EU NIS 2指令:InHand Networksがコンプライアンスとセキュリティの維持をどのように支援するか
InHand Networksは、NIS 2を単なる規制としてではなく、より強固なデジタルヨーロッパへのロードマップと捉えています。設計段階からセキュリティを重視した製品ポートフォリオ、世界的に認められた認証、そして透明性の高い製品セキュリティアドバイザリプログラムを通じて、サイバーセキュリティが後付けではなく、常に求められる未来に向けて、お客様が備えられるよう支援します。
NIS 2 入門
NIS 2 指令は、EU のサイバーセキュリティにおけるパラダイムシフトを示すものであり、自主的なガイドラインを、加盟国全体で高いレベルの回復力を確保するための必須のリスクベースのフレームワークに置き換えます。
この指令は、組織を必須または重要な組織に分類することにより、セクターの重要性に応じて、個別かつ厳格なサイバーセキュリティリスク管理および報告要件を課します。これにより、エネルギーやヘルスケアからデジタルインフラや行政に至るまで、重要なサービスの安全性と運用性が確保され、社会経済への混乱を最小限に抑えることができます。
企業にとって、この指令は単なるコンプライアンス義務ではなく、回復力を強化し、リスクを軽減し、より信頼性の高いサプライ チェーンを構築する機会となります。
誰が遵守しなければならないか:必須エンティティと重要エンティティ
NIS 2 指令は、より広範なセクターと組織に適用範囲を拡大し、規模、セクター、重要性に基づいてそれらを必須エンティティと重要エンティティに分類します。
どちらのグループも同じ基本的なサイバーセキュリティ要件を満たす必要がありますが、監督と施行のレベルは異なります。
この規則は、EU 勧告で定義されている中規模企業および大規模企業 (通常、従業員数が 50 名を超え、売上高または貸借対照表総額が 1,000 万ユーロを超える企業) に一般的に適用されますが、特定の事業体は「規模に関係なく」含まれます (例: トップレベル ドメイン レジストリ、DNS サービス プロバイダー、公共電子通信ネットワークのプロバイダー)。
| カテゴリ | エンティティのサイズ | 分類 |
|---|---|---|
| 常に必須(サイズに関係なく) トラストサービスプロバイダ、DNSオペレータ、TLDレジストリ、公共電子通信ネットワーク/サービス、CER指定の重要エンティティ | あらゆるサイズ | 不可欠 |
| 附属書I(高重要度セクター) エネルギー、運輸、銀行、金融インフラ、ヘルスケア、飲料水、デジタルインフラ、行政、宇宙 | 大きい | 不可欠 |
| 付属書II(その他の重要なセクター) 郵便・宅配便、廃棄物管理、化学薬品、食品、製造業(例:医療機器)、デジタルプロバイダー、研究 | 中または大 | 重要 |
説明 サイズ基準:
- 大きい : 従業員数250人以上 または (売上高 > 5000万ユーロ および 貸借対照表 > 4,300万ユーロ)
- 中くらい 従業員数50~249名 そして (売上高≤5000万ユーロ および 貸借対照表≤4300万ユーロ
組織にとってのNIS 2コンプライアンスの課題
NIS 2指令は、EU全体におけるサイバーセキュリティ義務の範囲、規模、厳格さを根本的に拡大することで、コンプライアンス上の重大な課題を提起しています。組織は現在、多面的な課題に直面しています。
| チャレンジのカテゴリー | 組織がすべきこと |
|---|---|
| 1. カテゴリーを知る | • 規模に関わらず常に対象となる事業体(第2条(2)~(4))に該当するかどうかを確認してください。該当する場合、必須事業体となります。 • そうでない場合は、付属書 I/II をチェックして、必須または重要かどうかを確認してください (第 3 条)。 • 対応する監督体制を準備する(第31条~第33条)。 |
