TL;DR

NIS 2はEUの重要セクター向け新サイバー法であり、より広範で厳格な規則である。基本的なセキュリティ（パッチ適用、サプライチェーン、アクセス制御）、迅速なインシデント報告（24時間）、幹部レベルの説明責任が求められる。

EUで「必須」または「重要」な企業であれば、2024年10月までにコンプライアンスを遵守することは譲れない。罰金は最高1,000万ユーロまたは世界売上高の2％。

NIS2指令スコアカードの要約：

• 開発者の労力：中程度（特定の技術的な管理、脆弱性の取り扱いとサプライチェーンセキュリティに焦点を当てた安全な SDLC の実施、迅速なインシデントの検出と報告のサポートが必要）。
• ツールコスト：リスク管理ツール、監視・ログの改善、脆弱性管理、MFA、暗号化、サプライチェーンセキュリティツールへの投資が必要になる可能性がある。
• 市場への影響：非常に高い（EU域内で活動する広範な事業体に対して義務付けられ、サイバーセキュリティに対する期待と実施のハードルを大幅に引き上げる）。
• 柔軟性：中程度（最低限のセキュリティ対策を義務付けるが、リスクと企業の規模／重要性に基づく比例を認める）。
• 監査の強度：特に重要な事業体については、監査、検査、コンプライアンス証明の可能性がある。

NIS2指令とは？

NIS2指令（指令（EU）2022/2555）は、サイバーセキュリティに関するEU全体の法律であり、2016年に制定されたネットワークおよび情報セキュリティ（NIS）指令を廃止し、これに代わるものである。その目的は、EU加盟国全体でより高いサイバーセキュリティの共通レベルを達成することである。その範囲を拡大し、要件を明確化し、セキュリティ義務を強化し、より厳格な監督・執行措置を導入することで、最初のNIS指令の欠点に対処している。

NIS2指令の主要な側面：

• スコープ拡大： 経済や社会にとって重要な部門をより多くカバーしている。以下のように区別される：
  
  • エッセンシャル・エンティティ（付属書I）：エネルギー、運輸、銀行、金融市場インフラ、保健、飲料水、廃水、デジタルインフラ（IXP、DNS、TLDレジストリ、クラウドプロバイダー、データセンター、CDN、トラストサービス）、行政、宇宙などの分野が含まれる。
  • 重要な事業体（付属文書Ⅱ）：郵便／宅配便、廃棄物管理、化学薬品、食品製造／加工／流通、製造業（医療機器、コンピューター、電子機器、機械、自動車）、デジタルプロバイダー（オンラインマーケットプレイス、検索エンジン、ソーシャルネットワーキングプラットフォーム）、調査などが含まれる。
  • 一般的には、これらのセクターの中堅・大企業に適用されるが、加盟国は、高セキュリティ・リスク・プロファイルを有する中小企業を含めることができる。
• より厳格なセキュリティ要件：サイバーセキュリティのリスクを管理するために、「適切かつ相応の技術的、運用的、組織的対策」を実施することを義務付けている（第21条）。これには、リスク分析、インシデント対応、事業継続性、サプライチェーンセキュリティ、脆弱性対応／開示、テスト、暗号化／暗号化、人事セキュリティ／アクセス制御／資産管理、MFA／安全な通信の利用をカバーする10項目の対策が最低基準として含まれる。
• 経営陣の説明責任：サイバーセキュリティリスク管理策を承認、監督、教育する責任を経営陣に明示する。コンプライアンス違反は、経営陣の個人責任につながる可能性がある。
• 事故報告義務： 重大インシデントの多段階報告を導入：
  
  • 関連するCSIRT（コンピュータ・セキュリティ・インシデント・レスポンス・チーム）または所轄官庁に24時間体制で早期警告を行う。
  • 72時間以内に事故発生を通知し、初期評価を行う。
  • 1ヶ月以内に最終報告。
• サプライチェーンのセキュリティ：サプライチェーンや直接の供給者／供給者との関係におけるサイバーセキュリティリスクに対処することを求める。
• 調和と執行：加盟国間のより一貫した適用を目指し、各国当局の監督権限を強化し、違反には多額の行政制裁金を導入する。

