欧州連合(EU)全体のサイバーセキュリティを調整するためのネットワークおよび情報セキュリティ(NIS2)指令の最新版が更新され、加盟国に対する新たな用語と義務が規定された。このガイダンスでは、国民の大部分にサービスを提供し、提供されるサービスや事業の規模から経済にとって不可欠であると考えられる事業体に対して、サイバーセキュリティに関する考慮事項や要件を適用することが指導者に課せられている。
NIS2指令の影響を受けるのは誰か?
事業体は2つのカテゴリーに分類される:必須事業体(Essential Entities)または必要不可欠なサービスを運営する事業者と、重要事業体(Important Entities)の2つである。この法律は、「大海を沸騰させる」ことなく、サイバー防衛を強化することを目的としている。
欧州議会は、サイバーセキュリティに関する広範な規制や義務付けが、中小規模の組織を廃業に追い込み、市場を弱体化させ、少数のプロバイダーへの依存度を高める可能性があることを理解している。
NIS2法は、サイバーセキュリティに関する考慮事項や要求事項を実施するために、事業体が利用可能な幅広いリソースを求めており、「これらの2つのカテゴリーの事業体に対する監督・執行体制は、一方ではリスクに基づく要求事項や義務と、他方ではコンプライアンスの監督から生じる管理負担との間の公正なバランスを確保するために区別されるべきである」と指摘している。
必須エンティティ
重要なエンティティ
- 郵便・宅配便サービス
- 廃棄物管理
- 化学製品の製造、生産、販売
- 食品の生産、加工、流通
- 医療機器、電子製品、輸送機器の製造
- デジタルプロバイダー
- リサーチ
すべての事業体に対する広範なセキュリティ要件
- リスク分析と情報システム・セキュリティ・ポリシー
- インシデントレスポンス(予防、検知、対応)
- 事業継続と危機管理
- サプライチェーンのセキュリティ
- ネットワークと情報システムのセキュリティ
- サイバーセキュリティ・リスク管理対策の方針と手順
- 暗号と暗号化の使用
すべての事業体は、これら7つの広範なセキュリティ要件に従うが、同法は、重要な事業体には、要件に関するプロアクティブな監督と監視を義務付けている。
NIS2指令で何が変わったのか?
NIS2には、2段階の事故報告体制が組み込まれている。プロアクティブな監督、リアクティブな監督にかかわらず、この法律では、重大なインシデントが発生したら24時間以内に報告し、72時間以内に詳細を追加することを義務づけている。より詳細な報告は、重大インシデントの発生から1ヵ月後に事後措置として義務付けられている。この仕組みは、類似の攻撃による広範な影響を防ぐために、即時の詳細を迅速に把握し、セキュリティ研究者や将来の回復力計画のために、事後に詳細な分析を提供しようとするものである。
重要なサイバーセキュリティインシデントとは、当該事業体にとってサービスの深刻な運用中断や財務上の損失を引き起こしたか、または引き起こす可能性があるインシデント、および/または、相当な物質的または非物質的損害を引き起こすことによって、他の自然人または法人に影響を与えたか、または影響を与える可能性があるインシデントと定義される。企業はさらに、重要なインシデントが違法または悪意のある活動の結果であると疑っているかどうか、インシデントが国境を越えて影響を及ぼす可能性があるかどうかを示すことが期待されている。
この法律は微妙なガイダンスを提供しているが、その影響の多くは、攻撃と影響に対する事業体の理解にかかっている。例えば、事業体は、インシデントが発生する前、あるいはインシデントが発生した時点で、サービスやプロセスの機能に影響を与える視界の喪失や制御不能のシナリオを含め、インシデントの潜在的な影響を迅速に特定する必要がある。各事業体の利害関係者は、影響を受けるネットワークと情報システムの両方への影響、それらのシステムへの依存度、予想されるサービスの中断期間と深刻度を評価する必要がある。
第7条:国家サイバーセキュリティ戦略