| 2. リーダーシップの説明責任 | • 経営トップがサイバーセキュリティリスク管理を承認し、監督することを確保する(第20条(1))。 • 経営陣および職員に対して定期的な研修を実施する(第20条(2))。 • 注:経営トップは個人的な責任を負う可能性があり、重要な事業体は一時的な禁止措置に直面する可能性があります(第32条(5))。 |
| 3. セキュリティ対策を実施する | • 適切かつ相応の措置を講じる(第21条(1))。 • 対策には、リスク分析、インシデント対応、事業継続性、サプライチェーンのセキュリティ、脆弱性管理、安全な設計、暗号化、アクセス制御、安全な通信、多要素認証などが含まれる必要があります(第21条(2))。 |
| 4. インシデント報告のタイムラインを守る | 重大なインシデントを次の 3 つの手順で報告します。 • 24時間以内:早期警告(第23条(2))。 • 72時間以内:事故の通知と評価(第23条(4))。 • 1ヶ月以内:根本原因と緩和策を記載した最終報告書(第23条(6))。 |
| 5. サプライチェーンのセキュリティ管理 | • サプライヤーとサービスプロバイダーの関係におけるリスクに対処する(第21条(2)(d))。 • サードパーティのサイバーセキュリティ対策を評価および監視します。 |
| 6. 監督と執行の準備を確実にする | • 重要な組織:積極的な監査、検査、セキュリティスキャン(第31条~第32条)。 • 重要な組織:インシデント発生後または不遵守の証拠があった後の事後的な検査(第33条)。 • 違反に対する罰金:最高1,000万ユーロまたは全世界売上高の2%(必須項目)/最高700万ユーロまたは1.4%(重要項目)(第34条)。 |
NIS 2の主な要件
1. リーダーシップの説明責任(第20条、第32条(5))
- サイバーセキュリティは今や トップマネジメントの責任 — 経営幹部はリスク管理措置を承認し、監督する必要があります。
- 経営陣と従業員は共に 定期的なサイバーセキュリティトレーニング.
- 注意: 経営陣は、 個人責任、そして重要な組織のリスク 一時的な禁止 重大な失敗があった場合のリーダー向け。
2. 包括的なサイバーセキュリティ対策(第21条)
企業は、 技術的、運用的、組織的な安全対策.
これには以下が含まれます:
- リスク分析と情報システムセキュリティポリシー。
- インシデント処理。
- バックアップ管理、災害復旧、危機管理を含むビジネス継続性。
- サプライヤーとの関係におけるセキュリティ関連の側面を含む、サプライ チェーンのセキュリティ。
- 脆弱性の処理と開示を含む、ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ。
- サイバーセキュリティ対策の有効性を評価するためのポリシーと手順。
- 基本的なサイバー衛生の実践とサイバーセキュリティのトレーニング。
- 暗号化および適切な場合は暗号化に関するポリシーと手順。
- 人事セキュリティ、資産管理、アクセス制御。
- 多要素 (または継続的) 認証、安全な音声/ビデオ/テキスト通信、安全な緊急通信システムの使用。
(これは、組織とエコシステム全体に「多層防御」を構築することと考えてください。)
3. 事件の報告(第23条)
組織は、 3段階の報告プロセス:
- 24時間以内: 提出する 早期警告 インシデントが悪意のあるものまたは国境を越えたものである可能性がある場合は、CSIRT/当局に報告します。
- 72時間以内: 提供する 詳細なインシデント通知 初期評価を行います。
- 1ヶ月以内: 配信する 最終報告書 根本原因、影響、および緩和策を説明します。
(時間は、事件の分析が終わったときではなく、事件に気づいたときに始まります。)
4. 監督と執行(第31条~第36条)
- 必須エンティティ
- 監督: 積極的 → 監査、検査、技術スキャン、セキュリティ評価(第32条)。
- 罰則(第34条): まで 1,000万ユーロまたは世界売上高2,130兆ユーロ (いずれか高い方)。
- 追加的措置(第32条(4))
- 経営幹部(CEO、法定代理人など)が経営機能を行使することを一時的に禁止します。
- 認可または認証の停止。
- 拘束力のある遵守命令。
- 公開命名(ネーミング・アンド・シェイミング)。
- 経営幹部(CEO、法定代理人など)が経営機能を行使することを一時的に禁止します。
- 監督: 積極的 → 監査、検査、技術スキャン、セキュリティ評価(第32条)。
- 重要なエンティティ
- 監督: 事後対応型 → 事件または不遵守の証拠により発動される(第33条)。
- 罰則(第34条): まで 700万ユーロまたは世界売上高1.4% (いずれか高い方)。
- 是正措置: 拘束力のある指示と命令。
- 監督: 事後対応型 → 事件または不遵守の証拠により発動される(第33条)。
InHand NetworksがNIS 2コンプライアンスをサポートする方法
NIS 2指令は、ガバナンス、リスク管理、そしてレジリエンスに高い期待を寄せています。InHand Networksは、組織がコンプライアンス要件を満たすだけでなく、永続的なサイバーレジリエンスを構築できるよう支援します。 設計段階からセキュリティを重視したアプローチ, 国際認証、 透明な製品セキュリティ対策 NIS 2 に基づく必須および重要な事業体にとって、当社は信頼できるパートナーとなります。
1. ガバナンスと説明責任(第20条)
- ISO/IEC 27001認証 体系的な情報セキュリティ管理に対する当社の取り組みを示しています。
2. サイバーセキュリティリスク管理措置(第21条)
- IEC 62443-4-1認定の安全な開発ライフサイクル: すべての InHand 製品がセキュリティを中核として設計、テスト、保守されていることを保証します。
- IEC 62443-4-2認証産業用ルーターおよびIoTエッジゲートウェイ: エネルギー、輸送、医療などの重要なインフラストラクチャにおける安全な接続のための信頼できる構成要素を提供します。
- EN 18031認証: サイバー攻撃に抵抗するためのデバイスの堅牢性テストを強化します。
これらの認定を組み合わせることで、NIS 2 で義務付けられている技術的および組織的な対策が直接サポートされます。
3. インシデント対応と脆弱性開示(第21条および第23条)
- InHand Networksは専用の 製品セキュリティインシデント対応チーム(PSIRT) そして 協調的脆弱性開示(CVD)プロセス.
- 私たちの 製品セキュリティアドバイザリ(PSA) [[link] により、お客様はタイムリーな更新、パッチ、緩和ガイダンスを受け取ることができ、NIS 2 のインシデント対応および脆弱性処理の義務に準拠できるようになります。
4. サプライチェーンのセキュリティ(第21条(2)(d))
- 選択することで NIS 2準拠の国際認証製品組織は、独自のサプライチェーンのセキュリティ体制を強化できます。
- 当社の厳格な開発およびテスト プロセスにより、NIS 2 の重要な側面であるサードパーティの依存関係を通じて広がるリスクが軽減されます。
5. 監督及び執行の準備(第31条~第36条)
- InHandソリューションを導入するお客様は、 検証可能で標準に準拠したセキュリティ証拠監査および検査をサポートします。
- 当社のコンプライアンス基盤 (ISO 27001、IEC 62443、EN 18031) は、規制当局への適合を証明するために必要な文書を提供します。
InHandセキュリティエクセレンスの4つの柱
NIS 2指令の厳しい要件を満たすには、単なる技術的な修正以上のものが必要です。 包括的かつ持続可能な安全保障枠組みだからこそ、InHand Networksは セキュリティエクセレンスの4つの柱ガバナンス、製品の整合性、認証、運用の復元力を統一されたアプローチに統合する包括的なモデルです。
世界的に認められた標準に基づいて構築された ISO/IEC 27001 および IEC 624434つの柱は、安全な開発手法、堅牢な製品エンジニアリング、そして透明性のある脆弱性管理への長年の投資を反映しています。これにより、セキュリティが確保されます。 単なる機能ではなく基盤 製品ライフサイクルのあらゆる段階にわたって。
