NIS2指令がEUで法律化、対応準備はお済みですか?
2025年2月20日
原文:NIS 2 Is Now Law in the EU: Are You Ready to Comply? | Belden Inc.
執筆:Sarah Kolberg
1. NIS2指令とは?
NIS2指令とは「Network and Information Security Directive 2」の略称で、EUにおけるネットワーク・情報システムの安全に関する指令「NIS」の改正版として、2024年10月17日に施行期限となりました。この施行期限は、EU加盟国がこの指令を国内法として実施することになる期限を意味しており、EU圏に自社製品を輸出する日本の企業もサプライヤー選別の影響を受ける可能性があります。
昨今、医療、製造、運輸、送配電など、ほぼ全ての重要産業においてデジタル・インフラへの依存度が高まっています。ITとOTの融合により攻撃対象が急増し、これらの産業の多くのシステムがサイバー攻撃の標的になりつつあります。
その結果、サイバーセキュリティに関する規制について、法律の面でも検討されることが多くなってきています。激化するサイバー犯罪の脅威に対処し、現在のセキュリティ要件を満たしていくためには、法的枠組みの更新や再設計を必要としています。
例えばEU(欧州連合)内では、耐性の高いサイバー環境を統合的に実現するため、数多くの法令により規制を強化することで状況を改善できるように取り組んでいます。
EU初のネットワーク&インフォメーションセキュリティ指令(NIS1指令)は2016年に発効され、2023年には、最初のバージョンであるNIS1指令の最低要件がNIS2指令として改訂されました。そして、2024年10月17日にNIS2指令は施行期限を迎え、EU加盟国の国内法としての効力が発生することになりました。
NIS2指令は組織の重要部門が考慮すべき主なリスクの軽減策を含んでおり、これにより進化し続ける脅威の中でも生き残ることが可能となります。この法令は、EU域内の企業のサイバー耐性を強化し、サイバーセキュリティの標準レベルを確立することを目的としています。
2. NIS2指令の適用範囲
NIS2指令の適用範囲はNIS1指令よりも大幅に拡大され、以前のものと比較すると合計18部門から約10倍の企業が対策を実施しなければならなくなりました。
対象となる事業者
| 主要エンティティ | エネルギー、運輸、銀行、金融市場インフラ、ヘルスケア、飲料水、下水、デジタルインフラ、ICTサービスマネジメント、公的サービス、宇宙 |
| 重要エンティティ | 郵便・宅配、廃棄物管理、化学品、食品、製造業(医療機器、コンピュータ・電気電子・光学製品、機械、自動車・トレーラー、輸送機器)、デジタルサービスプロバイダー、研究 |
小規模企業(従業員50人未満)もNIS2指令の対象となりました。 この要件は、欧州加盟国の企業に適用されるのは当然ですが、EU企業と取引するサプライヤー企業にも適用されることはグローバル化や海外売上比率が高まる日本企業にとって喫緊の課題です。NIS2指令は国際的に影響力のある新たなネットワークと情報セキュリティの基準として設定されます。
罰則
これらのリスク管理措置を実施できないEU企業は、GDPR※レベルの罰金を支払う規則となっています。
| 主要エンティティ | 最高1,000万ユーロまたは世界売上高の2%の罰金 (いずれか高い方の金額を支払うことが必要です) |
| 重要エンティティ | 最高700万ユーロまたは世界売上高の1.4%の罰金 (いずれか高い方の金額を支払うことが必要です) |
3. NIS2指令の最大の課題「リスク管理措置」
その他の義務に加え、NIS指令の新版では『NIS2指令 第21条のリスク管理措置』が重要エンティティ企業にとっての中核的な内容となっています。
主な課題としては、 NIS2指令から生じる義務は、実装戦略、アーキテクチャ、適切な技術の選択を直接的に導き出すほど具体的ではないということです。NIS2指令もEU加盟国の法的措置も、適切なサイバーセキュリティ・ソリューションを定義するにはまだ不十分です。
そのような中でも、以下は、NIS2指令の一部として挙げられているリスク管理措置のリストであり、組織や企業が実施しなければいけない基本的かつ重要なセキュリティ対策です。
NIS2指令 第21条によるリスク管理措置
- リスク分析および情報システム・セキュリティに関する方針
- インシデント対応
- バックアップ管理、災害復旧、危機管理などの事業継続性
- サプライチェーンのセキュリティ(各企業とその直接の供給者またはサービス提供者との関係に関するセキュリティ関連の側面を含む)
- ネットワークおよび脆弱性の取り扱いと情報公開を含む情報システムの取得、開発、保守のセキュリティ
- サイバーセキュリティリスク管理策の有効性を評価するための方針と手順
- 基本的なサイバー衛生の実践とサイバーセキュリティ・トレーニング
- 暗号の使用に関する方針と手順、および必要に応じて暗号化
- 人事セキュリティ、アクセスコントロールポリシー、資産管理
- 組織内の適切な場面で多要素認証または継続的認証ソリューション、保護された音声、ビデオ、テキスト通信、および保護された緊急通信システムを使用すること
組織や企業は、メーカーやサプライヤーと協力して、これらの要件を導入しなければなりません。
4. BeldenがNIS2指令にどのように対応していくか
Beldenは、NIS2指令を通じてお客様の解決策を見つけ、要件に準拠するお手伝いをいたします。Beldenは、各企業と協力し、その環境に応じてカスタマイズされたソリューションを開発します。例えば、Beldenのネットワーク・アセスメント・サービスは、NIS2指令に準拠するための第一歩として最適です。
Belden製品のご相談は、日本正規代理店であるSanko IBにお問合せください。
5. 補足:NIS2指令対策のためのIEC62443
IEC62443は、インダストリアルオートメーションと制御システムのサイバーセキュリティの国際規格です。
IEC62443は、EU NIS2指令に対する一つの基準となり、IEC62443に準拠した機器を使うことによってお客様の運用プロセスに対する負荷を減らすことが出来ると考えています。
Belden社のブランドの一つであるHirschmannの産業用イーサネットスイッチ、BOBCATシリーズは、EC62443-4-2(機能要件)とIEC62443-4-1(開発要件)を満たしています。
また、Hirschmann オペレーティングシステム:HiOS(Hirschmann Operating System)では、さまざまなセキュリティ機能を備えていますので、NIS2準拠の達成に貢献することができます。
NIS2指令に該当する事業者様とお取引のある組織・企業様で、産業用イーサネットスイッチをお探しの方は、ぜひご検討いただけたらと思います。
NIS2指令については下記カタログにも記載しておりますので、詳しくはダウンロードしてみてください。
産業用イーサネットスイッチ
