目次
1.NIS2指令とは
2022年12月、欧州連合(EU)は、「改正ネットワークおよび情報セキュリティ指令(NIS2)」を文書化しました。本指令により、NIS指令(2016年)は廃止され、NIS2指令に置き換わります。
NIS2指令は、EU域内のサイバーレジリエンスを向上させるための広範な取組みを示しています。NIS2指令は、重要インフラのサプライチェーンに不可欠なエンティティに焦点を当てており、その範囲は、多数の新規セクターにまで拡大しています。2016年に発効された最初のNIS指令では、7つの重要なセクターについて言及しました。それ以来、EUは、安全で効率的であり、社会に不可欠と考えられるセクターの見解を拡大し、NIS2指令では、適用範囲が大幅に拡大され、9つのセクターが追加されました。
また、EUは、所定の期間内にNIS2に準拠できなかった組織に対して、GDPRと同様に、罰金を科すことがわかっています。さらに、NIS2指令の詳細な要件は、ITだけに焦点を当てるのではなく、運用面が安全であることを保証する厳格な技術的規制を課しています。また、NIS2指令に準拠していない組織の経営幹部には、たとえば、取締役会において個人が兼任するすべてのポジションに対し制限を課される等の罰則が適用される可能性があります。
2.NIS2指令の適用範囲
出典:KPMG
主要エンティティと重要エンティティ
NIS2指令は、適用範囲のエンティティを「主要」と「重要」の2つのカテゴリに分類しています。2つの違いは、たとえば主要エンティティがサービスを中断した場合、国家および社会全体に深刻な影響を与えることが予想されるという点にあります。
どちらのカテゴリのエンティティも、同じセキュリティ対策に準拠している必要があるものの、主要エンティティは積極的な監督下に置かれている一方で、重要エンティティは、NIS2指令への非準拠に係るインシデントが報告された場合にのみ、監視下に置かれます。したがって、自組織がNIS2指令の適用範囲に入るか否か、および主要もしくは重要エンティティとみなされるか否かについて、直ちに評価する必要があります。
| 主要:積極的(Proactive)な監督 |
|
|---|---|
| 重要:受動的(Reactive)な監督 |
|
※a 大企業:年間収益が5,000万ユーロより多い、従業員数250名以上
※b 中規模企業:年間収益が1,000万ユーロより多い、従業員数50名以上
※c 加盟国により選ばれたエンティティ:任意の規模、リスクプロファイルに基づいて選定
3.EUによるサイバーセキュリティ対策の強化
EUは、初期のNIS指令の見直しを行い、4つの重要な問題を提起しました。
(1)企業のサイバーレジリエンス不足
(2)EU加盟国間および企業間のジョイント・クライシスレスポンスの欠如
(3)主要な脅威と課題に対する共通理解の不足
(4)加盟国間の一貫性のないレジリエンス
初期のNIS指令は著しい成果を上げましたが、一定の限界が露わになっています。たとえば、新型コロナウイルス感染症(COVID-19)の結果として強化された社会のデジタル変革は、サイバーセキュリティの脅威を拡げました。さらに、重要インフラにおいて発生しているインシデントの数も減少していません。
政府機関があまり厳しい対応を取っていなかった結果、組織はインシデントへの対応と復旧を緩和してしまい、NIS指令の改訂が必須となりました。
出典:KPMG
エンティティにとって重要な要件
- 第20条 ガバナンス
第20条は、主要および重要エンティティである組織の経営層が、第21条に準拠するために講じたサイバーセキュリティリスクマネジメント対策を承認し、その対策の実施状況を監督し、同条の違反に対して責任を負うように、EU加盟国が保証することを要求しています。
さらに、経営層は訓練に従うとともに、従業員に対して、定期的に同様の訓練を実施することが奨励されています。これにより、従業員は、組織が提供するサービスのリスクを特定し、サイバーセキュリティリスクマネジメントの実践と影響評価のための十分な知識とスキルを身につけられます。
- 第21条 サイバーセキュリティのリスクマネジメント対策
・インシデント対応
・事業継続性
・サプライチェーンセキュリティ
・脆弱性への対処と開示
