目まぐるしく変化する今日の市場では、絶えず変化する消費者ニーズにより、エンドユーザ(EU)には極めて柔軟で適応性の高いことが求められています。このような期待に応えるため、相手先商標製品メーカ(OEM)には、最大限の稼働時間とスループットを保証する、高いレジリエンス(回復力)と適応性を備えた機器の製造が求められています。
こうした市場要件に加え、2024年10月以降、EUの改正ネットワークおよび情報セキュリティ指令(NIS2)が施行されます。生産システムからプロセス制御技術、水管理用の自動制御システムまで、制御技術(OT)のOEMは、エンドユーザが新指令に準拠できるよう支援する必要があります。これを怠ると、自社の製品やサービスがEU市場に適さなくなります。
NIS2は、EU内の特定分野のあらゆる組織が満たさなければならないサイバーセキュリティ要件の強化レベルの規定を定めています。これらの強化されたセキュリティ要件を満たすソリューションを提供し、来るべき機械規則のセキュリティ要件に備えるため、OEMはリスクアセスメントを実施して脆弱性を特定し、適切な緩和策を実施することで、ネットワークの安全とレジリエンス(回復力)を確保することできます。
これができなければ、OEMはEUへの販売で大きなハンディキャップを負うことになります。さらに悪いことに、自社の技術の全部または一部がサイバーセキュリティ侵害に関与した場合、エンドユーザは最高700万ユーロ、または全世界の年間総売上高の少なくとも1.4%の罰金を科される可能性があります1。
NIS2のコンプライアンス基準を満たすために、OEMは、ハードウェアやソフトウェアに関連するリスクを含む、幅広い技術的・非技術的リスクに対して、製品やサービスを強化するための対策を講じる必要があります2。
これを達成するためにOEMが克服しなければならない課題には、以下のようなものがあります。
- サイバーセキュリティのインシデントが危険な事象につながらないレベルまで、デバイスやコネクテッドテクノロジを保護する必要性
- 新しいEU機械規則(EU) 2023/1230が2027年に施行されるばかりで、「準拠」がどのようなものであるべきかの指針として使用する規格が不足していること
- 旧式、新型、将来の機械をサポートしなければならないマネージドサービス契約を結んでいるエンドユーザの設置ベースの多様性
多くのOEMは、自社のマシンやプラットフォームの潜在的なサイバーセキュリティの脆弱性を包括的に文書化していません。このため、現在販売中のシステムや開発中のシステムだけでなく、現在もアクティブなサポートが行なわれているシステムについても監査し、安全を確保するという課題に直面しています。脆弱性を文書化した後、OEMはエンドユーザと協力して推奨される緩和策を策定しなければなりません。
OEMが、規制当局だけでなく顧客に対してもNIS2への準拠を証明するために必要なすべてのことを、できるだけ早く行なうにはどうすればよいでしょうか。最良の方法は、技術、経験、そして最短時間で規制に準拠するために必要な専門エンジニアやコンサルタントを有するサードパーティのベンダーと協力することです。
OEMは、お客様がNIS2準拠を達成し、それを実証するのを支援するために、次のようなことができます。
- 設計上安全なコンポーネントと技術を使用し、関連するすべての業界標準と認定を満たすように最新の技術を確保します。
- 個々のお客様と緊密に連携し、あらゆる段階でセキュリティを強化し、NIS2要件やその他の関連規格に適合するよう支援します。
- 脆弱性の特定、文書化、緩和を最短時間で支援する、市場をリードするセキュリティコンサルタントへの即時アクセスを提供します。
OEMは、お客様と協力して、具体的な実装がセキュリティのベストプラクティスに従っていることを確認する必要があります。また、規制当局やその他の関係者にコンプライアンスを証明するために、OEMのリスク管理チームは、自社および資産所有者が可能な限り最高水準であらゆることを行なったことを証明する証明書を提出できるようにする必要があります。
ロックウェル・オートメーションは、OEMとEUの橋渡しをする理想的な立場にあり、このパートナシップをサイバー脅威から強化する不可欠なサードプレイヤーとしての役割を果たします。ロックウェル・オートメーションと連携することで、サプライチェーンをNIS2指令に適合させるために必要な技術、専門知識、経験をすぐに利用することができます。
2https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
