• 最近の検索履歴

ご覧いただいている内容は、日本に合わせて調整されています。 アメリカ合衆国の内容を見る | 他の国を選ぶ

  1. Home  
  2. 産業とアプリケーション
  3. 産業用セキュリティ
  4. サイバーセキュリティ指令:NIS 2

NIS 2 欧州連合全体のサイバーセキュリティに関する基準を定めるため、さまざまな分野の企業は自社のセキュリティ戦略を文書化する必要があります。カウントダウンは始まっています。一緒に準備をするときです。

セキュリティロック付きのネットワーク化された世界

EUの新たなサイバーセキュリティ指令であるNIS 2は、2024年10月18日以降義務付けられています。この規制は欧州連合全体のサイバーセキュリティに関する基準を定めており、さまざまな分野の企業が自社のセキュリティ戦略を文書化する義務を負います。

企業は行動を迫られています。

NIS 2とは何でしょうか

EUは加盟国に対し、NIS 2(Network and Information Security:ネットワーク・情報セキュリティ)指令の形で、厳格なサイバーセキュリティの規制を導入しました。NIS 2は2016年に施行したNIS指令の後継となるものです。したがって、総合的なセキュリティ戦略の実施はもはやサイバー攻撃に対する保護のために必要なだけではなく、法的要件になったのです。

加盟国は、2024年10月17日までにNIS 2指令に準拠するために必要な対策を採用しなければならず、2024年10月18日からこうした対策を適用しておかなければなりませんでした。

NIS 1とNIS 2の相違点

NIS 1とNIS 2の違いは何でしょうか

NIS 2は2016年のNIS指令の改善版です。NIS指令は当時においてすでにEUにおけるネットワークおよび情報システムに高レベルのセキュリティを確保することを意図したものでしたが、部分的な欠陥も提示していました。

NIS 1とNIS 2の主な相違点は以下の通りです:

  • 新バージョンでは、エネルギー、医療、輸送、デジタルインフラなど、社会と経済に不可欠な分野や企業がより幅広く対象とされています。

  • NIS 2は対象の企業や組織に対し、有効なリスク管理システムを運用し、重大または深刻なサイバーインシデントがあった場合に、国の担当当局が必要な対策を講じられるよう報告することを求めています。NIS 1ではセキュリティ対策の一般仕様とインシデントの報告について定めただけでした。

  • 新たなセキュリティ指令はEU加盟国に対しより厳格な制裁措置を行うよう定めています。対象の企業や組織が必要なセキュリティ対策を実施しない場合や、深刻または重大なインシデントを国の関係当局に報告しなかった場合の罰金は、最大2,000万ユーロまたは世界的な収入の4%となりました。NIS 1では制裁措置が加盟国に委ねられていたため、適用がまちまちでした。

  • NIS 2はサイバーセキュリティの個人的説明責任を明確に示し、経営陣が法規制に準拠しなかった場合に個人資産により責任を負うことを初めて定めています。

NIS 2の対象グループ

影響を受けるのは誰でしょうか。

NIS 2指令の実施が求められるのはどのような企業でしょうか。

主要エンティティ: 重要インフラの分野で活動する組織です。例えば、エネルギー、運輸、水管理、医療、銀行などです。

重要エンティティ: 食品産業や化学産業のトップ企業および電気機器、機械、車両などの製造担当企業などです。

また、NIS 2の影響を受ける対象グループの範囲を拡張するか否かは、加盟国が自ら選択することができます。国の一覧に追加のエンティティを加え、地方当局や教育関連のエンティティなどに指令の実施を求めることもできます。

NIS 2についてのリマインダ

罰則はどのようなものでしょうか

NIS 2指令は報告義務の実施や適合の違反に対し高い罰金が課せられるなど、厳密に施行されています。課される罰則の程度は、個別企業の分類によって異なります。

「重要エンティティ」に分類された企業は、700万ユーロまたはその企業の世界規模の前年度年収合計の最大1.4%に相当する罰金を支払わなければなりません。一方「主要エンティティ」には、1,000万ユーロ以下または世界規模の年収の最大2%に相当する金額が罰金として課されます。

サイバーセキュリティについては問答無用でデューデリジェンスが課され、経営陣は自社のサイバーセキュリティ対策の実施と監視について監督する義務を負います。

お客様にとって実際には何を意味するのでしょうか

NIS 2指令は2023年1月16日に施行されたEU指令で、重要インフラとデジタルサービスプロバイダのサイバーセキュリティとレジリエンスの向上を目的としています。この指令は対象の企業や組織に対し、有効なリスク管理システムを維持し、重大または深刻なサイバーインシデントがあった場合に、国の担当当局が必要な対策を講じられるよう報告することを求めています。目的は、ユーザー、環境、社会秩序に対する潜在的危害を最小限に抑えるため、セキュリティ上の脆弱性を早期に特定し、必要な予防措置を取ることにあります。すべての関連当事者が同一の高い基準に準拠していることを確保するため、企業にはサプライチェーン全体のセキュリティを確保し、要件をビジネスパートナーおよびサプライヤーに課す責任もあります。その他の対策には以下が含まれます:

  • データとサービスの機密性、完全性、可用性、真正性を確保するため、現行の規格とベストプラクティスに準拠した適切で相応なセキュリティ対策の実施。

  • サイバーインシデント後に通常の動作状態を可能にする事業継続計画の作成および更新。

  • 不正アクセスを防止するため、ネットワークや情報システムへのアクセスに対する多元的な認証を実施しなければなりません。

欧州連合サイバーセキュリティ庁(ENISA)は、この法規の適用を監視・支援する上で非常に重要な役割を果たします。

NIS 2 – メーカーの義務
あらゆる事実を一目で把握
サイバーレジリエンス法に関する包括的なガイド

当社のホワイトペーパー『サイバーレジリエンス法 –​​ デジタル製品のサイバーセキュリティの未来』をご請求いただくと、CRAに関する重要な情報をすべて一目でご確認いただけます。この文書には、EU法に関する重要な事実がすべて含まれており、さらに、当社フエニックス・コンタクトがCRAの要件をどのように満たしているかについての知見も提供しています。

ホワイトペーパーを今すぐダウンロード
セキュリティロック付きのネットワーク化された世界

NIS 2のスケジュール

NIS 2指令は2023年1月16日に施行されており、各国の法規に組み込む期限は2024年10月17日と定められていました。委員会は2027年10月17日以降、36か月ごとに指令の実施についてチェックを行う予定です。

対策を講じて準備をするときです。

NIS 2のタイムライン

NIS 2は2023年1月16日に施行されています。

360°のセキュリティサイクル

当社の包括的な360°のセキュリティコンセプト

360°のセキュリティ – 妥協のない包括的な製品ラインアップ

サイバーセキュリティのダイナミックな世界では変化が常に起こっており、NIS 2指令の導入はこの事実を裏付けています。この指令が完全施行に向けて国際法に採用される見込みの現状において、対策を講じる緊急性があることに疑問の余地はありません。

NIS 2の厳格な要件に適合するためには、欧州規格および国際規格に基づいて基本的なアプローチを決定しなければなりません。この規格は安全な製品を定義するだけではなく、レジリエントなセキュリティシステムの実装についての原則も定義しています。好例が、オートメーションにおけるセキュリティについての世界的に認知された規格であるIEC 62443です。当社の__包括的な360°のセキュリティコンセプト__は、対応するIEC 62443認証によって裏付けられた技術的対策や組織的対策を含んでいます。

360°のセキュリティコンセプトの詳細