NIS2 が決定され、EU 諸国は 2024 年 2 月までにこの指令を国内法に移行する必要があります。もちろん、企業は準備を整える必要があります。 NISXNUMX は、重要なインフラストラクチャの運用者のためのヨーロッパのフレームワークであり、EU で最低限のサイバー セキュリティ基準を定義しています。
欧州連合 (EU) は、IT セキュリティの分野でヨーロッパのデジタルの未来を形作る EU 戦略の一部であり、2 年の NIS 指令を直接拡張した NIS2016 指令を採用しました。 EU レベル。
NIS2 の背景
新しい指令の背景には、企業ネットワークにますます影響を与える動的な脅威の状況と、最初の NIS 指令が個々の EU 加盟国で異なる方法で実施されたという認識があります。 したがって、EU は、重要なインフラストラクチャ (KRITIS) に影響を与えるセクターとサプライ チェーンを保護するためのより統一されたアプローチを作成したいと考えています。連合の。 たとえば、ある国の公益事業会社が短期間または長期間停止した場合、電気料金は上昇し、電力はヨーロッパの取引所で取引されるため、ヨーロッパ全体で価格が上昇します。
加盟国に期待すること
市民の個人データを保護する GDPR 指令とは異なり、NIS2 指令は経済データの保護を目的としています。 新しい法律の一環として、加盟国は、とりわけ、国家 IT セキュリティ戦略と国内法を起草する必要があります。 これは、NIS2 指令に該当する企業によるリスク管理と報告の要件を設定することを目的としています。 また、国レベルで連絡窓口を設置する。
影響を受ける機関
NIS 指令にすでに含まれているセクターに加えて、新しい NIS2 は、とりわけ、食品業界、貨物および海運会社、電気通信およびデータ プロバイダー、ソーシャル メディア プラットフォームおよびデータ センター プロバイダー、および廃棄物と廃水の管理、および国の経済にとって重要な製造会社。
指令の対象となる企業は、必要不可欠な企業 (通信会社、公益事業、銀行など) と重要な企業 (食品会社や運送会社など) の 250 つのカテゴリに分類されます。 ただし、従業員数が 50 人未満、または年間売上高が 2 万ユーロ未満の企業は、指令の対象外です。 ただし、サプライ チェーンの責任という概念により、指令の対象となるセクターのサプライヤーである中小企業も NISXNUMX に準拠する必要があると予想されます。 この指令は行政にも適用されますが、これがたとえば地方自治体に適用されるかどうかは現時点では不明です。
企業に期待すること
NIS2 は、関連する企業や組織に新しい要求を課します。 これには、上級管理職の専門知識と責任、リスク分析とインシデント対応を含む効果的なリスク管理、およびサイバー インシデントの報告と処理が含まれます。 したがって、経営陣は会社が NIS2 ガイドラインに準拠することに責任があり、準拠していない場合は責任を問われる可能性があります。 企業や組織自体が、ISO27001 や NIST フレームワークなどのセキュリティ対策や国際標準の実装など、さまざまな IT セキュリティ要件を満たす必要があります。
NIS2 指令に準拠しない企業は、最大 2 万ユーロまたは全世界の年間総収入の XNUMX% の罰金を科される可能性があります。 GDPR 指令と同様に、企業が遵守しなければならない NISXNUMX ラベルまたはリストがないことに注意することが重要です。 データ保護規制への準拠を確保するための措置を講じるのは、組織自体の責任です。 そのため、セキュリティ ベンダーは支援できますが、必要なレポートを設定するのは組織次第です。
実施期限
2022 年 2 月末、NIS21 指令が可決され、EU で公式化されました。 その後、加盟国は 18 か月以内に指令を国内法に変換します。 しかし、それは企業がそれまで新しい対策を実施するのを待つことができるという意味ではありません。 結局のところ、指令の影響を受ける組織は、指令が採択されてから XNUMX か月後に順守できなければなりません。 これは長いように思えるかもしれませんが、多くの企業が新しい対策や手順などを導入するには長い時間がかかる可能性があることを経験から知っています。 したがって、影響を受けるすべての機関と企業が直ちに開始することが重要です。
始めるためのアドバイス
前述のように、NIS2 指令は、チェックリストや最低限の保護技術要件を提供していません。 適切なレベルの保護がどのように見えるかを説明しており、さまざまな方法で解釈できます。 ただし、組織は少なくともネットワーク上にファイアウォールと侵入防止テクノロジ、およびエンドポイント セキュリティと多要素認証、データ暗号化、制限付きアクセスの実装を必要とすると想定するのが合理的です。
ただし、すべてがテクノロジーで解決できるわけではないことに注意してください。 プロセスとテクノロジーは等しく重要です。 これは、企業が単に迅速な解決策を探すのではなく、在庫を確認して計画を作成する必要があることを意味します. それを念頭に置いて、あなたが取ることができるいくつかの最初のステップがあります。 まず、自社が新指令に該当するかどうかを確認することが重要です。 この場合、次の点を考慮する必要があります。
- IT セキュリティが経営陣の最優先事項であり、管理者が自分の責任を認識していることを確認してください。 会社のニーズを分析し、明確な目標と実装のタイムラインを含むロードマップを作成することから始めます。
- 情報、プロセス、システムなどの資産を特定して優先順位を付けます。
- セキュリティを構築するためのフレームワークを設計します。 これは、ISO2001 または NIST の可能性があります。 また、資産とプロセスのリスク管理を実装することも重要です。
- できるだけ多くのプロセスとルーチンを自動化します。 たとえば、IT セキュリティは、将来的に新しいシステムやクラウドの立ち上げに必ず組み込まれる必要があります。
- セキュリティ機能とソリューションを統合します。 これにより、操作がより簡単かつ安全になり、とりわけ人件費が削減されます。
- NIS2 要件に準拠するレポート プロセスを確立し、それを使用して攻撃と脅威を緩和できるようにします。
多くの組織は、当初の NIS 要件を満たす必要があったため、すでにいくつかの対策を実施しています。 しかし、他の組織はまったく新しい現実に適応する必要があります。 これは、背の高い困難な作業になる可能性があり、一部の人にとっては圧倒されることさえあります. このため、早い段階で要件と考えられる対策に対処し、専門家に相談することをお勧めします。
詳細は CheckPoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。