2024年10月17日は、欧州連合(EU)加盟国がNIS2を国内法に移管する期限であった。NIS2は、NIS1の対象分野を拡大し、より広範なセキュリティ要件を課す包括的なサイバーセキュリティ指令である。この期限に合わせ、EUは、加盟国が2024年10月18日から適用することが期待される対応する欧州委員会施行規則を発表した。同規則は、何をもって重大インシデントとし、所定の報告義務を課すかを明確化するとともに、デジタルインフラやサービスを提供する企業に対するサイバーセキュリティ・リスク管理措置を規定している。この措置は、今後、他の「重要な」事業体のモデルとなることが期待されている。
指令そのものよりも、欧州委員会の施行規則は、必要不可欠なものであれ、重要なものであれ、すべての対象事業体がサイバー耐性の向上を進められるようにする、切望されていた指針を提供するものである。移管期限に間に合った、あるいは間近に迫った国はほんの一握りで、その数は情報源によって異なる。何が起こり、何が起こらなかったのか、そして次に何が起こるのか。
期限を守った加盟国は?
NIS2の第28条トラッカーによると、10月17日の期限に間に合ったのはわずか2カ国であった。トラッカーによると、この記事を書いている時点での段階別の順位は以下の通りである:
- トランスポーズクロアチア、イタリア
- 実施ベルギー、ハンガリー、ラトビア、リトアニア
- 未着手エストニア
- 準備:残り20
トラッカーは決定的なものではないかもしれないが、各加盟国の法律草案とその状況、コメントへの一元的なアクセスを提供する。これは、最終案に近いドラフト文書が様々な理由で保留される可能性があるにもかかわらず、各国の対象事業体が手続きを進める上で貴重な情報を提供するために重要である。
なぜ10月17日の期限に間に合った加盟国が少なかったのか?
現在、遵守レベルは低いように見えるかもしれないが、これは指令のライフサイクルにおいてよくある段階である。EUは連邦のように、加盟国が主権を共有することに合意した特定の領域以外では、立法権限が限られている。サイバーセキュリティを含む他のすべての領域については、指令は加盟国の国内法に組み込まれなければならず、そこである程度適応される可能性がある。
NIS2は、EU域内で対象サービスを提供するEU域外の企業にも適用されます。このカテゴリーに該当する場合は、NIS2が適用されるかどうかを自己判断する必要があります。
各国の優先事項、予算、資源はさまざまであるため、27の加盟国すべてに同じ期限を守らせるのは、まるで猫を飼うようなものだ。NIS2の法制化を優先した国の中には、草案が議会に届いてから遅れに直面した国もある。例えば、フランスでは今夏に実施された臨時選挙と現在も続く不透明な情勢により、NIS2の導入が頓挫している。
これまでの優先順位の高い指令も同様の運命をたどってきた。2024年7月、期限内に国家エネルギー・気候計画(NECP)を提出したのはオランダ、デンマーク、フィンランド、スウェーデンの4カ国のみで、2030年までに排出量を抑制するというEUの試みのひとつに大きな打撃を与えた。また、2020年7月には、EU廃棄物枠組み指令の国内法への採用期限に間に合ったのはわずか5カ国だけだった。期限に間に合わないと公言する国も珍しくない。
次のニュースは?NIS2の今後の締め切り
2024年10月17日というNIS2の期限は、誰の頭にも焼き付いていることだろう。しかし、対象事業体にとっては、加盟国が法令を可決し、コンプライアンスの対象であることを通知するまで、期限は過ぎない。指令にはもう1つだけ、2025年4月17日という期限が定められている。加盟国は、移管期限から6カ月以内に(期限に間に合ったか否かにかかわらず)、不可欠または重要であると判断した事業体を分類し、通知しなければならない。NIS2の対象となる業種が増えることを考えると、これもまた途方もない努力となるだろう。フランスだけでも、規制対象組織の数は500から15,000に膨れ上がると推定されている。多くの国が自己評価ツールを公開しているので、企業は通知を待つことなく前進することができる。
他のEU指令と同様、NIS2は、EU域内で対象サービスを提供するEU域外の企業にも適用されます。このカテゴリーに該当する場合は、NIS2が適用されるかどうかを自己判断する必要があります。
EU指令では、対象事業体に対する期限を指定することはできない。しかし、NIS2の7つの広範なセキュリティ要件については、少なくとも2年前から分かっていたことであるため、新しいインシデント報告要件をどのように満たすかを含め、計画と実施に向けた取り組みは十分に進んでいるはずである。具体的な手順は以下の通りです。
重要インフラ事業体は今何をすべきか?
NIS2の計画や導入がどの段階にあるにせよ、今こそ加速する時です。すでに多くのツールやリソースがオンライン上にあります。これらのステップを進めながら、利用可能なものを活用してください:
- 重要または不可欠な事業体かどうかを判断するために、もし可能であれば、自国の自己評価を受けてください。上記の通り、これはEU域内で対象サービスを提供する外国企業にも適用されます。
- NIS2の実施規則を読み、準備状況を評価し、主要な技術、プロセス、その他のギャップを特定することによって、コンプライアンスを計画する。
- 自国の移管法を読む。まだ草案であれば、コメントも含めて法制化の進捗状況を追跡する。いずれにせよ、要件に対する準備状況を評価し、主要な技術、プロセス、その他のギャップを特定する。
- あなたの国の NIS2管轄当局.多くの国ですでに指定されています。彼らは、施行規則とあなたの国の国内法に関する質問に答えるための主要な情報源となる。
- サイバーセキュリティ・ベンダー、弁護士、その他の専門家に相談し、指針を得る。
NIST CSF 2.0との整合性
まだNIS2準拠に目を向けていないとしても、自社のセキュリティ・プログラムが他の規制フレームワークや標準、特にNISTサイバー・セキュリティ・フレームワーク(CSF)(現在はNIST CSF 2.0)にすでに整合しているのであれば、その道を順調に歩んでいる可能性がある。
この指令は、確立された標準とベストプラクティスの採用を奨励しており、NIST CSF 2.0は、業界全体で最もグローバルに採用されているフレームワークの一つである。それはなぜか。それは、サイバーセキュリティに対する構造的かつ柔軟なアプローチを提供し、組織が容易に従うことができるロードマップを提供しているからである。NIS1の適用範囲を新たな分野に拡大したことに加え、NIS2ではガバナンスとアカウンタビリティ、リスク管理、インシデント対応、サプライチェーンセキュリティをより重視している。これらの各分野はNIST CSF、特にバージョン2.0では、ガバナンスを第6の機能(Govern、Identify、Protect、Detect、Respond、Recover)に分類している。
Nozomi Networks お手伝いします
NIS2指令は、国境を越えた調和を含め、EU全体のサイバー耐性のレベルを向上させることを目的としている。他のEU指令と同様、このイニシアチブがどの程度その目標を達成できるかは、対象となる事業体がいかに一貫してその要件を実施するか、加盟国がいかに強力にコンプライアンスを実施するか、そしてその時期にかかっている。
対象事業体にとって、NIS2への準拠は、特にOT におけるセキュリティの優先順位の見直しを必要とする。これには、資産の可視性の強化、定期的なリスク分析、ITにとどまらずOT を包含するリスク管理の拡大が含まれる。一部の事業体、特に対象範囲の拡大により新たに規制対象となる部門の事業体にとっては、こうした変更の計画、実施、運用には時間がかかるでしょう。私たちがお手伝いします。
当社のNIS2 マッピングガイドでは、重要インフラエンティティがNozomi Networks プラットフォームを活用して、7 つのセキュリティ要件すべてをサポートする方法を説明しています。また、いくつかのリソースを公開しており、NIS2 の専門家がお客様のコンプライアンスに関するお手伝いをいたします。詳細が明らかになり次第、要件を満たすために当社のプラットフォームをどのように利用すればよいかをお知らせします。
