2024年10月17日は、欧州連合 (EU) 加盟国がNIS2 を国内法に移管する期限でした。NIS2 は、NIS1 の対象分野を拡大し、より広範なセキュリティ要件を課す包括的なサイバーセキュリティ指令です。この期限に合わせ、EU は、加盟国が 2024年10月18日から適用することが期待される対応する欧州委員会施行規則を発表しました。同規則は、何をもって重大インシデントとし、所定の報告義務を課すかを明確化するとともに、デジタルインフラやサービスを提供する企業に対するサイバーセキュリティ リスク管理措置を規定しています。この措置は、今後、他の「重要な」事業体のモデルとなることが期待されています。
指令そのものよりも、欧州委員会の施行規則は、必要不可欠なものであれ、重要なものであれ、すべての対象事業体がサイバー耐性の向上を進められるようにする、切望されていた指針を提供するものです。移管期限に間に合った、あるいは間近に迫った国はほんの一握りで、その数は情報源によって異なります。何が起こり、何が起こらなかったのか、そして次に何が起こるのかを考えてみます。
期限を守った加盟国
NIS2 の第 28条トラッカーによると、10月17日の期限に間に合ったのはわずか 2カ国でした。トラッカーによると、この記事を書いている時点での段階別の順位は以下の通りです。
- 移行完了:クロアチア、イタリア
- 導入:ベルギー、ハンガリー、ラトビア、リトアニア
- 未着手:エストニア
- 準備中:20カ国
トラッカーは決定的なものではないかもしれませんが、各加盟国の法律草案とその状況、コメントへの一元的なアクセスがわかります。最終案に近いドラフト文書が様々な理由で保留される可能性はありますが、各国の対象事業体が手続きを進める上で貴重な情報を提供するために重要です。
10月17日の期限に間に合った加盟国が少なかった理由
現在、順守レベルは低いように見えるかもしれませんが、指令のライフサイクルにおいてよくある段階です。EU では、加盟国が主権を共有することに合意した特定の領域以外では、立法権限が限られています。サイバーセキュリティを含む他のすべての領域については、指令は加盟国の国内法に組み込まれなければならず、そこである程度適応される可能性があります。
NIS2は、EU域内で対象サービスを提供するEU域外の企業にも適用されます。このカテゴリーに該当する場合は、NIS2が適用されるかどうかを自己判断する必要があります。
各国の優先事項、予算、資源はさまざまであり、27の加盟国すべてに同じ期限を守らせるのは不可能です。NIS2 の法制化を優先した国の中には、草案が議会に届いてから遅れに直面した国もあります。たとえば、フランスでは今夏に実施された臨時選挙と現在も続く不透明な情勢により、NIS2 の導入が頓挫しています。
これまでの優先順位の高い指令も同様の運命をたどってきました。2024年7月、期限内に国家エネルギー・気候計画 (NECP) を提出したのはオランダ、デンマーク、フィンランド、スウェーデンの4カ国のみで、2030年までに排出量を抑制するという EU の試みのひとつに大きな打撃を与えました。また、2020年 7月には、EU 廃棄物枠組み指令の国内法への採用期限に間に合ったのはわずか 5カ国でした。期限に間に合わないと公言する国も珍しくありません。
NIS2 の先にあるもの
2024年10月17日という NIS2 の期限は、誰の頭にも焼き付いていたことでしょう。しかし、対象事業体にとっては、加盟国が法令を可決し、コンプライアンスの対象であることを通知するまで、期限は終わりません。規定にはもうひとつだけ、2025年4月17日という期限が定められています。加盟国は、移管期限から 6カ月以内に (期限に間に合ったか否かにかかわらず)、不可欠または重要であると判断した事業体を分類し、通知しなければなりません。NIS2 の対象となる業種が増えることを考えると、これもまた途方もない努力となることでしょう。フランスだけでも、規制対象組織の数は 500 から 15,000 に膨れ上がると推定されています。多くの国が自己評価ツールを公開しているので、企業は通知を待つことなく前進することができます。
他の EU 規定と同様、NIS2 は、EU 域内で対象サービスを提供する EU 域外の企業にも適用されます。このカテゴリーに該当する場合は、NIS2 が適用されるかどうかを自己判断する必要があります。
欧州の規定では、対象事業体に対する期限を指定することはできません。しかし、NIS2 の 7つの広範なセキュリティ要件については、少なくとも 2年前から分かっていたことであるため、新しいインシデント報告要件をどのように満たすかを含め、計画と実施に向けた取り組みは十分に進んでいるはずです。具体的な手順は以下のとおりです。
重要インフラ事業体がなすべきこと
NIS2 の計画や導入がどの段階にあるにせよ、今こそ加速する時です。すでに多くのツールやリソースがオンライン上にあります。これらのステップを進めながら、利用可能なものを活用してください。
- 重要または不可欠な事業体かどうかを判断するために、可能であれば、自国の自己評価を受ける。上述の通り、これは EU 域内で対象サービスを提供する外国企業にも適用されます。
- NIS2の実施規則を確認し、準備状況を評価、主要な技術、プロセス、その他のギャップを特定することによって、コンプライアンスを計画する
- 自国の移管法を読む。まだ草案であれば、コメントも含めて法制化の進捗状況を追跡する。いずれにせよ、要件に対する準備状況を評価し、主要な技術、プロセス、その他のギャップを特定する。
- あなたの国の NIS2管轄当局.多くの国ですでに指定されています。彼らは、施行規則とあなたの国の国内法に関する質問に答えるための主要な情報源となる。
- サイバーセキュリティ・ベンダー、弁護士、その他の専門家に相談し、指針を得る。
NIST CSF 2.0 との整合性
まだ NIS2 準拠に目を向けていないとしても、自社のセキュリティプログラムが他の規制フレームワークや標準、特にNIST サイバーセキュリティフレームワーク (CSF) (現在はNIST CSF 2.0) にすでに整合しているのであれば、その道を順調に歩んでいる可能性があります。
この指令は、確立された標準とベストプラクティスの採用を奨励しており、NIST CSF 2.0 は、業界全体で最もグローバルに採用されているフレームワークのひとつです。サイバーセキュリティに対する構造的かつ柔軟なアプローチを提供し、組織が容易に従うことができるロードマップを提供しているからです。NIS1 の適用範囲を新たな分野に拡大したことに加え、NIS2 ではガバナンスとアカウンタビリティ、リスク管理、インシデント対応、サプライチェーンセキュリティをより重視しています。これらの各分野は NIST CSF、特にバージョン 2.0 では、ガバナンスを第 6の機能 (Govern、Identify、Protect、Detect、Respond、Recover) に分類しています。
Nozomi Networks がお手伝いします
NIS2指令は、国境を越えた調和を含め、EU 全体のサイバー耐性のレベルを向上させることを目的としています。他の EU 指令と同様、このイニシアチブがどの程度その目標を達成できるかは、対象となる事業体がいかに一貫してその要件を実施するか、加盟国がいかに強力にコンプライアンスを実施するか、そしてその時期にかかっています。
対象事業体にとって、NIS2 への準拠は、特に OT におけるセキュリティの優先順位の見直しを必要とします。これには、資産の可視性の強化、定期的なリスク分析、IT にとどまらず OT を包含するリスク管理の拡大が含まれます。一部の事業体、特に対象範囲の拡大により新たに規制対象となる部門の事業体にとっては、こうした変更の計画、実施、運用には時間がかかります。Nozomi Networks とそのパートナーに、お客様のお手伝いをさせてください。
Nozomi Networks のNIS2 マッピングガイドでは、重要インフラエンティティが Nozomi Networks プラットフォームを活用して、7 つのセキュリティ要件すべてをサポートする方法を説明しています。また、いくつかのリソースを公開しており、NIS2 の専門家がお客様のコンプライアンスに関するお手伝いをいたします。詳細が明らかになり次第、要件を満たすために当社のプラットフォームをどのように利用すればよいかをお知らせします。
