EU NIS 2 コンプライアンス 9つのチェックポイント
NIS 2は、組織におけるサイバーセキュリティ管理の在り方について、より高い水準を求めています。本指令への対応は、コンプライアンスの基盤となる中核的な文書およびプロセスを整備することから始まります。これらの文書およびプロセスは、リスクが把握され、責任の所在が明確化され、混乱や障害が発生した場合でも重要な機能を継続できる体制が整っていることを示すものです。また、インシデントが発生した場合や、サプライヤーが新たなリスクをもたらす場合においても、各チームが体系的に対応することを可能にします。
本記事では、チェックリスト形式で、組織が文書化すべき必須事項を整理します。以下の各項目は、それぞれ記載すべき内容および整備すべき体制を解説するセクションに対応しています。
- サイバーセキュリティリスク管理方針(NIS 2 第21条)
- インシデント対応および通知手続(NIS 2 第21条(b)、第23条)
- 事業継続および復旧計画(NIS 2 第21条(c))
- サプライチェーンセキュリティ方針(NIS 2 第21条(d))
- 安全な開発および維持管理方針(NIS 2 第21条(e))
- アクセス管理および情報資産管理方針(NIS 2 第21条(i)、(j))
- 暗号および暗号化方針(NIS 2 第21条(h))
- セキュリティ意識向上および研修プログラム(NIS 2 第21条(g))
- (EUに拠点がない場合)EU代理人の選任(NIS 2 第26条)
各セクションでは、コンプライアンスを支えるための社内プロセスに関する提案も示しています。
これに加えて、組織内部でNIS2対応プロジェクトを進めるにあたっての実務上の留意点も提供します。
EU NIS 2コンプライアンスのための9つのチェックポイント
EU NIS2コンプライアンスを達成するために、組織が従うべき9つの必須ステップは以下のとおり整理できます。
1. サイバーセキュリティリスク管理方針(NIS 2 第21条)
NIS 2は、サイバーセキュリティリスク分析および情報システムの安全性に関する文書化された方針の策定を求めている。本方針では、企業がどのようにサイバーリスクを特定し、評価し、管理するかを明確に示す必要がある。経営陣はこれらのリスク管理措置の承認および監督について責任を負い、サイバーセキュリティを取締役会レベルの重要事項として位置付けなければならない。
内容: | 組織上の対応事項: |
|---|---|
|
|
2. インシデント対応および通知手続(NIS 2 第21条(b)、第23条)
サイバーセキュリティインシデントの検知、対応、復旧の方法を定めた正式なインシデント対応計画を策定する必要があります。NIS 2は、重大なインシデントについて「不当な遅滞なく」当局へ報告することを義務付けています。初期警告は24時間以内、詳細報告は72時間以内、最終報告は1か月以内に提出することが求められます。本手続はこれらの期限に沿って設計し、国家CSIRT(Computer Security Incident Response Team)および所轄当局への通知責任者を明確に指定する必要があります。
内容: | 組織上の対応事項: |
|---|---|
|
|
3. 事業継続および復旧計画(NIS 2 第21条(c))
重大な障害が発生した場合でも、重要な業務を継続または迅速に復旧できるよう、事業継続計画(BCP)および復旧手順を策定します。NIS 2は、「事業継続および危機管理」に関する措置を明示的に求めており、これにはバックアップ管理および復旧対応が含まれます。本計画では、重要なシステムおよびデータ、バックアップの実施方法、緊急時のシステムアクセス手段、さまざまな障害シナリオ(サイバー攻撃、IT障害など)における対応手順を明確にします。
内容: | 組織上の対応事項: |
|---|---|
|
|
4. サプライチェーンセキュリティ方針(NIS 2 第21条(d))
サプライヤーおよびサービスプロバイダーに対するセキュリティ要件を定めた方針を策定します。NIS 2は、クラウドやデータセンター事業者などの直接的なサプライヤーを含め、サプライチェーン全体にわたるセキュリティの確保を求めています。本方針では、サプライヤーのデューデリジェンス基準、契約上のセキュリティ条項、第三者リスクの継続的な監視方法を明確にします。また、各サプライヤー固有の脆弱性およびセキュリティ対策の全体的な水準を評価する必要があります。
