今すぐOTサプライチェーンをNIS2に対応させましょう

2024年10月17日、EU加盟国は改訂ネットワーク･情報システム指令(NIS2)を現地法に翻訳します。NIS2の対象となる組織は、以前の指令の対象範囲よりもはるかに多く、必ず準拠する必要があります。

組織が業務の監査を急いで行ない、NIS2の基準に適合させようとする中、見落とされがちな領域が1つあります。それは、サプライチェーンです。新しい指令では、組織にリスク評価を行い、テクノロジ(ハードウェアとソフトウェア)および関連する非技術的リスクに対してサプライチェーンを強化することが義務付けられています¹。

これは組織が無視できるものではありません。サプライチェーンの欠陥から生じるサイバーセキュリティインシデントに対する罰則は、他の種類の違反に対する罰則と同様に厳しく、最大700万ユーロまたは全世界の年間総売上高の少なくとも1.4%の罰金が科せられます²。

しかし、何百ものベンダーと何千もの異なるメーカや年式のマシンが関わることが多い制御技術(OT)サプライチェーンをどのように保護できるでしょうか。

NIS2サプライチェーンコンプライアンスの課題

現在、インフラの製造メーカと事業者は、調達するマシン、テクノロジ、サービスがNIS2のセキュリティ要件を満たしていることを確認する必要があります。しかし、多くの場合、OTエコシステムのこれらのさまざまな部分に対する特定のセキュリティ規格はありません。

例えば、接続された自動化されたマシンを考えてみましょう。EU機械規制(EU) 2023/1230は2027年に発効します。この条文は2026年までに最終的な形になると予想されます。

機械装置メーカ(OEM)と事業者は、規制を使用して、運用するマシンのNIS2コンプライアンス戦略を策定できるようになります。それまでは、機械装置メーカと協力してNIS2を他のさまざまな既存の標準にマッピングし、この演習を使用して、規制要件を満たす独自のマシンコンプライアンス計画を策定する必要があります。

NISサプライチェーンのコンプライアンスに関するその他の課題は以下の通りです。

危険源のスレッショルド(閾値): NIS2では、違反によって危険が発生するとは限らないと規定されていますが、機械装置メーカや事業者は、危険防止対策が十分であるかどうかをどのようにして知ることができるでしょうか?
システムの異種性: OT事業者は、多くの場合、複数のベンダーのさまざまな年代のシステムやマシンを運用しており、それらすべてをコンプライアンスに準拠させる必要があります。
技術的な課題: 機械装置メーカや事業者は、関連するすべての脆弱性を特定、文書化、緩和したことをどのようにして確信できるでしょうか?

最初の作業は、調達される機械、システム、サービス、および該当する場合はサプライヤとの関係の存続期間全体で使用されるシステムなど、サプライチェーンを現状のまま監査することです。監査の基準となる厳格な仕様はなく、脆弱性を文書化して対処できるようにします。

既存のナレッジベースやドキュメントがほとんどないかまったくなく、必要な社内の専門知識やツールもない組織にとって、これは困難で時間のかかる作業になる可能性があり、信頼できる結果が得られる保証はありません。

Loading

NIS2サプライチェーンコンプライアンスへの近道

エンドユーザがよりスマートでセキュアな運用を目指す中、堅牢な機械装置メーカとサイバーセキュリティのパートナシップの価値は明白になります。これらのコラボレーションは、現在の需要を満たすだけでなく、将来のニーズも予測する機器の開発に不可欠です。ライフサイクル全体にわたってOT機械を保守および保護する経験は、機械メーカ、テクノロジパートナ、エンドユーザ間の一貫したコラボレーションが極めて重要な役割を果たすことを浮き彫りにします。

ほとんどのOT事業者と機械装置メーカにとって、サプライチェーン全体でNIS2に準拠するために必要な専門知識にアクセスする最善の方法は、専門の外部パートナと協力することです。OTサイバーセキュリティとサイバーセキュリティの経験を持つ組織は、次の点で支援できます。

社内チームの構築に伴う法外なコストや時間の制約なしに、必要な専門知識に迅速にアクセスできます。
関連する製造施設またはインフラ施設のOTネットワークとITネットワークの両方を保護します。
規制当局の要求を満たすように設計された方法で、実行したコンプライアンス手順を証明するドキュメントを作成します。

適切なスキルとテクノロジを備えたパートナは、サプライチェーン関係、関連テクノロジ、既存の在庫と計画的な購入の両方における潜在的な脆弱性を文書化するお手伝いをします。また、将来の購入とサプライチェーン関係のリスク評価のための実証可能なプロセスと方法論の開発も支援します。

ロックウェル･オートメーションは、製造メーカやインフラプロバイダ向けのサイバーセキュリティのマーケットリーダです。クライアントとロックウェル･オートメーションの両方の業務を関連規格に準拠させる豊富な経験を持つ当社の専門家が、サプライチェーン関係のコンプライアンスの監査、文書化、検証をお手伝いします。

ロックウェル･オートメーションと連携することで、サプライチェーンをNIS2指令にスケジュール通りに準拠させるために必要なテクノロジ、専門知識、経験にすぐにアクセスできます。

ぜひ問い合わせください!

¹https://eur-lex.europa.eu/eli/dir/2022/2555#tocId230

²https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

Loading

公開 2024/08/20

David Main-Reade

EU Regulatory Affairs Program Manager at Rockwell Automation

David participates in national and international standards committees relating to functional safety, product design and sustainability. With over 25 years’ experience in machinery safety applications and solutions, David is both a TÜV Rheinland functional safety expert, and a TÜV Rheinland Cyber Security Specialist for product development.

連絡先:

Manju Venugopal

Sr. Engineering Manager, Product Security and Functional Excellence, Rockwell Automation

With a career spanning over two decades, she has honed her expertise in embedded systems and operational technology (OT) cybersecurity, establishing herself as a leader in the field. Manju's passion lies in advancing practical cybersecurity measures within OT systems, leveraging her extensive global experience to drive innovation and security in the industry. Her work is pivotal in shaping the future of secure product development and operational excellence.

連絡先: