はじめにおよび関連法規
NISは「ネットワークおよび情報セキュリティ」の略語です。
この頭字語を用いて、欧州共同体は、EU加盟国すべてにおいてサイバーセキュリティに対する標準化されたアプローチを定義するための立法上の取り組みを示すことを意図していた。
2018年、NIS1(EU指令2016/1148)と呼ばれる欧州初の規制が可決され、2018年5月18日付の政令第65号により国内法として施行された。
NIS令では、欧州のCSIRT(コンピュータ・セキュリティ・インシデント対応チーム)と連携し、サイバーインシデントの予防、対応、監視に関する技術的任務を担うイタリアのCSIRTを設立することで、「国家サイバーセキュリティ戦略」の策定も規定された。
その後、NIS1はNIS2(EU指令2022/2555)に置き換えられ、2024年9月4日付の政令第138号により国内法として施行された。
NIS 2は、NIS 1の限界を克服することを目的としている。NIS 1では、国内法への移行において加盟国に過度の裁量権が委ねられていたため、調和という目的が達成されなかったほか、欧州市場にとって重要であるにもかかわらず、規制の対象から除外されていた特定の種類の事業体も存在した。
さらに、NIS2は、すべての加盟国で進行し、パンデミックによって加速したデジタル化の進展に対応するために導入されたものである。これにより、セキュリティ体制がそれに応じて強化されないまま、サイバー攻撃の対象範囲が拡大している。
最後に、NIS2のもう一つの目的は、重要インフラおよび重要サービスの事業者ならびにデジタルサービス提供者に対し、適切なセキュリティ対策を実施すること、ならびにインシデントが発生した場合には速やかに所管当局およびサービスの利用者に報告することを義務付けることである。
この新しい指令は、以下のものを含む、欧州のその他の特定のセクター別規制と整合が図られています。
- 金融セクターのデジタル・オペレーショナル・レジリエンスに関する指令(DORA)。これは、情報の完全性およびサービスのサイバーセキュリティを保証する一連の義務的なセキュリティ対策の実施を通じて、金融セクターのレジリエンスとサイバーセキュリティを強化することを目的として、2022年11月10日に承認された規則である。
- 重要インフラのレジリエンスに関する指令(CER);様々な指令間の法的明確性と整合性を確保することを目的としている。
関係各社は、以下の区分に分類されています:
- 重要インフラ(エネルギー、交通、医療、水道、行政、金融、宇宙、デジタルインフラ)
- 重要な分野(研究、化学、食品、工業生産、デジタルサービス事業者、郵便サービス、廃棄物)
- 公的機関:中央政府(憲法上の機関および憲法に関連する機関、首相府および各省庁、税務当局、独立行政機関) | 地方政府(州および自治州) | 地方自治体(大都市、人口10万人以上の市町村、州都、地方保健当局) | その他の公的機関(経済規制機関;経済サービス提供機関;協会;福祉・レクリエーション・文化サービス提供機関;研究機関および研究所;実験動物防疫研究所) | その他の種類の機関(地域公共交通サービスを提供する機関;研究活動を行う教育機関;文化的意義のある活動を行う機関;内部企業;投資先企業および公的支配下にある企業)
- サプライヤー:NIS2の対象となる事業体に重要なサービスを提供する組織は、たとえ義務対象セクターに明示的に含まれている場合でも、デジタルセキュリティを強化しなければならない。
NIS2の内容
NIS2の内容に内在する一般的な義務は、以下の4つの主要な柱に基づいて要約することができる:
ガバナンス:経営陣は、組織が採用したリスク管理措置を承認し、その有効性を継続的に評価しなければならない。また、サイバーセキュリティに関する定期的な研修を受講するとともに、従業員に対しても同様の研修を提供する必要がある。
リスク管理:組織は、セキュリティおよびネットワーク上のリスクを評価し、サービスの利用者に生じるインシデントの影響を防止または最小限に抑えるため、適切かつ均衡のとれた技術的、運用上、および組織的な措置を講じなければならない。
事業継続:組織は、提供されるサービスの中断による影響を最小限に抑えることを目的として、事業継続を確保するための対策(例:バックアップ、災害復旧計画、危機管理手順など)を導入しなければならない。
サプライチェーン:企業は、各直接サプライヤーの脆弱性、およびサプライヤーの製品全体の品質とサイバーセキュリティ対策について評価を行わなければならない。この評価の対象には、ICTサプライヤーに加え、当該組織がNIS2の対象範囲に含まれているサービスに支障をきたす可能性のあるその他の重要サプライヤーも含まれる。
したがって、企業は以下の事項について測定および報告を行うことが求められることになる:
- リスク分析および情報システムセキュリティポリシー
- インシデント管理手順
- 事業継続ソリューション(バックアップおよび災害復旧)ならびに危機管理およびコミュニケーション手順
- サプライチェーンのセキュリティポリシー(サプライヤーおよびサービスプロバイダー)
- 情報システムおよびネットワークの脆弱性に関する、導入、開発、保守、および管理におけるセキュリティ
NIS2のタイムライン
企業および行政機関は、NIS2指令の義務の対象となるかどうかを把握するために、評価を実施しなければならない。
2024年12月1日から2025年2月28日までの間、各企業はSPIDの認証情報を使用して、ACN(国家サイバーセキュリティ庁)ポータルで本人確認を行う必要があります。この期間中、/Registration Serviceとして指定されたユーザーは、