内容: | 組織上の対応事項: |
|---|---|
|
|
5. 安全な開発および維持管理方針(NIS 2 第21条(e))
安全なシステムおよびソフトウェアの開発ならびに運用中の維持管理に関するセキュリティ要件を定めた方針を策定します。NIS 2は、安全なシステム開発体制の確立および、脆弱性の管理および開示に関する措置を求めています。本方針には、セキュアコーディングの実践、変更管理、パッチ管理、および発見された脆弱性の取扱いを含める必要があります。これには、セキュリティ更新を迅速に適用するための手順や、必要に応じて脆弱性開示プログラムを含みます。
内容: | 組織上の対応事項: |
|---|---|
|
|
6. アクセス管理および情報資産管理方針(NIS 2 第21条(i)、(j))
システムおよびデータへのアクセス管理方法ならびに情報資産の把握および保護方法を定めた方針を策定します。NIS 2は、「人的セキュリティ、アクセス管理方針および資産管理」の実施を求めています。必要に応じて、多要素認証(MFA)や安全な通信手段の導入も含まれます。本方針では、ユーザーアカウント管理(付与および削除)、パスワード基準、特権アクセス管理、資産台帳の整備方法を明確にします。
内容: | 組織上の対応事項: |
|---|---|
|
|
7. 暗号および暗号化方針(NIS 2 第21条(h))
データを保護するための暗号管理および暗号化の利用に関する方針を策定します。NIS 2は、「暗号の利用および、適切な場合には暗号化に関する方針および手続」を求めています。本方針では、保存時および通信時のデータに対して、いつ、どのように暗号化を適用するかを明確にします。また、暗号鍵管理の実務および承認された暗号標準やプロトコル(例:TLSのバージョン、暗号アルゴリズム)を定めます。
内容: | 組織上の対応事項: |
|---|---|
|
|
8. セキュリティ意識向上および研修プログラム(NIS 2 第21条(g))
サイバーセキュリティに関する意識向上および研修プログラムの文書を整備します。NIS 2は、「基本的なサイバー衛生の実践およびサイバーセキュリティ研修」を最低限の措置として求めています。人がセキュリティ上の弱点となりやすいことを踏まえ、組織が従業員教育に取り組んでいることを示す必要があります。本プログラムでは、研修スケジュール、対象テーマ(フィッシング対策、パスワード管理、インシデント報告等)、受講記録を明確にします。
内容: | 組織上の対応事項: |
|---|---|
|
|
9. (EUに拠点がない場合)EU代理人の選任(NIS 2 第26条)
EU加盟国に設立拠点を有しない企業であっても、NIS 2の適用対象となるサービスをEU域内で提供している場合には、正式にEU代理人を選任する必要があります。この要件はGDPRの代理人制度と類似しています。EU域外の事業者は、事業を行う加盟国のいずれかに代理人を選任しなければなりません。
代理人の指定は、個人またはサービスプロバイダーとの委任契約または指定書を作成することで文書化します。代理人の氏名、連絡先およびEU域内の住所を明記し、規制当局から求められた場合に提示できるよう準備します。
社内EU NIS 2コンプライアンスのための実務支援
以下は、社内でEU NIS 2コンプライアンス対応プロジェクトを進めるにあたり実施できる実務的なステップです。推奨される対応事項と簡潔な説明をあわせて示します。
1. NIS 2に関するガバナンスおよび責任の明確化
まず、自社に対するNIS 2の適用範囲を確認し、適切なガバナンス体制を整備することから着手します。自社が重要セクターに該当し、規模要件を満たしているかを確認します。NIS 2では、中規模および大規模事業体は原則として適用対象となり、「必須事業体」または「重要事業体」に分類されます。各関連EU加盟国における所轄当局も特定します。プロジェクト責任者(例:最高情報セキュリティ責任者(CISO)やコンプライアンス責任者)を任命し、初期段階から経営層が関与する体制を整えます。NIS 2は、経営陣に対しサイバーセキュリティリスク対策の承認および監督責任を課しているため、取締役会または経営幹部が自らの責任を認識していることを確保する必要があります。
推奨対応事項: |
|---|
|
2. リスク評価およびIT資産一覧の整備