第7条は、EUの各加盟国に対し、以下の戦略目標を念頭に置き、その範囲内で国家安全保障戦略を採択することを義務づけている:
- 加盟国のサイバーセキュリティ戦略の目的と優先事項
- 目標と優先事項を達成するためのガバナンスの枠組み
- 加盟国の利害関係者、確立された連絡窓口、コンピュータセキュリティインシデントレスポンストラ ム(CSIRT)の役割と責任を明確にしたガバナンスの枠組み
- 関連資産と加盟国のリスク評価を特定するメカニズム
- 官民の協力を含む、準備、対応、復興計画を確保するための措置の特定。
- 加盟国により、また加盟国のために策定された国家サイバーセキュリティ戦略の実施に関与する当局および利害関係者のリスト。
第7条では、ICTサプライチェーンへの配慮、中小企業向けのガイダンス、脆弱性管理、インターネットセキュリティ、特定の技術や情報共有ツールの採用要件、訓練・教育、一般市民のサイバーセキュリティ意識の一般レベル向上計画など、各加盟国が戦略に盛り込むべき追加政策を規定している。
第21条:追加のサイバーセキュリティ・リスク管理措置
第21条のリスク管理は3つの側面から構成されており、事業体が商品やサービスの提供のために依存しているネットワークや情報システムのセキュリティに対する技術的、運用的、組織的アプローチに取り組んでいる。同法は、事業体に対し、リスクにさらされる度合い、規模、インシデントの可能性とその重大性、潜在的なインシデントから生じる社会的・経済的影響を考慮し、リスク管理活動の比例性を評価するよう指示している。
ベースラインとして、NIS2は事業体レベルの各リスク管理プログラムに以下の対策を含めることを推進している:
- リスク分析および情報システム・セキュリティに関する方針
- インシデントレスポンス
- バックアップ管理、災害復旧、危機管理などの事業継続性
- サプライチェーンのセキュリティ(各企業とその直接の供給者またはサービス提供者との関係に関するセキュリティ関連の側面を含む。
- ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ(脆弱性の取り扱いと情報公開を含む
- サイバーセキュリティリスク管理策の有効性を評価するための方針と手順
- 基本的なサイバー衛生の実践とサイバーセキュリティ・トレーニング
- 暗号の使用に関する方針と手順、および必要に応じて暗号化
- 人事セキュリティ、アクセスコントロールポリシー、資産管理
- 多要素認証または継続的認証ソリューションの使用
欧州委員会は、NIS2指令に関連する技術的・方法論的要求事項の拡充を継続する。NIS2は、EUがサイバーセキュリティに対処するために制定を進めている、より広範な5項目の計画の一部に過ぎない。欧州委員会は、2008年の重要インフラ保護のための欧州プログラム(EPCIP)の改訂の概要を引き続き説明する。
NIS2は、EPCIPが自然災害、テロ攻撃、内部脅威、破壊工作だけでなく、最近のCOVID-19パンデミックのような公衆衛生上の緊急事態を含む11のリスク分野を概説しているのと同じように、リスク管理に対する「オールハザード」アプローチを記述している。同様に、米国では、サイバーセキュリティ・インフラ安全保障局(CISA)が最近、重要インフラのサイバーパフォーマンス目標を発表し、その破壊、劣化、破壊が生命、経済、国家安全保障に影響を与える重要なセクターや事業体全体の意思決定、支出、行動に優先順位をつけている。
CISAの広範な戦略計画では、4つの主要目標と19の全体的な目標が示されており、これにはセキュリティ上の意思決定を導くための分野別基準や勧告の展開も含まれる。同計画では、「運用技術(OT )と産業制御システム(ICS)は、混乱がもたらす影響が大きく、特定のセキュリティ管理を大規模に展開することに関連する課題があるため、特に重点的に取り組む必要がある独自のリスクをもたらす」と指摘している。
NIS2指令は特にOT を取り上げてはいないが、その多くの検討事項は、事業体のリスク管理およびセキュリティ方針を強化し、加盟国およびその重要かつ不可欠な事業体全体でレジリエンスを構築することになる。