具体的には、企業は以下のことを求められています:
- 当該事業体が企業グループに属するかどうかを明記し、該当する場合は親会社の税務コードを記載してください。
- 関連会社の一覧を作成し、それぞれの税コードを記載してください。
- 当該事業体の事業内容を表すATECOコードを記載してください。
- 関連する欧州連合の部門別規制を明示してください。
- 会社の区分を決定するために、売上高、貸借対照表、および従業員数を提示してください。
- 会社が属する事業体の種類を挙げてください。
2025年1月17日までに、トップレベルドメイン名レジストリの運営者、ドメインネームシステムおよびドメイン名登録サービスの提供者、クラウドコンピューティング事業者、データセンター、コンテンツ配信ネットワーク(CDN)事業者、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)、ならびにオンラインマーケットプレイス事業者、オンライン検索エンジン事業者、ソーシャルネットワーキングサービス(SNS)プラットフォーム事業者は、当該プラットフォームへの登録を完了しておく必要があります。
2025年3月31日までに、ACNはプラットフォームを通じて受け付けた登録情報に基づき、必須および重要な事業体のリストを作成した。
2025年4月1日から2025年4月15日までの間に、ACNは関係各社に対し、自社が「不可欠な事業体」または「重要な事業体」のリストに含まれているかどうかを通知した。
2025年4月15日までに、通知を受けた事業者は、特定の行為を通じて、同令の義務を履行する責任を有する事業者を指名することが求められた。
その後、本指令の対象となる事業者は、さらなる要件を遵守しなければなりません:
- 2026年1月1日までに;事故報告義務
- 2026年10月1日までに;行政機関およびセキュリティ対策に関する義務を履行しなければならない
ACNは毎年、対象となる事業体のリストを更新します。企業および行政機関は、自らが対象事業体に該当すると考える場合、毎年1月から2月の間に登録を行うことができます。
企業にとってのリスクであると同時に、チャンスでもある
NIS2の発効および対象事業者の特定後、所管当局は、同指令への遵守状況を確認するため、監視や抜き打ち検査を実施することができる。遵守が確認されない場合、当該企業に対して罰則が適用される。
罰則は非常に厳しい。大企業の場合、最大1,000万ユーロまたは世界全体の売上高の2%が科される。中堅企業の場合、最大700万ユーロまたは世界全体の売上高の1.4%が科される。
規制への準拠には、企業側による明確な取り組みと投資が必要ですが、一方で、これらの規制自体が、サイバー攻撃という問題に対して実質的な解決策を提供しようとするものであることも認識されなければなりません。イタリアの企業は依然としてサイバー攻撃に対して非常に脆弱であり、イメージを損なうことを恐れて、その被害を隠蔽しがちな傾向があります。経済的な観点から見ると、企業の売上高にかかわらず、サイバー攻撃1件あたりの平均被害額は200万ユーロを超えると推定されています。
ERAがNIS2コンプライアンス管理にどのように役立つか
以上のことから、企業がサイバーセキュリティの問題に極めて強い関心を持って積極的に取り組んでいるように思われるかもしれませんが、特に中小企業の間では、こうした問題に対してほとんど、あるいは全く対策を講じておらず、技術的な観点からも、また既存の各種規制への準拠という観点からも、自社が直面しているリスクについて現状を把握できていない企業が見受けられるのは、決して珍しいことではありません。
一部の企業は、サイバーセキュリティの問題を保険でカバーしようとしています。しかし、保険会社は、サイバー分野で具体的な対策を講じたことのない企業に対して、こうした保護を提供することに消極的な場合が少なくありません。その理由は、サイバー攻撃による損害を正確に推定する信頼性の高い方法が存在しないためです。 その結果、「NIS2パッケージ」はサイバーリスク評価サービスに重点を置いているものの、リスクのギャップを解消するための必要な措置を講じることは企業側任せとなっています。ERAは、高度な資格を持つサプライヤーのネットワークを活用し、非常に競争力のある条件で、より包括的なサービスを提供することが可能です。
具体的には、ERAのサポート内容は以下の通りです:
- 同社の組織的・技術的構造の評価。あらかじめ定義された指標を用いた自己評価アンケートを活用して;
- 啓発活動および研修コース。全従業員向けの基礎コースと、管理職および中間管理職向けの応用モジュールを設け、NIS2ガイドラインに準拠したもの。
- 脆弱性分析、フィッシング対策、およびランサムウェアのリスク評価に関する、具体的かつ高度な専門性を備えたテスト;
- 評価後の是正措置の段階において、専任のコンサルタントによるサポート;
- サイバーセキュリティ分野における戦略的決定を導くため、専任コンサルタントによる専門的なサポートを提供します。
当社のソリューションには、NIS2規制への準拠状況の分析が含まれています。これは間違いなく最も差し迫った課題ですが、それだけでなく、是正措置段階におけるプロジェクト管理においてもお客様を支援いたします。すなわち、診断プロセスで特定された様々な「不備」を是正しなければならない段階であり、内部のスキルや時間・リソースの確保といった面で、一部の企業が直面する困難が最も顕著に表れる段階でもあります。