加盟国は2024年10月17日までにNIS2を国内法に移管しなければならない。

なぜ重要なのか？

NIS2は、EUのサイバーセキュリティ規制の大幅なステップアップを意味する：

• より広範な影響：当初のNIS指令に比べ、EU域内で活動するセクターや企業が大幅に拡大。多くのハイテク企業（クラウドプロバイダー、データセンター、デジタルプロバイダー）が直接の対象。
• より高いセキュリティ・ベースライン：より具体的な最低限のセキュリティ対策を義務付け、対象部門全体のサイバーセキュリティ基準を引き上げる。
• 説明責任の強化：サイバーセキュリティの監督について、経営陣に直接的な責任（および潜在的な責任）を負わせる。
• インシデント対応の迅速化：厳格な報告期限により、企業はより迅速な検知と対応能力を求めています。
• サプライチェーン・フォーカスサプライチェーンに起因する重大なリスクを認識し、対処する。
• より強力な執行：多額の罰金と監督権限により、コンプライアンス違反は重大な歯止めとなる。
• 国境を越えた一貫性：EU全域におけるサイバーセキュリティ要件と監督の分断を減らすことを目指す。

必須かつ重要な事業体にとって、NIS2への準拠は任意ではなく、EU市場内で事業を行うための法的要件である。

何をどのように実施するか（技術・政策）

NIS2を実施するには、リスク管理と義務付けられた最低限のセキュリティ対策（第21条）に焦点を当てた構造的なアプローチが必要である：

1. 適用範囲の確認：自組織が、指令および各国移管に定義されたセクターおよび規模基準に基づく「必須」または「重要」事業体の範囲に該当するかどうかを判断する。
2. リスク評価と方針（第21条2a）：ネットワークと情報システムに対する脅威を特定する徹底したリスクアセスメントを実施する。対応する情報システムセキュリティポリシーを策定し、実施する。
3. インシデント対応（第 21 条(2b)）：サイバーセキュリティインシデントの検出、分析、報告（24 時間／72 時間／1 ヶ月 の期限を守る）、対応の手順を確立する。強固な監視とロギングが必要。
4. 事業継続と危機管理（第21条(2c)）：事業継続（バックアップ管理、災害復旧）および危機管理に関する計画を策定し、重大インシデント発生時／発生後の業務回復力を確保する。
5. サプライチェーンのセキュリティ（第21条第2項）：サプライヤ及びサービスプロバイダ（CSP を含む）に関するリスクを評価し、対処する。サプライヤ契約にセキュリティ要件を導入する。デューディリジェンスを実施する。
6. システムセキュリティと脆弱性の取り扱い（第21条(2e)）：ネットワーク／情報システムの取得、開発、保守においてセキュリ ティを導入する。脆弱性の取り扱いと開示のプロセスを確立する（例えば、脆弱性スキャナの使用、パッチ管理）。これは、（NIST SSDF のような）セキュアな SDLC の実践と大きく重なる。
7. 有効性テスト（第 21 条(2f)）：実施したサイバーセキュリティリスク管理策の有効性を定期的に評価するための方針と手順を策定する（内部／外部監査、ペネトレーションテストなど）。
8. サイバー衛生とトレーニング（第21条(2g)）：基本的なサイバー衛生の実践（強固なパスワード、パッチ適用）と、全スタッフを対象とした定期的なサイバーセキュリティ意識向上トレーニングを実施する。
9. 暗号と暗号化（21条2項）：適切な場合（例えば、静止時および転送時のデータ）、暗号化および暗号化の使用に関するポリシーを定義し、実施する。
10. 人事セキュリティ、アクセス管理、資産管理（第21条(2i)）：要員のセキュリティ手続き（必要であれば身元調査）、強力なアクセス制御方針（最小権限、RBAC）を実施し、インベントリーを維持し、資産を安全に管理する。
11. 多要素認証（MFA）と安全な通信（第 21 条(2j)）：適切な場合には、MFA または継続的認証ソリューション、安全な音声／ビデオ／テキスト通信、および安全な緊急通信システムを使用する。

実装には、堅牢な技術的コントロール（ファイアウォール、IDS/IPS、EDR、SIEM、MFA、暗号化、脆弱性スキャナー、パッチ管理ツール）と、十分に文書化されたポリシー、手順、トレーニングプログラムの組み合わせが必要である。