・サイバーリスクマネジメントの有効性を評価するための手順
・コンピューターウイルス対策の実施とサイバーセキュリティ訓練
・暗号化手法と暗号化のポリシーおよび手順
・人的資源セキュリティ、アクセス制御ポリシーおよび資産管理
・多要素認証と安全な通信システムの利用
- 第23条 報告義務
第23条は、EU加盟国に対し、組織のサービス提供に重大な影響がある場合は、CSIRTまたは(該当する場合)所管当局に通知することを保証することを要求しています。
重大なサイバー脅威が発生した場合、組織は、影響を受ける可能性があるサービス受信者に、脅威に対応するために取ることができる措置もしくは救済策を通知する必要があります。また、必要に応じて、脅威そのものについても通知することができます。
サイバー脅威は、次の場合に重要とみなされます。
(a)サービスにおける重大な運用上の混乱または関係するエンティティの財務上の損失を引き起こした、もしくは引き起こす可能性がある場合。
(b)相当な物質的または非物質的損害を引き起こすことにより、他の自然人もしくは法人に影響を与えた、または与える可能性がある場合。
組織は、CSIRTまたは所管当局に以下を提出することが求められます。
(a)重大インシデントを認識してから24時間以内に、該当する場合は、重大インシデントが不法行為もしくは悪意のある行為によって引き起こされた疑いがあるかどうか、または国境を越えた影響を及ぼす可能性があるかどうかを示す早期通知。
(b)重大インシデントを認識してから72時間以内に、該当する場合は、(a)項において通知した情報の更新と重大なインシデントの初期評価(重大度とその影響を含む)、および可能な場合は、IoC(セキュリティ侵害インジケーター)を含むインシデント通知。
(c)CSIRTまたは(該当する場合)所管当局の要請により、関連する最新状況に係る中間報告書。
(d)(b)項に基づくインシデント通知の提出後、1ヵ月以内の最終報告書。
- 第24条 欧州のサイバーセキュリティ認証体系の利用
第21条に規定される、特定要件のセキュリティ義務を満たしていることを証明するために、EU加盟国は、欧州のサイバーセキュリティ認証体系の下で認証された特定のICT製品、サービスおよび手順を使用することを要求できます。さらに、EU加盟国は、主要および重要エンティティが適格な信託サービスを利用することを奨励すべきです。
※原文はこちらから参照できます:DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022
4.NIS2指令が与える組織への影響
規制に準拠することによる内部影響
新しい規制は複雑であるため、今すぐに、規制がビジネスに与える影響の程度と潜在的な影響を理解するための準備を始める必要があります。規制に準拠していない場合、主要および重要エンティティは、以下のような罰金を科されるリスクがあります。
出典:KPMG
規制に準拠することによる外部影響
NIS2指令の適用範囲に含まれる組織は、安全で効果的かつ効率的な社会に貢献する重要な組織であることを認識しなければなりません。重要な組織が自らを守ることができない場合、より広い社会を危険に晒す可能性があります。そこで、文書上において準拠性に優れているだけでなく、NIS2指令のセキュリティ義務を満たすことで、著しく強固なセキュリティ態勢を確立し、社会に貢献することができ、自組織のオペレーショナルレジリエンスを向上させることもできます。
規制準拠に関する注意点
多国籍企業は、所在する各EU加盟国において、(サプライチェーンの一部として)重要インフラとみなされているかどうか、および各加盟国においてどのような法令に従うべきか評価する必要があります。また、EU域外に拠点を置いている企業であっても、EU域内で重要なサービスを提供している組織は、NIS2指令が適用されるため、注意が必要です。
5.NIS2指令とOTセキュリティ
IT環境とOT環境の融合が進むにつれて、サイバー脅威は環境間をより自由に行き来することが可能となります。これにより、攻撃対象が拡大し、ITとOTの両オペレーションについて、攻撃やインシデントが与える潜在的な影響が大幅に増大します
