NIS2指令とは？
要件とサイバーレジリエンスの必要性を紹介

NIS2 (Network and Information Systems Directive 2) は、2022年にEU (欧州連合) が策定したセキュリティ規制です。ネットワークや情報システムを利用する幅広い業界に対し、サイバーセキュリティ強化と情報保護を義務づけています。特に社会的・経済的に重要な役割を担うインフラや企業に対して、サイバー攻撃によるリスクの軽減と対応能力の向上が求められています。

NIS2指令では18の産業部門が対象とされており、企業は「主要エンティティ」と「重要エンティティ」に分類されます。

以下の、いずれかの条件を満たす企業は、NIS2指令の要件を遵守する義務があります。

対象企業には具体的なサイバーセキュリティ対策の実施が義務化され、遵守を怠った場合は、制裁金や経営者の刑事責任が問われるなど、厳しいペナルティが科されます。

NIS2指令は2016年施行のNIS指令をもとに、より包括的かつ強力なサイバーセキュリティ体制の構築を目指して設計されています。主な変更点は以下のとおりです。

NIS2指令により、欧州全域でのセキュリティ基準の統一と各国間の協力のさらなる推進が期待されています。

グローバル企業にとって、NIS2指令の要件は戦略的な対応が求められる重要な課題です。本章では、海外拠点担当者が特に注目すべき3つの重要項目を解説します。

NIS2指令ではリスクアセスメントの実施や脅威の管理、インシデント対応フローの整備、定期的なセキュリティ監査などによるリスクマネジメント体制の強化が求められています。サイバー攻撃や災害発生時に迅速な検知、対応、復旧ができる仕組みを整備する必要があります。

NIS2指令ではインシデント発生時の報告に関して、厳格な要件が設定されています。この要件は、国や関係機関と情報を共有することによるサイバー攻撃の拡大および再発防止を目指しているため、各拠点は迅速かつ透明性の高い情報共有を実施する必要があります。

海外拠点によるセキュリティ対応には限界があるため、NIS2指令は各国にCSIRTを設置し、国境を超えた協力体制を構築することを推奨しています。複雑化するサイバー攻撃によるインシデントの拡大を防止し、単一の拠点や企業、国では対応しきれない課題に協調して取り組む枠組みの整備が求められています。

近年のサイバー攻撃は業界や規模を問わず、あらゆる企業が攻撃対象となっています。ランサムウェアや標的型攻撃、サプライチェーン攻撃といった脅威は、業務停止や情報漏えいといった深刻な被害をもたらしますが、高度化する攻撃を完全に防ぐことは難しいのが現状です。これらの攻撃への対策として、被害を最小限に抑え迅速な復旧を可能にする「サイバーレジリエンス」の基盤構築が不可欠です。

サイバーレジリエンスを確立することで、サイバー攻撃を受けた場合でも事業の中断を最小限に抑えられます。これによって企業の経済的損失や信用の低下を防ぐことで、競争力の維持を図ることができます。

サイバーレジリエンスの構築には多大な労力を要しますが、企業が得られる効果は多くあります。

サイバーレジリエンスにより、インシデント発生時の迅速な対応が可能となり、被害の拡大を防いで事業への影響を最小限に抑えられます。

NIS2指令への準拠とレジリエンスの強化は、取引先や顧客からの信頼を向上させ、企業価値を高めます。

各国の法規制に則った体制を構築することで、法令違反による罰金や制裁を回避できます。またサプライチェーンでは、取引先との契約でセキュリティ要件を満たしていない場合、ペナルティを受けるおそれがあります。サイバーレジリエンスを確立すれば契約違反リスクを最小化することができ、競争力の維持につながります。

サイバーレジリエンスの強化には、NIS2指令によるリスクマネジメントを中心に「組織」と「技術」の双方にアプローチする施策が必要です。以下で具体的な強化ポイントを解説します。

まずリスクアセスメントによってIT資産の棚卸しを実施し、すべてのシステムやデータを把握した上で、それぞれの重要度を評価します。その上で、リスクの高い領域から優先的に対応を進め、企業の事業継続性を確保します。

海外拠点を含むすべての拠点で浸透する包括的な対策を行う際は、以下の4点が重要です。

インシデント発生時に統一フォーマットで迅速かつ正確に報告できる仕組みを整えます。連絡手段を明確にし、報告手順を標準化することで、情報共有のスピードと正確性を向上させましょう。

組織全体で統一されたインシデント対応フローを策定し、対応を迅速に行えるようにします。本社主導でセキュリティポリシーや行動規範を策定し、「まず被害を受けたシステムを隔離する」「次にデータ漏えいの範囲を特定する」など、対応手順を標準化します。

従業員一人ひとりのセキュリティ意識を向上されるため、定期的なセキュリティ研修や教育を実施しインシデント対応フローを浸透させます。また、サプライチェーン全体での共同訓練により、パートナー企業と連携してリスクに備える体制を整えます。

インシデント発生後も業務を継続できる計画を作成し、全社で共有します。例えば、重要システムの復旧の際、クラウド環境のバックアップデータを活用するなど、復旧手順を整理します。

柔軟で堅牢なシステム基盤を構築するためには、以下を実施します。

脆弱性スキャンを定期的に行って新たなリスクを早期に発見し、速やかに修正します。例えば、毎月決められたスケジュールで脆弱性スキャンを行い、発見されたリスクに対して修正パッチを適用します。

ネットワーク分離やセグメンテーションを実施し、重要資産へのアクセスを制限して、システムの可用性を確保します。例えば、社内ネットワークを「業務用」「管理用」「来客用」に分離し、外部からの侵入を防ぎます。

SIEM (ログ分析基盤) やEDRなどのツールを導入し、リアルタイムでの脅威検出と対応を実現します。AIなどを活用した監視システムで24時間の監視体制を構築し人的負担を軽減しつつ、セキュリティ体制の効率化を図ります。