避けるべき一般的な間違い

NIS2に備える組織は、こうした落とし穴を避けるべきである：

1. 適用範囲の過小評価：業種や規模によりNIS2が適用されないと誤認している、または適用範囲内の関連する事業部門／システムをすべて特定できていない。
2. サプライチェーンリスクの無視：社内のセキュリティにのみ焦点を当て、直接のサプライヤーからのリスクを評価・管理する必要性を無視している。
3. 不十分な事故報告能力：24時間365日の厳しい報告期限を守るための監視、検知、分析、内部プロセスが欠如している。
4. 経営陣の賛同/監督の欠如：NIS2を純粋にIT/セキュリティの問題として扱い、経営陣がポリシーの承認、導入の監督、必要なトレーニングを受けることに関与しない。
5. テクノロジーにのみ焦点を当てること：指令が要求する重要なプロセス、ポリシー、トレーニング、ガバナンスの側面を軽視している。
6. 不十分な文書化：リスクアセスメント、方針、手順、事故処理、管理実施の証拠を適切に文書化せず、国家当局による監督を受ける可能性がある。
7. 長すぎる待機：2024年10月の期限まで準備を遅らせ、ギャップ分析、実施、プロセス変更に必要な時間（多くの場合、～12カ月と見積もられる）を過小評価している。

監査人／当局から尋ねられるかもしれないこと（開発者フォーカス）

SOC 2のような正式な監査はまだ定義されていないが、各国の監督当局はコンプライアンスをチェックする権限を持つことになる。開発チームに影響を与える可能性のある質問には、以下のようなものがある：

• (第21条2e） 脆弱性の取り扱い：「あなたのソフトウェアまたはその依存関係に発見された脆弱性を特定、評価、修正するためのあなたのプロセスは何ですか？最近パッチを適用した証拠を示すこと。"
• (第21条2e） 安全な開発：「ソフトウエア開発ライフサイクルにおいてセキュリティが考慮されていることをどのように保証していますか？安全なコーディングの実践やセキュリティテスト（SAST/SCA）の証拠を示すことができますか？"
• (第21条第2項） サプライチェーン（依存関係）：「あなたのソフトウェアに使われているオープンソースのライブラリやサードパーティのコンポーネントのセキュリティをどのように評価していますか？
• (第21条(2b) インシデント対応支援：「あなたのアプリケーションのログは、セキュリティインシデントの検知と分析をどのように支援しますか？
• (第21条2h） 暗号化：「アプリケーションのどこで暗号化が使用されているか（転送中のデータ、静止状態のデータ）？鍵はどのように管理されていますか。
• (第21条第2項アクセス・コントロール"開発環境、ソースコード、デプロイメント・パイプラインへのアクセスはどのように管理されていますか？"
• (第21条2j）。認証：「重要なシステムやコードリポジトリへの開発者のアクセスに MFA が使われているか？

当局は、確立されたプロセス、技術的管理、および義務化されたセキュリティ対策の遵守を証明する文書の証拠を探す。

開発チームのクイックウィン

開発チームは、基本的なことに集中することで、NIS2の準備に貢献することができる：

1. 脆弱性管理の優先順位付けCI/CDパイプラインに強固なSCAとSASTスキャンを導入し、クリティカルで深刻度の高い脆弱性を修正するための明確なSLAを確立する。第21条(2e)に沿う）。21(2e))
2. CI/CDセキュリティの強化：パイプラインへの安全なアクセス、機密管理、ビルド成果物のスキャン。(複数のArt.21対策に対応）
3. ロギングの改善：アプリケーションが意味のあるセキュリティイベントログを生成し、それを一元的に転送してインシデントの検出をサポートするようにする。第 21 条(2b)と整合する）。21(2b))
4. MFAの実施：コードリポジトリ、クラウドコンソール、CI/CDシステムへの開発者のアクセスをMFAで保護する。第21条(2j)と整合）。21(2j))
5. 依存関係をレビューする：サードパーティライブラリのセキュリティ態勢を積極的に見直し、管理する。第21条(2d)及び第21条(2e)と整合する。21(2d)、21(2e)に沿う。）
6. 基本的なセキュアコーディングトレーニング：一般的な脆弱性(OWASP Top 10)とセキュアコーディングの実践に関するチームの知識をリフレッシュする。(第 21 条(2g)に合致)21(2g))