また、OT運用組織のなかには、サイバーセキュリティよりもオペレーションと安全を優先する組織も多く見られます。OT専門家がサイバーセキュリティの専門知識に乏しいこと、ITチームとOTチーム間のコミュニケーション不足や目標の違いにより、サイバー脅威に対する弱点を特定し、強力なアプローチを確立することが困難になることは珍しくありません。
NIS2指令は、物理的環境と自然人をサイバーセキュリティリスクから保護するための要件について、直接的に言及しており、OTシステムのセキュリティを確保することの重要性を強調しています。IT/OTのシステムとプロセスを安全に融合させることで、NIS2指令へ準拠するための一歩を踏み出し、サイバーセキュリティ態勢を向上させることができます。しかしながらこれを実現するためには、脆弱性の特定と対処、適切な技術と訓練への投資およびIT/OTチーム間の効果的なコミュニケーションと、コラボレーションの確保のための積極的なアプローチが必要です。
IEC 62443シリーズの紹介
EU加盟国および国内のエンティティは、OT環境にかかわるIEC 62443シリーズ等の業界標準を利用すべきです。IEC 62443を採用することで、組織は、従業員が安全な環境を維持するための訓練を受け、能力を養っていることを保証するだけでなく、OTシステムの脆弱性を特定して対処することができます。IEC 62443を採択することで、直ちにサイバーセキュリティ態勢を向上させるための対応を取ることができます。
| NIS2指令の要求事項※ | IEC 62443等を活用した対応 | |
|---|---|---|
| ガバナンスとプロセス |
|
|
| 組織と人 |
|
|
| テクノロジーとセキュリティ機能 |
|
|
※重要な組織に対して、第20条・第21条で強調されたもの
1度のテストにより、多数の要件に準拠する
現在、組織はますます難解な規制環境に直面しています。組織は、業界固有のルール(たとえば、エネルギーセクターにおけるENTSO-E)だけでなく、内部統制、IT/OT統制、SOX統制に対応する必要があり、NIS2指令はその1つに過ぎません。個別の準拠性テストによってこれらの要件を断片化して管理すると、無用な労力とコストがかかります。
| 統一的な準拠性の表題 | 統一的な準拠性の解説 | ISO 27001/2 | CRA | IEC 62443 | NIS2 |
|---|---|---|---|---|---|
| サイバーセキュリティの役割と責任 | サイバーセキュリティに関連する組織全体の機能について、役割と責任を明確に定義。一定の役割が経営層によって任命され、関係者への伝達と明確な文書化が示されている。 | ISO 27001:2022 5.3節 | CRA 第10条 製造業者向け |
IEC 62443-2-1 項目 4.3.2.3 |
NIS2 第7 & 20条 |
| ISMS/CSMSの範囲 | 組織が保護する情報の理解を目的に範囲を定義。ISMSを構築する組織は、サイバーセキュリティに関連するすべてのガバナンスとプロセスを検討し、定義する必要がある。 | ISO 27001:2022 4.3節 | CRA 第6-9条 | IEC 62443-2-1 項目 4.3.2.2 | NIS2 第7 & 21条 |
| サードパーティリスクマネジメント | サードパーティへの依存性およびサードパーティがアクセス可能な価値ある資産を考慮し、外部委託にかかわるリスクを管理する。 | ISO 27001:2022 附属書 A.15 | CRA 第10 & 11条 | IEC 62443-2-4 | NIS2 第12 & 21条 |
| マルウェア対策 | 情報システムにマルウェア対策ソフトウェアをインストールし実行。ウイルス定義の有効期限は、最長で7日間。 | ISO 27002 8.7 マルウェアからの保護 | CRA 第6条 | IEC 62443-3-3 SR 3.2 悪意のあるコードの保護 | NIS2 第21条 |
6.NIS2指令への対応の備え~4つの重要な戦略的アクション
NIS2指令への対応に向けた4つの取組み
(1)経営層の意識向上を図る