NIS 2準拠の準備をしている組織にとって、4つの柱は指令の法的および規制上の要件を次のように解釈します。 実用的で検証可能な対策各柱は、リーダーシップの説明責任や安全な製品開発からインシデント処理やサプライ チェーンの保証に至るまで、NIS 2 の中核となる義務に直接対応しています。
4つの柱を組み合わせることで、 コンプライアンスとレジリエンスの架け橋: 進化するサイバー脅威の状況に対抗するために、組織が規制への準拠を実証しながら、より強力で信頼性の高いシステムを構築できるよう支援します。
1. 安全な開発
- 上に構築 IEC 62443-4-1(実践レベル) 安全な開発ライフサイクル方法論。
- 定義され、一貫して適用され、プロジェクト全体で繰り返されます。
- 埋め込み 設計によるセキュリティ、デフォルトによるセキュリティ、多層防御 エンジニアリングのあらゆる段階に。
- 連続 脅威モデリング、コードレビュー、侵入テスト リリース前に脆弱性を最小限に抑えます。
2. 安全な製品
- IEC 62443-4-2認証 重要な OT/IT 環境向けの産業用ルーターと IoT エッジ ゲートウェイ。
- EN 18031認証 高度なサイバー攻撃に対してテストされた堅牢性。
- 信頼できるパフォーマンス エネルギー、輸送、ヘルスケア、製造、デジタルインフラ部門.
3. 安全な認証
世界的に認められた認証 コンプライアンス保証 :
- ISO 27001 – 情報セキュリティ管理システム(ISMS)。
- IEC 62443-4-1(実践レベル) – 開発ライフサイクルの成熟度を確保します。
- IEC 62443-4-2 – 産業製品のサイバーセキュリティ。
- EN 18031 – 無線機器の共通セキュリティ要件。
これらの認証を組み合わせることで、 InHandは情報と製品のセキュリティに関する最高の国際基準への取り組みを行っています.
また、当社のソリューションが厳格なセキュリティと品質のベンチマークを満たしていることを顧客と調達チームに確信させます。
4. 安全な運用
- ひたむきな PSIRT(製品セキュリティインシデント対応チーム) 脆弱性の処理のため。
- 設立 協調的脆弱性開示(CVD) プロセス。
- 透明 製品セキュリティアドバイザリ(PSA)ポータル: PSAを見る.
- ISMSの実践: ISO 27001 に基づく継続的な監視、リスク評価、およびポリシーの適用。
- 進行中 ライフサイクルサポートとセキュリティメンテナンス 進化する脅威に対して顧客を常に先導します。
結論:コンプライアンスをサイバーレジリエンスに変える
NIS 2指令はサイバーセキュリティガバナンスの基準を引き上げ、欧州全域の組織に対し、コンプライアンス遵守だけでなく、進化する脅威への耐性と回復能力を示すことを要求しています。必須組織と重要組織は共に、リーダーシップの責任、製品の完全性、サプライチェーンのセキュリティ、インシデントへの対応など、あらゆるレベルでサイバーセキュリティが組み込まれていることを証明する必要があります。
InHand Networksでは、コンプライアンスに準拠した製品を提供するだけでなく、 回復力のための確固たる基盤国際的に認められた認証、透明性の高い脆弱性管理プロセス、そして重要なセクター全体で信頼されている設計上のセキュリティポートフォリオにより、組織が自信を持って NIS 2 環境をナビゲートできるよう支援します。
InHand Networks と提携することで、コンプライアンス以上のメリットが得られます。
- リスク軽減 — 設計段階から安全性を重視したエンジニアリングと国際的に認証された製品を通じて実現します。
- 規制当局の信頼 — 検証可能で標準に裏付けられた証拠が NIS 2 の義務に直接マッピングされています。
- 事業継続性 堅牢な運用、ライフサイクル サポート、インシデント対応が当社のモデルに組み込まれています。
コンプライアンスから回復力まで、InHand Networks は NIS 2 対応の信頼できるパートナーです。
IEC 62443認証製品