これを無視すれば...（コンプライアンス違反の結果）

NIS2の不履行には、各国当局による多額の罰則が科される：

• 重い罰金：
  
  • 必須事業体 1,000万ユーロまたは前会計年度の全世界における年間総売上高の2％のいずれか高いほうを上限とする。
  • 重要な事業体 700万ユーロまたは前会計年度の全世界の年間総売上高の1.4％のいずれか高いほうを上限とする。
• 是正命令：当局は、欠陥を是正するために拘束力のある指示を出すことができる。
• 監査と検査：コンプライアンスに違反した組織は、監視の目が厳しくなり、セキュリティ監査が義務付けられる。
• 認証／認可の停止：場合によっては、関連する認証や事業認可が停止される可能性がある。
• 公開：当局は、コンプライアンス違反の組織を公に名指しすることができる。
• 経営責任：経営組織のメンバーは、重大な過失があった場合、個人的な責任を問われ、経営機能から一時的に追放される可能性がある。
• 風評被害：罰金と公表は、顧客の信頼とブランドの評判に深刻なダメージを与える。

よくあるご質問

誰がNIS2指令に準拠する必要があるのか？

附属書I（「必須事業体」）および附属書II（「重要事業体」）に記載されている特定分野のEU域内で活動する中堅・大企業。これには、エネルギー、輸送、健康、デジタルインフラ（クラウドプロバイダー、データセンター、DNSなど）、デジタルプロバイダー（マーケットプレイス、検索エンジン、ソーシャルネットワーク）、製造業、郵便サービスなどの分野が含まれる。具体的な内容については、指令と各国への移管を確認してください。

NIS2への対応期限は？

EU加盟国は、2024年10月17日までにNIS2指令に準拠するために必要な措置を採択し、公表しなければならない。適用範囲内の組織は、国内法が発効するまでに準拠する必要がある。

NIS1とNIS2の主な違いは何ですか？

NIS2は、範囲を大幅に拡大し（より多くのセクター、中・大規模事業体への義務付け）、より厳格なセキュリティと報告要件を課し（具体的な最小限の措置と厳しい期限を含む）、監督と 執行を強化し（より高い罰金、管理責任）、加盟国間のより良い調和を目指している。

NIS2とGDPRとの関係は？

両者は補完関係にある。GDPRは 個人データの保護に重点を置いている。NIS2は、必須／重要なサービス（個人データを処理することが多い）を提供するために使用されるネットワークおよび情報システムのサイバーセキュリティに焦点を当てている。NIS2のセキュリティ要件に準拠することは、GDPRの対象となるデータを保持するシステムの保護に役立ちます。NIS2の違反報告はサービスの中断に重点を置くが、GDPRは個人データの漏洩による個人へのリスクに重点を置く。

NIS2とDORAやサイバー・レジリエンス法（CRA）との関係は？

これらはEUの広範なデジタル戦略の一部であり、しばしば重複しているが、焦点は異なっている：

• NIS2:基幹／重要セクターを対象とした広範なサイバーセキュリティ基準。
• DORA： 金融セクターのための特定のデジタル・オペレーショナル・レジリエンス要件。DORAはlex specialisであり、金融機関はNIS2と重複するDORAに従う。
• CRA：EU市場に投入されるデジタル要素（ハードウェア／ソフトウェア）を含む製品のライフサイクル全般にわたるサイバーセキュリティ要件に焦点を当てる。セキュリティの層を作るために協力することを目的としている。

NIS2の資格はありますか？

同指令は、欧州のサイバーセキュリティ認証制度（EUサイバーセキュリティ法に基づく）の利用を奨励し、準拠を実証しているが、特定の「NIS2認証」そのものを義務付けてはいない。コンプライアンスは各国の管轄当局が監督・実施する。

NIS2に基づく報告が必要な「重大インシデント」とは何か？

ある事件が重大であると見なされるのは、次のような場合である：

a) 当該企業に深刻な業務上の混乱や財務上の損失をもたらす、またはもたらす可能性がある；

b) 相当な物質的または非物質的損害を引き起こすことによって、他の自然人または法人に影響を与えるか、または影響を与える可能性がある。

各国当局はさらなるガイダンスを提供する。