Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > 規制コンプライアンス > NIS 2の実施とコンプライアンスに向けた企業準備
Blog Banner - How Companies Can Prepare for the New Security Requirements in NIS-2

NIS 2の実施とコンプライアンスに向けた企業準備

by Boris Lukic updated 1月 16, 2025 規制コンプライアンス
Reading Time: < 1 minutes

NIS2指令に備えるためには、サイバーセキュリティコンプライアンスに対する包括的なアプローチが必要であり、リスク管理やインシデント対応計画といった重要な分野に焦点を当てる必要があります。欧州連合が規制を強化する中、企業はITセキュリティフレームワークをネットワークおよび情報セキュリティ指令の更新された要件に合わせることを優先しなければなりません。これには、コンピュータセキュリティインシデント対応チーム(CSIRT)への報告義務を理解し、連邦情報セキュリティ庁(BSI)が義務付ける可能性のあるコンプライアンス基準を遵守することが含まれます。

組織は、コンプライアンス違反に関連する潜在的な制裁や罰金についても認識しておく必要があります。強固なサイバーセキュリティ戦略を実施することで、企業は重要なインフラを効果的に保護できます。これらのステップを優先することで、企業はコンプライアンスを確保するだけでなく、急速に進化するデジタル環境における新たなサイバー脅威に対しても強靭性を持つことができます。

NIS2の概要:企業が知っておくべきこと

  • NIS2指令は、欧州連合の包括的なサイバーセキュリティ対策であり、重要なインフラと重要な企業のセキュリティ基準を引き上げることを目的としています。2023年1月16日に施行されて以来、NIS2指令はEU内のサイバーセキュリティにおける新たな基準を設定しています。2024年10月17日までに国内法に実装する期限が設けられており、影響を受ける組織は大きな課題に直面しています。
  • この改訂は、NIS2指令の要件を詳細に扱い、企業が必要なセキュリティ対策をタイムリーに実施するための明確なロードマップを提供します。企業は、指令に違反した場合の潜在的な罰則を避けるために、要件に積極的に取り組む必要があります。
  • 影響を受ける企業、推奨される行動、期限、そしてコンプライアンス違反の結果についてすべてを学びましょう。私たちの包括的な分析は、NIS2指令の要件に備え、ますますデジタル化が進む世界でサイバー強靭性を強化するために必要な重要な情報を提供します。

企業にとって、セキュリティ侵害が国家全体の麻痺にまで至る深刻な結果をもたらす可能性があるため、より厳格なセキュリティガイドラインに従うことが不可欠です。NIS2指令は、これらのセキュリティ規制を標準化し、具体化することを目的としており、EU内の公的および民間の両方の組織の強靭性と対応力を向上させることを目指しています。この取り組みは、2016年に実施されたネットワークおよび情報セキュリティ指令(NIS-1)を基にしており、その目的を継続し、深化させることを目指しています。

NIS1指令の改訂は必要か?

ネットワークおよび情報セキュリティに関するEUの元の指令(NIS)は、実際には以下のような重大な弱点を示しました:

  • 国境を越えた不一致な規制
  • 実施の監視の欠如
  • サイバーリスクの開示に関する曖昧な要件
  • 不十分なセキュリティレベル
  • 危機状況に対する共通戦略の欠如

NIS2指令の導入は、これらの問題に対処することを目的としています。どの組織が重要なインフラと見なされ、どのセクターに属するかを正確に定義しています。さらに、NIS2は影響を受ける企業の範囲を拡大し、新たな義務を導入し、より厳しい罰則を予見し、リスク管理のアプローチを強化しています。

主な革新点には、セキュリティインシデントの報告手順、内容、期限に関する明確なガイドラインが含まれており、それらの実施、監視、国内法での施行が含まれています。さらに、NIS2は、危機時における民間および公的組織間の協力を促進し、国家緊急対応チーム(CSIRT、コンピュータセキュリティインシデント対応チーム)の形成と、協調されたインシデント対応計画の確立を通じて協力を促進します。

NIS2指令の全文とその実施は、欧州連合の官報に掲載されています。

どの企業がNIS2指令を遵守しなければならないのか?