コンプライアンス対応の基盤として、包括的なサイバーセキュリティリスク評価を実施します。NIS 2は、あらゆる脅威を想定したリスクベースのアプローチを求めています。そのため、サイバー攻撃だけでなく、人的ミスや機器障害など、ネットワークおよび情報システムに影響を及ぼす可能性のあるリスクを評価します。同時に、重要なサービスを支えるIT資産一覧を作成または更新します。これには、ハードウェア、ソフトウェア、データ、ネットワークインフラが含まれます。目的は、保護すべき対象を明確にし、リスクに基づいてセキュリティ対策の優先順位を決定することです。
推奨対応事項: |
|---|
|
3. 技術的および組織的措置の実装
リスク評価の結果を踏まえ、必要なセキュリティ管理策を導入し、その実施状況を文書化します。NIS 2は、アクセス管理や暗号化、インシデント対応、事業継続などを含む、幅広いサイバーセキュリティ措置の整備を求めています。本ステップは、単に方針を策定するだけでなく、実際に防御策を運用に組み込むことを意味します。これには、セキュリティ技術の設定、システムの強化、運用プロセスの正式化が含まれます。
推奨対応事項: |
|---|
|
4. インシデント対応体制および対応手順の整備
社内にインシデント対応チーム(IRT)を設置し、インシデントを効果的に処理できるよう、明確な対応手順および訓練体制を整備します。NIS 2のインシデント対応および報告義務に沿って、必要に応じて24時間体制でインシデントを分類し対応できる準備を整えます。また、所轄当局への義務的通知を適切に調整できる体制を確立します。このチームおよび対応プロセスを明確に定義することは、攻撃による被害を最小限に抑え、危機時における法的義務を確実に履行するために不可欠です。
推奨対応事項: |
|---|
|
5. 従業員のセキュリティ意識向上および研修の強化
サイバーセキュリティ意識向上を継続的な取組みとして実施します。方針を整備していても、従業員がそれを理解し遵守しなければ、コンプライアンスは実効性を持ちません。NIS 2は基本的なセキュリティ対策の徹底および研修を重視しており、IT担当者から一般従業員まで、サイバー脅威を予防し、検知し、対応できるよう十分な教育を行う必要があります。人は防御の最前線となる一方で、最初の侵入口にもなり得ます。例えばフィッシング攻撃はその典型です。本項目は、組織全体にセキュリティ意識を根付かせる文化を構築することを目的としています。
推奨対応事項: |
|---|
|
6. サプライチェーンおよび第三者管理の強化
近年、サプライチェーン攻撃が増加していることを踏まえ、NIS 2コンプライアンス対応を第三者リスク管理にも拡張します。本項目では、サプライチェーンセキュリティ方針を実務として運用に落とし込みます。具体的には、ベンダーの審査、継続的な遵守状況の監視、共同でのインシデント対応体制の整備などを行います。NIS 2は、サプライヤー固有の脆弱性を考慮することを義務付けています。そのため、サプライチェーンセキュリティをサイバーレジリエンスの不可欠な構成要素として位置付ける必要があります。
推奨対応事項: |
|---|
|
7. 継続的なテスト、監査および改善
NIS 2への対応は一度きりのプロジェクトではなく、継続的な取組みです。防御策のテスト、コンプライアンス状況の監査、セキュリティ対策の見直しを定期的に実施する仕組みを確立します。
推奨対応事項: |
|---|
|
PrighterでNIS 2のコンプライアンス対応しては?
NIS 2は、サイバーセキュリティに対して、より体系的で説明責任を伴うアプローチを求めています。本チェックリストで示した文書およびプロセスは、指令の要件を満たすための実務的な基盤となります。これらは、より強固なガバナンス体制の構築、責任の明確化、インシデント、サプライヤー、技術的リスクを予測可能かつ一貫した方法で管理する枠組みの確立につながります。さらに重要なのは、規制当局および社内関係者に対して、適切な注意義務を尽くしていることを示すことができる点です。
If you want support in building or refining any of the materials covered in this guide, our team is ready to assist. Book a free consultation with a Prighter expert to discuss your organisation’s next steps.