欧州の指令である NIS2 には、欧州連合(EU)で事業を行う組織がネットワークとインフラに関して同じレベルの高いセキュリティを確保するための新たな措置が盛り込まれています。
この「指令」は、すべての EU 加盟国が達成しなければならない目標を概説するものですが、各国には国内事情をある程度考慮する余地があり、自国の法律の下でこの指令を施行し、目標を達成することになります。施行する必要がある最小限の要件であるという意味では、この指令には拘束力があります。
たとえばこの指令を遵守していない組織に罰金が科される場合、各国は最低罰金額を超えて、管轄区域内の事業体に対し高額な制裁金を科すことを決定できます。
NIS2 は、EU 初のサイバーセキュリティ法とされる NIS1 指令の改訂版です。2018 年の施行以来、NIS1 は EU のサイバーセキュリティ戦略の実施に不可欠であるものの、現在のサイバーセキュリティ脅威の状況がもたらす課題に対処するには十分ではないことが証明されています。NIS2 は、準拠が必要な新しいセクターや組織の種類を追加し、サイバーセキュリティ要件を強化することで、法の適用範囲を拡大するものです。
地政学的にサイバーセキュリティの重要性が高まっていることを考えれば、NIS2 は EU 全体でより調和のとれた、より強力な防衛能力を構築するための論理的な措置であるといえます。
NIS2 が NIS1 と比べて新しくなった点
- サイバーセキュリティ要件の厳格化
- 適用範囲の拡大(影響を受けるセクターと事業体の範囲が拡大)
- 識別方法の変更(能動的な識別から自己識別へ)
- サプライチェーンのサイバーセキュリティの要件を追加
- 各国当局によるコンプライアンス監視の強化
- 違反した場合の行政罰則の明確化
- 関係事業体間でのサイバーセキュリティ情報共有の取り決め(情報交換プラットフォーム、自動ツール、コンテンツなど)の確立
NIS2 の準拠対象
EU 内で NIS2 指令の附属書に記載されているサブセクターのいずれかで事業を行っている組織のうち、一定の規模の組織、あるいは第 2 条と第 3 条が定める例外のいずれかに該当する組織は NIS2 に準拠する必要があります。
適用範囲に含まれる事業体
NIS2 は、勧告 2003/361/EC で概説されている中規模企業に該当する企業、またはそれ以上の規模の公的機関と民間企業に適用されます。「中規模」事業体の定義は、「50 人以上を雇用し、年間売上高あるいは年間貸借対照表の総額が 1,000 万ユーロを超える企業」です。
組織の規模にかかわらず、NIS2 指令第 2 条に記載されている例外に該当する組織にも指令が適用されます。また、加盟国は特定の事業体や機関に本指令を適用することができます。したがって、適用対象かどうかについては各国の当局に個別に確認することが重要です。
最重要な事業体と重要な事業体
NIS2 では、予想されるインシデントの影響に応じて「最重要」と「重要」の 2 つのカテゴリに事業体が分類されます。どちらにせよ同じセキュリティ対策を遵守する必要がありますが、「最重要」な組織は常に政府によって積極的に監視されます。一方「重要」な組織はサイバーセキュリティ インシデントが発生した後にのみチェックされます。言い換えれば、最重要な組織に対する統制のほうが厳しくなる理由は、コンプライアンス違反が発覚した場合、より深刻な結果が生じる可能性があるからです。
NIS2 に沿って実施しなければならない対策
NIS2 には、サイバーセキュリティの観点からすべての企業が取り組まなければならない重要な対策が 10 項目盛り込まれています。これらの対策を具体的に講じるにあたっては、最先端の技術に加え、該当する場合には適切かつ相応の技術レベルに応じて関連する欧州規格や国際規格、さらには実施コストを考慮する必要があります。
NIS2 に盛り込まれている対策は以下のとおりです。
- リスク分析と情報システムのセキュリティに関するポリシー
- インシデントの処理
- バックアップ管理やディザスタリカバリなどの事業継続と危機管理
- サプライチェーンのセキュリティ(各事業体とその直接のサプライヤーまたはサービスプロバイダーとの関係に関するセキュリティ関連の側面を含む)
- ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ(脆弱性の処理と開示を含む)
- サイバーセキュリティリスク管理対策の有効性を評価するためのポリシーと手順
- 基本的なサイバーハイジーンの実践とサイバーセキュリティのトレーニング
- 暗号(および必要に応じて暗号化)の使用に関するポリシーと手順
- 人的資源のセキュリティ、アクセス コントロール ポリシー、資産管理
- 多要素認証または継続的認証ソリューション、保護された音声、ビデオ、テキスト通信、および保護された緊急通信システムを必要に応じて事業体内で使用すること
インシデントの報告義務
NIS2 は次のような厳格なインシデントの報告要件を導入しており、これは最重要な事業体と重要な事業体に適用されます。
- 事業体はインシデントを検知してから 24 時間以内に国家当局に報告しなければならない。
- インシデント発生から 72 時間以内に、最初のインシデント評価を経た後、より正式な 2 回目の通知を行わなければならない。通知にはインシデントの重大度、影響、既知の侵害の兆候(IOC)を含めるものとする。
- 正式なインシデント通知から 1 か月以内に最終報告書を提出するものとする。
罰金
最重要な事業体と重要な事業体では、インシデント報告義務や一般的なセキュリティ要件を満たさなかった場合に科せられる行政罰金が異なります。
「最重要」な事業体の場合、国内法が定める一定レベルの行政罰金(少なくとも 1,000 万ユーロまたは前会計年度の全世界の年間総売上高の 2% のいずれか高い方が上限)が科されます。
「重要」な事業体の場合、少なくとも 700 万ユーロまたは前会計年度の全世界の年間総売上高の 1.4% のいずれか高い方が罰金の最高額となります。
NIS2 の発効時期
NIS2 指令は 2022 年 12 月 27 日に公布されました。各 EU 加盟国は 2024 年 10 月 17 日までに NIS2 指令を国内法に置き換えることになります。国内法が発効したら、対象範囲に含まれる組織は準拠する必要があります。
NIS2 では、インシデントを処理するためのドキュメントとプロセスを整備することを事業体に求めています。インシデント対応業務を連携して行うための基本ドキュメントの 1 つが、インシデント対応計画です。
Talos インシデント対応リテーナーは、インシデント対応計画や IR ハンドブックの開発など、NIS2 で要求されているドキュメントの作成支援サービスを提供しています。さらに、Talos リテーナーのトレーニングおよびシミュレーションサービスでは、お客様が新規および既存のプロセスをテストし、サイバー分野における全体的な知識向上を実現できるようサポートを行っています。
来週は、NIS2 に準拠した組織のインシデント対応計画の作成について、より詳しい情報をお届けします。新しい計画を作成するときや、既存の計画を見直したりするときによく起きる間違いを 7 項目にまとめ、それらを避ける方法について実践的なアドバイスを紹介する予定です。
本稿は 2023 年 11 月 09 日に Talos Group のブログに投稿された「What is NIS2, and how can you best prepare for the new cybersecurity requirements in the EU?」の抄訳です。