2023年にNIS2 (Network and Information Systems Directive 2: ネットワークおよび情報システム指令2)を制定することで、欧州委員会は産業界のサイバーセキュリティを向上させる取り組みにおいて大きな前進を遂げました。
加盟国の産業組織に対するセキュリティ要件が発効するのは2025年以降になりそうですが、産業組織は今から準備を始めるべきです。NIS2準拠の準備には、OTセキュリティの人材や外部の専門知識が必要になる可能性が高いのですが、準拠の期限が近づくにつれ、そのリソースは限られてきます。
以下に、ロックウェル・オートメーションが、産業組織がNIS2準拠の準備を始めるのに役立つ20以上の有用なNIS2リソースと推奨される次のステップをまとめています。リソースは2つのカテゴリに分類されています。
- NIS2のハイライトと産業用サイバーセキュリティの基礎
- 準拠準備のための戦略とベストプラクティス
NIS2のハイライト
2023年1月に発効したNIS2指令は、2016年に採択された当初のNIS法にかわるものです。この新規則は、デジタル化と脅威の進化に対応するため、範囲を拡大し、欧州連合(EU)の法的枠組みを最新化するものである。加盟国は2024年10月17日までにNIS2を国内法に移管しなければなりませんが、報道によれば、すでにいくつかの国が関連法案を提出しています。その後、産業組織は21カ月以内に完全なコンプライアンス体制を整えることになります。
NIS2は以下の組織に適用されます。
- EUの健康、安全、安定に不可欠または重要とみなされるサービスを提供する。
- 少なくとも50人を雇用しているか、少なくとも1000万ユーロ(約$1081万ドル)を生み出している。
- 本社の所在地にかかわらず、EU域内で産業または製造業を営んでいる。
- DNSサービス、マネージドセキュリティ(MSPおよびMSSP)、クラウドコンピューティング、データセンターなど、EU域内で特定のサービスを提供している。
産業組織が知っておくべきこと
NIS2は、従来の指令の要求事項の多くを拡大しています。例えば、重要インフラに分類される分野が追加され、合計11分野になりました。
その他の注目すべき変更点は以下の通りです。
- セキュリティおよび事故報告義務の拡大
- サプライ・チェーン・セキュリティの強化
- 国際協力と情報交換の重視
- 罰則の強化(最高1,000万ユーロまたは企業の前会計年度における全世界の年間総売上高の少なくとも2%)
- 違反の公表と責任を負う企業体
NIS2指令への不遵守は、金銭的な罰則を強化する可能性もあります。情報公開の義務化により、インシデントを報告した組織は世間の注目を浴びることになり、ブランドの評判にも影響を与える可能性があります。
NIS2コンプライアンスの基礎
NIS2への準拠方法については現在検討中ですが、産業組織はこの指令の最小限のサイバーリスク管理策を一般的なガイダンスとして利用することで、主要な重点分野についての知見を得ることができます。これら10の主要な規定は以下の通りです。
- リスク分析と情報システムセキュリティ
- インシデント対応
- バックアップや災害復旧などの事業継続対策
- サプライ・チェーン・セキュリティ
- 脆弱性管理を含むシステムおよびネットワークセキュリティ
- リスク管理と分析のための方針と手順
- 基本的なサイバーセキュリティハイジーンと従業員トレーニング
- 暗号化および暗号化ポリシー
- アクセス管理方針などの人的資源のセキュリティ
- 多要素認証と安全な緊急通信
NIS2は、ITとOTのセキュリティのベストプラクティスに沿ったリスクベースのアプローチを推奨しています。リスクを理解するために、産業組織はまず、自分たちの環境の脆弱性と、それが組織にとってどのような重要性を持つかを理解する必要があります。この知識は、防御のギャップを浮き彫りにし、優先順位付けを可能にし、ITとOT環境を保護し、NIS2の準備態勢を改善するためにどのような対策が必要かを確立するのに役立ちます。
サイバーセキュリティフレームワークとの連携
サイバーセキュリティフレームワークは、あらゆる組織のサイバーセキュリティ戦略の中核をなすものです。NIS2指令はいくつかの確立されたフレームワークに対応しているため、サイバーセキュリティフレームワークを採用することは、NIS2コンプライアンスの青写真にもなります。
よく使われるセキュリティフレームワークには、以下のようなものがあります。
- NISTサイバーセキュリティフレームワーク(CSF): 米国国立標準技術研究所(NIST)がCIセキュリティに対応するために開発したCSFは、サイバー脅威の防止、検知、対応のための包括的なアプローチとして、民間および公的機関に世界的に認知されています。