NIS2指令は、重要な社会的および経済的活動を維持するために不可欠な幅広い企業に影響を与えます。新しいNIS2規制の影響を受ける企業の概要は以下の通りです:

  • 重要サービスオペレーター:このグループは、個々の施設が指令の規制の対象となる程度を特定しなければなりません。彼らは、施設の関連性を特定するための特定の基準に基づいてこれを行います。
  • 中央重要および重要施設:これらは主に企業の規模によって特定され、中規模および大規模な企業が影響を受けます。中規模企業には2つの資格パスがあります:1. 50〜249人の従業員を持ち、売上高が5000万ユーロ未満または貸借対照表の合計が4300万ユーロ未満の企業、または2. 50人未満の従業員を持ち、売上高が1000万〜5000万ユーロで貸借対照表の合計が1000万〜4300万ユーロの企業。
  • 大企業:次の基準のいずれかを満たす組織:1. 少なくとも250人の従業員、または2. 少なくとも5000万ユーロの売上高と少なくとも4300万ユーロの貸借対照表の合計。

NIS2ガイドラインは小規模企業にも適用されます

たとえ従業員が50人未満で年間売上高が1000万ユーロ未満であっても、早期に安心感を持たないでください。小規模企業でも、上記の(特に)重要な施設の基準に該当する場合、影響を受ける可能性があります。

あなたの会社がNIS2の下で重要な施設に該当するかどうか不明な場合、郵便を待たずに、各影響を受ける企業は自らこれを判断しなければなりません。

たとえば、あなたの会社が特に重要な企業のサービスプロバイダーやサプライヤーである場合、あなたの会社も自動的に重要と分類され、厳格なセキュリティ対策を遵守しなければなりません。

特に重要な施設(「高重要性セクター」付属書I):

  • エネルギー:電力、地域暖房および冷房、石油、天然ガス、水素
  • 輸送:航空輸送、鉄道輸送、海上輸送、道路輸送
  • 銀行業
  • 金融市場インフラ
  • 医療
  • 飲料水
  • 廃水
  • デジタルインフラ
  • ICTサービスの管理(情報通信技術サービス、B2B)
  • 公共行政
  • 宇宙

その他の重要施設(「その他の重要セクター」付属書II):

  • 郵便および宅配サービス
  • 廃棄物管理
  • 化学物質の生産、製造、貿易
  • 食品の生産、加工、流通
  • 製造業/製品の製造:医療機器および体外診断薬の製造/コンピュータ、電子および光学製品の製造/電気機器の製造/機械工学/自動車および自動車部品の製造/その他の車両製造
  • デジタルサービスの提供者
  • 研究

NIS2実施法と関連する企業の義務

2023年9月以降、EU指令NIS2の実施とサイバーセキュリティの促進に関する法案の第3草案、通称NIS2実施法(NIS2UmsuCG)が議論されています。この法律は、企業が情報技術分野でのセキュリティインシデントに積極的に対処することを義務付けています。影響を受ける組織は、セキュリティインシデントが発生した場合、連邦情報セキュリティ庁(BSI)に包括的な報告を提供しなければなりません。セキュリティインシデントは、保存、送信、または処理されたデータの整合性を損なうか、ITシステム、コンポーネント、およびプロセスを通じて提供またはアクセス可能にされた対応するサービスの可用性または機能性に影響を与えるイベントとして定義されます。

この概要は、NIS2実施法と関連する義務を遵守することの重要性を強調し、企業がサイバーセキュリティインフラを強化し、セキュリティインシデントに効果的に対応するためのものです。

具体的には、以下の点に対処します:

  • 可用性
  • 真正性
  • 整合性または
  • 影響を受けたデータまたはサービスの機密性

ITセキュリティとNIS2コンプライアンスの報告義務の確保

関連するシステムを運用する企業は、ITセキュリティを確保するために効果的な技術的および組織的措置(TOM)を実施しなければなりません。以下の基本的な措置が期待されています:

  • ITシステムのリスク分析とセキュリティ
  • セキュリティインシデントの処理
  • 保守と復旧およびバックアップ管理
  • 施設とサービスプロバイダー間のサプライチェーンセキュリティ
  • 開発、調達、保守におけるセキュリティおよび脆弱性管理
  • ITセキュリティの有効性と対応するリスク管理の評価
  • ITセキュリティとサイバーハイジーンに関するトレーニング
  • 暗号化と暗号技術
  • 人員のセキュリティ、アクセス制御、および施設管理
  • 多要素認証
  • 安全な通信
  • 危機管理と安全な緊急通信

