数カ月以内に、多くの企業が NIS2 指令を導入する必要があるでしょう。新しい EU 指令では、サイバーセキュリティを確保するために厳格な措置を講じることが求められています。
一見、この期間は十分に長いように思えますが、適切なセキュリティ体制の構築は一夜にして成り立つものではありません。 IT インフラストラクチャおよびサービスの大手企業である NTT Ltd は、NIS2 指令に関する誤解を解き、それを実装する最適な方法を示します。 NIS2 指令は、16 年 2023 月 17 日に発効した EU 全体のネットワークおよび情報セキュリティに関する法律であり、加盟国は 2024 年 2 月 2 日までに国内法に移行する必要があります。ドイツでは、すでに連邦内務省から NIS 30.000 実施法 (NIS40.000UmsuCG) に関する法案が提出されています。新しい指令により、この国で影響を受ける企業の数は大幅に増加し、2 ~ XNUMX 社が NISXNUMX のより厳格な要件に該当することになります。しかし、違反した場合には厳しい罰則があるにもかかわらず、そのことを知らない人も多いのではないでしょうか。
差し迫った質問
NIS2 指令に該当しますか?当局は企業に対し、新たな要件が自社に適用されるかどうかを明らかにしていない。むしろ、企業は定義された基準に基づいて自らの「影響」を判断する必要があります。原則として、重要インフラの運営者として分類されるすべての人がこの指令に該当します。これらには、その機能が社会、国家、経済の安全にとって重要であり、その障害が重大な混乱につながる可能性がある施設、システム、システムが含まれます。連邦国民保護局によると、これらの企業は、エネルギーと水道の供給、電気通信と情報技術、食料供給、輸送と物流、金融、医療分野の企業だという。同時に、NIS2 指令は、重要な分野に関連するサービスや製品を提供するサプライ チェーン内の組織にも影響を与えます。これは、その範囲がこれまで知られていた主要企業をはるかに超えていることを意味します。将来的には、従業員数 50 人以上、年間売上高 2 万ユーロ以上の企業や組織が各部門に登録されることになります。具体的には、NISXNUMX は「重要」な施設と「必須」の施設を区別します。後者は、それぞれの分野での市場シェアにより重要な役割を果たしています。
NIS2指令の規定
EUは、監督措置と罰金、協力と協力、リスク管理と回復力という2つの主要分野での要件を強化している。リスク管理と回復力に対する要求が高まっているということは、組織は被害の防止と被害の最小化の両方の対策を講じる必要があることを意味します。これには、ネットワーク セキュリティ、リスク管理、サプライ チェーンのサイバーセキュリティ、アクセス制御、暗号化などの分野が含まれます。 NIS24 は基本的な IT 衛生管理を規定しており、法案では重要な施設に対する攻撃の検出を規定しています。企業はサイバー攻撃後のビジネス継続性を確保する方法についても考える必要があります。これには、システムの復旧、緊急手順、危機管理組織の設立が含まれます。さらに、セキュリティインシデントを認識してから 72 時間以内に、早期警告として最初の報告を所管当局が受け取る必要があります。いわゆる侵害の兆候を説明する詳細なレポートを 2 時間以内に提出する必要があります。企業はまずトップダウンのアプローチを使用して IT セキュリティの成熟度レベルの全体的な現状を判断し、次に必要に応じて技術的および組織的な対策を導入する必要があります。 NIS27001 ガイドラインに準拠するには、ISO XNUMX に準拠した情報セキュリティ管理システム (ISMS) を導入することも推奨されます。同時に、セキュリティ オペレーション センター (SOC) を設置することも意味があります。ただし、SOC の運用には非常にコストがかかるため、マネージド サービスの形式で外部サービス プロバイダーにアウトソーシングすることが良い解決策となります。
従わない場合はどうなりますか?
重要な施設のみが監査されますが、要件を無視した場合、セキュリティ インシデントが発生した場合に重大な制裁を受ける危険があります。 「必須」のカテゴリーに分類された企業の場合、罰金は最大1,4万ユーロまたは世界の年間売上高の2%のいずれか大きい方となる可能性がある。 「重要な」機関の場合、罰金の最高額はXNUMX万ユーロ、または全世界の年間売上高のXNUMX%となる。連邦内務省の法案はまた、企業の常務取締役やその他の経営機関がリスク管理措置の順守について私有資産に対して責任を負うと規定している。また、全世界の年間売上高の XNUMX% の罰金も科せられます。したがって、NISXNUMX は、責任者が非常に真剣に受け止める必要があるコンプライアンス リスクです。さらに、一部の企業にとっては、適切な対策への投資が当初は高額に見えたとしても、セキュリティ ソリューションが貧弱であるか存在しない場合、最終的にはかなりのコストがかかります。他のガイドラインと同様に、必要な措置を講じていない企業は公開入札で検討されない可能性が高くなります。
「NIS2 準拠は、単に購入して実装できる製品ではありません。それどころか、企業は、新しい EU 指令の実施は、さまざまな分野に影響を与える真に大規模かつ長期的なプロジェクトであることを理解する必要があります。同時に、IT コンプライアンスは企業にとって長い間重要な戦略的課題でした」と NTT Ltd のサービスおよびサイバーセキュリティ担当副社長のベルンハルト・クレッチマー氏は説明します。 「しかし、実際には、多くの企業がまだ必要な措置を講じていないことがわかります。これは、NIS2 のタイムリーな実装の障害となる可能性があります。なぜなら、自社の IT チームで必要な要件を満たすことができる企業はほとんどないからです。」
NTTの詳細
NTTについて
30 億ドルの IT サービスプロバイダーである NTT データの一部として、IT インフラストラクチャおよびサービス会社である NTT Ltd. そのテクノロジーは、フォーチュン グローバル 65 企業の 500 パーセント、フォーチュン グローバル 75 企業の 100 パーセント以上を占めています。同社は、組織のエッジツークラウド ネットワーキング エコシステムの基盤を築き、複雑なマルチクラウド ワークロードを簡素化し、エッジで革新を進めています。ネットワーク、クラウド、アプリケーションが融合する IT 環境。 NTT は、カスタマイズされたインフラストラクチャを提供し、安全でスケーラブルで適応性のあるデータ センター全体の設計と運用における一貫したベスト プラクティスを保証します。 NTT は、ソフトウェア デファインドの未来への道を歩み、プラットフォーム ベースのインフラストラクチャ サービスで顧客をサポートします。
トピックに関連する記事