- ISA/IEC 62443: 国際オートメーション学会(ISA)と国際電気標準会議(IEC)によるこの一連の世界標準は、従来のIT環境とSCADAや生産現場の両方のための産業用セキュリティフレームワークを確立しています。
- ISO 27001: 国際標準化機構(ISO)によって作成されたこれらの規格は、セキュリティとリスク管理の基本的な側面を扱っています。
NIS2リソース
以下のリソースは、NIS2の影響を受ける組織が詳細を知るのに役立ちます。
- NIS2指令(指令(EU) 2022/2555)のウェブサイトには、欧州連合(EU)全体で高い共通レベルのサイバーセキュリティを実現するためのNIS2法に関する情報が掲載されています。
- EUのよくある質問: 欧州委員会は、NIS2の主要な構成要素、施行、その他のハイレベルな最新情報についての質問に回答しています。
- 欧州ネットワーク・情報セキュリティ機関(ENISA) NIS2政策指令のページでは、欧州全体のサイバーセキュリティの向上に役立つ指令の詳細情報も提供しています。
- アイルランドのクイック・リファレンス・ガイド: アイルランドの国家サイバーセキュリティセンター(NCSC)は、対象となる文やや事業体、インシデント通知要件、罰則など、EU全体の概要を提供しています。
国別のウェブサイト:
- フランスのFAQページ: フランス情報システム安全保障庁(National Agency for the Security of Information Systems)は、国内の最新情報と一般的な質問に対する回答を提供しています。
- ベルギーのNIS2ブログ: ベルギー・センター・フォー・サイバーセキュリティは、NIS2のアップデートがあった際に記事を掲載します。
- チェコのCISAウェブサイト: チェコ国家サイバー情報セキュリティ庁のウェブサイトにも、概要と各国の最新情報が掲載されています。
- フィンランドのTCA NIS2ワーキンググループ: フィンランド運輸通信庁は、国内の進捗状況や文書を公表しています。
その他のリソース
- IT-Baseline Protection Compendium (IT-Grundschutz): ドイツ連邦情報セキュリティ局(BSI)は、IT、OT、IoTサイバーセキュリティに対する体系的、リスクベース、成熟度関連のアプローチを提供するために、このフレームワークを作成しました。
- European Reference Network for Critical Infrastructure Protection: 欧州委員会の共同研究センター(Joint Research Centre)の一部であり、他のITおよびサイバーセキュリティのフレームワークやガイドのリストを含む、CI規格、ベストプラクティス、ガイドラインを提供しています。
- Critical Infrastructure Resilience Newsletter: 欧州委員会は、CI関係者とベストプラクティス、情報、ガイダンスを共有するためにニュースレターを発行しています。
- MITRE ATT&CK ICSテクニック: この知識ベースとマトリックスには、重要インフラに特化した「実際の観察に基づく敵の戦術とテクニック」に関する戦術情報があります。
- 重要事業体のレジリエンスに関する指令(Critical Entities Resilience Directive)は、自然災害か製造災害か、偶発的か意図的かを問わず、あらゆる種類の災害に対する重要事業体のレジリエンスに取り組む包括的な枠組みを構築するものです。
- 欧州サイバーレジリエンス法(European Cyber Resilience Act)は、よりセキュアなハードウェアおよびソフトウェア製品を確保するため、サイバーセキュリティ規制を強化するものです。
また、外部の専門家が NIS2要件のナビゲートを支援し、お客様のビジネスと目的に合わせたガイダンスを提供することもできます。信頼できる産業用サイバーセキュリティパートナが提供する専門知識を活用して、堅牢なサイバーセキュリティ計画を実施し、サイバーセキュリティリスクを継続的に監視および軽減してください。
ロックウェル・オートメーションでNIS2コンプライアンスを実現
NIS2コンプライアンス要件を満たすための産業用サイバーセキュリティの専門知識とアドバイスをお探しなら、ロックウェル・オートメーションにお任せください。当社は、産業用インフラの評価、設計、実装、管理のための幅広いサービスを提供しています。ロックウェル・オートメーションは、戦略的なパートナシップ、グローバルな事業展開、1世紀を超える経験をいかし、戦略的および戦術的な機能を提供することで、お客様の業務を保護し、未来を守るお手伝いをします。
ロックウェル・オートメーションは、お客様のNIS2準拠を支援します。お問い合わせください。