企業の報告義務

セキュリティインシデントが発生した場合、影響を受けた企業は強化された報告義務を負います。以下の3つのステップがあります:

  1. セキュリティインシデントを認識してから24時間以内に、BSIに予備報告を提出しなければなりません。
  2. 72時間以内に、インシデントの初期評価を含む完全な報告を行わなければなりません。
  3. 1か月以内に、インシデントの詳細と脅威の性質を含む最終報告を行い、国境を越えた影響を含めなければなりません。

コンプライアンス違反のリスクを理解する:NIS2の制裁と罰金

影響を受ける組織が厳格な規制を遵守することを確保するために、コンプライアンス違反の場合には報告義務が増加し、より厳しい制裁が適用されます。制裁規則の概要:

  • 罰金は段階的な概念で最大2000万ユーロまで罰せられます
  • 過失および故意の過失の両方に対して制裁が課されます
  • 重要な施設に対しては、最大700万ユーロまたは世界年間売上高の1.4%の罰金が課される可能性があります
  • 特に重要な施設に対しては、最大1000万ユーロまたは世界年間売上高の2%の罰金が課される可能性があります
  • 特に重要な施設と重要インフラの間に区別はありません

注意:取締役とその個人資産が責任を負います。

内務省の草案は、取締役や企業の他の経営陣がリスク管理措置を遵守するために個人資産で責任を負うことを提案しています。罰金は世界年間売上高の2%まで可能です。

NIS2指令はいつ発効するのか?

新しい指令2022/2555(NIS2)は、2023年からEUレベルで発効していますが、各国は2024年10月17日までに指令を国内法に実装しなければなりません。それまでに企業は適切な措置を講じる必要があります。

企業におけるNIS2コンプライアンスの実施戦略

企業におけるNIS2コンプライアンスの効果的な実施は、現在のサイバーセキュリティ対策の徹底的な評価と、新しいNIS2指令要件に関連するギャップの特定から始まります。企業は、欧州連合のガイドラインに従って、重要インフラへの潜在的な脅威に対応するための強固なインシデント対応計画を確立することを優先しなければなりません。連邦情報セキュリティ庁(BSI)からの知見を活用し、コンピュータセキュリティインシデント対応チーム(CSIRT)と相談することで、ITセキュリティフレームワークを強化できます。義務的な報告義務を遵守し、積極的なリスク管理の文化を育むことが、制裁や罰金を回避するための鍵です。Kiteworksのような高度なソリューションを統合して、コンプライアンスプロセスを合理化し、デジタル資産を保護することを検討してください。これらの分野に積極的に取り組むことで、企業はNIS2コンプライアンスを達成し、進化するサイバーセキュリティの脅威から業務を守ることができます。NIS2に備えるための追加の考慮事項は以下の通りです:

  • あなたの会社がNIS2の影響を受け、重要なエンティティと見なされるかどうかを確認する
  • 会社が影響を受ける場合、経営陣に通知し、対応する措置を実施する責任者を決定する
  • サイバーセキュリティとリスク管理を確保するために必要な措置を計画し、実施する
  • 事業継続、バックアップ管理、システム復旧、危機管理を含むセキュリティインシデントのための緊急計画を作成する
  • 報告手順を確立し、責任者を決定する

KiteworksはNIS2要件の遵守を支援します

NIS2指令の遵守は、サイバーセキュリティを確保し、信頼を築くために企業にとって重要です。チェックリストは、指令の範囲を定義し、リスクを評価し、インシデント対応計画を作成し、継続的な監視と保守を確保し、従業員を訓練し、文書化と報告を維持することで、IT部門がコンプライアンスを確保するのに役立ちます。NIS2コンプライアンスは法的な必要性であり、サイバー脅威に対する強靭性を高める機会でもあります。Kiteworksは、機密情報を保護し管理するためのゼロトラストアプローチを提供することで、NIS2ガイドラインの遵守を容易にするプラットフォームを企業に提供します。

Kiteworksを使用したNIS2要件の安全なコンプライアンスについて詳しく知るには、今日、個別のデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks