護に焦点を当てています。NIS2は、必須／重要なサービスを提供するために使用されるネットワークおよび情報システムのサイバーセキュリティ（これらはしばしば個人データを処理します）に焦点を当てています。NIS2のセキュリティ要件に準拠することで、GDPRの対象となるデータを保持するシステムを保護するのに役立ちます。NIS2の侵害報告はサービスの中断に焦点を当てていますが、GDPRは個人データ侵害による個人へのリスクに焦点を当てています。

NIS2はDORAまたはサイバーレジリエンス法（CRA）とどのように関連しますか？

これらはEUのより広範なデジタル戦略の一部であり、しばしば重複しますが、焦点が異なります：

• NIS2: 必須/重要セクター向けの広範なサイバーセキュリティベースラインです。
• DORA: 金融セクター向けの特定のデジタルオペレーショナルレジリエンス要件です。DORAは特別法（lex specialis）であり、金融機関はNIS2と重複する部分ではDORAに従うことを意味します。
• CRA：EU市場に投入されるデジタル要素を持つ製品（ハードウェア／ソフトウェア）のライフサイクル全体にわたるサイバーセキュリティ要件に焦点を当てています。これらは連携してセキュリティ層を構築することを目指しています。

NIS2認証はありますか？

この指令は、コンプライアンスを実証するために、欧州サイバーセキュリティ認証スキーム（EUサイバーセキュリティ法に基づく）の利用を奨励していますが、特定の「NIS2証明書」自体を義務付けているわけではありません。コンプライアンスは、各国の管轄当局によって監督および執行されます。

NIS2の下で報告が必要となる「重大なインシデント」とは何ですか？

インシデントが重大とみなされるのは、以下のいずれかに該当する場合です。

a) 関係する事業体にとって、重大な運用の中断または経済的損失を引き起こす、または引き起こす可能性があるもの。

b) 相当な物質的または非物質的損害を引き起こすことにより、他の自然人または法人に影響を与える、または影響を与える可能性がある。

各国の当局がさらなるガイダンスを提供します。