新しいサイバーセキュリティ法の採択は、予算と戦略の両方の観点から、組織の協議事項とする必要があります。NIS2指令が施行されるまでに猶予がないため、指令への対応はCOOの最優先事項とすべきです。特に、違反があった場合に個人的責任を負うのは経営幹部であり、罰金、起訴および取締役会において、追加の役割を担うことを阻止される可能性があります。CISOは、NIS2指令がもたらす課題を認識し、IT/OTの融合にかかわる責任者として、特定の人物またはチームを指名すべきです。
(2)ベースラインと計画の策定
- ベースラインの確立
ベースラインを確立するためには、評価を実施し、組織のサイバーセキュリティリスクに関する洞察を得る必要があります。短期間で、ガバナンスやリスクマネジメント等の組織的リスクと技術的なセキュリティリスクの両方を評価することで、重要なリスクを特定することができます。そこで、IEC 62443、サイバーセキュリティ成熟度モデル(C2M2)、CRA等の国際的に認められたフレームワークや基準を用いることで、標準化された方法により、これらの評価を効果的に実施することができます。一例として、C2M2フレームワークは、サイバーセキュリティ評価を構造化しており、複数の国やセクター間の比較やサイト間比較が可能です。このフレームワークにより、組織のなかで、基準を満たしていない可能性のある分野を特定し、リスクレベルに応じて改善措置の優先順位付けができます。これらの評価を実施することで、サイバーセキュリティ態勢のベースラインを確立し、潜在的な脅威に対処するための適切な準備が実施できていることを保証することができます。
- 洞察を得る計画を立てる
ベースラインフェーズにおいて、サイバーセキュリティ評価を実施することで、セキュリティ態勢に関する貴重な洞察を得ることができます。また、得られた洞察は、特定されたリスクと脆弱性に対処するための短期的および長期的な対応計画を策定するために利用できます。短期的な対応計画では、当面のリスクを軽減するために迅速に実行できる短期的な成果(クイックウィン)に焦点を当てます。長期的な対応計画には、指針によるセキュリティポリシーの策定、産業環境向けの安全なリファレンスアーキテクチャの開発等のより包括的なセキュリティ対策の実施や、セキュリティインシデントの検出と対応のためのセキュリティツールの導入等が含まれます。
(3)加速的な修正の実行
弱点を即座に直すことで、サイバーセキュリティレベルを向上させることができます。また、修正プログラムに、得られた洞察を活用することで、効率的かつ効果的な対処が可能です。たとえば、修正プログラムは、安全なリファレンスアーキテクチャの実装支援から、必要な組織変革を支援するものまで、多岐にわたります。
(4)オーナーシップの確保と責任感の促進
リスクオーナーが、ガバナンスと説明責任を保証することは重要です。OTセキュリティは、ITリスクほど成熟していないため、リスクオーナーが不在の場合、リスクが表面化したとしても、迅速に認識されず、解決されない可能性が高いと考えられます。前述のように、NIS2指令では報告要件が厳格化されており、現在は、データ侵害が発生した場合にのみ報告義務がありますが、NIS2指令では、定義された閾値内のすべてのインシデントを報告しなければならないことが予想されています。一足先に対応を進めておくためには、まさにリスクオーナーを割り当てることが求められています。
NIS2指令により、サイバーセキュリティは取締役会における不可欠な議題となります。NIS2指令には、経営層は、リスクの特定およびサイバーセキュリティリスクマネジメントの評価に必要な知識とスキルが必須であること、また、従業員が定期的に訓練を受けることを奨励しなければならないことが明示されています。実際にサイバー攻撃を受けた場合、取締役会は、組織に適切かつテスト済みのサイバーセキュリティプログラムがあることを証明できなければなりません。取締役会は、NIS2指令の影響について報告を受けるだけでなく、従業員にサイバーセキュリティ関連情報を提供し、訓練するための意識向上プログラムの展開が求められていると言えます。
本稿は、 KPMG Advisory N.V.が2023年5月に発表した「Network & Information Security Directive (NIS2)」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
