原文のブログはこちらからご覧いただけます。
改正されたネットワークと情報セキュリティに係る指令(NIS 2)の全 EU 加盟国での施行が刻一刻と迫っており、2024 年 10 月 の発効まで 1 年を切りました。NIS 2 のコンプライアンス要件を満たすには時間と確固たる組織戦略が必要ですが、最終的に組織のサイバー犯罪関連のリスクを軽減するのに役立ちます。
原文のブログはこちらからご覧いただけます。
改正されたネットワークと情報セキュリティに係る指令(NIS 2)の全 EU 加盟国での施行が刻一刻と迫っており、2024 年 10 月 の発効まで 1 年を切りました。NIS 2 のコンプライアンス要件を満たすには時間と確固たる組織戦略が必要ですが、最終的に組織のサイバー犯罪関連のリスクを軽減するのに役立ちます。
NIS 2 は、犯罪の世界的な急増に対処することを目的としています。サイバー犯罪は、世界中で最も急速に成長している犯罪分野の 1 つです。ランサムウェアキャンペーンは引き続き大きく報じられて注目を集めており、その頻度は高まるばかりです。BlackBerry のグローバル脅威インテリジェンスレポート(2023 年 11 月版)では、2023 年 6 月から 8 月にかけて固有のマルウェア攻撃が 70% も増加し、金融、医療、重要インフラ、政府機関が最も重点的に標的にされていたことが報告されています。欧州連合サイバーセキュリティ機関(ENISA)によると、2022 年に欧州で発生した攻撃の大部分は、行政機関、政府機関、デジタルサービスプロバイダー、重要インフラを標的としていました。つまり、改正された NIS 2 指令の対象とまったく同じ分野です。
2016 年に初めて導入された EU の最初の NIS 指令は、EU 全域を対象とした史上初のサイバーセキュリティ法であり、重要な分野(エネルギー、運輸、医療、金融など)における「必要不可欠なサービス」の運営者と、デジタルサービスプロバイダー(オンラインマーケットプレイス、検索エンジン、クラウドサービスなど)を対象にサイバーセキュリティ義務を定めたものでした。
最初の NIS 指令が採用されて以来、サイバー脅威を取り巻く状況が大幅に変化したことを受け、欧州委員会は 2020 年 12 月、この法律を「目的に合った」ものにする改正 NIS 指令(NIS 2)を提案しました。そのため、この新しい指令では対象分野を拡大し、食品や医薬品のサプライチェーン、必要不可欠な公共サービス、データセンターなどのデジタルサービスを保護することを目的としています。
NIS 2 は今年 1 月に発効し、EU 加盟国は 2024 年 10 月 17 日までにこの指令を国内法に制定する必要があります。その時点で、「対象となる」すべての組織は指令に準拠していることが期待されます。
NIS 2 コンプライアンスには、サイバーリスクを最小限に抑えるための措置を講じること、サイバーインシデントを報告するためのプロセスを導入すること、従業員に対する説明責任とサイバーセキュリティトレーニングを確立することが含まれます。また、重大なサイバーインシデントに備えた事業継続計画も義務付けられます。この計画では、侵害を迅速に封じ込めて制御するために、重要なポリシー、手順、主要な連絡先(サードパーティのエージェントを含む)の概要を説明する必要があります。
さらに、この指令は強制力を持ちます。遵守しない場合、最大 1,000 万ユーロ(約 1,100 万米ドル)、または事業体の全世界での総売上高の 2% のうち、いずれか高い方の額を上限とした罰金が科される可能性があります。
セキュリティ、信頼、品質は、NIS 2 に深く組み込まれている原則です。この指令は、重要インフラ企業全体にわたる、高レベルのサイバーセキュリティリスク管理と「セキュリティ・バイ・デザイン」の原則の重要性を認識しています。
NIS 2 は、重要インフラのソフトウェアサプライチェーンのセキュリティにも焦点を当てています。これは極めて重要なものとなっており、事実、BlackBerry が 2022 年 10 月に実施した調査では、IT 意思決定者の 5 人中 4 人が、過去 12 か月以内にソフトウェアサプライチェーンにおけるサイバー攻撃(または脆弱性)について組織に報告があったと答えていることが明らかになりました。
さらにこの調査では、データ暗号化、ID およびアクセス管理(IAM)、安全な特権アクセス管理(PAM)のフレームワークを厳密に使用している場合でも、組織がソフトウェアサプライチェーンを保護する際に直面する課題を指摘しています。これらの対策をパートナー企業全体に実施したにもかかわらず、回答者の 75% 以上が、ソフトウェアサプライチェーン内でそれまで見たことのない関係者(重要なセキュリティ基準の遵守監視対象になっていない事業体)を発見したと答えています。
NIS 2 は、この種の脆弱性を解決する責任を組織に課します。また重要インフラ事業体には、使用する製品とサービスの全体的なセキュリティ、レジリエンス、品質を考慮することを求めます。したがって組織は、サプライヤーやサービスプロバイダーが採用しているサイバーセキュリティプラクティスとソフトウェア開発手順を理解する必要があります。
多くの企業にとって、組織運営のあらゆる側面にわたってサイバー保護の粒度と幅広さを確保するということは、専門のサイバーセキュリティソフトウェア/サービスプロバイダーと信頼できる提携関係を確立し、NIS 2 のコンプライアンスに求められる知識と機能を強化することを意味します。
特に NIS 2 に合わせて、2024 年 10 月の期限に備えて組織が取るべき 7 つの措置を次に示します。
実際、EU と世界中で重要インフラ企業とそのサプライチェーンがサイバー脅威アクターの主要な標的となっているため、影響を受けるすべての組織では、NIS 2 の要件を満たすことを目下の優先事項にする必要があります。広範なプロセス、プラクティス、テクノロジーを適切に実装して NIS 2 へのコンプライアンスを実現するには相当の時間がかかることを考えると、2024 年 10 月はもはや目前です。