What is the NIS2 Directive?

NIS2 は、EU のネットワークおよび情報セキュリティ (NIS) 指令の 2 番目のバージョンであり、EU における主要なサイバーセキュリティ標準です。 NIS2 は、法律とその要件の影響を受けるセクターを拡大することにより、NIS を更新します。 EU 加盟国は 2024 年 10 月 17 日までに NIS2 を国内法に導入する必要があるため、NIS2 の影響を受けるすべての組織は 2024 年第 4 四半期までにコンプライアンスに加入する必要があります。

Infinity Global Services エキスパートに問い合わせる

What is the NIS2 Directive?

NIS2指令の重要性

NIS2 は、EU 加盟国に必要不可欠なサービスまたは重要なサービスを提供する組織向けのサイバーセキュリティ要件の標準セットを作成します。 これにより、これらの組織に対するサイバー攻撃がEU市民に重大な影響を与えるリスクを軽減します。

NIS2指令の影響を受けるセクター

NIS2指令は、セクターを必須エンティティと重要エンティティに分類します。 エッセンシャルエンティティ(EE)の例は次のとおりです。

  • Energy
  • 運輸
  • 金融
  • 行政
  • 医療
  • 給水
  • デジタルインフラストラクチャ

NIS2 は、次のような重要なエンティティ (IE) にも影響を与えます。

  • 郵便サービス
  • 廃棄物管理
  • 化学薬品
  • 調査
  • 食べ物
  • 製造
  • デジタルプロバイダー

NIS2 コンプライアンスは、セクターに加えて、組織の規模によっても影響を受けます。 一般に、EEは少なくとも250人の従業員を持ち、年間売上高が5,000万ユーロ以上、または貸借対照表が4,300万ユーロである必要があります。 IEは通常、少なくとも50人の従業員を擁し、年間売上高または貸借対照表が少なくとも1,000万ユーロである必要があります。 ただし、これらのルールはセクターによって異なります。 さらに、EU加盟国内で特定のサービスを単独で提供している企業は、規模に関係なくEEまたはIEに分類される場合があります。

NIS2 の要件とは何ですか?

NIS2 は、次のような 4 つの高レベルの組織要件を作成します。

  • リスク管理:組織は、インシデント対応、サプライ チェーン セキュリティ、ネットワーク セキュリティ、アクセス制御、暗号化の使用を通じてサイバー リスクを管理する必要があります。
  • 企業の説明責任: 企業の経営陣は、組織のセキュリティに責任を持ち、サイバーリスク管理において積極的かつ情報に基づいた役割を果たす必要があります。
  • 報告義務: NIS2 は、24 時間の「早期警告」を含む、重大なセキュリティインシデントの報告要件を定義しています。
  • 事業継続性: 影響を受ける組織は、復旧計画の作成、緊急時の手順、危機対応チームなど、事業継続戦略を策定する必要があります。

さらに、次のような 10 個の最小要件のセットが指定されています。

  1. ITシステム のリスク評価 とセキュリティポリシーの実装。
  2. 暗号化と暗号化の使用に関するポリシーと手順を実装します。
  3. システム調達における脆弱性の保護と管理。
  4. 機密データにアクセスできるユーザーに対するセキュリティ手順の実装。
  5. 必要に応じて、多要素認証 (MFA) 、継続的な認証、暗号化された通信を使用します。
  6. 実施されたセキュリティ制御の有効性を評価します。
  7. インシデントの検出と対応の計画。
  8. 基本的なコンピューター衛生に関する従業員へのトレーニング。
  9. ビジネス継続性とディザスター リカバリーの計画 (バックアップ、継続的なアクセスなど)
  10. サプライチェーンのセキュリティを確保し、企業がサードパーティとの関係における潜在的な脆弱性をどのように管理するか。

NIS2違反に対する罰則

NIS2 は、非コンプライアンスに対して組織に対して課せられる、次のようなさまざまな種類の罰則を定めています。

  • 非金銭的罰則: 各国の監督当局は、組織にコンプライアンスの遵守、拘束力のある指示の遵守、セキュリティ監査の実施、または潜在的な脅威についての顧客への通知を強制することが許可されています。
  • 行政罰金: 行政処分は、事業体の種類によって異なります。 EEは、1,000万ユーロまたは全世界の年間売上高の2%のいずれか大きい方の罰金が科せられます。 IEには、最大700万ユーロ、または全世界の年間収益の1.4%の罰金が科せられる可能性があります。
  • 刑事制裁: 重大な過失が発生した場合、NIS2は、セキュリティインシデントに対してトップマネジメントが個人的に責任を負うことを認めています。 これには、コンプライアンス違反を公表し、どのような違反が起こったのか、誰が責任を負うのかを公表するよう会社に命じることや、個人が管理職に就くことを一時的に禁止することなどが含まれます。

貴社のビジネスが IGS を使用した NIS2 とコンプライアンスにあることを確認してください

NIS2指令は、EU内の重要かつ重要な事業体に対するサイバー攻撃が、EU市民へのサービス提供能力に影響を与えるリスクを制限するように設計されています。 この改訂版は、元のNISに対するもので、指令の範囲が拡大され、更新された要件が実施され、規制当局がその要件を遵守しない組織に対して、より厳しい追加罰則を課す権限が与えられます。

2024 年第 4 四半期の期限までに NIS2 指令への準拠を達成することは、影響を受けるすべての組織にとって不可欠であり、堅牢なサイバーセキュリティ プログラムの実装が必要です。 チェック・ポイントは、Infinity Global Services プログラムを通じて、この目標およびその他のサイバーセキュリティ目標を達成しようとしている企業をサポートします。

 

チェック・ポイントのNIS2/DORA 準備評価には、 NIS2 指令に対する組織の既存のコンプライアンスの上級チェック・ポイント コンサルタントによるオンサイト評価が含まれます。 この評価に基づいて、チェック・ポイントは、組織が特定されたセキュリティギャップを解消し、基準に従ってコンプライアンスを達成する方法についてのガイダンスを提供します。 期限までに NIS2 コンプライアンス目標を達成する方法の詳細については、お問い合わせください

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK